A migração do Kubernetes quase matou nossa startup. Onde estávamos: - 8 instâncias do EC2 - Ansible para implantações - Chato, mas funcionando - Conta da AWS de 1200 USD/mês Por que migramos: - Novo investidor queria 'nativo da nuvem' - Os engenheiros queriam experiência no K8s - Os concorrentes estavam usando - Parecia o futuro 6 meses depois: - 3 engenheiros gastando tempo integral em K8s - Fatura da AWS a US$ 4500/mês - As implantações demoraram mais do que antes - Mais interrupções, não menos - Desenvolvimento de produtos parado Nós revertemos para trás: - Movido para o ECS Fargate - Migração de 2 semanas - Voltar para $ 1800 / mês - Engenheiros de volta aos recursos K8s é incrível para escala. Não estávamos em escala. A tecnologia deve resolver os problemas que você realmente tem.

Adicionada compactação gzip à nossa API. O tamanho da resposta caiu 85%, a latência caiu 60%. Antes da compressão: - Resposta média: 240 KB - Tempo de transferência: 400ms - Custo da largura de banda: US$ 220/mês Após a compressão: - Resposta média: 36 KB - Tempo de transferência: 48ms - Custo da largura de banda: US$ 70/mês Adicionado middleware de compactação Resultados: - Tempo de carregamento: 88% mais rápido - Largura de banda: redução de 68%

Um testador de penetração obteve acesso root ao nosso cluster Kubernetes em 15 minutos. Aqui está o que eles exploraram. A cadeia de ataque: - Encontrado painel do Kubernetes exposto (nosso mal) - O painel tinha uma conta de serviço somente para visualização (achamos que isso era seguro) - A conta de serviço pode listar segredos em todos os namespaces - Credenciais da AWS encontradas em segredo - Usou credenciais da AWS para acessar o perfil da instância do EC2 - O perfil da instância tinha administrador completo do Kubernetes via IAM - Usei kubectl para criar pod privilegiado - Escapou para o nó - Acesso root a todo o cluster O que achamos que fizemos certo: - O painel era somente leitura - Os segredos foram criptografados em repouso - As políticas de rede estavam em vigor - Atualizações de segurança regulares O que perdemos: - O painel não deve ser exposto - As contas de serviço precisam do princípio do menor privilégio - Os segredos não devem conter credenciais da AWS (use o IRSA) - As políticas de segurança do pod não foram aplicadas - O acesso ao nó não foi reforçado A correção levou 2 semanas: - Removido totalmente o painel do Kubernetes - Implementação do IRSA para todos os pods de acesso à AWS - Aplicação de padrões rígidos de segurança PSPs/Pod - Auditar todas as permissões RBAC - Testes de penetração regulares Custo: $ 24K para o pentest Valor: Evitou o que poderia ter sido uma violação catastrófica