Kubernetes 迁移几乎让我们的初创公司崩溃。 我们当时的情况： - 8 个 EC2 实例 - 使用 Ansible 部署 - 无聊但有效 - 每月 $1200 的 AWS 账单 我们为什么迁移： - 新投资者想要“云原生” - 工程师想要 K8s 经验 - 竞争对手在使用它 - 看起来像是未来 6 个月后： - 3 名工程师全职投入 K8s - AWS 账单达到每月 $4500 - 部署时间比之前更长 - 故障增多，而不是减少 - 产品开发停滞不前 我们回滚了： - 转移到 ECS Fargate - 迁移耗时 2 周 - 回到每月 $1800 - 工程师重新专注于功能 K8s 在规模上非常出色。我们并没有达到规模。技术应该解决你实际面临的问题。

为我们的 API 添加了 gzip 压缩。响应大小减少了 85%，延迟减少了 60%。 压缩前： - 平均响应：240 KB - 传输时间：400ms - 带宽成本：$220/月 压缩后： - 平均响应：36 KB - 传输时间：48ms - 带宽成本：$70/月 添加了压缩中间件 结果： - 加载时间：快了 88% - 带宽：减少了 68%

一名渗透测试员在15分钟内获得了我们Kubernetes集群的root访问权限。以下是他们利用的内容。 攻击链： - 找到了暴露的Kubernetes仪表板（我们的错） - 仪表板有只读服务账户（我们认为这很安全） - 服务账户可以列出所有命名空间的秘密 - 在一个秘密中找到了AWS凭证 - 使用AWS凭证访问EC2实例配置文件 - 实例配置文件通过IAM拥有完全的Kubernetes管理员权限 - 使用kubectl创建特权pod - 逃逸到节点 - 获得整个集群的root访问权限 我们认为做对的事情： - 仪表板是只读的 - 秘密在静态时是加密的 - 网络策略已到位 - 定期进行安全更新 我们错过的地方： - 仪表板根本不应该暴露 - 服务账户需要最小权限原则 - 秘密不应该包含AWS凭证（使用IRSA代替） - Pod安全策略未得到执行 - 节点访问未得到加固 修复花费了2周： - 完全移除了Kubernetes仪表板 - 为所有pod的AWS访问实施了IRSA - 应用了严格的PSP/Pod安全标准 - 审计所有RBAC权限 - 定期进行渗透测试 成本：$24K用于渗透测试 价值：防止了可能发生的灾难性漏洞