Archive pour la catégorie ‘Blog’
Démonstration de Helm avec Kubernetes et RBAC
Ce court billet permet juste de formaliser les étapes nécessaires à l'installation d'un Wordpress via Helm sur Minikube. Pour rappel, Helm est la partie client (i.e le nom du binaire client) et Tiller est la partie serveur installé sur le cluster Kubernetes. Etape 1 : Installer minikube, kubectl et helm sur votre OS Etape 2 : Lancer minikube : $ minikube start Vérifier que le kubectl addresse le bon contexte : $ kubectl cluster-info Kubernetes master is ...
Linux Capabilities en environnement Docker/Kubernetes
Nous nous sommes intéressés récemment aux Linux Capabilities , dans le cadre de durcissement de containers Docker ou de cluster Kubernetes. Il existe de nombreuses références à ce sujet sur Internet et dépasse l'objet de cet article. Les Capabilities , intégrées aux Kernel Linux, permettent de décrire finement les droits nécessaires à un exécutable et sont référencées ici. Celles qui nous intéressent le ...
Automatisation et SDN
Parmi les nouveaux termes de l'écosystème SDN et NFV, les termes d'Automatisation (ou en anglais Automation) et d' "Infrastructure as Code" sont souvent mis en avant. Le but de cet article est de positionner ces langages, ces technologies, ces outils et concepts. Nous rappelons que le concept global de SDN dépasse de loin l'automatisation des tâches: le but est de piloter de façon logicielle et centralisée le réseau au profit des nouveaux usages (containers, NFV, VM ..).
Taxonomie des solutions SD-WAN
Rappelons en introduction que le SD-WAN (Software-Defined WAN) est une des déclinaisons du SDN : le réseau (WAN en l'occurrence) est piloté et monitoré de façon centralisée afin de prendre en temps réel les meilleures décisions d'acheminement de flux en fonctions de multiples critères (temps de transit, perte de paquets, latence, coût , bande passante des liens..) . [caption id="attachment_3615" align="aligncenter" width="628"]
VXLAN et MP-BGP EVPN
Dans un précédent article nous avons présenté VLXAN. STT, NVGRE et GENEVE sont d'autres exemples de protocoles d'encapsulation qui permettent de construire un overlay (à la manière d'IPSEC dans certains déploiements de Kubernetes sur un Cloud public) pour des réseaux de type SDN. Un point d'attention particulier est la façon dont les points de terminaison (VTEP : VXLAN Tunnel EndPoint) découvrent leurs pairs et renseignent la table de correspondance (ou mapping) @MAC <=> VTEP. [caption id="attachment_3588" align="aligncenter" width="441"]
Network Slicing, NFV et 5G
Une question qui revient souvent lors de discussions avec nos clients ou lors de nos formations : "En quoi la 5G nécessite SDN & NFV" ? Dès le début des travaux sur la 5G par les acteurs de la recherche et de l'industrie, il était clair que la 5G devaot traiter beaucoup de type d'usage que les générations de technologies radio précédentes. Celles-ci se concentraient sur le transport de la voix, puis de la voix et des ...
Supervision de containers Docker
Parmi les sujets à traiter lors de la mise en oeuvre ou le maintien en conditions opérationnelles d'une infrastructure de containers, la supervision tient une place importante. En effet, les adresse IPs et les ports des containers sont éphémères, et les solutions classiques (telles Nagios ou Cacti) ne sont plus adaptées à surveiller des flottes d'objets dont les adresses IP ne sont pas statiques et dont le nombre fluctue à dessein (principe de l'auto-scale). Prometheus est ...
Sécurité d’un container Docker
Nous sommes amenés à réaliser des études d'architecture incluant le volet sécurité sur des infrastructures PaaS privées ou publiques, à base de containers (ou conteneurs) Docker. De par nos expériences, nous avons établi une liste de points d'attention que nous partageons avec nos lecteurs : Confiance dans le Repository d'image de containers (tels que AWS ECS ou DockerHub) Sécurité de l'image (configuration et version des composants applicatifs notamment, mais aussi gestion des secrec) Gestion ...
Echanger des routes entre plusieurs VRF
Introduction Pour des raisons de cout, de flexibilité et/ou de maintenance, il est parfois nécessaire de réduire le nombre d’équipement sur un site et cela conduit parfois à mixer plusieurs contexte sécuritaire. Dans ce cas, il se peut donc qu’un même routeur dispose d’interface sur un réseau de DATA et un réseau de vidéosurveillance par exemple mais nous ne souhaitons surtout pas que les utilisateurs du réseau de data puisse aller visionner le flux vidéo. Nous allons ...
Comment détecter et bloquer les visiteurs web malveillants ?
Retrouvez notre webinar en ligne sur notre chaîne Youtube! Cyber-criminels , hackers, concurrents : ils ralentissent votre site web mais ne commanderont jamais vos services et produits ! Au cours de ce webinar, nous vous donnons 6 conseils pour les détecter et les bloquer. https://www.youtube.com/watch?v=NyB3P-1Nh4k&authuser=0
TIL By default, #Kubernetes disables the @Docker default Seccomp profile that @jessfraz worked so hard on. Several K8s cloud providers don’t override that setting, making their containers completely insecure by default, requiring pod level config. kubernetes.io/docs/concepts/…
