HashiCorp Boundary

В 2020 году HashiCorp выпустили решение HashiCorp Boundary в open-source. Я долго тянул с тем, чтобы разобраться, что это, пока не наткнулся на статью Gating Access to Kubernetes API & Workloads with HashiCorp Boundary, в которой объясняется, каким образом HashiCorp Boundary обеспечивает безопасный доступ к API k8s и контейнерам. Выглядит довольно интересно. Даже прилагается пример в виде terraform.

HashiCorp Boundary представляет из себя CLI + Gateway, позволяющий администраторам получать доступ к ресурсам компании без прямого доступа к частной сети. Boundary интегрируется с существующими средствами аутентификаци, предлагает свою модель RBAC и подтягивает креды из HashiCorp Vault. Все это сопровождается возможностью аудита.

Первый вопрос, который возникает: Чем это отличается от современных Privileged Access Management (PAM) систем, кроме того, что это open-source?

- Boundary Connect (CLI) уже содержит в себе известные клиенты вроде RDP, SSH, kubectl, postgres, http. Таким образом, нет необходимости подключаться к некому бастиону по RDP/SSH, а оттуда перепрыгивать на целевую систему.

- Boundary не привязывается к IP-адресам целевых ресурсов. Это позволяет работать с объектами, которые динамически меняют свои адреса. Например, можно через boundary connect kube пройти аутентификацию, авторизацию и подключиться к желаемому контейнеру с временными кредами.

- Boundary имеет возможность развертываться через Terraform. Таким образом, можно реализовать привычный доступ в формате PAM не конфликтуя с DevOps-командами.

Вот, кстати, хорошее видео, где на пальцах объясняют как работает решение.

#ops #k8s

хорошая обучалка по эксплуатации побега из docker контейнера и получение рута на хосте

форкнуто от моего коллеги и немного доработано. Привет, Костя, хоть ты меня и не читаешь)

https://github.com/bykvaadm/secinfo-docker

MultiTail - для просмотра тонны логов или статы с нескольких ресурсов в real-time https://www.vanheusden.com/multitail/

Интересная большая статья от Alibaba Cloud про концепции озера данных: https://alibaba-cloud.medium.com/data-lake-concepts-characteristics-architecture-and-case-studies-28be1b265624
В том числе автор проводит сравнительный анализ на примере разных облачных провайдеров (AWS, Azure, Alibaba)

And we continue with the tools list.

hcltomd is a tool, which as you may guess, converts Terraform variables from HCL into a Markdown table, which you can put into your documentation or a README file.

It would be useful if you're creating Terraform modules for external customers as well asif the people ouside your team are using your modules.

#terraform #hcl #hashicorp #docs

Swagger (OpenAPI 3.0)
https://habr.com/ru/post/541592/?utm_source=habrahabr&utm_medium=rss&utm_campaign=541592
Tags: Java, API, java, swagger, openapi, spring
Author nkF7 #habr

Вышла версия 1.5 HAProxy Kubernetes Ingress Controller. С этой версией вышли изменения в конфигурации, что позволило сделать настройку контроллера более тонкой и низкоуровневой. Появилась возможность включить взаимную проверку подлинности TLS между контроллером входящего трафика и службами, применить обычную проверку подлинности и вернуть пользователям настраиваемые страницы ошибок. Улучшены внутренние компоненты контроллера, что привело к обновлению HAProxy до версии 2.3.

Ingress controller можно запускать вне вашего кластера Kubernetes, но при этом отслеживать кластер на предмет изменений в подах. Таким образом команды смогут запустить контроллер на отдельном сервере, предоставить ему доступ к сети пода и спокойно переводить свои приложения на платформу контейнеров.

Список основных улучшений:

— Внешний Ingress Controller
— Взаимная проверка подлинности TLS
— Basic-HTTP аутентификация (которая в достаточной степени безопасна через TLS соединение)
— Фрагменты настроек
— Настраиваемые страницы ошибок

Ссылка — http://amp.gs/59Mr

Why not?

Why you should build your own NoSQL database

https://medium.com/@marceloboeira/why-you-should-build-your-own-nosql-database-9bbba42039f5

#nosql #crystal #database

[Видео] Workshop: пишем первый проект на FastAPI
https://youtu.be/W6aqCFJp7Xo

Иван Гончарук из Antida software рассказывает про библиотеку Pydantic и показывает, как быстро и просто создавать Web API, используя современные возможности Python. Воркшоп подойдёт как для начинающих разработчиков, так и для специалистов с опытом, не знакомых с технологией FastAPI.

Бенчмарк Prometheus vs VictoriaMetrics на метриках node_exporter

Недавно в VictoriaMetrics появилась возможность скрейпинга целевых объектов Prometheus. И теперь мы можем сравнивать яблоки с яблоками: сколько ресурсов используют Prometheus и VictoriaMetrics при скрейпинге большого количества node_exporter. Читать дальше.

Kubernetes Failure Stories - очень классная компиляция публичных историй о сбоях/отказах/проблемах в Kubernetes инфраструктурах. Истории связаны как с основными компонентами Kubernetes, так и со сторонними. При этом для каждого случая сразу выделено: involved - какие компоненты были замешаны и impact - к каким последствиям привело. Можно быстро и просто найти возможно похожую проблему, с которой столкнулись непосредственно вы или избежать подобных проблем в будущем.

Безопасность и надежность вещи очень взаимосвязанные ;)

​Centralized Logging for Kafka on Kubernetes With Grafana, Loki, and Promtail

In one of my another articles, I discussed how to set up strimzi (also known as Kafka on Kubernetes) on minikube. Also, we discussed how to set up Grafana and Prometheus to fetch metrics from Kafka and zookeeper instances. But wouldn't it have been more helpful and more administrator-friendly if Grafana could also be used to monitor logs of all the pods? If there are multiple zookeeper and Kafka pods, a single window would certainly be a boon for administrators and management. Читать дальше.

Микросервисы - это не только технологии, это еще и люди и команды их разрабатывающие. Завтра будет бесплатный митапчик по дизайну команд. Да, там не будет про технологии, но технологии у нас в сердцах и головах, а ведь немаловажно с кем мы плечом к плечу микросервисы пилим :)

Кому интересно, ссылочка: https://agilerussia.timepad.ru/event/1539341/

​Если ты давно мечтаешь погрузиться в мир программирования, 🖥 освоить множество языков и попробовать себя в разных направлениях в сфере IT, тогда скорей залетай на бесплатный интенсив Skillbox, который пройдёт 15–17 февраля в 19:00 по московскому времени 🔥

Подробная программа здесь: ▶️ https://clc.am/kXCupw

Что тебя ждёт?

💻 Знакомство с популярными языками программирования — Python, Java, 1С, Swift и смежными направлениями — data science, frontend-разработкой, а также разработкой Android- и iOS-приложений.

⚡️ 3 дня практических занятий с опытным разработчиком, директором центра SymbioWay — Даниилом Пилипенко.

💡 Введение в профессию: узнаешь, какие бывают специальности в IT-сфере, как грамотно составлять резюме и подготовиться к собеседованию.

⭐️ Если попадёшь в тройку лучших участников — получишь сертификат на 30 000 рублей для обучения в Skillbox.

Великолепный ликбез о том, как работают реляционные базы данных для тех, кто никогда не работал с базами данных. Но даже те, кто работал, посмотрят на них в новом свете после прочтения.

http://amp.gs/5U1S

Вышла версия 1.5 HAProxy Kubernetes Ingress Controller. С этой версией вышли изменения в конфигурации, что позволило сделать настройку контроллера более тонкой и низкоуровневой. Появилась возможность включить взаимную проверку подлинности TLS между контроллером входящего трафика и службами, применить обычную проверку подлинности и вернуть пользователям настраиваемые страницы ошибок. Улучшены внутренние компоненты контроллера, что привело к обновлению HAProxy до версии 2.3.

Ingress controller можно запускать вне вашего кластера Kubernetes, но при этом отслеживать кластер на предмет изменений в подах. Таким образом команды смогут запустить контроллер на отдельном сервере, предоставить ему доступ к сети пода и спокойно переводить свои приложения на платформу контейнеров.

Список основных улучшений:

— Внешний Ingress Controller
— Взаимная проверка подлинности TLS
— Basic-HTTP аутентификация (которая в достаточной степени безопасна через TLS соединение)
— Фрагменты настроек
— Настраиваемые страницы ошибок

Ссылка — http://amp.gs/59Mr

#анонсы

10-ого февраля для сообщества AWS Казахстан я и мои коллеги предоставим интересный контент про всякое!

1. Талгат Нурлыбаев, МУИТ расскажет про академическую программу Amazon AWS в МУИТ и Казахстане.
2. Анатолий Макеев, RedPad Games - про личный опыт использования AWS в GameDev с использованием managed services.
3. Карен Товмасян, EPAM - про тоску смертную под названием Compliance и как с помощью AWS Config и SSM обеспечить полный контроль над состоянием своей инфраструктуры.
4. Непревзойденный Василий Пантюхин, AWS расскажет про конкурентный доступ к файлам и как готовить Amazon EFS.

Выступление будет транслироваться в Twitch.
Время проведения мероприятия: 15.00-17.00 по Москве.