Ресурсы Kubernetes

Автор Itworkroom
k8s

Ресурсы Kubernetes
Namespace* (ns) — позволяет организовывать ресурсы в неперекрывающиеся группы (для каждого потребителя ресурсов).

Развертывающие рабочие нагрузки
Pod (po) — основная развертываемая единица, содержащая один или более процессов в расположенных рядом контейнерах. Метки (Labels).
ReplicaSet — поддерживает одну или несколько реплик модуля.
ReplicationController (rc) [v1] – устаревший и менее функциональный эквивалент ресурса ReplicaSet.
Job — запускает модули, выполняющие завершаемую задачу.
CronJob [batch] — запускает назначаемое задание один раз или периодически.
DaemonSet (ds) — запускает одну реплику модуля в расчете на узел (на всех узлах или только на тех, которые соответствуют селектору узлов).
StatefulSet (sts) — запускает модули, имеющие внутреннее состояние, со стабильной идентичностью.
Deployment (deploy) — декларативное развертывание и обновление модулей.

Службы
Service (svc) [v1] — предоставляет доступ к одному или нескольким модулям на одной и стабильной паре IP-адреса и порта.
Endpoints (ep) — определяет, к каким модулям (или другим серверам) предоставляется доступ через службу.
NodePort — открывает сервис на том же порту каждого выбранного узла в кластере с помощью NAT. Делает сервис доступным вне кластера через :.
Ingress (ing) [extensions] — предоставляет внешним клиентам доступ к одной или нескольким службам через один доступный извне IP-адрес.

Конфигурация
ConfigMap (cm)  — словарь в формате «ключ-значение» для хранения незащищенных параметров конфигурации приложений и предоставления им доступа к ним.
Secret [v1] — словарь в формате «ключ-значение» для хранения конфиденциальных данных. (далее…)

ClusterRole в Kubernetes

Автор Itworkroom

Что такое ClusterRole?

ClusterRole — это объект Kubernetes, который определяет набор прав доступа (permissions) для работы с кластерными ресурсами или ресурсами во всех namespace’ах. В отличие от обычного Role, который действует в пределах одного namespace, ClusterRole имеет глобальную область видимости.

Основные отличия ClusterRole от Role

Аспект Role ClusterRole
Область действия Один namespace Весь кластер
Доступ к ресурсам Только resources в namespace Cluster-scoped resources + все namespaces
Привязка RoleBinding ClusterRoleBinding
Использование Локальные права Глобальные права

Синтаксис ClusterRole

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-admin  # Имеет глобальное действие
rules:
- apiGroups: [""]  # Core API group
  resources: ["pods", "services", "nodes", "namespaces"]
  verbs: ["get", "list", "watch", "create", "update", "delete"]
- apiGroups: ["apps"]
  resources: ["deployments", "daemonsets", "statefulsets"]
  verbs: ["*"]  # Все операции
- apiGroups: ["rbac.authorization.k8s.io"]
  resources: ["clusterroles", "clusterrolebindings"]
  verbs: ["get", "list"]

(далее…)

Как внедряются IT-решения и мобильные приложения в России с использованием DevOps

Автор Itworkroom

devops in russiaНовая реальность российского IT

Современная российская IT-индустрия переживает период глубокой трансформации. Санкционное давление и уход международных вендоров создали уникальные условия, где DevOps-методологии стали критически важными для успешного внедрения IT-решений и разработки мобильных приложений. Российские компании научились не просто адаптироваться, а создавать эффективные цепочки разработки на основе отечественных и open-source решений.


DevOps как основа современной разработки в России

Изменение парадигмы разработки

Российские компании перешли от классических моделей разработки к непрерывной интеграции и доставке (CI/CD):

# Типичный pipeline в GitLab CI для российского проекта
stages:
  - build
  - test
  - security-scan
  - deploy-ru-cloud
  - monitoring

variables:
  DEPLOY_REGION: ru-central1
  CONTAINER_REGISTRY: cr.yandex.cloud
  SCAN_TOOLS: soviet-scanner, fastexpert

(далее…)

StorageClass в Kubernetes: гибкое управление хранилищами

Автор Itworkroom

Что такое StorageClass?

StorageClass — это объект Kubernetes, который определяет тип и параметры хранилища для динамического выделения Persistent Volumes (PV).

Ключевые возможности:

  • Автоматическое создание PV по запросу (без ручного управления)
  • Абстракция от конкретных провайдеров (AWS EBS, GCP Persistent Disk, NFS, Ceph)
  • Гибкость конфигурации (тип диска, политики репликации, IOPS)

Основные параметры StorageClass

Обязательные поля

apiVersion: storage.k8s.io/v1
kind: StorageClass
metadata:
  name: fast-ssd  # Уникальное имя класса
provisioner: kubernetes.io/aws-ebs  # Драйвер хранилища

(далее…)

Пентест для DevOps и системных администраторов

Автор Itworkroom
Penetration-Testing

Современные IT-системы — это сложные облачные среды, контейнеры, микросервисы и автоматизированные CI/CD-цепочки. В таких условиях традиционные методы тестирования безопасности часто оказываются неэффективными. Пентест (тестирование на проникновение) помогает выявить уязвимости до того, как ими воспользуются злоумышленники. Для DevOps-инженеров и системных администраторов пентест — это не просто проверка, а часть процесса обеспечения безопасности на всех этапах жизненного цикла разработки и эксплуатации.

Чем отличается пентест для DevOps от классического?

Классический пентест: ограничения

  • Проводится раз в год или перед релизом.
  • Фокусируется на сетевой безопасности и веб-приложениях.
  • Дает «моментальный снимок» безопасности, но не учитывает постоянные изменения в инфраструктуре.
  • Кибербезопасность организации в рамках ограниченного бюджета https://pentect.ru/

(далее…)