3 записи с тегом "Kubernetes"

Kubernetes pods/exec

18 августа 2025 г. · 8 мин. чтения

Архитектор

Kubernetes pods/exec #

pods/exec — удобный способ выполнять команды внутри контейнера для отладки и администрирования. Но вот вам сходу задача: как вы считаете, насколько безопасна вот такая роль в Kubernetes, которую можно выдать любому пользователю, предположив абсурдную ситуацию, что ресурс Secret в кластере не используется?

---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: test-role
rules:
  - apiGroups: [""]
    resources: ["*"]
    verbs: ["get"]

Если вы ответили «безопасная», то вы не одиноки — и вы предоставили бы доступ к pods/exec любому пользователю в кластере, конечно если бы создали сверху ClusterRolebinding.

Kubernetes Audit

23 марта 2025 г. · 14 мин. чтения

Путилин Дмитрий Львович

Архитектор

Kubernetes Audit #

Продолжаем серию статей по Kubernetes в новом формате.

Kubernetes — мощный интерфейс взаимодействия по gRPC и REST API, но он требует значительных усилий для обеспечения безопасности и защиты от несанкционированного доступа. Одним из ключевых инструментов для этого является система аудита, которая позволяет отслеживать все действия в кластере. В этой статье мы рассмотрим основы настройки аудита в Kubernetes, его возможности и примеры конфигураций, которые помогут вам сформировать эффективную политику аудита для вашего кластера.

Kubernetes The Hard Way

23 марта 2025 г. · 13 мин. чтения

Путилин Дмитрий Львович

Архитектор

Kubernetes The Hard Way #

Возобновляем серию статей по Kubernetes в новом формате.

Данная статья описывает общий опыт ручного развертывания Kubernetes без использования автоматизированных инструментов, таких как kubeadm. Представленный подход согласуется с нашей документацией, которую мы ведём согласно лучшим практикам и методологиям IAC.

Вся конфигурация, приведённая далее, в точности повторяет поведение kubeadm. В результате, итоговый кластер сложно отличить — собран ли он с помощью kubeadm или вручную.