В Deckhouse v1.44 появились два новых модуля для поиска угроз безопасности06.04.2023 11:01

На днях вышла очередная стабильная версии нашей Kubernetes-платформы Deckhouse — v1.44. Ключевые изменения в релизе включают в себя появление трех новых модулей и поддержки Istio 1.16.

Два из трех новых модулей относятся к категории безопасности и стали ответом на запросы наших пользователей. На конференции VK Kubernetes Conf 2023, что проходила в конце марта в Москве, руководитель разработки Deckhouse Константин Аксенов выступал с докладом «Стандарты безопасности в Kubernetes» (сейчас доступно его видео, а вскоре мы опубликуем и текстовую версию). Новые модули в Deckhouse стали воплощением некоторых из тех лучших практик безопасности в K8s, о которых рассказывал Константин.

Главные изменения

Релиз Deckhouse v1.44 был объявлен стабильным вместе с выпуском v1.44.4. В платформе появились три новых модуля:

  • operator-trivy. Периодически запускает проверку на уязвимости с помощью Trivy. Чтобы отсканировать какое-либо пространство имен, достаточно навесить на него лейбл security-scanning.deckhouse.io/enabled. Результаты сканирования доступны в Grafana: дашборд Security / Trivy Image Vulnerability Overview.

  • runtime-audit-engine. Как и operator-trivy, модуль предназначен для поиска угроз безопасности. Отличие в том, что runtime-audit-engine анализирует события аудита. Модуль основан на проекте Falco.

  • flow-schema. Настраивает очереди и приоритеты для некоторых запросов к API-серверу, предотвращая его перегрузку. Включен по умолчанию.

Дашборд Grafana по уязвимостям в Kubernetes, генерируемый модулем operator-trivy в Deckhouse

Дашборд Grafana по уязвимостям в Kubernetes, генерируемый модулем operator-trivy в Deckhouse

Другие новшества

  • Добавлена поддержка Istio 1.16. Версии 1.12 и 1.13 отныне считаются устаревшими.

  • Модуль openvpn теперь поддерживает режим high availability (параметр highAvailability). В нем запускаются сразу два экземпляра сервера OpenVPN. Кроме того, можно включить логирование пользовательской активности.

  • Отправка алертов в Telegram через встроенный Alertmanager стала проще: достаточно настроить подключение в параметре telegramConfigs и создать Secret. Дополнительный прокси-сервер больше не нужен.

  • Добавлен алерт, напоминающий о необходимости обновления Kubernetes, поскольку следующая версия Deckhouse — 1.45 — не будет поддерживать версию Kubernetes 1.21.

Полный список изменений, которые появились в Deckhouse v1.44, опубликован в changelog«е.

P.S.

Для знакомства с платформой Deckhouse рекомендуем раздел «Быстрый старт» (доступен на русском и английском языках).

Полезные ссылки на ресурсы проекта:

Читайте также в нашем блоге:

© Habrahabr.ru