Kubestriker - Security Auditing tool for Kubernetes

Kubestriker - инструмент для тестирования безопасности Kubernetes. В отличие от большинства инструментов тестирования работает с read-only правами и поддерживает сканирования с anonymous доступом. Проверяет открытые порты, мисконфигурации контейнеров, IAM, PSP, Network Policies, возможность для повышения привилегий. Также поддерживаются все основные виды managed k8s.

#k8s #ops #attack

Scaling out Postgres with the Citus open source shard rebalancer

One of the main reasons people use the Citus extension for Postgres is to distribute the data in Postgres tables across multiple nodes. Citus does this by splitting the original Postgres table into multiple smaller tables and putting these smaller tables on different nodes. The process of splitting bigger tables into smaller ones is called sharding—and these smaller Postgres tables are called “shards”. Citus then allows you to query the shards as if they were still a single Postgres table. Читать дальше.

Mackintosh is a framework for mocking microservices, with support for performance testing, asynchronous communications, multiple-services and more.

https://up9.com/open-source-microservice-mocking-introducing-mockintosh
https://mockintosh.io

#microservices #testing #tests #api #http #mock

Короткие советы по работе с ошибками в обработчиках HTTP.

https://proglib.io/w/411a64f7

​Ali — инструмент тестирования нагрузки, способный выполнять анализ в режиме реального времени.

https://proglib.io/w/d19f5838

@ThomasStorm (он же https://t.me/manandthemachine) торопится заскочить в хайптрейн serverless и тоже написал нам статью про это самое https://habr.com/ru/post/546530/

Улучшаем код с помощью генераторов

#youtube #хитрый_питон #video #nothabr

На последней конференции AWS re:Invent 2020 состоялся релиз open source Amazon EKS Distro (EKS-D).

EKS-D содержит абсолютно аналогичные версии Kubernetes и зависимостей, которые использует сервис Amazon EKS, что позволяет создавать EKS-кластеры на собственном оборудовании, в локальной среде с помощью привычных инструментов.  

Основные преимущества использования, согласно тезисам презентации, обеспечиваются возможностью удобной миграции кластеров (например из тестовой локальной среды on premise на Amazon EKS), наличием необходимых патчей безопасности и совместимости компонентов, а так же расширенной поддержкой версий Kubernetes со стороны AWS, в течении 14 месяцев. EKS-D строится на основе kops, включает etcd & etcdctl, CoreDNS, Upstream CNI, CSI sidecars, aws-iam-authenticator.  

С точки зрения пентестера, security специалиста, EKS-D - это отличная возможность потренироваться и локально развернуть свой EKS-кластер для исследований.

Сегодня https://www.youtube.com/watch?v=kIToVqYuvpo

Обнаружили баг в runc 1.0.0-rc93, откатываемся до 1.0.0-rc92.

⚙️ Better BASHing Through Technology - некоторые полезности, которые стоит учитывать при написании bash скриптов.

#bash #напочитать #фидбечат

В ядре снова красивые вещи происходят. На этот раз предлагается сделать page eviction страниц памяти с помощью LRU кэша с эпохами или, как называют в патче, поколениями. Таблица со страницами памяти раз в какое-то время (в зависимости от нагрузки на память или после определенных операций) обходится, и эпоха повышается у тех страниц, которые не были использованы. Если памяти не хватает, и страницы надо вытяснять, то будут это делать с самых старших эпох == с самых старых поколений.

На андройде советуют немного эпох, на desktop x86 уже 4-8, для серверов и вообще 12-16.

В итоге получается -50% cpu у kswapd, 7% в среднем меньше страниц, которые делают pagefault снова (refault), системы более восприимчивы к оверкоммитам -- на 59% меньше OOM killer срабатываний при сильном напоре на работу с памятью. Лучшая .99 latency восстановления страницы при pagefault. Патч полезен и телефонам, и десктопам, и огромным серверам, например, Borg будет быстрее и легче находить джобы, которые используют больше, чем надо.

Люблю за это Google, если они решаются прийти и что-то закоммитить, то это всегда с огромным количеством подтверждающих цифр и данных.

https://lore.kernel.org/lkml/20210313075747.3781593-1-yuzhao@google.com/

RethinkDB: why we failed (2017)
https://www.defmacro.org/2017/01/18/why-rethinkdb-failed.html?zarsrc=30&utm_source=zalo&utm_medium=zalo&utm_campaign=zalo

Attacking Kubernetes Clusters Through Your Network Plumbing: Part 1

CyberArk выпустили достаточно подробную статью о реализациях атак в кластере Kubernetes используя специфику работы сети. В частности речь пойдет о подмене DNS и обходе сетевых ограничений внутри кластера (удаление NET_RAW из пода, правила iptables), используя оверлейные сети. Вот, кстати, пример PoC для спуфинга DNS.

#k8s #ops #attack

🔐 Смотрите, какую интересную штуку показали - eBPFSnitch - application level firewall с eBPF под капотом.

Пока что не умеет работать с IPv6, и требует достаточно новую версию ядра (5.8+). И то и другое, в будущем может измениться. Выглядит очень интересно, как по мне, особенно если с eBPF вы знакомы.

#ebpf #security #фидбечат

Шпаргалочек? 🤨

https://github.com/LeCoupa/awesome-cheatsheets/blob/master/languages/golang.md

Jaeger persistent storage with Elasticsearch, Cassandra & Kafka

https://www.cncf.io/blog/2021/03/12/jaeger-persistent-storage-with-elasticsearch-cassandra-kafka/

#jaeger #elasticsearch #cassandra #kafka #scylladb

Basic practices for optimizing read and write performance in PostgreSQL.

A long read about the factors that affect PostgreSQL performance as well as some insights regarding the internals.

#postgresql #db

Внедрение зависимостей в Go

В статье описано о DI в целом, о существующих DI-проектах, а также об их преимуществах и недостатках.

https://proglib.io/w/e6280b03