🕸️🕸️ Сетевые плагины (CNI) в Kubernetes
CNI или Container Network Interface — это спецификация, разработанная CNCF (Cloud Native Computing Foundation) для стандартизации процесса подключения сетевых интерфейсов к контейнерам. CNI обеспечивает гибкость и адаптивность сетевой инфраструктуры, позволяя интегрировать различные сетевые решения в Kubernetes.
CNI применяется для настройки оверлейных и андерлейных сетей:
👉 Оверлейными сетями, называют сетевой трафик, который инкапсулируется с помощью виртуального интерфейса, такого как виртуальная расширяемая локальная сеть VXLAN.
👉 Андерлейные сети работают на физическом уровне, состоят из коммутаторов и маршрутизаторов.
Продолжение тут
#туториал
CNI или Container Network Interface — это спецификация, разработанная CNCF (Cloud Native Computing Foundation) для стандартизации процесса подключения сетевых интерфейсов к контейнерам. CNI обеспечивает гибкость и адаптивность сетевой инфраструктуры, позволяя интегрировать различные сетевые решения в Kubernetes.
CNI применяется для настройки оверлейных и андерлейных сетей:
👉 Оверлейными сетями, называют сетевой трафик, который инкапсулируется с помощью виртуального интерфейса, такого как виртуальная расширяемая локальная сеть VXLAN.
👉 Андерлейные сети работают на физическом уровне, состоят из коммутаторов и маршрутизаторов.
Продолжение тут
#туториал
❤2
🛡️🛡️ Безопасность Multi-Cluster ArgoCD
В ArgoCD уже есть возможность добавлять удаленный кластер для управления, но есть критическая проблема с тем, как ArgoCD это делает. Он использует ServiceAccount и связанный с ней токен для аутентификации в удаленном кластере.
Токены Service Account никогда не предназначались для использования за пределами кластера. Начиная с версии 1.24, стандартом является создание токена, срок действия которого истек, но это означает, что у вас должна быть стратегия ротации, и если вы потеряете этот токен, нет способа его аннулировать.
Продолжение тут
#туториал
В ArgoCD уже есть возможность добавлять удаленный кластер для управления, но есть критическая проблема с тем, как ArgoCD это делает. Он использует ServiceAccount и связанный с ней токен для аутентификации в удаленном кластере.
Токены Service Account никогда не предназначались для использования за пределами кластера. Начиная с версии 1.24, стандартом является создание токена, срок действия которого истек, но это означает, что у вас должна быть стратегия ротации, и если вы потеряете этот токен, нет способа его аннулировать.
Продолжение тут
#туториал
❤3
🚶🚶 Multi-Stage Docker Builds
Начиная с версии 17.5 Docker стал поддерживать multi-stage builds. Этот метод помог разделить сложные технические сборки на несколько этапов, каждый из которых выполняет определённую задачу. Благодаря этому важному обновлению стало легче уменьшать поверхность атаки и размер образов, а также эффективнее использовать кэш Docker.
В статье вы найдете рекомендации по подбору базового образа для каждого этапа сборки и оптимизации порядка этапов.
#туториал
Начиная с версии 17.5 Docker стал поддерживать multi-stage builds. Этот метод помог разделить сложные технические сборки на несколько этапов, каждый из которых выполняет определённую задачу. Благодаря этому важному обновлению стало легче уменьшать поверхность атаки и размер образов, а также эффективнее использовать кэш Docker.
В статье вы найдете рекомендации по подбору базового образа для каждого этапа сборки и оптимизации порядка этапов.
#туториал
👍4❤2
🤔🤔 Как снизить расходы на мониторинг: более разумный подход к данным
Мониторинг может стать дорогостоящим из-за огромных объемов данных, которые необходимо обрабатывать. В этой статье вы узнаете о лучших способах хранения и обработки метрик мониторинга для снижения расходов и о том, как VictoriaMetrics может в этом помочь.
Подробности тут
#туториал
Мониторинг может стать дорогостоящим из-за огромных объемов данных, которые необходимо обрабатывать. В этой статье вы узнаете о лучших способах хранения и обработки метрик мониторинга для снижения расходов и о том, как VictoriaMetrics может в этом помочь.
Подробности тут
#туториал
🥰2❤🔥1👍1
🧑🎓🧑🎓 Self-Hosting a Container Registry
Иногда вместо того, чтобы полагаться на провайдера, такого как AWS или GCP, вы можете захотеть разместить свои образы самостоятельно. Это позволяет сохранить инфраструктуру внутренней и уменьшить зависимость от внешних поставщиков.
Автономный реестр работает на ваших серверах, что дает вам больше контроля над настройками реестра и размещением образов контейнеров. В то же время это связано с затратами на обслуживание и защиту реестра.
Продолжение здесь
#туториал
Иногда вместо того, чтобы полагаться на провайдера, такого как AWS или GCP, вы можете захотеть разместить свои образы самостоятельно. Это позволяет сохранить инфраструктуру внутренней и уменьшить зависимость от внешних поставщиков.
Автономный реестр работает на ваших серверах, что дает вам больше контроля над настройками реестра и размещением образов контейнеров. В то же время это связано с затратами на обслуживание и защиту реестра.
Продолжение здесь
#туториал
❤2❤🔥1