Блогпост о том, как использовать HAProxy в качестве ingress-controller для Kubernetes. С примерами конфигурации
https://www.haproxy.com/blog/haproxy_ingress_controller_for_kubernetes/
#haproxy #kubernetes
https://www.haproxy.com/blog/haproxy_ingress_controller_for_kubernetes/
#haproxy #kubernetes
HAProxy Technologies
Dissecting the HAProxy Kubernetes Ingress Controller - HAProxy Technologies
Learn how the new HAProxy Kubernetes Ingress Controller provides a high-performance ingress for your Kubernetes-hosted applications.
Дайджест Украинских ДевОпсов подводит итоги уходящего года.
Я никаких итогов не подвожу. Просто хочу поздравить вас с без пары часов 2018-м. Не роняйте ничего в новом году!
Я никаких итогов не подвожу. Просто хочу поздравить вас с без пары часов 2018-м. Не роняйте ничего в новом году!
Telegram
Дайджест Украинских ДевОпсов
Подводим итоги года 2017 для DevOps.
Основные новости:
Перевод AWS на посекундную тарификацию
релиз Mobyproject
k8s ползущий везде где можно(скорее процесс, а не событие), docker+k8s
bare metal в AWS
большая пачка обновлений от hashicorp + raft 3
terraform…
Основные новости:
Перевод AWS на посекундную тарификацию
релиз Mobyproject
k8s ползущий везде где можно(скорее процесс, а не событие), docker+k8s
bare metal в AWS
большая пачка обновлений от hashicorp + raft 3
terraform…
Пора бы уже из новогоднего угара вливаться в рабочий поток
Кстати, ещё раз о списках и итогах года:
OpenNET подвёл итоги 2017 поважным событиям мира открытого ПО и смежных тем
http://www.opennet.ru/opennews/art.shtml?num=47827
Статья, конечно, прошлогодняя уже, но что поделать ¯\_(ツ)_/¯
Кстати, ещё раз о списках и итогах года:
OpenNET подвёл итоги 2017 поважным событиям мира открытого ПО и смежных тем
http://www.opennet.ru/opennews/art.shtml?num=47827
Статья, конечно, прошлогодняя уже, но что поделать ¯\_(ツ)_/¯
www.opennet.ru
Наиболее важные события 2017 года
Итоговая подборка наиболее важных и заметных событий 2017 года:
Также рекомендую заглянуть в DevOps дайджест на DOU
Давайте без шуток про "прошлогодний" — они каждый год унылы одинаково
Давайте без шуток про "прошлогодний" — они каждый год унылы одинаково
ДОУ
DevOps дайджест #17: новогодний
В выпуске: тренды, паттерны, микросервисы, оркестрация. Netflix, Stack Overflow, Mesos, Kubernetes, gRPC, Envoy! Давайте полезно проведем выходные!
Год начинается бодро!
Найдена уязвимость в процессорах Intel, которая позволяет пользовательским приложениям залезть в память ядра
Краткое содержание на русском
Больше текста на английском
Все детали не раскрываются до выпуска соответствующих патчей. Патчи ориентировочно будут готовы в середине Января. Ходят слухи, что в linux kernel 4.14.11 уже починили, но это не точно
#security
Найдена уязвимость в процессорах Intel, которая позволяет пользовательским приложениям залезть в память ядра
Краткое содержание на русском
Больше текста на английском
Все детали не раскрываются до выпуска соответствующих патчей. Патчи ориентировочно будут готовы в середине Января. Ходят слухи, что в linux kernel 4.14.11 уже починили, но это не точно
#security
www.opennet.ru
Разработчики Linux и Windows работают над закрытием огромной уязвимости в процессорах
Фундаментальная ошибка проектирования всех современных процессоров Intel, выпущенных за последние 10 лет, заставила разработчиков Linux и Windows в срочном порядке переписывать значительные куски кода ядер для того, чтобы закрыть недавно открытую в них уязвимость.…
Насколько глубока кроличья нора?
Вчерашний hole с процессорма обростает новыми подробностями. Во-первых, это серьезный аппаратный косяк, это значит, что затронуты вообще все вычислительные устройства (https://techcrunch.com/2018/01/03/kernel-panic-what-are-meltdown-and-spectre-the-bugs-affecting-nearly-every-computer-and-device/): будь то сервера или смартфоны. Да, ARM тоже, но тут начинаются нюансы:
На самом деле существует 2 проблемы с кодовыми именами Meltdown (Intel) и Spectre (Intel, AMD, ARM), которые, не вдаваясь в подробности, позволяют сделать одно и то же: пользовательскому процессу попасть в системную память. Возможные варианты атаки рассмотрели в этой статье от Google:
https://googleprojectzero.blogspot.com.tr/2018/01/reading-privileged-memory-with-side.html?m=1
Если нет времени читать большую статью от Google или whitepapers по каждой из уязвимостей, вот очень краткая выжимка по каждой из них:
https://danielmiessler.com/blog/simple-explanation-difference-meltdown-spectre/
Кроме того, тезисно проблема описана в этом Твиттер треде:
https://twitter.com/nicoleperlroth/status/948684376249962496
Теперь о близком нам: AWS и Azure уже приняли меры, что для пользователей вылилось в forced reboots. Amazon говорит что почти весь их парк уже пропатчен. В Google Cloud заявляют что со своей стороны они пропатчились и ребуты не нужны.
Однако, пользователям всё равно придётся патчить гостевые ОС самостоятельно вне зависимости от провайдера.
- AWS: https://aws.amazon.com/security/security-bulletins/AWS-2018-013/
- GCloud: https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html
- Azure: https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/
Фикс: фикс уже готов, пользовательские обновления, как и говорилось, стоит ждать к середине Января. Плохая новость тут в том, что фикс ухудшит производительность CPU. Конкретные цифры очень зависят от задач, но цифры существенные: от 5% до 30% (возможно и больше)
И если вы уже собирались выдохнуть, то ещё рано. Mozilla подтвердили, что атака с использованием вышеупомянутых уязвимостей возможна через вэб контент:
https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
Счастливого Рождества!
UPD: забыл, собственно, whitepapers добавить: https://spectreattack.com/
P.S.: думаю, для упрощения подведения итогов в конце года, надо ввести какой-то хэштег. И эти новости definitely #2018
#security #2k18
Вчерашний hole с процессорма обростает новыми подробностями. Во-первых, это серьезный аппаратный косяк, это значит, что затронуты вообще все вычислительные устройства (https://techcrunch.com/2018/01/03/kernel-panic-what-are-meltdown-and-spectre-the-bugs-affecting-nearly-every-computer-and-device/): будь то сервера или смартфоны. Да, ARM тоже, но тут начинаются нюансы:
На самом деле существует 2 проблемы с кодовыми именами Meltdown (Intel) и Spectre (Intel, AMD, ARM), которые, не вдаваясь в подробности, позволяют сделать одно и то же: пользовательскому процессу попасть в системную память. Возможные варианты атаки рассмотрели в этой статье от Google:
https://googleprojectzero.blogspot.com.tr/2018/01/reading-privileged-memory-with-side.html?m=1
Если нет времени читать большую статью от Google или whitepapers по каждой из уязвимостей, вот очень краткая выжимка по каждой из них:
https://danielmiessler.com/blog/simple-explanation-difference-meltdown-spectre/
Кроме того, тезисно проблема описана в этом Твиттер треде:
https://twitter.com/nicoleperlroth/status/948684376249962496
Теперь о близком нам: AWS и Azure уже приняли меры, что для пользователей вылилось в forced reboots. Amazon говорит что почти весь их парк уже пропатчен. В Google Cloud заявляют что со своей стороны они пропатчились и ребуты не нужны.
Однако, пользователям всё равно придётся патчить гостевые ОС самостоятельно вне зависимости от провайдера.
- AWS: https://aws.amazon.com/security/security-bulletins/AWS-2018-013/
- GCloud: https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html
- Azure: https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/
Фикс: фикс уже готов, пользовательские обновления, как и говорилось, стоит ждать к середине Января. Плохая новость тут в том, что фикс ухудшит производительность CPU. Конкретные цифры очень зависят от задач, но цифры существенные: от 5% до 30% (возможно и больше)
И если вы уже собирались выдохнуть, то ещё рано. Mozilla подтвердили, что атака с использованием вышеупомянутых уязвимостей возможна через вэб контент:
https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
Счастливого Рождества!
UPD: забыл, собственно, whitepapers добавить: https://spectreattack.com/
P.S.: думаю, для упрощения подведения итогов в конце года, надо ввести какой-то хэштег. И эти новости definitely #2018
#security #2k18
*UPD*
Статья от Microsoft о том, что в Azure уже всё пропатчили (но люди жаловались, что сервера без суда и следствия бутнули вчера): https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/ (via https://teleg.eu/azure_ua)
Бенчмарки от Phoronix по поводу ожидаемой просадки производительности (via @yaroslavpats):
1: https://www.phoronix.com/scan.php?page=article&item=linux-415-x86pti&num=1
2: https://www.phoronix.com/scan.php?page=news_item&px=x86-PTI-Initial-Gaming-Tests
3: https://www.phoronix.com/scan.php?page=article&item=linux-more-x86pti&num=1
Если вам есть, что добавить по теме, стучитесь мне в @grem1in
Статья от Microsoft о том, что в Azure уже всё пропатчили (но люди жаловались, что сервера без суда и следствия бутнули вчера): https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/ (via https://teleg.eu/azure_ua)
Бенчмарки от Phoronix по поводу ожидаемой просадки производительности (via @yaroslavpats):
1: https://www.phoronix.com/scan.php?page=article&item=linux-415-x86pti&num=1
2: https://www.phoronix.com/scan.php?page=news_item&px=x86-PTI-Initial-Gaming-Tests
3: https://www.phoronix.com/scan.php?page=article&item=linux-more-x86pti&num=1
Если вам есть, что добавить по теме, стучитесь мне в @grem1in
Microsoft
Securing Azure customers from CPU vulnerability
An industry-wide, hardware-based security vulnerability was disclosed today. Keeping customers secure is always our top priority and we are taking active steps to ensure that no Azure customer is…
Я наконец-то выспался с начала года! Негативная сторона в том, что сейчас очень лениво разбирать какие-то крупные статьи, потому ловите shell скриптик, который позволяет загнать в Terraform GitHub организацию, включая:
- публичные репы
- приватные репы
- репы команд
- сами команды
- членство в командах
- собсно юзеров
Если вы используете GitHub в работе, может быть очень даже интересно:
https://github.com/chrisanthropic/terraform-import-github-organization
- публичные репы
- приватные репы
- репы команд
- сами команды
- членство в командах
- собсно юзеров
Если вы используете GitHub в работе, может быть очень даже интересно:
https://github.com/chrisanthropic/terraform-import-github-organization
GitHub
GitHub - chrisanthropic/terraform-import-github-organization: Script to fully automate Terraform import of Github Org (teams, users…
Script to fully automate Terraform import of Github Org (teams, users, and repos) - chrisanthropic/terraform-import-github-organization
Возвращаясь к нашим баранам: две статьи на русском языке, где на пальцах объясняют Meltdown и Spectre
Meltdown: https://geektimes.ru/post/297029/
Spectre: https://geektimes.ru/post/297031/
"Зоркий Глаз лишь спустя 20 лет заметил, что в крепости не хватает четвёртой стены " (с)
#security
Meltdown: https://geektimes.ru/post/297029/
Spectre: https://geektimes.ru/post/297031/
"Зоркий Глаз лишь спустя 20 лет заметил, что в крепости не хватает четвёртой стены " (с)
#security
Хабр
Новогодние подарки, часть первая: Meltdown
Да, я знаю, что это уже третий материал на GT/HH по данной проблеме. Однако, к сожалению, до сих пор я не встречал хорошего русскоязычного материала — да в общем и с англоязычными, чего уж тут греха...
Docker для Mac с поддержкой Kubernetes из коробки стал общедоступным!
Хотя, пока что в ветке Edge:
https://docs.docker.com/docker-for-mac/#kubernetes
Хотя, пока что в ветке Edge:
https://docs.docker.com/docker-for-mac/#kubernetes
В свете последних событий все углубятся в сферу безопасности, что, конечно, хорошо.
Вот, что примечательно в проблемах aka Meltdown & Spectre: это такая эталонная дыра. Во-первых, процессор всегда считался чем-то 100% надёжным, а все баги, мол, на уровне кода. Оказалось — нет. Во-вторых, атака зависти от навыков атакуемого, а не человеческой глупости. Это уже что-то кардинально отличающиеся от того же WannaCry. Это интересней с чисто исследовательской точки зрения: исследователь не будет гордиться тем, что отправил бабушке похаченный doc-файл. Всё прямо как в шпионских фильмах
Однако, не надо забывать, что большинство прикладных атак не витает так высоко. Если вы прёте чужие кредитки, ваш критерий успеха - колличество угнанных кредиток и, наверное, вероятность обнаружения. Но совсем не "угнать кредитку самым красивым способом".
И я вам сейчас форвардну пост, где как раз описано, почему это страшно и как мы сами открываем двери для не самых приятных людей
#security
Вот, что примечательно в проблемах aka Meltdown & Spectre: это такая эталонная дыра. Во-первых, процессор всегда считался чем-то 100% надёжным, а все баги, мол, на уровне кода. Оказалось — нет. Во-вторых, атака зависти от навыков атакуемого, а не человеческой глупости. Это уже что-то кардинально отличающиеся от того же WannaCry. Это интересней с чисто исследовательской точки зрения: исследователь не будет гордиться тем, что отправил бабушке похаченный doc-файл. Всё прямо как в шпионских фильмах
Однако, не надо забывать, что большинство прикладных атак не витает так высоко. Если вы прёте чужие кредитки, ваш критерий успеха - колличество угнанных кредиток и, наверное, вероятность обнаружения. Но совсем не "угнать кредитку самым красивым способом".
И я вам сейчас форвардну пост, где как раз описано, почему это страшно и как мы сами открываем двери для не самых приятных людей
#security
Forwarded from IT KPI (Denys Morgun)
Не маєте CSP на своєму веб ресурсі? (як і Амазон, до речі) Не контролюєте що можна відправляти користувачу? Чи хочете отримати кольорове логування у терміналі через один з 400,000 неперевірених npm пакетів? Тоді, на хвилі нещодавних інтригуючих подій, радимо почитати цю статтю :)
Надіслав @vladimir4152 через @itkpi_suggest_bot
https://hackernoon.com/im-harvesting-credit-card-numbers-and-passwords-from-your-site-here-s-how-9a8cb347c5b5
Надіслав @vladimir4152 через @itkpi_suggest_bot
https://hackernoon.com/im-harvesting-credit-card-numbers-and-passwords-from-your-site-here-s-how-9a8cb347c5b5
Hackernoon
HackerNoon - read, write and learn about any technology
How hackers start their afternoon. HackerNoon is a free platform with 25k+ contributing writers. 100M+ humans have visited HackerNoon to learn about technology
Оч прикольная статья от DataDog о том, как мониторить PostgreSQL:
https://www.datadoghq.com/blog/postgresql-monitoring/
Кратко описано, как PostgreSQL вообще записывает данные, на какие метрики стоит обращать внимание, и что они вообще значат. Тажке рассказали, какие выводы можно сделать по каждой из метрик и что предпринять в тех или иных ситуациях
#postgresql #database
https://www.datadoghq.com/blog/postgresql-monitoring/
Кратко описано, как PostgreSQL вообще записывает данные, на какие метрики стоит обращать внимание, и что они вообще значат. Тажке рассказали, какие выводы можно сделать по каждой из метрик и что предпринять в тех или иных ситуациях
#postgresql #database
Datadog
Key metrics for PostgreSQL monitoring | Datadog
Learn how to identify and track key PostgreSQL performance metrics in this monitoring guide.
Во вчерашней статье про PostgreSQL проскакивали такие штуки, как MVCC — multi-version concurrency control и VACUUM. Если в двух словах: вместо того, чтобы лочить строку, на которой применяется UPDATE или DELETE, мы сделаем её копию, которая будет видна только транзакции, которая её обновляет. Все текущие же транзакции (non update) будут видеть изначальный вариант строки. А вот когда UPDATE/ DELETE закончится, мы делаем новый вариант видымым для всех, а старый — наоборот. Для этого будем использовать MVCC. Старые dead_rows тоже надо как-то чистить и тут поможет VACUUM
Подробнее про эти два механизма изложено тут:
http://rhaas.blogspot.com/2017/12/mvcc-and-vacuum.html
И отдельно про VACUUM:
http://rhaas.blogspot.com/2018/01/the-state-of-vacuum.html
#postgresql #database
Подробнее про эти два механизма изложено тут:
http://rhaas.blogspot.com/2017/12/mvcc-and-vacuum.html
И отдельно про VACUUM:
http://rhaas.blogspot.com/2018/01/the-state-of-vacuum.html
#postgresql #database
Blogspot
MVCC and VACUUM
Experienced PostgreSQL users and developers rattle off the terms “MVCC” and “VACUUM” as if everyone should know what they are and how they w...
RaspberryPI рассказывают про устройство процессоров и объясняют, почему их устройства не подвержены уязвимостям Meltdown и Spectre:
https://www.raspberrypi.org/blog/why-raspberry-pi-isnt-vulnerable-to-spectre-or-meltdown/
Бонусом обзор того, что сделано по поводу уязвимостей в мире Linux:
http://kroah.com/log/blog/2018/01/06/meltdown-status/
#security
https://www.raspberrypi.org/blog/why-raspberry-pi-isnt-vulnerable-to-spectre-or-meltdown/
Бонусом обзор того, что сделано по поводу уязвимостей в мире Linux:
http://kroah.com/log/blog/2018/01/06/meltdown-status/
#security
Raspberry Pi
Why Raspberry Pi isn’t vulnerable to Spectre or Meltdown
Eben gives you a crash course in how modern processors work to explain why Raspberry Pi is unaffected by the Spectre and Meltdown security vulnerabilities.
У меня сегодня будет JavaDay!
Первая статья, которой я хочу поделиться — записки SRE из Google Andrew Brampton о том, как жить с Java в продакшене. Главное, когда читаешь материалы от Google, помнить, что ты не Google :)
https://www.javaadvent.com/2017/12/running-java-in-production.html/amp
Дальше Daniel Bryant рассказывает, как запускать Java приложения в Docker и оркестрировать это счастье с помощью Kubernetes. При чём, рассказано на примере minicube, что прикольно, потому что убирает зависимости в виде тех или иных облачных сервисов:
https://www.oreilly.com/ideas/how-to-manage-docker-containers-in-kubernetes-with-java
И более низкоуровневая движуха — серия статей на 5-10 минут, в которых описана "анатомия" JVM. Там ещё прикольная табличка, которая отражает, какие темы покрывает та или иная статья:
https://shipilev.net/jvm-anatomy-park/
Enjoy!
#java
Первая статья, которой я хочу поделиться — записки SRE из Google Andrew Brampton о том, как жить с Java в продакшене. Главное, когда читаешь материалы от Google, помнить, что ты не Google :)
https://www.javaadvent.com/2017/12/running-java-in-production.html/amp
Дальше Daniel Bryant рассказывает, как запускать Java приложения в Docker и оркестрировать это счастье с помощью Kubernetes. При чём, рассказано на примере minicube, что прикольно, потому что убирает зависимости в виде тех или иных облачных сервисов:
https://www.oreilly.com/ideas/how-to-manage-docker-containers-in-kubernetes-with-java
И более низкоуровневая движуха — серия статей на 5-10 минут, в которых описана "анатомия" JVM. Там ещё прикольная табличка, которая отражает, какие темы покрывает та или иная статья:
https://shipilev.net/jvm-anatomy-park/
Enjoy!
#java
Я понимаю, что хороша ложка к обеду, но лучше позже, чем никогда!
Люблю, что в русском языке есть пословицы на все случаи жизни с прямо противоположным смыслом :)
В общем, я наконец-то донёс статью Cindy Sridharan про тестирование микросервисов! Конечно, её уже постили, наверное, все. Но во-первых, я хочу чтобы тут она тоже была, так как я иногда сам обращаюсь к материалам, собранным сдесь. Во-вторых, врдуг кто-то пропустил её в новогоднем угаре
https://medium.com/@copyconstruct/testing-microservices-the-sane-way-9bb31d158c16
Статья большая с кучей ссылок. Так что лучше вечерок на неё отвести
#microservices
Люблю, что в русском языке есть пословицы на все случаи жизни с прямо противоположным смыслом :)
В общем, я наконец-то донёс статью Cindy Sridharan про тестирование микросервисов! Конечно, её уже постили, наверное, все. Но во-первых, я хочу чтобы тут она тоже была, так как я иногда сам обращаюсь к материалам, собранным сдесь. Во-вторых, врдуг кто-то пропустил её в новогоднем угаре
https://medium.com/@copyconstruct/testing-microservices-the-sane-way-9bb31d158c16
Статья большая с кучей ссылок. Так что лучше вечерок на неё отвести
#microservices
Medium
Testing Microservices, the sane way
Author’s Note: Thanks, as ever, to Fred Hebert, for reading a draft of this post and making some sterling suggestions. This is the first…
B Kubernetes v1.9 поддержка Windows контейнеров перешла в разряд beta:
http://blog.kubernetes.io/2018/01/kubernetes-v19-beta-windows-support.html?m=1
Кроме того, сделали разные улучшения для Windows, о которых можно почитать в той же статье
Документация, как это конфигурить:
https://kubernetes.io/docs/getting-started-guides/windows/
#kubernetes #windows
http://blog.kubernetes.io/2018/01/kubernetes-v19-beta-windows-support.html?m=1
Кроме того, сделали разные улучшения для Windows, о которых можно почитать в той же статье
Документация, как это конфигурить:
https://kubernetes.io/docs/getting-started-guides/windows/
#kubernetes #windows
blog.kubernetes.io
Kubernetes v1.9 releases beta support for Windows Server Containers
The official Kubernetes blog.
End-to-end шифрование, говорили они. Теперь все ваши фотки котиков в безопасности, говрили они!
Интересная статья про вектор атаки на групповые чаты Signal и WhatsApp, где как-раз используется e2e шифрование:
https://blog.cryptographyengineering.com/2018/01/10/attack-of-the-week-group-messaging-in-whatsapp-and-signal/
В кратце, e2e прекрасно работает в личных чатах: у нас два легитимных субъекта, туда-сюда: всё, как по учебнику. Проблема возникает с групповыми чатами: в спецификациях такой вариант не особо описан и поэтому каждый пляшет, как он хочет.
В принципе, для, собственно, WhatsApp и Signal эта проблема не супер-критична, но она есть и о ней надо помнить. А ещё там два прикольных вывода в конце статьи — ну вы уже сами почитаете 😉
#security
Интересная статья про вектор атаки на групповые чаты Signal и WhatsApp, где как-раз используется e2e шифрование:
https://blog.cryptographyengineering.com/2018/01/10/attack-of-the-week-group-messaging-in-whatsapp-and-signal/
В кратце, e2e прекрасно работает в личных чатах: у нас два легитимных субъекта, туда-сюда: всё, как по учебнику. Проблема возникает с групповыми чатами: в спецификациях такой вариант не особо описан и поэтому каждый пляшет, как он хочет.
В принципе, для, собственно, WhatsApp и Signal эта проблема не супер-критична, но она есть и о ней надо помнить. А ещё там два прикольных вывода в конце статьи — ну вы уже сами почитаете 😉
#security
A Few Thoughts on Cryptographic Engineering
Attack of the Week: Group Messaging in WhatsApp and Signal
If you’ve read this blog before, you know that secure messaging is one of my favorite topics. However, recently I’ve been a bit disappointed. My sadness comes from the fact that lately …