Kubernetesの移行により、スタートアップはほぼ死にかけました。 私たちがいた場所: - 8 EC2 インスタンス - デプロイ用の Ansible - 退屈だが働く - 1200 ドル/月の AWS 請求書 移行した理由: - 新規投資家は「クラウドネイティブ」を望んでいた - エンジニアはK8sの経験を望んでいた - 競合他社が使っていた - 未来のように思えた 6か月後: - K8 にフルタイムで費やす 3 人のエンジニア - AWS の請求額は月額 4500 ドル - デプロイに以前よりも時間がかかりました - 停止が減るのではなく、増える - 製品開発の停滞 ロールバックしました。 - ECS Fargateに移行 - 2週間の移行 - 月額 1800 ドルに戻る - エンジニアが機能に戻ってくる K8sはスケールが素晴らしいです。私たちは規模に達していませんでした。テクノロジーは、あなたが実際に抱えている問題を解決するはずです。

APIにgzip圧縮を追加しました。応答サイズは 85% 減少し、遅延は 60% 減少しました。 圧縮前: - 平均応答: 240 KB - 転送時間: 400ms - 帯域幅コスト: 月額 220 ドル 圧縮後: - 平均応答: 36 KB - 転送時間: 48ms - 帯域幅コスト: 月額 70 ドル 圧縮ミドルウェアの追加 業績： - ロード時間: 88% 高速化 - 帯域幅:68%削減

ペネトレーションテスターは、15分でKubernetesクラスターへのルートアクセスを取得しました。彼らが悪用したものは次のとおりです。 攻撃チェーン: - 公開されたKubernetesダッシュボードが見つかりました(悪い) - ダッシュボードには表示専用のサービスアカウントがありました(これは安全だと考えました) - サービスアカウントは、すべての名前空間のシークレットを一覧表示できます - シークレットで AWS 認証情報が見つかりました - EC2インスタンスプロファイルにアクセスするためにAWS認証情報を使用した - インスタンスプロファイルには、IAM経由の完全なKubernetes管理者がありました - kubectl を使用して特権ポッドを作成 - ノードにエスケープされました - クラスター全体へのルートアクセス 私たちが正しいと思ったこと: - ダッシュボードが読み取り専用でした - シークレットは保存時に暗号化されました - ネットワークポリシーが整備されている - 定期的なセキュリティアップデート 見逃したもの: - ダッシュボードはまったく公開しないでください - サービス アカウントには最小権限の原則が必要です - シークレットには AWS 認証情報を含めることはできません (代わりに IRSA を使用してください) - ポッドセキュリティポリシーが適用されなかった - ノードアクセスが強化されていない 修正には2週間かかりました。 - Kubernetes ダッシュボードを完全に削除しました - すべてのポッドAWSアクセスにIRSAを実装 - 厳格なPSP/ポッドセキュリティ標準を適用 - すべての RBAC 権限を監査する - 定期的な侵入テスト コスト: ペンテストで 24 ドル 価値: 壊滅的な侵害になる可能性のあるものを防止しました