https://opennet.ru/openforum/vsluhforumID3/131986.html В развиваемом проектом Kubernetes ingress-контроллере ingress-nginx выявлены три уязвимости, позволяющие в конфигурации по умолчанию получить доступ к настройкам объекта Ingress, в которых, среди прочего, хранятся и учётные данные для обращения к серверам Kubernetes, позволяющие получить привилегированный доступ к кластеру. Проблемы проявляются только в ingress-контроллере ingress-nginx от проекта Kubernetes и не затрагивает контроллер kubernetes-ingress, развиваемый разработчиками NGINX...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60055<br> https://opennet.ru/openforum/vsluhforumID3/131986.html#35 Thu, 09 Nov 2023 14:30:51 GMT Ты, дядя, давай посуществу и без общих фраз.<br>Чем мой запуск ансибла + тераформ принципиально отличается от запуска eks cli (Или че ты там запускаешь. Давно этой оверпрайснутой помоечкой не пользовался. Помню года 4 назад, голый БЕЗ НОД eks кластер стоил 200$ в месяц. А в хецнере за такие деньги можно было взять 3 машины уровня 8 ядер / 16 гигов). Это считай такое же дергание 2 "апишек". Что не так то? АПИшка не проприетарная и не вендорлокнутая? Плохо что я не плачу твоему господину Безосу?<br> https://opennet.ru/openforum/vsluhforumID3/131986.html#34 Thu, 09 Nov 2023 14:21:40 GMT Если не использовать aws и/или православные духоскрепные "селектелы", а вместо них использовать собственное железо - то ресурсы не дорогие.<br> https://opennet.ru/openforum/vsluhforumID3/131986.html#33 Thu, 09 Nov 2023 14:18:33 GMT А что хороший прод по твоему? Инструкция как правильно делать мышковозюк из 500 шагов?<br> https://opennet.ru/openforum/vsluhforumID3/131986.html#30 Wed, 08 Nov 2023 17:36:51 GMT &gt; То, что тебе этим в проде приходится заниматься весьма печально.<br><br>"чатыре прожекта" (и куча ансибельного мусора присыпанного тераформом) это такой себе, знаешь, "прод".<br><br> https://opennet.ru/openforum/vsluhforumID3/131986.html#29 Wed, 08 Nov 2023 17:34:44 GMT &gt; В девопс же мире все просто. Надо кластер - взял готовые тераформ шаблоны, подставил хостнеймы и<br>&gt; катанул.<br><br>а лишние ресурсы для всего б-ского цирка - при этом возьмутся из возд... облачка.<br><br>Ну ок. Только учти что когда-то кто-то может и проверить счета от aws.<br><br> https://opennet.ru/openforum/vsluhforumID3/131986.html#28 Wed, 08 Nov 2023 04:26:03 GMT Да и Kong-gateway - это тот же nginx обмазанный lua-скриптами<br> https://opennet.ru/openforum/vsluhforumID3/131986.html#27 Tue, 07 Nov 2023 17:08:34 GMT &gt; ЧЯДН?<br><br>Пользуешься ансиблом и тратишь время на то, что называется non-differentiating work. Создание k8s кластера &#8212; это пара вызовов API, скучно до зевоты. Городить ради этого какую-то кодогенерацию на, прямо скажем, весьма убогом инструментарии типа ансибла &#8212; занятие для операторов высоконагруженных локалхостов. То, что тебе этим в проде приходится заниматься весьма печально.<br> https://opennet.ru/openforum/vsluhforumID3/131986.html#25 Tue, 07 Nov 2023 08:46:37 GMT &gt;А независимый кластер каждому васяну с чятиком не только лишь все могут себе позволить.<br><br>Это верно... для обычных легаси инфраструктур, которые так любят специалисты в свитере с оленем с сальными волосами и кусками вчеравшей недоеденой еды в слипшейся бороде (впрочем возможно это и не еда). И их можно понять, ведь это и правда трудно пройтись руками/мышковазюком и безошибочно воссоздать штук 200 сущностей во всевозможных консольках и "оснастках".<br>В девопс же мире все просто. Надо кластер - взял готовые тераформ шаблоны, подставил хостнеймы и катанул. И поверх этого еще катанул ансиблом kubespray, так же практически без изменений от базового шаблона.<br>Я именно так и катаю, только у меня шаблоны тераформа генерируются из ансибла, а помимо kubespray ансиблом качу еще базовые k8s сервисы: ingress, prometheus, vector. У меня 4 проекта и 10 кластеров (и это еще мало, просто на все не хватает времени, вот например собираюсь для безопасности вынести все задачи сборки образов в отдельный кластер с kata containers, https://opennet.ru/openforum/vsluhforumID3/131986.html#22 Mon, 06 Nov 2023 14:19:17 GMT сподвигся все ж глянуть исходники - не, enable-modsecurity надо вручную включить догадаться.<br>Иначе не только не включается, а даже и не загружается. Хз как оно при этом могло что-то портить.<br><br>А вот lua таки да.<br>