Size: a a a

DevSecOps - русскоговорящее сообщество

2019 September 03

VR

Vasiliy Romaneev in DevSecOps - русскоговорящее сообщество
Коллеги, а как вы с файрволами живёте ?
я читаю концепции ufw/firewalld/nftables и понимаю, что они не решают мою проблему.

Я хочу простого
- есть у меня "локалка" - внутренние IP сервиса
- вот есть у меня service - для его вот такие правила, ну там открыть порт на таком-то интерейсе и это на пачке хостов
- есть у меня внешний сервис, который к моему стучится - открыть именно для этих IP наши внутренние IP

не верю, что это еще не реализовано.
Посоветуете ?
источник

GM

Gleb Mekhrenin in DevSecOps - русскоговорящее сообщество
scm+генерация конфигов - "бесплатно"
источник

GM

Gleb Mekhrenin in DevSecOps - русскоговорящее сообщество
а у белых людей микросегментация аля nsx vmware и прочее
источник

GM

Gleb Mekhrenin in DevSecOps - русскоговорящее сообщество
источник

VR

Vasiliy Romaneev in DevSecOps - русскоговорящее сообщество
Gleb Mekhrenin
scm+генерация конфигов - "бесплатно"
ансиблом и я могу.
но зачем тогда все надстройки над iptables ?

> а у белых людей микросегментация аля nsx vmware и прочее
а кто задаёт правила ?
теги ?
источник

VR

Vasiliy Romaneev in DevSecOps - русскоговорящее сообщество
просто при работе с firewalld вместе с докером ключевой рецепт - отключить надстройку напрочь.
источник

GM

Gleb Mekhrenin in DevSecOps - русскоговорящее сообщество
вопрос про зачем хороший, но вряд ли на него кто-то адекватное что то ответит
источник

GM

Gleb Mekhrenin in DevSecOps - русскоговорящее сообщество
при работе с firewalld надо докеру сказать iptables: false и делать все правила самому
источник

GM

Gleb Mekhrenin in DevSecOps - русскоговорящее сообщество
я например так и живу
источник

VR

Vasiliy Romaneev in DevSecOps - русскоговорящее сообщество
Gleb Mekhrenin
при работе с firewalld надо докеру сказать iptables: false и делать все правила самому
ну такое.
источник

GM

Gleb Mekhrenin in DevSecOps - русскоговорящее сообщество
кто задает правила не понял вообще кто админит тот и задает, у нутаникса вообще космически удобно сделано
источник

VR

Vasiliy Romaneev in DevSecOps - русскоговорящее сообщество
с нутаниксом не знаком - вроде обещают.

но суть-то в том - что постоянно идут новые концепции, но всё это плохо живёт в реальном мире.
в реальности - проще правила для старых генерить как-то автоматом.
источник

VR

Vasiliy Romaneev in DevSecOps - русскоговорящее сообщество
Gleb Mekhrenin
кто задает правила не понял вообще кто админит тот и задает, у нутаникса вообще космически удобно сделано
у меня правила задаёт разработчик - написал в docker-compose прокинуть порты - вот они.
источник

GM

Gleb Mekhrenin in DevSecOps - русскоговорящее сообщество
тут вопрос в том кто в какой реальности живет, ну в том плане что в цивилизованном мире у людей redhat на vmware и у них не болит вообще
источник

GM

Gleb Mekhrenin in DevSecOps - русскоговорящее сообщество
Vasiliy Romaneev
у меня правила задаёт разработчик - написал в docker-compose прокинуть порты - вот они.
ну это концептуально против текущих реалий
источник

GM

Gleb Mekhrenin in DevSecOps - русскоговорящее сообщество
разработчикам на проде вообще не место
источник

GM

Gleb Mekhrenin in DevSecOps - русскоговорящее сообщество
а на деве у тебя есть trefic или envoy для докера
источник
2019 September 04

VR

Vasiliy Romaneev in DevSecOps - русскоговорящее сообщество
Gleb Mekhrenin
разработчикам на проде вообще не место
отделяем разработчиков от продакшн среды ?
плохое решение.
источник

GM

Gleb Mekhrenin in DevSecOps - русскоговорящее сообщество
это единственное правильно решение на самом деле в большинстве случаев, сервисы на проде экплуатирует сре команда, которая вполне себе состоит из разработчиков, но это в основном не те люди что сервис делают
источник

GM

Gleb Mekhrenin in DevSecOps - русскоговорящее сообщество
это тема для бесконечного флейма
источник