| |
| |
| 3.6, Аноним (14), 11:51, 06/11/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Есть ингресс "Контур". Это более посконно, чем какой-то там angie.
| | |
|
| 2.5, Аноним (14), 11:50, 06/11/2023 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Красиво. Ждём новых утечек из облачков. Особенно там, где любят nginx.
Это где такие?
Держать nginx с modsecurity и скриптами на lua, которые позволяют не очень сильно лажать при обновлении списка апстримов - это дофига дорого и накладно. А бизнес деньги считать умеет.
Поэтому практически все облачные кубики нынче идут с кастомным ингресс-контроллером от вендора, обычно на базе envoy.
Не говоря уже о том, что про "дыру" с возможностью подставлять куски конфига в проекте говорят уже года два. Но и не убирают ее полностью, потому что гибкости настроек средствами ingress часто не хватает, а пытаться реализовать поверх nginx gateway api - психов нет.
| | |
| |
| 3.7, Аноним (14), 11:55, 06/11/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Не говоря уже о том, что про "дыру" с возможностью подставлять куски конфига в проекте говорят уже года два.
А, понятно. По ссылке - типовой наброс от F5 (разработчика конкурирующего ингресса), которые рвут баян, пытаясь поднять себе прибыли.
| | |
| |
| 4.8, похнапоха. (?), 12:12, 06/11/2023 [^] [^^] [^^^] [ответить]
| –5 +/– |
Ну хочешь пользоваться дырявой версией, только чтоб не кормить F5 - пользуйся дырявой, твои юзеры скажут тебе спасибо, что не накормил корпорастов.
| | |
|
| 3.9, пох. (?), 12:35, 06/11/2023 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> Держать nginx с modsecurity и скриптами на lua
да откуда такой уродец возьмется? И как он работать будет, это ж п-ц тормоз. Сказали вам - ingres-nginx, вот его и ставим побыстрому, девляпляпляпляпляп! cubectl apply прям с raw.гитхап.помойку.цоп (все бандерлоги так делают - это инструкция непосредственно k8s)
Нет там никакого модсекьюрити и быть не может - кто его должен настраивать, отлаживать, следить за актуальностью правил, ты что-ли? А ну веслай быстрей!
> Не говоря уже о том, что про "дыру" с возможностью подставлять куски конфига в проекте говорят
> уже года два.
но вставлять куски конфига надо, поэтому дыра всегда будет с нами.
> Поэтому практически все облачные кубики нынче идут с кастомным ингресс-контроллером от вендора
А у вендора не такие же веслатели, а какие-то другие, ога.
Ну хорошо если им случайно первым попался envoy...хотя стоп...тоже нет.
| | |
| |
| 4.13, Аноним (14), 13:16, 06/11/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> да откуда такой уродец возьмется? И как он работать будет, это ж п-ц тормоз. Сказали вам - ingres-nginx
Иногда лучше жевать, чем говорить.
ingress-nginx - и есть тот уродец с modsecurity и lua.
Кстати, о том, что там вообще есть modsecurity, счастливые пользователи случайно узнали пару лет назад, когда оно начало дико течь по памяти из-за бага в этом модуле.
| | |
| |
| 5.15, пох. (?), 13:53, 06/11/2023 [^] [^^] [^^^] [ответить]
| +/– | |
оно не включено ж пока сам не попросишь.
> Кстати, о том, что там вообще есть modsecurity, счастливые пользователи случайно узнали пару лет
> назад, когда оно начало дико течь по памяти из-за бага в этом модуле.
выключеном?!
| | |
| 5.22, пох. (?), 17:19, 06/11/2023 [^] [^^] [^^^] [ответить]
| +/– |
сподвигся все ж глянуть исходники - не, enable-modsecurity надо вручную включить догадаться.
Иначе не только не включается, а даже и не загружается. Хз как оно при этом могло что-то портить.
А вот lua таки да.
| | |
|
|
| 3.17, rmh (?), 14:06, 06/11/2023 [^] [^^] [^^^] [ответить]
| +/– | |
>Держать nginx с modsecurity и скриптами на lua, которые позволяют не очень сильно лажать при обновлении списка апстримов - это дофига дорого и накладно
Это Apisix называется. Хорошая штука.
Кастомный ингресс-контроллер от вендора обычно мало чего умеет.
| | |
|
|
| 1.11, Аноним (11), 12:49, 06/11/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
самая важная фраза написана в конце:
"Для осуществления атаки злоумышленник должен иметь доступ к конфигурации ingress-объекта"
| | |
| |
| 2.16, пох. (?), 13:57, 06/11/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
> самая важная фраза написана в конце:
> "Для осуществления атаки злоумышленник должен иметь доступ к конфигурации ingress-объекта"
позвал аутсорсера пилить какой-нибудь очень нужный и полезный вебчяяятик, дал ему отдельное пространство, поскольку оно никак вообще не связано с основным сервисом, и забыл про него. А оно - вот... тем более что аутсорсер тоже модный парниша и все свои наработки держит на гитхапе и гитляпе, прям с токенами и паролями от всей инфраструктуры, инфраструктурка жеж in cococode, my ass!
А независимый кластер каждому васяну с чятиком не только лишь все могут себе позволить.
| | |
| |
| 3.18, A7exius (?), 14:19, 06/11/2023 [^] [^^] [^^^] [ответить]
| +3 +/– |
если такой бардак в организации и лайфциклах учеток\проектов, то тут ничего не спасёт, рано или поздно придется огребать
| | |
| |
| |
| |
| 6.21, пох. (?), 16:03, 06/11/2023 [^] [^^] [^^^] [ответить]
| +/– | |
unreal жеж - cocococontinuous desintegration жеж (или как там ее?)
разные куски прода в разных кластерах - только потому что изоляция, которая вообще говоря предусмотрена и именно для этого и неймспейсы - как обычно не изоляция? Ну оооок, давайте не будем им мешать и просто понаблюдаем за ними. Только гуаноупорный плащик поправьте и капюшончик пониже надвиньте, а то сейчас ваше недоверие лопнет и забрызгает вот... меня и товарищей прессу.
| | |
|
|
|
| 3.25, Легивон (?), 11:46, 07/11/2023 [^] [^^] [^^^] [ответить]
| +/– | |
>А независимый кластер каждому васяну с чятиком не только лишь все могут себе позволить.
Это верно... для обычных легаси инфраструктур, которые так любят специалисты в свитере с оленем с сальными волосами и кусками вчеравшей недоеденой еды в слипшейся бороде (впрочем возможно это и не еда). И их можно понять, ведь это и правда трудно пройтись руками/мышковазюком и безошибочно воссоздать штук 200 сущностей во всевозможных консольках и "оснастках".
В девопс же мире все просто. Надо кластер - взял готовые тераформ шаблоны, подставил хостнеймы и катанул. И поверх этого еще катанул ансиблом kubespray, так же практически без изменений от базового шаблона.
Я именно так и катаю, только у меня шаблоны тераформа генерируются из ансибла, а помимо kubespray ансиблом качу еще базовые k8s сервисы: ingress, prometheus, vector. У меня 4 проекта и 10 кластеров (и это еще мало, просто на все не хватает времени, вот например собираюсь для безопасности вынести все задачи сборки образов в отдельный кластер с kata containers, чтобы не пересекаться с инфраструктурой на которой люди могут выполнять код). ЧЯДН?
| | |
| |
| 4.27, Аноним (27), 20:08, 07/11/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> ЧЯДН?
Пользуешься ансиблом и тратишь время на то, что называется non-differentiating work. Создание k8s кластера — это пара вызовов API, скучно до зевоты. Городить ради этого какую-то кодогенерацию на, прямо скажем, весьма убогом инструментарии типа ансибла — занятие для операторов высоконагруженных локалхостов. То, что тебе этим в проде приходится заниматься весьма печально.
| | |
| |
| 5.30, пох. (?), 20:36, 08/11/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> То, что тебе этим в проде приходится заниматься весьма печально.
"чатыре прожекта" (и куча ансибельного мусора присыпанного тераформом) это такой себе, знаешь, "прод".
| | |
| |
| 6.33, Легивон (?), 17:18, 09/11/2023 [^] [^^] [^^^] [ответить]
| +/– |
А что хороший прод по твоему? Инструкция как правильно делать мышковозюк из 500 шагов?
| | |
|
| 5.35, Легивон (?), 17:30, 09/11/2023 [^] [^^] [^^^] [ответить]
| +/– |
Ты, дядя, давай посуществу и без общих фраз.
Чем мой запуск ансибла + тераформ принципиально отличается от запуска eks cli (Или че ты там запускаешь. Давно этой оверпрайснутой помоечкой не пользовался. Помню года 4 назад, голый БЕЗ НОД eks кластер стоил 200$ в месяц. А в хецнере за такие деньги можно было взять 3 машины уровня 8 ядер / 16 гигов). Это считай такое же дергание 2 "апишек". Что не так то? АПИшка не проприетарная и не вендорлокнутая? Плохо что я не плачу твоему господину Безосу?
| | |
|
| 4.29, пох. (?), 20:34, 08/11/2023 [^] [^^] [^^^] [ответить]
| +/– |
> В девопс же мире все просто. Надо кластер - взял готовые тераформ шаблоны, подставил хостнеймы и
> катанул.
а лишние ресурсы для всего б-ского цирка - при этом возьмутся из возд... облачка.
Ну ок. Только учти что когда-то кто-то может и проверить счета от aws.
| | |
| |
| 5.34, Легивон (?), 17:21, 09/11/2023 [^] [^^] [^^^] [ответить]
| +/– |
Если не использовать aws и/или православные духоскрепные "селектелы", а вместо них использовать собственное железо - то ресурсы не дорогие.
| | |
|
|
|
|
|
