Вебинар сегодня — 14 ноября в 12:00

«Как повысить безопасность в контейнерных средах?»

В прямом эфире обсудим стратегии DevSecOps для разработки.

Начинаем через 2 часа.

Минутка новостей.

На днях мы смёржили большой PR в Vector — инструмент построения observability-пайплайнов. Мы используем его для сбора логов в Deckhouse Kubernetes Platform и успешно применяем в production-окружениях различных клиентов.

Теперь в Vector есть возможность кодировать сообщения при отправке в CEF-формат. Это формат событий безопасности, который понимают такие SIEM-системы как ArcSight или KUMA.

А подробнее о сборе логов в Kubernetes с помощью Vector можно почитать в статье Максима Набоких.

*🚀Вышла стабильная версия* Deckhouse Kubernetes Platform v1.64

Обратите внимание
🔹 Модуль l2-load-balancer будет удалён в следующем релизе DKP. Его функции будут реализованы в модуле metallb.
🔹Реализована новая ролевая модель доступа. Рекомендуем в новых проектах использовать только её.
🔹 Новый модуль deckhouse-tools, реализующий веб-интерфейс для скачивания утилиты Deckhouse CLI (d8) из кластера без доступа к интернету.

Основные изменения
🔹 Добавлена возможность разрешать использование в конкретных пространствах имён только конкретных классов Ingress-контроллера (IngressClass) и конкретных классов хранения (StorageClass).
🔹 Добавлена возможность расширения планировщика внешними плагинами через вебхуки (ресурс KubeSchedulerWebhookConfiguration).
🔹 Добавлено оповещение о запланированном обновлении патч-версий. В оповещении добавлена информация о типе обновления (модуль или DKP).

Обновление версий компонентов
Kubernetes control plane: 1.28.13, 1.29.8, 1.30.4NGINX Ingress Controller: 1.10.4
loki: 2.9.10
vector (log-shipper): 0.40.1
falco (runtime-audit-engine): 0.38.1

Полный список изменений опубликован в CHANGELOG.

*?Вышла стабильная версия Deckhouse Kubernetes Platform v1.62 с очередными исправлениями и улучшениями ?***

Обратите внимание
? Изменился диапазон портов, используемый компонентами DKP. Теперь управлять сетевыми политиками проще, так как большинство портов входит в диапазон 4200-4299. Актуальный список используемых портов и информацию об их назначении можно найти в документации.
? Прекращена поддержка зоны ru-central1-c в провайдере для Yandex Cloud. Обновление DKP не будет выполнено, если в кластере используются виртуальные машины из зоны ru\-central1\-c. Перенесите виртуальные машины в другую зону, дождитесь окончания обновления DKP, после чего запустите dhctl converge, для удаления оставшихся в зоне ru\-central1\-c сетей.

Основные изменения
? Добавлена поддержка Kubernetes 1.30 и прекращена поддержка Kubernetes 1.25.
? Добавлена поддержка ОС РОСА Кобальт и РОСА Хром.
? Добавлена возможность отправлять логи через сокет TCP или UDP. Возможные форматы сообщений: текст, JSON, CEF, Syslog.
? На активный под контроллера DKP (d8-system/deckhouse) добавлена метка лидера (leader=true). Это позволяет удобнее выполнять команды в поде DKP, независимо от того, работает ли он в режиме высокой доступности или нет. Например: kubectl \-n d8\-system \-l app=deckhouse,leader=true \-c deckhouse logs
? В провайдере OpenStack для layout SimpleWithInternalNetwork добавлен булевый параметр nodeGroups.instanceClass.configDrive, определяющий будет ли монтироваться на узел дополнительный диск, содержащий конфигурацию узла. Параметр необходимо включать, если в сети, указанной в качестве mainNetwork, отключен DHCP.
? В модуле runtime-audit-engine добавлена возможность управлять настройками VPA (параметр resourcesRequests).
? Пользователям запрещено создание пространств имен с префиксом d8\- и kube\-. Такие системные пространства имен может создавать только сам DKP.
? В документацию добавлен раздел с информацией о том, как подготовить и начать использовать свой модуль DKP.
? Deckhouse CLI — утилита для работы с кластерами Deckhouse Kubernetes Platform, — теперь доступна и для Windows.

Полный список изменений опубликован в CHANGELOG’е.

*?Вышла стабильная версия Deckhouse Kubernetes Platform v1.61 с очередными исправлениями и улучшениями ?***

Обратите внимание?Версия Kubernetes, используемая по умолчанию, изменена на 1.27. Если параметр kubernetesVersion установлен в Automatic, то при обновлении версии DKP произойдет автоматическое обновление версии Kubernetes.
?Прекращена поддержка Istio 1.12 и 1.13. DKP не сможет обновиться, если в кластере используется Istio 1.12 или 1.13.

Основные изменения? Добавлена поддержка Ubuntu 24.04 и РЕД ОС 8.0.
? Добавлена поддержка NGINX Ingress Controller 1.10, который включает поддержку Nginx 1.25 (возможна несовместимость директив на уровне configuration-snippet и т. п.) и HTTP/3. Также в версии 1.10 удалена поддержка GeoIP в пользу GeoIP2.
? Новый модуль static-routing-manager. Модуль позволяет с помощью ресурсов Kubernetes управлять статической маршрутизацией на узлах (ресурс RoutingTable) и политиками маршрутизации (policy routing, ресурс IPRuleSet).
? Добавлена возможность указывать тип диска статических узлов при использовании провайдера для Yandex.Cloud (параметры nodeGroups.instanceClass.diskType и masterNodeGroup.instanceClass.diskType).
? Добавлена функция для организации отказоустойчивого Egress Gateway. Для настройки используется два интерфейса. EgressGateway для того, чтобы назначить группу узлов как шлюзы для внешних запросов, среди данных узлов выбирается активный на данный момент и тот обрабатывает внешние запросы. Для перенаправления прикладных внешних запросов через шлюзы используется интерфейс EgressGatewayPolicy. Доступно только при использовании модуля cni-cilium.
? Добавлены дополнительные проверки перед началом установки при помощи утилиты dhctl (корректность данных подключения к container registry, подключения по SSH, отсутствие установленного containerd).
? Добавлены метрики мониторинга по группам узлов. Подробнее в документации.
? Функция Fencing обеспечивает автоматическую изоляцию проблемных узлов в кластере Kubernetes для повышения его надежности и отказоустойчивости. Когда система обнаруживает, что узел теряет связь с Kubernetes API, она инициирует процесс отключения этого узла. Это предотвращает возможные сбои и минимизирует риски потери данных, обеспечивая более надежную работу Stateful-приложений.

Обновление версий компонентов? Kubernetes control plane: v1.27.14, v1.28.10, v1.29.5
? deckhouse-cli (d8 tool): v0.1.2
? image-availability-exporter (extended-monitoring): v0.8.0

Полный список изменений опубликован в CHANGELOG’е.

*?Вышла стабильная версия Deckhouse Kubernetes Platform v1.60 с очередными исправлениями и улучшениями ?***

Обратите внимание
*? Изменения в работе Ingress-контролллера.
— Прекращена поддержка Ingress-контроллера версии 1.1. Deckhouse Kubernetes Platform не обновится, если в кластере используется Ingress-контроллер версии 1.1.
— Версия Ingress-контроллера, используемая по умолчанию, изменена на 1.9. Ingress-контроллеры, версия которых не указана явно, обновятся.
— Указать версию Ingress-контроллера можно с помощью параметров defaultControllerVersion или controllerVersion.
? Прекращена поддержка Debian 9. Deckhouse Kubernetes Platform не обновится, если в кластере используются узлы с Debian 9.
? Прекращена поддержка модуля l2-load-balancer*** (модуль не доступен для использования). Переработанная версия модуля будет доступна в будущих релизах DKP.

Основные изменения
? Конфигурацию инсталлятора DKP (утилита dhctl) можно разбивать на любое количество файлов, указывая их через множественное использование параметра \-\-config. Инсталлятор сам определит нужный порядок применения ресурсов. Параметр \-\-resources считается устаревшим и будет удален в будущих релизах.
? Для провайдера Yandex Cloud добавлена поддержка высокопроизводительных SSD-дисков с типом network-ssd-io-m3.
? Для провайдера OpenStack обновлен метод вычисления маршрутов на узлах. Теперь новые узлы с несколькими сетевыми интерфейсами на Ubuntu 22.04 и выше настраиваются корректно.
? Исправлена ошибка, из-за которой DKP мог откатываться на версию ниже после установки.

Безопасность
? Kubernetes control plane: v1.27.13, v1.28.9, v1.29.4
? Go: 1.22.2
? csi-driver (cloud-provider-vcd): 1.6.0
? terraform-provider-ovirt: 2.1.5
? shell-operator: 1.4.7
? deckhouse-cli (d8 tool): 0.1.0

Полный список изменений опубликован в CHANGELOG’е.

*?Вышла стабильная версия Deckhouse Kubernetes Platform v1.59 с очередными исправлениями и улучшениями ?***

Обратите внимание‼️ Прекращена поддержка модуля linstor. Deckhouse Kubernetes Platform не обновится, если модуль linstor включен. Перед обновлением DKP необходимо перейти на использование модуля sds-replicated-volume.
‼️ Добавлен новый способ организации перехвата прикладного трафика под управление istio. Теперь возможно использовать CNI-плагин вместо init-контейнера. Это, например, позволяет снять ограничения на использование istio совместно с модулем admission-policy-engine в некоторых конфигурациях. Возможны регрессии для приложений, которые осуществляют сетевые запросы в своих init-контейнерах. Варианты решений описаны в PR.

Основные изменения
? Добавлены редакции BE и SE Deckhouse Kubernetes Platform. Подробнее читайте о редакциях DKP и их возможностях.
? Добавлена поддержка Debian 12 и прекращена поддержка Debian 9.
? Добавлена поддержка работы с zVirt в Enterprise Edition. Активно развивается соответствующий облачный провайдер и скоро появится документация.
? Добавлен режим высокой доступности для Deckhouse. В кластерах с более чем одним мастер-узлом ядро DKP теперь, как и многие другие компоненты, будет автоматически работать в нескольких репликах. Режимом высокой доступности можно управлять глобально или на уровне модуля (параметр highAvailability модуля).
? Добавлен агрегирующий прокси для метрик мониторинга (на базе promxy и mimir). Это позволит использовать один источник данных в Grafana (datasource), в котором будут объединенные данные от всех реплик Prometheus Main и Prometheus Longterm.
? Добавлена Grafana v10.
— Для новой Grafana выделен отдельный домен — grafana\-v10 (согласно установленному в кластере шаблону имен), но в будущем новая Grafana заменит текущую версию по привычному адресу.
— Некоторые дашборды не смогут работать в Grafana v10 без исправлений. По этому, какое-то время в кластере будет работать две Grafana.
— Добавлены алерты про наличие дашборд, которым необходимы миграции из-за использования неподдерживаемых плагинов или алертов. В алертах вы найдете подробности о том, какие шаги необходимо выполнить для миграции на Grafana v10.

? Добавлен новый способ балансировки трафика на уровне L2 (новый модуль l2-load-balancer). В отличие от metallb распределяет трафик по узлам, а не перенаправляет его на один узел.
? Политики обновления подключаемых модулей теперь могут наследоваться от DKP. Если для подключаемого модуля не определена политика обновления (ресурс ModuleUpdatePolicy), то политика обновления наследуется от настроек обновления DKP (параметр update модуля deckhouse).
? В провайдере OpenStack добавлены:
— Возможность объединения виртуальных машин master-узлов в группы и указания политики их распределения по гипервизорам (параметр masterNodeGroup.serverGroup). Это дает возможность, избежать размещения нескольких master-узлов на одном гипервизоре.
— Возможность использования HTTP-прокси при установке.

Безопасность
? Следующие модули и компоненты теперь используют distroless-образы: cilium, ebpf_exporter, memcached (Prometheus).
? Loki закрыт для работы без аутентификации.
? Добавлена возможность управления разрешением на запуск подов с автоматическим монтированием токена сервисного аккаунта (параметр automountServiceAccountToken) в политике безопасности, а также добавлена возможность определения списка разрешенных ролей кластера для связывания с пользователями (параметр allowedClusterRoles).

Обновление версий компонентов
— Kubernetes control plane: v1.26.15, v1.27.12, v1.28.8, v1.29.3
— Grafana: v10.2.2
— Terraform: 0.14.8
— aws-ebs-csi-driver: v1.28.0
— ebpf_exporter: v2.3.0

Полный список изменений опубликован в CHANGELOG’е.

В Deckhouse Kubernetes Platform 1.58 появилась поддержка VMWare Cloud Director. На днях мы обновили раздел Getting Started и добавили в него руководство по установке на этот самый VMWare Cloud Director.

P.S. Фича доступна только в Enterprise Edition.

deckhouse.ru

Выбор инфраструктуры | Deckhouse

Deckhouse. Позволяет создавать идентичные Kubernetes-кластеры в любой инфраструктуре и полностью, «автомагически» управляет ими.