Хелм Сецурити

Суштина приче о најпопуларнијем менаџеру пакета за Кубернетес могла би се описати помоћу емоџија:

• кутија је Хелм (што је најближе најновијем издању Емоџија);
• брава - сигурност;
• мали човек је решење проблема.

У ствари, све ће бити мало компликованије, а прича је пуна техничких детаља Како учинити Хелм сигурним.

• Укратко шта је Хелм у случају да нисте знали или заборавили. Које проблеме решава и где се налази у екосистему.
• Погледајмо архитектуру Хелма. Ниједан разговор о безбедности и томе како учинити алат или решење сигурнијим није потпун без разумевања архитектуре компоненте.
• Хајде да разговарамо о компонентама Хелм-а.
• Најгоруће питање је будућност - нова верзија Хелм 3. 

Све у овом чланку се односи на Хелм 2. Ова верзија је тренутно у производњи и највероватније је она коју тренутно користите, а управо она садржи безбедносне ризике.

О говорнику: Александар Хајоров (аллекк) се развија већ 10 година, помажући у побољшању садржаја Москва Питхон Цонф++ и придружио се комитету Хелм Суммит. Сада ради у Цхаинстацк-у као вођа развоја - ово је хибрид између менаџера развоја и особе која је одговорна за испоруку коначних издања. Односно, налази се на бојном пољу, где се све дешава од стварања производа до његовог рада.

Цхаинстацк је мали стартап који активно расте чија је мисија да омогући клијентима да забораве на инфраструктуру и сложеност рада децентрализованих апликација; развојни тим се налази у Сингапуру. Не тражите од Цхаинстацк-а да продаје или купује криптовалуте, већ понудите разговор о пословним блокчејн оквирима и они ће вам радо одговорити.

кормило

Ово је менаџер пакета (графикона) за Кубернетес. Најинтуитивнији и универзалнији начин за довођење апликација у Кубернетес кластер.

Ми, наравно, говоримо о више структурном и индустријском приступу од креирања сопствених ИАМЛ манифеста и писања малих услужних програма.

Хелм је најбоље што је тренутно доступно и популарно.

Зашто Хелм? Пре свега зато што га подржава ЦНЦФ. Цлоуд Нативе је велика организација и матична је компанија за пројекте Кубернетес, етцд, Флуентд и друге.

Још једна важна чињеница је да је Хелм веома популаран пројекат. Када сам почео да причам о томе како да Хелм буде сигуран у јануару 2019, пројекат је имао хиљаду звездица на ГитХубу. До маја их је било 12 хиљада.

Многи људи су заинтересовани за Хелм, па чак и ако га још увек не користите, имаћете користи од сазнања о његовој безбедности. Сигурност је важна.

Основни Хелм тим подржава Мицрософт Азуре и стога је прилично стабилан пројекат, за разлику од многих других. Издавање Хелм 3 Алпха 2 средином јула указује да има доста људи који раде на пројекту и да имају жељу и енергију да развијају и унапређују Хелм.

Хелм решава неколико основних проблема управљања апликацијама у Кубернетесу.

• Паковање апликације. Чак се и апликација попут „Здраво, свет“ на ВордПрессу већ састоји од неколико услуга, а ви желите да их спакујете заједно.
• Управљање сложеношћу која долази са управљањем овим апликацијама.
• Животни циклус који се не завршава након што се апликација инсталира или примени. Он наставља да живи, треба га ажурирати, а Хелм помаже у томе и покушава да донесе праве мере и политике за то.

Паковање организован је на јасан начин: постоје метаподаци у потпуности у складу са радом редовног менаџера пакета за Линук, Виндовс или МацОС. То јест, спремиште, зависности од различитих пакета, мета информације за апликације, подешавања, конфигурационе карактеристике, индексирање информација итд. Хелм вам омогућава да добијете и користите све ово за апликације.

Управљање комплексношћу. Ако имате много апликација истог типа, онда је потребна параметризација. Шаблони потичу из овога, али уместо да морате да смислите сопствени начин креирања шаблона, можете користити оно што Хелм нуди из кутије.

Управљање животним циклусом апликације - по мом мишљењу, ово је најзанимљивије и нерешено питање. Због тога сам дошао у Хелм још у то време. Морали смо да пазимо на животни циклус апликације и желели смо да преместимо наше ЦИ/ЦД и циклусе апликација на ову парадигму.

Хелм вам омогућава да:

• управља имплементацијама, уводи концепт конфигурације и ревизије;
• успешно извршити враћање;
• користите куке за различите догађаје;
• додајте додатне провере апликација и одговорите на њихове резултате.

Штавише Кормило има "батерије" - огроман број укусних ствари које се могу укључити у облику додатака, поједностављујући ваш живот. Додаци се могу писати независно, прилично су изоловани и не захтевају хармоничну архитектуру. Ако желите нешто да имплементирате, препоручујем да то урадите као додатак, а затим га евентуално укључите у узводно.

Хелм се заснива на три главна концепта:

• Цхарт Репо — опис и низ могућих параметризација за ваш манифест. 
• цонфиг —односно, вредности које ће бити примењене (текст, нумеричке вредности, итд.).
• Отпустите прикупља две горње компоненте и заједно се претварају у Ослободјење. Издања могу бити верзионирана, чиме се постиже организован животни циклус: мали у време инсталације и велики у време надоградње, ниже верзије или враћања.

Архитектура кормила

Дијаграм концептуално приказује Хелмову архитектуру високог нивоа.

Да вас подсетим да је Хелм нешто везано за Кубернетес. Дакле, не можемо без Кубернетес кластера (правоугаоника). Компонента кубе-аписервер налази се на мастеру. Без Хелма имамо Кубецонфиг. Хелм доноси један мали бинарни, ако се тако може назвати, Хелм ЦЛИ услужни програм, који се инсталира на рачунар, лаптоп, мејнфрејм - на било шта.

Али ово није довољно. Хелм има компоненту сервера под називом Тиллер. Она представља интересе Хелма у оквиру кластера; то је апликација у оквиру Кубернетес кластера, као и свака друга.

Следећа компонента Цхарт Репо-а је спремиште са графиконима. Постоји службени репозиториј, а може постојати и приватни репозиториј компаније или пројекта.

Интеракција

Хајде да погледамо како компоненте архитектуре комуницирају када желимо да инсталирамо апликацију користећи Хелм.

• Ми говоримо Helm install, приступите спремишту (Цхарт Репо) и набавите Хелм графикон.

• Услужни програм Хелм (Хелм ЦЛИ) ступа у интеракцију са Кубецонфиг-ом како би открио који кластер да контактира. 
• Добивши ове информације, услужни програм се позива на Тиллер, који се налази у нашем кластеру, као на апликацију. 
• Тиллер позива Кубе-аписервер да изврши радње у Кубернетес-у, креира неке објекте (услуге, подове, реплике, тајне, итд.).

Затим ћемо закомпликовати дијаграм да видимо вектор напада којем цела Хелм архитектура као целина може бити изложена. А онда ћемо покушати да је заштитимо.

Вектор напада

Прва потенцијална слаба тачка је привилеговани АПИ-корисник. Као део шеме, ово је хакер који је добио администраторски приступ Хелм ЦЛИ.

Непривилеговани корисник АПИ-ја такође може представљати опасност ако се налази негде у близини. Такав корисник ће имати другачији контекст, на пример, може се фиксирати у једном именском простору кластера у подешавањима Кубецонфиг-а.

Најинтересантнији вектор напада може бити процес који се налази унутар кластера негде близу Тилера и може му приступити. Ово може бити веб сервер или микросервис који види мрежно окружење кластера.

Егзотична, али све популарнија варијанта напада укључује Цхарт Репо. Табела коју је направио бескрупулозан аутор може садржати несигурне ресурсе, а ви ћете је довршити тако што ћете је прихватити на веру. Или може заменити графикон који преузмете из званичног спремишта и, на пример, креирати ресурс у облику смерница и ескалирати његов приступ.

Хајде да покушамо да одбранимо нападе са све ове четири стране и откријемо где у Хелм архитектури има проблема, а где их, можда, нема.

Хајде да увећамо дијаграм, додамо још елемената, али задржимо све основне компоненте.

Хелм ЦЛИ комуницира са Цхарт Репо-ом, ступа у интеракцију са Кубецонфигом, а посао се преноси у кластер на компоненту Тиллер.

Тиллер је представљен са два објекта:

• Тиллер-деплои свц, који открива одређену услугу;
• Тиллер-деплои под (на дијаграму у једној копији у једној реплици), на којој се покреће целокупно оптерећење, које приступа кластеру.

За интеракцију се користе различити протоколи и шеме. Са безбедносне тачке гледишта, највише нас занима:

• Механизам помоћу којег Хелм ЦЛИ приступа репо-у графикона: који протокол, постоји ли аутентификација и шта се може урадити са њим.
• Протокол којим Хелм ЦЛИ, користећи кубецтл, комуницира са Тиллер-ом. Ово је РПЦ сервер инсталиран унутар кластера.
• Сам Тиллер је доступан микросервисима који се налазе у кластеру и комуницирају са Кубе-аписервером.

Хајде да разговарамо о свим овим областима по реду.

РБАЦ

Нема смисла говорити о било каквој безбедности за Хелм или било коју другу услугу у оквиру кластера осим ако није омогућен РБАЦ.

Чини се да ово није најновија препорука, али сам сигуран да многи још увек нису омогућили РБАЦ чак ни у продукцији, јер је велика гужва и много тога треба да се конфигурише. Међутим, охрабрујем вас да то урадите.

https://rbac.dev/ — веб сајт адвокат за РБАЦ. Садржи огромну количину занимљивих материјала који ће вам помоћи да поставите РБАЦ, показати зашто је добар и како у основи живети са њим у производњи.

Покушаћу да објасним како функционишу Тилер и РБАЦ. Тиллер ради унутар кластера под одређеним сервисним налогом. Обично, ако РБАЦ није конфигурисан, ово ће бити суперкорисник. У основној конфигурацији, Тиллер ће бити администратор. Због тога се често каже да је Тиллер ССХ тунел за ваш кластер. У ствари, ово је тачно, тако да можете да користите посебан наменски налог за услугу уместо подразумеваног налога услуге на дијаграму изнад.

Када иницијализујете Хелм и први пут га инсталирате на сервер, можете да подесите налог услуге помоћу --service-account. Ово ће вам омогућити да користите корисника са минималним потребним скупом права. Истина, мораћете да направите такав „венац“: Улога и Везивање улога.

Нажалост, Хелм то неће учинити за вас. Ви или ваш администратор Кубернетес кластера морате унапред да припремите скуп улога и веза улога за налог услуге да бисте прошли Хелм.

Поставља се питање – која је разлика између Роле и ЦлустерРоле? Разлика је у томе што ЦлустерРоле ради за све просторе имена, за разлику од регуларних улога и веза улога, који раде само за специјализовани простор имена. Можете да конфигуришете смернице за цео кластер и све именске просторе или персонализоване за сваки простор имена појединачно.

Вреди напоменути да РБАЦ решава још један велики проблем. Многи људи се жале да Хелм, нажалост, није мултитенанци (не подржава вишестанарство). Ако више тимова користи кластер и користи Хелм, у основи је немогуће поставити политике и ограничити њихов приступ унутар овог кластера, јер постоји одређени сервисни налог под којим Хелм ради и он креира све ресурсе у кластеру испод њега , што је понекад веома незгодно. Ово је тачно - као сама бинарна датотека, као и процес, Хелм Тиллер нема концепт вишестанарства.

Међутим, постоји одличан начин који вам омогућава да покренете Тиллер више пута у кластеру. Нема проблема са овим, Тиллер се може покренути у сваком именском простору. Дакле, можете користити РБАЦ, Кубецонфиг као контекст и ограничити приступ посебном Хелм-у.

То ће изгледати овако.

На пример, постоје два Кубецонфига са контекстом за различите тимове (два простора имена): Кс тим за развојни тим и кластер администратора. Админ кластер има свој широки Тиллер, који се налази у простору имена Кубе-система, одговарајућем напредном сервисном налогу. И посебан именски простор за развојни тим, они ће моћи да имплементирају своје услуге у посебан простор имена.

Ово је изводљив приступ, Тиллер није толико гладан енергије да би то у великој мери утицати на ваш буџет. Ово је једно од брзих решења.

Слободно конфигуришите Тиллер посебно и обезбедите Кубецонфиг-у контекст за тим, за одређеног програмера или за окружење: Дев, Стагинг, Продуцтион (сумњиво је да ће све бити на истом кластеру, међутим, то се може урадити).

Настављајући нашу причу, пређимо са РБАЦ-а и причамо о ЦонфигМапс-у.

ЦонфигМапс

Хелм користи ЦонфигМапс као складиште података. Када смо причали о архитектури, нигде није постојала база података која би чувала информације о издањима, конфигурацијама, враћањима, итд. ЦонфигМапс се користи за ово.

Главни проблем са ЦонфигМапс-овима је познат – они су у принципу несигурни; немогуће је чувати осетљиве податке. Говоримо о свему што не би требало да иде даље од услуге, на пример, лозинке. Најприроднији начин за Хелм тренутно је прелазак са коришћења ЦонфигМапс-а на тајне.

Ово се ради врло једноставно. Заобиђите поставку Тиллер и наведите да ће складиште бити тајне. Тада за сваку примену нећете добити ЦонфигМап, већ тајну.

Могли бисте тврдити да су саме тајне чудан концепт и да нису баш сигурни. Међутим, вреди разумети да сами програмери Кубернетеса то раде. Почевши од верзије 1.10, тј. Већ неко време је могуће, барем у јавним облацима, повезати исправну меморију за складиштење тајни. Тим сада ради на начинима да боље дистрибуира приступ тајнама, појединачним подовима или другим ентитетима.

Боље је пренети Стораге Хелм у тајне, а оне су, заузврат, обезбеђене централно.

Наравно да ће остати ограничење складиштења података од 1 МБ. Хелм овде користи етцд као дистрибуирано складиште за ЦонфигМапс. И тамо су сматрали да је ово одговарајући комад података за репликацију, итд. Постоји занимљива дискусија о овоме на Реддиту, препоручујем да пронађете ово смешно штиво за викенд или прочитате одломак овде.

Цхарт Репос

Графикони су социјално најугроженији и могу постати извор „Човека у средини“, посебно ако користите стандардно решење. Пре свега, говоримо о репозиторијумима који су изложени преко ХТТП-а.

Дефинитивно морате да изложите Хелм Репо преко ХТТПС-а - ово је најбоља опција и јефтина је.

Напомена механизам потписа графикона. Технологија је једноставна као пакао. Ово је иста ствар коју користите на ГитХубу, обичној ПГП машини са јавним и приватним кључевима. Подесите и будите сигурни, поседујући потребне кључеве и потписујући све, да је ово заиста ваш графикон.

Поред тога, Хелм клијент подржава ТЛС (не у ХТТП смислу на страни сервера, већ у узајамном ТЛС-у). Можете користити серверске и клијентске кључеве да бисте комуницирали. Да будем искрен, не користим такав механизам јер не волим међусобне сертификате. У основи, цхартмусеум - главни алат за подешавање Хелм Репо за Хелм 2 - такође подржава основну аутх. Можете користити основни аутх ако је згодније и тише.

Постоји и додатак хелм-гцс, што вам омогућава да хостујете Цхарт Репос на Гоогле Цлоуд Стораге-у. Ово је прилично згодно, одлично ради и прилично је безбедно, јер се сви описани механизми рециклирају.

Ако омогућите ХТТПС или ТЛС, користите мТЛС и омогућите основну аутентификацију да додатно смањите ризике, добићете безбедан комуникациони канал са Хелм ЦЛИ и Цхарт Репо.

гРПЦ АПИ

Следећи корак је веома важан - обезбедити Тиллер, који се налази у кластеру и који је, с једне стране, сервер, с друге стране, сам приступа осталим компонентама и покушава да се претвара да је неко.

Као што сам већ рекао, Тиллер је сервис који излаже гРПЦ, Хелм клијент долази до њега преко гРПЦ-а. Подразумевано, наравно, ТЛС је онемогућен. Зашто је то урађено је дискутабилно питање, чини ми се да у старту поједноставим подешавање.

За производњу, па чак и постављање, препоручујем да омогућите ТЛС на гРПЦ-у.

По мом мишљењу, за разлику од мТЛС-а за графиконе, ово је овде прикладно и ради се врло једноставно - генеришите ПКИ инфраструктуру, креирајте сертификат, покрените Тиллер, пренесите сертификат током иницијализације. Након овога, можете извршити све Хелм команде, представљајући се са генерисаним сертификатом и приватним кључем.

На овај начин ћете се заштитити од свих захтева Тиллер-у изван кластера.

Дакле, обезбедили смо канал везе са Тиллер-ом, већ смо разговарали о РБАЦ-у и прилагодили права Кубернетес аписервера, смањујући домен са којим може да комуницира.

Протецтед Хелм

Погледајмо коначни дијаграм. То је иста архитектура са истим стрелицама.

Све везе сада могу безбедно да се нацртају зеленом бојом:

• за Цхарт Репо користимо ТЛС или мТЛС и основни аутх;
• мТЛС за Тиллер, а изложен је као гРПЦ сервис са ТЛС-ом, користимо сертификате;
• кластер користи посебан сервисни налог са Роле и РолеБиндинг. 

Ми смо значајно обезбедили кластер, али неко паметан је рекао:

„Може постојати само једно апсолутно безбедно решење – искључен компјутер, који се налази у бетонској кутији и чувају га војници.

Постоје различити начини за манипулацију подацима и проналажење нових вектора напада. Међутим, уверен сам да ће ове препоруке постићи основни индустријски стандард за безбедност.

Бонус

Овај део није директно везан за безбедност, али ће такође бити користан. Показаћу вам неке занимљиве ствари за које мало људи зна. На пример, како претраживати графиконе - званичне и незваничне.

У спремишту гитхуб.цом/хелм/цхартс Сада постоји око 300 графикона и два тока: стабилан и инкубатор. Свако ко доприноси одлично зна колико је тешко доћи од инкубатора до штале, а колико је лако излетети из штале. Међутим, ово није најбоља алатка за тражење графикона за Прометеј и шта год желите, из једног једноставног разлога - то није портал на којем можете лако претраживати пакете.

Али постоји услуга хуб.хелм.сх, што чини много практичнијим проналажење графикона. Што је најважније, постоји много више екстерних спремишта и скоро 800 доступних привесака. Осим тога, можете повезати своје спремиште ако из неког разлога не желите да пошаљете своје графиконе у стабилну.

Пробајте хуб.хелм.сх и хајде да га развијемо заједно. Ова услуга је у оквиру Хелм пројекта, а можете чак и допринети њеном корисничком интерфејсу ако сте фронт-енд програмер и само желите да побољшате изглед.

Такође бих желео да вам скренем пажњу на Отворите Сервице Брокер АПИ интеграцију. Звучи гломазно и нејасно, али решава проблеме са којима се сви суочавају. Дозволите ми да објасним на једноставном примеру.

Постоји Кубернетес кластер у коме желимо да покренемо класичну апликацију – ВордПресс. Генерално, база података је потребна за пуну функционалност. Постоји много различитих решења, на пример, можете покренути сопствену услугу са пуним стањем. Ово није баш згодно, али многи људи то раде.

Други, попут нас у Цхаинстацк-у, користе управљане базе података као што су МиСКЛ или ПостгреСКЛ за своје сервере. Зато се наше базе података налазе негде у облаку.

Али јавља се проблем: морамо да повежемо нашу услугу са базом података, креирамо укус базе података, пренесемо акредитиве и некако управљамо њима. Све ово обично ради ручно администратор система или програмер. И нема проблема када има мало апликација. Кад их има много, потребан вам је комбајн. Постоји такав комбајн - то је Сервице Брокер. Омогућава вам да користите посебан додатак за јавни кластер и наручите ресурсе од провајдера преко Брокера, као да је АПИ. Да бисте то урадили, можете користити изворне Кубернетес алате.

Врло је једноставно. Можете поставити упит, на пример, за Манагед МиСКЛ у Азуре-у са основним нивоом (ово се може конфигурисати). Користећи Азуре АПИ, база података ће бити креирана и припремљена за употребу. Не морате да се мешате у ово, додатак је одговоран за ово. На пример, ОСБА (Азуре додатак) ће вратити акредитиве сервису и проследити их Хелму. Моћи ћете да користите ВордПресс са МиСКЛ-ом у облаку, уопште нећете да се бавите управљаним базама података и не бринете о услугама које испуњавају стање унутра.

Можемо рећи да Хелм делује као лепак који вам, с једне стране, омогућава постављање услуга, ас друге, трошење ресурса провајдера у облаку.

Можете написати сопствени додатак и користити целу ову причу на лицу места. Тада ћете једноставно имати свој додатак за корпоративног Цлоуд провајдера. Препоручујем да испробате овај приступ, посебно ако имате велику скалу и желите да брзо примените програм за развој, постављање или целу инфраструктуру за функцију. Ово ће олакшати живот вашим операцијама или ДевОпс-у.

Још једно откриће које сам већ споменуо је хелм-гцс додатак, што вам омогућава да користите Гоогле-буцкет (складиште објеката) за складиштење Хелм графикона.

Потребне су вам само четири команде да бисте почели да га користите:

1. инсталирајте додатак;
2. покренути га;
3. поставите путању до канте, која се налази у гцп-у;
4. објавити графиконе на стандардни начин.

Лепота је у томе што ће се за ауторизацију користити нативни гцп метод. Можете да користите налог услуге, налог програмера, шта год желите. Веома је згодан и не кошта ништа за рад. Ако и ви, попут мене, промовишете филозофију без опса, онда ће ово бити веома згодно, посебно за мале тимове.

Алтернатива

Хелм није једино решење за управљање услугама. Постоји много питања о томе, због чега се вероватно тако брзо појавила трећа верзија. Наравно да постоје алтернативе.

То могу бити специјализована решења, на пример, Ксоннет или Метапартицле. Можете користити своје класичне алате за управљање инфраструктуром (Ансибле, Терраформ, Цхеф, итд.) за исте сврхе о којима сам говорио.

Коначно постоји решење Оператор Фрамеворк, чија популарност расте.

Оператор Фрамеворк је најбоља алтернатива Хелму коју треба размотрити.

Више је изворни за ЦНЦФ и Кубернетес, али је баријера за улазак много већа, морате више програмирати и мање описати манифесте.

Постоје разни додаци, као што су Драфт, Сцаффолд. Они знатно олакшавају живот, на пример, поједностављују циклус слања и покретања Хелм-а за програмере да би применили тестно окружење. Ја бих их назвао оснаживачима.

Ево визуелног графикона где се све налази.

На к-оси је ниво ваше личне контроле над оним што се дешава, на и-оси је ниво нативности Кубернетеса. Верзија кормила 2 пада негде у средини. У верзији 3, не енормно, али и контрола и ниво нативности су побољшани. Решења на нивоу Ксоннета су и даље инфериорна чак и у односу на Хелм 2. Међутим, вреди их погледати да бисте сазнали шта је још на овом свету. Наравно, ваш менаџер конфигурације ће бити под вашом контролом, али апсолутно није изворни за Кубернетес.

Оператор Фрамеворк је апсолутно изворни за Кубернетес и омогућава вам да њиме управљате много елегантније и скрупулозније (али запамтите почетни ниво). Уместо тога, ово је погодно за специјализовану апликацију и креирање управљања за њу, а не за масовни комбајн за паковање огромног броја апликација користећи Хелм.

Екстендери једноставно мало побољшавају контролу, допуњују ток посла или смањују углове на ЦИ/ЦД цевоводима.

Будућност Хелма

Добра вест је да долази Хелм 3. Алфа верзија Хелм 3.0.0-алпха.2 је већ објављена, можете је испробати. Прилично је стабилан, али је функционалност и даље ограничена.

Зашто вам треба Хелм 3? Пре свега, ово је прича о нестанак Тилера, као компонента. Ово је, као што већ разумете, огроман корак напред, јер је са становишта безбедности архитектуре све поједностављено.

Када је креиран Хелм 2, што је било отприлике у време Кубернетеса 1.8 или чак раније, многи концепти су били незрели. На пример, концепт ЦРД се сада активно примењује, а Хелм ће користите ЦРДза складиштење структура. Биће могуће користити само клијент, а не одржавати серверски део. Сходно томе, користите изворне Кубернетес команде за рад са структурама и ресурсима. Ово је огроман корак напред.

Појавиће подршка за матична ОЦИ спремишта (Иницијатива за отворене контејнере). Ово је огромна иницијатива, а Хелм је заинтересован првенствено за постављање својих графикона. Долази до тога да, на пример, Доцкер Хуб подржава многе ОЦИ стандарде. Не нагађам, али можда ће класични добављачи Доцкер спремишта почети да вам дају прилику да угостите њихове Хелм карте.

Контроверзна прича за мене је Луа подршка, као механизам за креирање шаблона за писање скрипти. Нисам велики обожаватељ Луа-е, али ово би била потпуно опциона функција. Проверио сам ово 3 пута - коришћење Луа-е неће бити потребно. Стога, они који желе да могу да користе Луа, они који воле Го, придруже се нашем огромном кампу и користе го-тмпл за ово.

Коначно, оно што ми је дефинитивно недостајало је појављивање шеме и валидација типа података. Неће више бити проблема са инт или стрингом, нема потребе да се нула умотава у двоструке наводнике. Појавиће се ЈСОНС шема која ће вам омогућити да то експлицитно опишете за вредности.

Биће у великој мери прерађен модел вођен догађајима. Већ је концептуално описано. Погледајте грану Хелм 3, и видећете колико догађаја и хоокова и других ствари је додато, што ће у великој мери поједноставити, а са друге стране додати контролу над процесима распоређивања и реакцијама на њих.

Хелм 3 ће бити једноставнији, сигурнији и забавнији, не зато што нам се не свиђа Хелм 2, већ зато што Кубернетес постаје све напреднији. Сходно томе, Хелм може да користи развој Кубернетеса и на њему креира одличне менаџере за Кубернетес.

Још једна добра вест је то ДевОпсЦонф Александар Хајоров ће вам рећи, могу ли контејнери бити сигурни? Подсетимо, конференција о интеграцији процеса развоја, тестирања и рада биће одржана у Москви 30. септембра и 1. октобра. Још увек то можете учинити до 20. августа поднети извештај и реците нам своје искуство са решењем један од многих задаци ДевОпс приступа.

Пратите контролне тачке конференције и вести на списак адреса и телеграм канал.

Извор: ввв.хабр.цом