V
А может, к людям передом повернуться?)
Ну, всмысле, удобно сделать)
Ну, всмысле, удобно сделать)
Size: a a a
2019 January 15
RR
Если следовать теме в шапке то сервера надо не ребутать а заменять мне кажется)
RR
Заменять на пропатченные образы
RR
Не видел ни одного нормального автоматизированного ребута прода
RR
Вот кстати к секурити, как вы относитесь к WAF? Кто то использует? Встраиваете в пайплайны? Какой WAF?
Что неужель ни у кого нет web application firewall?
У меня есть очень позитивный опыт с nginx и naxsi, и даже были некоторые намётки как это сделать через ~ж~ devsecops way
Но новые времена диктуют кубер, мне казалось может коммунити уже чего то намутило, ну ingress там какой хотя бы (хотя я за service mesh ваще а тут ещё похоже конь не валялся)
У меня есть очень позитивный опыт с nginx и naxsi, и даже были некоторые намётки как это сделать через ~ж~ devsecops way
Но новые времена диктуют кубер, мне казалось может коммунити уже чего то намутило, ну ingress там какой хотя бы (хотя я за service mesh ваще а тут ещё похоже конь не валялся)
RR
как по умному называется модель когда запрещено все а разрешено только то что разрешено?
KS
c
как по умному называется модель когда запрещено все а разрешено только то что разрешено?
deny by default
2019 January 16
S
альфалаб разогнали же, а в оставшейся альфе наверняка царит такой же сюрр как и в сбере и прочих
Ничего подобного)
NB
Честно говоря, я не считаю, что у нас взаимодествие очень хорошо выстроенно, поэтому особо нечего рассказывать.
Я бы лучше сам послушал опыт Тинькова или Альфы.
Я бы лучше сам послушал опыт Тинькова или Альфы.
NB
Как-то так
2019 January 17
YS
Совершенно не понимаю зачем его использовать.
Что делает агент в базовом варианте:
• Считывает role-id и secret-id из 2-х файлов
• Удаляет файл с secret-id
• Авторизуется и сохраняет в файл токен
• Периодически пытается обновить токен если он перидический.
Вопросы:
• Зачем он нужен если: файл могут прочесть, а мы ведь не хотим показать кому либо токен ?
• В чём профит если файл с токеном был удалён приложением, а приложение перезапустилось и не может авторизоваться в волте ?
YS
Итого: моё умозаключение сводится к тому что в к8с действительно удобно через init контейнер передать токен и после дропнуть инит контейнер, а в случае с approle помогает лишь если не хочется своему приложению пилить отдельный шедуллер управляющий токеном. И если норм когда токен какое-то время будет доступен в виде файла.
AF
Как скачать себе всю базу?)
N
Ее продают как я понимаю
SZ
look in onion