Миграция на Kubernetes чуть не убила наш стартап. Где мы были: - 8 экземпляров EC2 - Ansible для развертывания - Скучно, но работало - Счет AWS $1200 в месяц Почему мы мигрировали: - Новому инвестору нужен был 'облачный' подход - Инженеры хотели опыт работы с K8s - Конкуренты использовали его - Казалось, что это будущее Через 6 месяцев: - 3 инженера, работающие полный рабочий день с K8s - Счет AWS $4500 в месяц - Развертывания заняли больше времени, чем раньше - Больше сбоев, а не меньше - Разработка продукта остановилась Мы откатились: - Перешли на ECS Fargate - Миграция заняла 2 недели - Вернулись к $1800 в месяц - Инженеры снова занялись функциями K8s потрясающ для масштабирования. Мы не были на уровне масштабирования. Технология должна решать проблемы, которые у вас действительно есть.

Добавлена gzip-компрессия в наш API. Размер ответа уменьшился на 85%, задержка уменьшилась на 60%. До компрессии: - Средний ответ: 240 КБ - Время передачи: 400 мс - Стоимость трафика: 220 долларов в месяц После компрессии: - Средний ответ: 36 КБ - Время передачи: 48 мс - Стоимость трафика: 70 долларов в месяц Добавлен промежуточный слой компрессии Результаты: - Время загрузки: на 88% быстрее - Ширина канала: сокращение на 68%

Пенетрационный тестер получил доступ root к нашему кластеру Kubernetes за 15 минут. Вот что они использовали. Цепочка атаки: - Обнаружен открытый дашборд Kubernetes (наша ошибка) - Дашборд имел учетную запись сервиса только для чтения (мы думали, что это безопасно) - Учетная запись сервиса могла перечислять секреты во всех пространствах имен - Найдены учетные данные AWS в секрете - Использованы учетные данные AWS для доступа к профилю экземпляра EC2 - Профиль экземпляра имел полный доступ администратора Kubernetes через IAM - Использован kubectl для создания привилегированного пода - Удаление на узел - Доступ root ко всему кластеру Что мы думали, что сделали правильно: - Дашборд был только для чтения - Секреты были зашифрованы в состоянии покоя - Сетевые политики были на месте - Регулярные обновления безопасности Что мы упустили: - Дашборд не должен быть открыт вообще - Учетные записи сервиса должны следовать принципу наименьших привилегий - Секреты не должны содержать учетные данные AWS (используйте IRSA вместо этого) - Политики безопасности подов не были применены - Доступ к узлу не был защищен Исправление заняло 2 недели: - Полностью удален дашборд Kubernetes - Реализован IRSA для всего доступа AWS подов - Применены строгие PSP/Стандарты безопасности подов - Аудит всех разрешений RBAC - Регулярное тестирование на проникновение Стоимость: 24 тыс. долларов за тестирование Ценность: Предотвращено то, что могло бы стать катастрофическим нарушением