Mikhail [azalio] Petrov

Вряд ли я это произнесу со сцены, но мне нравится шутка. CNI chaining — как секс у подростков: все про него говорят, но на деле почти никто не пробовал. И самое смешное - те, кто пробовал, сделали это неправильно.

Ну, поехали 🙂 https://aot-kuberconf.ru/

Я думаю вас никогда так не рикролили :) Рассказываю сегодня про l2 анонсы в #cilium.

GKE metadata-proxy: элегантный способ получения JWT без дыр в RBAC Недавно беседовали с коллегой про Workload Identity Federation в GKE и выяснилось, что не все знают, как metadata-proxy получает JWT токен от имени пода. А вы знаете, как это работает под капотом? Что такое WIF? Простая идея: токен пода обменивается на cloud token для доступа к облачным API. Никаких статических ключей! Два подхода к безопасности: ❌ Небезопасный подход (как в эмуляторе): rules: - apiGroups: [""] resources: [serviceaccounts/token] verbs: [create] Критическая уязвимость! Такая роль позволяет получить JWT токен от ЛЮБОГО ServiceAccount в кластере! ✅ Элегантное решение GKE: 1...

Да не пропал я никуда! Не пропал! Вот, положила: https://t.me/azalio_tech_summary