Tecnología I+D

Kubernetes v1.26 comenzó a forzar la "seguridad de los pods" haciendo que Pod Security Admission, de forma predeterminada, esté activo en su forma más restrictiva. Para poder desactivar estas restricciones, se deben implementar Labels en los namespaces requeridos para enforce, audit y warn. Siempre me pareció un poco arbitrario este cambio. Está bien intentar impulsar las mejores prácticas pero hacía falta tener una forma de modificar el comportamiento en forma global. Estoy probando Tanzu Supervisor Cluster v1.29.7 (luego de actualizar vSphere a v8U3 ) y encuentro, con mucho agrado, que ahora podemos configurar Pod Security Admission a nivel global en un cluster de kubernetes directamente en el YAML que usamos para crearlo. Nuevo objeto Cluster Venía usando el objeto TanzuKubernetesCluster para crear nuevos clusters en Tanzu. Ahora se deja de usar en favor del objeto Cluster nativo de Kubernetes. El siguiente es un ejemplo básico de YAML: apiVersion: cluster.x-k8s.io/v1beta...

Existe un problema en el módulo "Execute oc command" disponible en pipelines de Azure Devops para realizar tareas en nuestros clusters de Openshift que supone un gran riesgo de seguridad. Cómo se ejecutan los pipelines Cuando ejecutamos un pipeline de Azure Devops, se crea un proceso en una máquina virtual configurada como agente. El proceso clona el repositorio en una carpeta "efímera" que será borrada luego de la ejecución. Si se ejecutan múltiples pipelines en el mismo agente, cada ejecución tendrá su propia carpeta. Qué hace la tarea "Execute oc command" La tarea "Execute oc command" primero se autentica contra el cluster de Openshift. Para esto hay 3 métodos disponibles: Usando una Service Connection Indicando el archivo kubeconfig que debe utilizar Injectando un kubeconfig "in-line" Cuando usamos la opción de Service Connection, la tarea utiliza el kubeconfig de la carpeta "home" del agente. Esto significa que, cua...

VMware Tanzu clusters, a diferencia de otras soluciones, despliega cluster de Kubernetes sin servicios preinstalados. Somos nosotros los que decidimos qué servicios van en cada cluster. Si no contamos con herramientas como Tanzu Mission Control , el desplieque de los servicios de infraestructura requiere de un poco de conocimiento. En este articulo (y los siguientes) voy a documentar cómo desplegar algunos de los servicios más instalados en los clusters. Helm y Bitnami Para la mayoría de los servicios estoy usando Helm y los servicios, si están disponibles, los obtengo desde el repositorio de Bitnami que contiene las imágenes curadas por VMware. Una vez instalado Helm, agregamos el repositorio de Bitnami: helm repo add bitnami https://charts.bitnami.com/bitnami Cert-Manager y Countour Probablemente el primer servicios que necesitamos en todos los clusters es el de "Ingress" para exponer nuestras aplicaciones con un balanceador capa 7. VMware recomienda el proyecto Co...