this post was submitted on 30 Jun 2024
67 points (98.6% liked)
Haupteingang
516 readers
2 users here now
Die Standard-Community von feddit.org
In dieser Community geht es ausschließlich um alles rund um die Instanz!
Regeln:
- Gelöste Probleme sollen eindeutig mit [GELÖST] im Titel markiert werden.
founded 6 months ago
MODERATORS
you are viewing a single comment's thread
view the rest of the comments
view the rest of the comments
Läuft die neue Instanz mit Bogen? Dann bin ich begeistert, wenn nicht, finde ich das unverzeihlich.
Tatsächlich würde ich wirklich gern mal wissen, wie es technisch darunter so bestellt ist. Ist das ein Kubernetes oder sowas?
@aaaaaaaaargh@feddit.org : Wir haben hier ein halbes Rack voll Infra für die Instanzen, inkl. dedizierte reverse proxies, redundantes 10GbE Netzwerk, Blade Chassis für die Server und Enterprise Storage. Wird alles von uns selbst gewartet und gemanaged. Virtualisierung läuft aktuell noch auf Debian/KVM, ziehen wir aber gerade auf Proxmox um. Die ganzen Apps betreiben wir in Openshift, für Middleware und Backend Komponenten haben wir dedizierte VMs.
Das alles läuft privat gehosted in einem ISO-zertifizierten RZ bei einem mittelständischen Wiener IT-Dienstleister.
Klingt erstmal vernünftig. Warum OpenShift, wenn ich fragen darf? Ist gar nicht so unbedingt eine Glaubensfrage, ich nutze beides leidenschaftslos, mich interessieren nur die Beweggründe zur Technologiewahl.
Wir verwenden das freie Openshift/OKD, macht k8s management um vieles leichter und bringt auch ansonsten viele Features mit (logging, metrics, authentication/authorization, build pipelines, etc...), die man sonst händisch nachbauen muss. Auch viele Sicherheitsstandards, die man bei k8s erst konfigurieren oder dazubasteln muss sind hier schon per default aktiviert.
Welche Authentification/Authorization ist denn in OpenShift standardmäßig enthalten? Und welche Sicherheitsstandards sind vorhanden, die in einem k8s fehlen?
Nochmal: das ist keine nutzlose Konfrontation, ich versuche gerade aktiv zu lernen.
Auf den S2i-Kram von OpenShift bin ich aber in der Tat wirklich ein wenig neidisch.
Per default geht mal OAuth/OpenID/LDAP/AD
Wir verwenden LDAP, damit bekommt man schon mal out-of-the-box recht gute RBAC policies, um namespace und cluster permissions zu segmentieren.
SAML gibt's derzeit nur eine community Implementierung:
Für security hilft ja schon mal der Ansatz, dass CoreOS praktisch "immutable" ist, und auch die ganzen SELinux und container policies, die per default strikt eingestellt sind. Damit bekommt jeder namespace eine zufällige ID zugewiesen, die dann für pods als UID/GID verwendet wird. Auch sämtliche capabilities usw. sind standardmäßig eingeschränkt. Network namespace isolation kann man auch ganz einfach haben, muss man nur bei der Installation des overlay network intial angeben.
Und dann gibt's noch support für alle möglichen Technologoien, die ggf für Compliance relevant sein können, siehe hier: