forum.opennet.ru - "Уязвимости в ingress-nginx, позволяющие скомпрометировать кластеры Kubernetes" (29)

"Уязвимости в ingress-nginx, позволяющие скомпрометировать кластеры Kubernetes"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в ingress-nginx, позволяющие скомпрометировать кластеры Kubernetes"	+/–
Сообщение от opennews (?), 06-Ноя-23, 09:26
В развиваемом проектом Kubernetes ingress-контроллере ingress-nginx выявлены три уязвимости, позволяющие в конфигурации по умолчанию получить доступ к настройкам объекта Ingress, в которых, среди прочего, хранятся и учётные данные для обращения к серверам Kubernetes, позволяющие получить привилегированный доступ к кластеру. Проблемы проявляются только в ingress-контроллере ingress-nginx от проекта Kubernetes и не затрагивает контроллер kubernetes-ingress, развиваемый разработчиками NGINX... Подробнее: https://www.opennet.me/opennews/art.shtml?num=60055
Ответить \| Правка \| Cообщить модератору

Оглавление

Красиво Ждём новых утечек из облачков Особенно там, где любят nginx , Tron is Whistling (?), 09:26 , 06-Ноя-23, (1)

Облака хмурые ожидаются обильные дожди из данных , Аноним (3), 09:37 , 06-Ноя-23, (3) +1

Темна вода во облацех , Аноним (14), 13:18 , 06-Ноя-23, (14) +2

Но сначала ждём ingress-angie, Самый умный из вас (?), 09:50 , 06-Ноя-23, (4) –2

Есть ингресс Контур Это более посконно, чем какой-то там angie , Аноним (14), 11:51 , 06-Ноя-23, (6) +1

Это где такие Держать nginx с modsecurity и скриптами на lua, которые позволяют , Аноним (14), 11:50 , 06-Ноя-23, (5) +3

А, понятно По ссылке - типовой наброс от F5 разработчика конкурирующего ингрес, Аноним (14), 11:55 , 06-Ноя-23, (7) +1

Ну хочешь пользоваться дырявой версией, только чтоб не кормить F5 - пользуйся ды, похнапоха. (?), 12:12 , 06-Ноя-23, (8) –5

да откуда такой уродец возьмется И как он работать будет, это ж п-ц тормоз Ска, пох. (?), 12:35 , 06-Ноя-23, (9) –3

Иногда лучше жевать, чем говорить ingress-nginx - и есть тот уродец с modsecurit, Аноним (14), 13:16 , 06-Ноя-23, (13) +1

оно не включено ж пока сам не попросишь выключеном , пох. (?), 13:53 , 06-Ноя-23, (15)
сподвигся все ж глянуть исходники - не, enable-modsecurity надо вручную включить, пох. (?), 17:19 , 06-Ноя-23, (22)

Это Apisix называется Хорошая штука Кастомный ингресс-контроллер от вендора обы, rmh (?), 14:06 , 06-Ноя-23, (17)

Да и Kong-gateway - это тот же nginx обмазанный lua-скриптами, Аноним (28), 07:26 , 08-Ноя-23, (28)

Скрыто модератором, Аноним (3), 09:34 , 06-Ноя-23, (2) –4

Скрыто модератором, пох. (?), 12:38 , 06-Ноя-23, (10)

самая важная фраза написана в конце Для осуществления атаки злоумышленник долже, Аноним (11), 12:49 , 06-Ноя-23, (11) +5

позвал аутсорсера пилить какой-нибудь очень нужный и полезный вебчяяятик, дал ем, пох. (?), 13:57 , 06-Ноя-23, (16) +1

если такой бардак в организации и лайфциклах учеток проектов, то тут ничего не с, A7exius (?), 14:19 , 06-Ноя-23, (18) +3

ну у тебя-то в подвальчике конечно нет бардака , пох. (?), 14:55 , 06-Ноя-23, (19) –1

ничего, девляпс и прод на разных куберах поставят , Sw00p aka Jerom (?), 15:26 , 06-Ноя-23, (20)

unreal жеж - cocococontinuous desintegration жеж или как там ее разные куски п, пох. (?), 16:03 , 06-Ноя-23, (21)

Это верно для обычных легаси инфраструктур, которые так любят специалисты в с, Легивон (?), 11:46 , 07-Ноя-23, (25)

Пользуешься ансиблом и тратишь время на то, что называется non-differentiating w, Аноним (27), 20:08 , 07-Ноя-23, (27) +1

чатыре прожекта и куча ансибельного мусора присыпанного тераформом это такой, пох. (?), 20:36 , 08-Ноя-23, (30)

А что хороший прод по твоему Инструкция как правильно делать мышковозюк из 500 , Легивон (?), 17:18 , 09-Ноя-23, (33)

Ты, дядя, давай посуществу и без общих фраз Чем мой запуск ансибла тераформ пр, Легивон (?), 17:30 , 09-Ноя-23, (35)

а лишние ресурсы для всего б-ского цирка - при этом возьмутся из возд облачка, пох. (?), 20:34 , 08-Ноя-23, (29)

Если не использовать aws и или православные духоскрепные селектелы , а вместо н, Легивон (?), 17:21 , 09-Ноя-23, (34)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Tron is Whistling (?), 06-Ноя-23, 09:26 +/–

Красиво. Ждём новых утечек из облачков. Особенно там, где любят nginx.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #4, #5

2. Сообщение от Аноним (3), 06-Ноя-23, 09:34 –4 +/–

Как так молодняк на гоу пишет дыры, может им всё таки нужна помощь дедов на Си, а то гошники не вывозят.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10

3. Сообщение от Аноним (3), 06-Ноя-23, 09:37 +1 +/–

Облака хмурые ожидаются обильные дожди из данных.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #14

4. Сообщение от Самый умный из вас (?), 06-Ноя-23, 09:50 –2 +/–

Но сначала ждём ingress-angie

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #6

5. Сообщение от Аноним (14), 06-Ноя-23, 11:50 +3 +/–

> Красиво. Ждём новых утечек из облачков. Особенно там, где любят nginx.
Это где такие?
Держать nginx с modsecurity и скриптами на lua, которые позволяют не очень сильно лажать при обновлении списка апстримов - это дофига дорого и накладно. А бизнес деньги считать умеет.
Поэтому практически все облачные кубики нынче идут с кастомным ингресс-контроллером от вендора, обычно на базе envoy.
Не говоря уже о том, что про "дыру" с возможностью подставлять куски конфига в проекте говорят уже года два. Но и не убирают ее полностью, потому что гибкости настроек средствами ingress часто не хватает, а пытаться реализовать поверх nginx gateway api - психов нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #7, #9, #17

6. Сообщение от Аноним (14), 06-Ноя-23, 11:51 +1 +/–

Есть ингресс "Контур". Это более посконно, чем какой-то там angie.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

7. Сообщение от Аноним (14), 06-Ноя-23, 11:55 +1 +/–

> Не говоря уже о том, что про "дыру" с возможностью подставлять куски конфига в проекте говорят уже года два.
А, понятно. По ссылке - типовой наброс от F5 (разработчика конкурирующего ингресса), которые рвут баян, пытаясь поднять себе прибыли.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #8

8. Сообщение от похнапоха. (?), 06-Ноя-23, 12:12 –5 +/–

Ну хочешь пользоваться дырявой версией, только чтоб не кормить F5 - пользуйся дырявой, твои юзеры скажут тебе спасибо, что не накормил корпорастов.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

9. Сообщение от пох. (?), 06-Ноя-23, 12:35 –3 +/–

> Держать nginx с modsecurity и скриптами на lua
да откуда такой уродец возьмется? И как он работать будет, это ж п-ц тормоз. Сказали вам - ingres-nginx, вот его и ставим побыстрому, девляпляпляпляпляп! cubectl apply прям с raw.гитхап.помойку.цоп (все бандерлоги так делают - это инструкция непосредственно k8s)
Нет там никакого модсекьюрити и быть не может - кто его должен настраивать, отлаживать, следить за актуальностью правил, ты что-ли? А ну веслай быстрей!
> Не говоря уже о том, что про "дыру" с возможностью подставлять куски конфига в проекте говорят
> уже года два.
но вставлять куски конфига надо, поэтому дыра всегда будет с нами.
> Поэтому практически все облачные кубики нынче идут с кастомным ингресс-контроллером от вендора
А у вендора не такие же веслатели, а какие-то другие, ога.
Ну хорошо если им случайно первым попался envoy...хотя стоп...тоже нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #13

10. Сообщение от пох. (?), 06-Ноя-23, 12:38 +/–

> Как так молодняк на гоу пишет дыры,
Да нормально пишет. И вообще не дыра а технологическое отверстие - как еще изменить поведение чортова контроллера не лазя ему внутрь? Ну лаз оказался немного широковат и через него залезли еще и те, другие васяны. Подумаешь, проблема.
> может им всё таки нужна помощь дедов на Си, а то гошники не вывозят.
зачем, сами ж справляются.
А деды пиццей пока поторгуют - и прибыльней, и спокойней, и сытая старость гарантирована.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

11. Сообщение от Аноним (11), 06-Ноя-23, 12:49 +5 +/–

самая важная фраза написана в конце:
"Для осуществления атаки злоумышленник должен иметь доступ к конфигурации ingress-объекта"

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16

13. Сообщение от Аноним (14), 06-Ноя-23, 13:16 +1 +/–

> да откуда такой уродец возьмется? И как он работать будет, это ж п-ц тормоз. Сказали вам - ingres-nginx
Иногда лучше жевать, чем говорить.
ingress-nginx - и есть тот уродец с modsecurity и lua.
Кстати, о том, что там вообще есть modsecurity, счастливые пользователи случайно узнали пару лет назад, когда оно начало дико течь по памяти из-за бага в этом модуле.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #15, #22

14. Сообщение от Аноним (14), 06-Ноя-23, 13:18 +2 +/–

Темна вода во облацех.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

15. Сообщение от пох. (?), 06-Ноя-23, 13:53 +/–

оно не включено ж пока сам не попросишь.
> Кстати, о том, что там вообще есть modsecurity, счастливые пользователи случайно узнали пару лет
> назад, когда оно начало дико течь по памяти из-за бага в этом модуле.
выключеном?!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

16. Сообщение от пох. (?), 06-Ноя-23, 13:57 +1 +/–

> самая важная фраза написана в конце:
> "Для осуществления атаки злоумышленник должен иметь доступ к конфигурации ingress-объекта"
позвал аутсорсера пилить какой-нибудь очень нужный и полезный вебчяяятик, дал ему отдельное пространство, поскольку оно никак вообще не связано с основным сервисом, и забыл про него. А оно - вот... тем более что аутсорсер тоже модный парниша и все свои наработки держит на гитхапе и гитляпе, прям с токенами и паролями от всей инфраструктуры, инфраструктурка жеж in cococode, my ass!
А независимый кластер каждому васяну с чятиком не только лишь все могут себе позволить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #18, #25

17. Сообщение от rmh (?), 06-Ноя-23, 14:06 +/–

>Держать nginx с modsecurity и скриптами на lua, которые позволяют не очень сильно лажать при обновлении списка апстримов - это дофига дорого и накладно
Это Apisix называется. Хорошая штука.
Кастомный ингресс-контроллер от вендора обычно мало чего умеет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #28

18. Сообщение от A7exius (?), 06-Ноя-23, 14:19 +3 +/–

если такой бардак в организации и лайфциклах учеток\проектов, то тут ничего не спасёт, рано или поздно придется огребать

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #19

19. Сообщение от пох. (?), 06-Ноя-23, 14:55 –1 +/–

ну у тебя-то в подвальчике конечно нет бардака.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #20

20. Сообщение от Sw00p aka Jerom (?), 06-Ноя-23, 15:26 +/–

ничего, девляпс и прод на разных куберах поставят :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #21

21. Сообщение от пох. (?), 06-Ноя-23, 16:03 +/–

unreal жеж - cocococontinuous desintegration жеж (или как там ее?)
разные куски прода в разных кластерах - только потому что изоляция, которая вообще говоря предусмотрена и именно для этого и неймспейсы - как обычно не изоляция? Ну оооок, давайте не будем им мешать и просто понаблюдаем за ними. Только гуаноупорный плащик поправьте и капюшончик пониже надвиньте, а то сейчас ваше недоверие лопнет и забрызгает вот... меня и товарищей прессу.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

22. Сообщение от пох. (?), 06-Ноя-23, 17:19 +/–

сподвигся все ж глянуть исходники - не, enable-modsecurity надо вручную включить догадаться.
Иначе не только не включается, а даже и не загружается. Хз как оно при этом могло что-то портить.
А вот lua таки да.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

25. Сообщение от Легивон (?), 07-Ноя-23, 11:46 +/–

>А независимый кластер каждому васяну с чятиком не только лишь все могут себе позволить.
Это верно... для обычных легаси инфраструктур, которые так любят специалисты в свитере с оленем с сальными волосами и кусками вчеравшей недоеденой еды в слипшейся бороде (впрочем возможно это и не еда). И их можно понять, ведь это и правда трудно пройтись руками/мышковазюком и безошибочно воссоздать штук 200 сущностей во всевозможных консольках и "оснастках".
В девопс же мире все просто. Надо кластер - взял готовые тераформ шаблоны, подставил хостнеймы и катанул. И поверх этого еще катанул ансиблом kubespray, так же практически без изменений от базового шаблона.
Я именно так и катаю, только у меня шаблоны тераформа генерируются из ансибла, а помимо kubespray ансиблом качу еще базовые k8s сервисы: ingress, prometheus, vector. У меня 4 проекта и 10 кластеров (и это еще мало, просто на все не хватает времени, вот например собираюсь для безопасности вынести все задачи сборки образов в отдельный кластер с kata containers, чтобы не пересекаться с инфраструктурой на которой люди могут выполнять код). ЧЯДН?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #27, #29

27. Сообщение от Аноним (27), 07-Ноя-23, 20:08 +1 +/–

> ЧЯДН?
Пользуешься ансиблом и тратишь время на то, что называется non-differentiating work. Создание k8s кластера — это пара вызовов API, скучно до зевоты. Городить ради этого какую-то кодогенерацию на, прямо скажем, весьма убогом инструментарии типа ансибла — занятие для операторов высоконагруженных локалхостов. То, что тебе этим в проде приходится заниматься весьма печально.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #30, #35

28. Сообщение от Аноним (28), 08-Ноя-23, 07:26 +/–

Да и Kong-gateway - это тот же nginx обмазанный lua-скриптами

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

29. Сообщение от пох. (?), 08-Ноя-23, 20:34 +/–

> В девопс же мире все просто. Надо кластер - взял готовые тераформ шаблоны, подставил хостнеймы и
> катанул.
а лишние ресурсы для всего б-ского цирка - при этом возьмутся из возд... облачка.
Ну ок. Только учти что когда-то кто-то может и проверить счета от aws.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #34

30. Сообщение от пох. (?), 08-Ноя-23, 20:36 +/–

> То, что тебе этим в проде приходится заниматься весьма печально.
"чатыре прожекта" (и куча ансибельного мусора присыпанного тераформом) это такой себе, знаешь, "прод".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #33

33. Сообщение от Легивон (?), 09-Ноя-23, 17:18 +/–

А что хороший прод по твоему? Инструкция как правильно делать мышковозюк из 500 шагов?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

34. Сообщение от Легивон (?), 09-Ноя-23, 17:21 +/–

Если не использовать aws и/или православные духоскрепные "селектелы", а вместо них использовать собственное железо - то ресурсы не дорогие.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

35. Сообщение от Легивон (?), 09-Ноя-23, 17:30 +/–

Ты, дядя, давай посуществу и без общих фраз.
Чем мой запуск ансибла + тераформ принципиально отличается от запуска eks cli (Или че ты там запускаешь. Давно этой оверпрайснутой помоечкой не пользовался. Помню года 4 назад, голый БЕЗ НОД eks кластер стоил 200$ в месяц. А в хецнере за такие деньги можно было взять 3 машины уровня 8 ядер / 16 гигов). Это считай такое же дергание 2 "апишек". Что не так то? АПИшка не проприетарная и не вендорлокнутая? Плохо что я не плачу твоему господину Безосу?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Tron is Whistling (?), 06-Ноя-23, 09:26	+/–
Красиво. Ждём новых утечек из облачков. Особенно там, где любят nginx.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #3, #4, #5

2. Сообщение от Аноним (3), 06-Ноя-23, 09:34	–4 +/–
Как так молодняк на гоу пишет дыры, может им всё таки нужна помощь дедов на Си, а то гошники не вывозят.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #10

3. Сообщение от Аноним (3), 06-Ноя-23, 09:37	+1 +/–
Облака хмурые ожидаются обильные дожди из данных.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #14

4. Сообщение от Самый умный из вас (?), 06-Ноя-23, 09:50	–2 +/–
Но сначала ждём ingress-angie
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #6

5. Сообщение от Аноним (14), 06-Ноя-23, 11:50	+3 +/–
> Красиво. Ждём новых утечек из облачков. Особенно там, где любят nginx. Это где такие? Держать nginx с modsecurity и скриптами на lua, которые позволяют не очень сильно лажать при обновлении списка апстримов - это дофига дорого и накладно. А бизнес деньги считать умеет. Поэтому практически все облачные кубики нынче идут с кастомным ингресс-контроллером от вендора, обычно на базе envoy. Не говоря уже о том, что про "дыру" с возможностью подставлять куски конфига в проекте говорят уже года два. Но и не убирают ее полностью, потому что гибкости настроек средствами ingress часто не хватает, а пытаться реализовать поверх nginx gateway api - психов нет.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #7, #9, #17

6. Сообщение от Аноним (14), 06-Ноя-23, 11:51	+1 +/–
Есть ингресс "Контур". Это более посконно, чем какой-то там angie.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4

7. Сообщение от Аноним (14), 06-Ноя-23, 11:55	+1 +/–
> Не говоря уже о том, что про "дыру" с возможностью подставлять куски конфига в проекте говорят уже года два. А, понятно. По ссылке - типовой наброс от F5 (разработчика конкурирующего ингресса), которые рвут баян, пытаясь поднять себе прибыли.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #8

8. Сообщение от похнапоха. (?), 06-Ноя-23, 12:12	–5 +/–
Ну хочешь пользоваться дырявой версией, только чтоб не кормить F5 - пользуйся дырявой, твои юзеры скажут тебе спасибо, что не накормил корпорастов.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7

9. Сообщение от пох. (?), 06-Ноя-23, 12:35	–3 +/–
> Держать nginx с modsecurity и скриптами на lua да откуда такой уродец возьмется? И как он работать будет, это ж п-ц тормоз. Сказали вам - ingres-nginx, вот его и ставим побыстрому, девляпляпляпляпляп! cubectl apply прям с raw.гитхап.помойку.цоп (все бандерлоги так делают - это инструкция непосредственно k8s) Нет там никакого модсекьюрити и быть не может - кто его должен настраивать, отлаживать, следить за актуальностью правил, ты что-ли? А ну веслай быстрей! > Не говоря уже о том, что про "дыру" с возможностью подставлять куски конфига в проекте говорят > уже года два. но вставлять куски конфига надо, поэтому дыра всегда будет с нами. > Поэтому практически все облачные кубики нынче идут с кастомным ингресс-контроллером от вендора А у вендора не такие же веслатели, а какие-то другие, ога. Ну хорошо если им случайно первым попался envoy...хотя стоп...тоже нет.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #13

10. Сообщение от пох. (?), 06-Ноя-23, 12:38	+/–
> Как так молодняк на гоу пишет дыры, Да нормально пишет. И вообще не дыра а технологическое отверстие - как еще изменить поведение чортова контроллера не лазя ему внутрь? Ну лаз оказался немного широковат и через него залезли еще и те, другие васяны. Подумаешь, проблема. > может им всё таки нужна помощь дедов на Си, а то гошники не вывозят. зачем, сами ж справляются. А деды пиццей пока поторгуют - и прибыльней, и спокойней, и сытая старость гарантирована.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

11. Сообщение от Аноним (11), 06-Ноя-23, 12:49	+5 +/–
самая важная фраза написана в конце: "Для осуществления атаки злоумышленник должен иметь доступ к конфигурации ingress-объекта"
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #16

13. Сообщение от Аноним (14), 06-Ноя-23, 13:16	+1 +/–
> да откуда такой уродец возьмется? И как он работать будет, это ж п-ц тормоз. Сказали вам - ingres-nginx Иногда лучше жевать, чем говорить. ingress-nginx - и есть тот уродец с modsecurity и lua. Кстати, о том, что там вообще есть modsecurity, счастливые пользователи случайно узнали пару лет назад, когда оно начало дико течь по памяти из-за бага в этом модуле.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #15, #22

14. Сообщение от Аноним (14), 06-Ноя-23, 13:18	+2 +/–
Темна вода во облацех.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

15. Сообщение от пох. (?), 06-Ноя-23, 13:53	+/–
оно не включено ж пока сам не попросишь. > Кстати, о том, что там вообще есть modsecurity, счастливые пользователи случайно узнали пару лет > назад, когда оно начало дико течь по памяти из-за бага в этом модуле. выключеном?!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13

16. Сообщение от пох. (?), 06-Ноя-23, 13:57	+1 +/–
> самая важная фраза написана в конце: > "Для осуществления атаки злоумышленник должен иметь доступ к конфигурации ingress-объекта" позвал аутсорсера пилить какой-нибудь очень нужный и полезный вебчяяятик, дал ему отдельное пространство, поскольку оно никак вообще не связано с основным сервисом, и забыл про него. А оно - вот... тем более что аутсорсер тоже модный парниша и все свои наработки держит на гитхапе и гитляпе, прям с токенами и паролями от всей инфраструктуры, инфраструктурка жеж in cococode, my ass! А независимый кластер каждому васяну с чятиком не только лишь все могут себе позволить.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #18, #25

17. Сообщение от rmh (?), 06-Ноя-23, 14:06	+/–
>Держать nginx с modsecurity и скриптами на lua, которые позволяют не очень сильно лажать при обновлении списка апстримов - это дофига дорого и накладно Это Apisix называется. Хорошая штука. Кастомный ингресс-контроллер от вендора обычно мало чего умеет.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #28

18. Сообщение от A7exius (?), 06-Ноя-23, 14:19	+3 +/–
если такой бардак в организации и лайфциклах учеток\проектов, то тут ничего не спасёт, рано или поздно придется огребать
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16 Ответы: #19

19. Сообщение от пох. (?), 06-Ноя-23, 14:55	–1 +/–
ну у тебя-то в подвальчике конечно нет бардака.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18 Ответы: #20

20. Сообщение от Sw00p aka Jerom (?), 06-Ноя-23, 15:26	+/–
ничего, девляпс и прод на разных куберах поставят :)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19 Ответы: #21

21. Сообщение от пох. (?), 06-Ноя-23, 16:03	+/–
unreal жеж - cocococontinuous desintegration жеж (или как там ее?) разные куски прода в разных кластерах - только потому что изоляция, которая вообще говоря предусмотрена и именно для этого и неймспейсы - как обычно не изоляция? Ну оооок, давайте не будем им мешать и просто понаблюдаем за ними. Только гуаноупорный плащик поправьте и капюшончик пониже надвиньте, а то сейчас ваше недоверие лопнет и забрызгает вот... меня и товарищей прессу.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20

22. Сообщение от пох. (?), 06-Ноя-23, 17:19	+/–
сподвигся все ж глянуть исходники - не, enable-modsecurity надо вручную включить догадаться. Иначе не только не включается, а даже и не загружается. Хз как оно при этом могло что-то портить. А вот lua таки да.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13

25. Сообщение от Легивон (?), 07-Ноя-23, 11:46	+/–
>А независимый кластер каждому васяну с чятиком не только лишь все могут себе позволить. Это верно... для обычных легаси инфраструктур, которые так любят специалисты в свитере с оленем с сальными волосами и кусками вчеравшей недоеденой еды в слипшейся бороде (впрочем возможно это и не еда). И их можно понять, ведь это и правда трудно пройтись руками/мышковазюком и безошибочно воссоздать штук 200 сущностей во всевозможных консольках и "оснастках". В девопс же мире все просто. Надо кластер - взял готовые тераформ шаблоны, подставил хостнеймы и катанул. И поверх этого еще катанул ансиблом kubespray, так же практически без изменений от базового шаблона. Я именно так и катаю, только у меня шаблоны тераформа генерируются из ансибла, а помимо kubespray ансиблом качу еще базовые k8s сервисы: ingress, prometheus, vector. У меня 4 проекта и 10 кластеров (и это еще мало, просто на все не хватает времени, вот например собираюсь для безопасности вынести все задачи сборки образов в отдельный кластер с kata containers, чтобы не пересекаться с инфраструктурой на которой люди могут выполнять код). ЧЯДН?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16 Ответы: #27, #29

27. Сообщение от Аноним (27), 07-Ноя-23, 20:08	+1 +/–
> ЧЯДН? Пользуешься ансиблом и тратишь время на то, что называется non-differentiating work. Создание k8s кластера — это пара вызовов API, скучно до зевоты. Городить ради этого какую-то кодогенерацию на, прямо скажем, весьма убогом инструментарии типа ансибла — занятие для операторов высоконагруженных локалхостов. То, что тебе этим в проде приходится заниматься весьма печально.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25 Ответы: #30, #35

28. Сообщение от Аноним (28), 08-Ноя-23, 07:26	+/–
Да и Kong-gateway - это тот же nginx обмазанный lua-скриптами
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17

29. Сообщение от пох. (?), 08-Ноя-23, 20:34	+/–
> В девопс же мире все просто. Надо кластер - взял готовые тераформ шаблоны, подставил хостнеймы и > катанул. а лишние ресурсы для всего б-ского цирка - при этом возьмутся из возд... облачка. Ну ок. Только учти что когда-то кто-то может и проверить счета от aws.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25 Ответы: #34

30. Сообщение от пох. (?), 08-Ноя-23, 20:36	+/–
> То, что тебе этим в проде приходится заниматься весьма печально. "чатыре прожекта" (и куча ансибельного мусора присыпанного тераформом) это такой себе, знаешь, "прод".
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #27 Ответы: #33

33. Сообщение от Легивон (?), 09-Ноя-23, 17:18	+/–
А что хороший прод по твоему? Инструкция как правильно делать мышковозюк из 500 шагов?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #30

34. Сообщение от Легивон (?), 09-Ноя-23, 17:21	+/–
Если не использовать aws и/или православные духоскрепные "селектелы", а вместо них использовать собственное железо - то ресурсы не дорогие.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #29

35. Сообщение от Легивон (?), 09-Ноя-23, 17:30	+/–
Ты, дядя, давай посуществу и без общих фраз. Чем мой запуск ансибла + тераформ принципиально отличается от запуска eks cli (Или че ты там запускаешь. Давно этой оверпрайснутой помоечкой не пользовался. Помню года 4 назад, голый БЕЗ НОД eks кластер стоил 200$ в месяц. А в хецнере за такие деньги можно было взять 3 машины уровня 8 ядер / 16 гигов). Это считай такое же дергание 2 "апишек". Что не так то? АПИшка не проприетарная и не вендорлокнутая? Плохо что я не плачу твоему господину Безосу?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #27