AC
Size: a a a
2021 April 07
DS
проф деформация =)
DS
а в чем смысл махаться с nixos? Есть какие-то супер фичи без которых тебе жизни нет?
AC
Ну мне кажется безопасней система в которой все конфиги рид онли, к примеру если через багу повышения привелегий получили доступ к хосту то ничего поменять взломщик особо не может.
Ну и в которой нет ничего лишнего, только докер и кубер.
Ну и в которой нет ничего лишнего, только докер и кубер.
IU
Но ты же сам говоришь, что это больно) https://t.me/kubernetes_ru/371715
Безопасность - всегда больно
Безопасность - всегда больно
AC
От части потому и спрашиваю. Если комюнити седит на дебиани и норм то зачем страдать.
GG
есть суперфичи
GG
GG
но тогда делай как у @kvaps
GG
контрол плейн в виде подов кубера внутри "служебного" кубера
AC
кубер в кубере грубо говоря?
DS
так а какие требования к безопасности? Получения рута на ноде какие должно нести последствия? Чем поможет readOnly? Он может примонтирвать tmpfs и туда писать что ему захочится. Делать с kubelet что захочет, читать секреты примонтированные к подам или из env'ов их брать, да в целом кучу можно всего придумать.
AC
А как тогда обезопасить себя от чтения секретов и переменных окружения внутри контейнера
DS
100% обезопасить - отключиться от интернета, кластер в подвале/бункере. Почитай стандарты по хранению гостайны какого-то там левла
DS
требования то есть или нет? Надо подходить разумно к вопросу. Если требований нет, то и сильно не упарываться. Обычные бест практики подойдут
GG
да, потому что контрл плейн может быть где угодно
GG
с хоста ? использовать микровм движок
GG
с контейнера - там есть варианты
AC
Требований нет. Я пытаюсь их сейчас сформулировать. Планируется крутить прод на кластере. По ворклоаду где-то 400-500 подов без морды - чисто консольное приложение работающее с очередями, и вторая часть с ингресом где в среднем 200 rps
DS
ну вот ты себе сформулировал веселое требование. Злоумышленник имеет на worker ноде рута, а надо сделать так, чтобы он ничего сделать не смог - под это требование 99.9% кластеров в мире думаю не пройдут