В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Архитектура ИТ-решений

2765 membersпожаловаться на группу
2020 November 26

AT

Al T in Архитектура ИТ-решений
лямбда использует firecracker (или как там он называется)
https://aws.amazon.com/blogs/aws/firecracker-lightweight-virtualization-for-serverless-computing/
Amazon Web Services
Firecracker – Lightweight Virtualization for Serverless Computing | Amazon Web Services
One of my favorite Amazon Leadership Principles is Customer Obsession. When we launched AWS Lambda, we focused on giving developers a secure serverless experience so that they could avoid managing infrastructure. In order to attain the desired level of isolation we used dedicated EC2 instances for each customer. This approach allowed us to meet our […]
источник
19:57пожаловаться#1

OS

Oleg Soroka in Архитектура ИТ-решений
сейчас решений "быстро как докер, надёжно как ВМ" - как грязи, включая под к8с
источник
19:58пожаловаться#2

D

Danil in Архитектура ИТ-решений
Phil Delgyado
Ну, я про "честный аудит" все-таки.
И вот как его пройти на k8s на чужих виртуалках - мне не понятно все еще. Но говорят, что все проходят.
В каком смысле виртуалки чужие?
источник
19:59пожаловаться#3

D

Danil in Архитектура ИТ-решений
они же менеджатся вами и рут доступ у вас
источник
19:59пожаловаться#4

AT

Al T in Архитектура ИТ-решений
а гипервизор не ваш.
источник
20:00пожаловаться#5

AT

Al T in Архитектура ИТ-решений
подлюжит вам виртуалку с трояном
источник
20:00пожаловаться#6

AT

Al T in Архитектура ИТ-решений
где grep не grep и баш не баш
источник
20:01пожаловаться#7

D

Danil in Архитектура ИТ-решений
ну то что железо чужое и в теории можно просто память прочитать, это конечно риск, но тогда уж и надо железо критиковать)
источник
20:01пожаловаться#8

AT

Al T in Архитектура ИТ-решений
но это несколько ортодоксальный подход в современных условиях, это как я машину сам не собрал но езжу а вдргу там болтик кто не затянул мне на CTO
источник
20:02пожаловаться#9

AT

Al T in Архитектура ИТ-решений
я просто не могу представить себе сумму репутационного  ущерба амазона например, если они говорят что вот у нас сертифицировано сторонними аудиторами и потом в зоне отвественности амазона находят дыру например и из-за этого страдает кто-то из крупных клиентов... поэтому я предполагаю что там честный аудит насколько это реально потому что иначе проблем потом гораздо больше...
источник
20:07пожаловаться#10

PD

Phil Delgyado in Архитектура ИТ-решений
Oleg Soroka
сейчас решений "быстро как докер, надёжно как ВМ" - как грязи, включая под к8с
А какие?
источник
20:08пожаловаться#11

PD

Phil Delgyado in Архитектура ИТ-решений
Al T
где grep не grep и баш не баш
Да даже просто чужой контейнер получит рут и доступ к данным вашего контейнера. На докере такие уязвимости находят временами.
источник
20:09пожаловаться#12

PD

Phil Delgyado in Архитектура ИТ-решений
Al T
я просто не могу представить себе сумму репутационного  ущерба амазона например, если они говорят что вот у нас сертифицировано сторонними аудиторами и потом в зоне отвественности амазона находят дыру например и из-за этого страдает кто-то из крупных клиентов... поэтому я предполагаю что там честный аудит насколько это реально потому что иначе проблем потом гораздо больше...
А я не знаю, где там ответственность докера. Там очень странно написано про PCI DSS для aks
источник
20:10пожаловаться#13

PD

Phil Delgyado in Архитектура ИТ-решений
За код докера они же не отвечают, только за свежесть версий (наверно).
источник
20:10пожаловаться#14

PD

Phil Delgyado in Архитектура ИТ-решений
Проблема в докере на чужом железе, не в AKS. И может они аудировали доступ к железу, а не защищённость контейнеров друг от друга.
источник
20:12пожаловаться#15

PD

Phil Delgyado in Архитектура ИТ-решений
В может в AKS можно указать, что мои контейнеры только с моими могут быть на железе. И аудирован этот сценарий.
Хотя нам аудитор не дал ставить на нашем железе докеры из PCI DSS scope и просто DMZ на одной железке. А вот разные kvm-ки разрешил
источник
20:14пожаловаться#16

AT

Al T in Архитектура ИТ-решений
worker nodes только железо будет аудировано. все что ставится на worker nodes в EKS сертифицируется самим пользователем
источник
20:14пожаловаться#17

PD

Phil Delgyado in Архитектура ИТ-решений
Но может уже считают докеры надёжными. Хотя с чего бы )
источник
20:14пожаловаться#18

D

Danil in Архитектура ИТ-решений
Phil Delgyado
Да даже просто чужой контейнер получит рут и доступ к данным вашего контейнера. На докере такие уязвимости находят временами.
не может чужой контейнер получить доступ. Ваши контейнеры живут на ваших ВМках и больше там ничего нет. ВМки для EKS - самые обычные ВМки которые не шарятся ни с кем
источник
20:16пожаловаться#19

AT

Al T in Архитектура ИТ-решений
ноды в случае Ec2 всегда только ваши, в случае с fargate там другой принцип - надо сначала посмотреть сертифицирован ли eks fargate для PCI DSS или нет
источник
20:17пожаловаться#20