2. Os problemas originais
● Lentidão na criação de Infraestrutura
● Lentidão na resolução de problemas
● Diversidade de plataformas cada vez maior
● Soluções cada vez mais complexas
● Falta de um padrão de produção de serviços
● Crescimento exponencial de servidores
6. Os novos problemas - Segurança
1) Infraestrutura segura para produção de Containers
2) Novos poderes para o desenvolvimento
a) Desenvolvimento define recursos
b) Nova mentalidade: Viabilizar e auditar ao invés de restringir e
embarreirar
3) Projetos de clientes distintos coexistindo na mesma infraestrutura
física
4) O fim das redes lógicas (e da segmentação física)
7.
8. Problema 1 - Infra para produção de Containers
CoreOS Container Linux - Sistema minimalista para execução de Containers
Fonte: https://coreos.com/products/container-linux-subscription/
9. Problema 1 - Infra para produção de Containers
Container Linux - Atualização
Fonte: https://infoslack.com/devops/coreos-first-impressions
10. Problema 2 - Grandes poderes, grandes responsabilidades
11. Problema 2 - Grandes poderes, grandes responsabilidades
12. Problema 2 - Grandes poderes, grandes responsabilidades
● Para cada acesso à API do Kubernetes uma entrada de auditoria é
gerada, com as seguintes informações:
○ ID da requisição
○ Quando
○ Quem (usuário e IP)
○ Onde (namespace e objeto do Kubernetes)
○ Conseguiu? - Essa auditoria é uma linha à parte, com o mesmo ID da
requisição e o Return Code da transação
● Demo time
14. Problema 3 - Segregação de papéis e projetos
● Cada um no seu quadrado
○ Desenvolvedor
○ Gerente de Projeto
○ Administrador do ambiente
● Controle de recursos - Quotas e limites.
○ Pay per Use - Mas sem acabar com os recursos do ambiente
○ CPU e memória, quantidade de PODs, Containers, objetos, etc
● Demo Time
15. Problema 4 - Segregação de rede
● A maior preocupação das equipes de Segurança
○ Uma aplicação chamando outra indevidamente
○ Uma aplicação chamando o ambiente tradicional indevidamente
○ Uma aplicação indo na Internet indevidamente (Facebook,
Wikipedia..)
○ Falta de rastreabilidade de rede (quem chamou e quando?)
○ Normas federais, Sindicâncias, auditorias, Polícia Federal :)
17. Problema 4 - Segregação de rede
● Containers não tem IP fixo
○ Regras aplicadas por ‘labels’
○ Regras com origem de uma label (namespace, deployment) e com
destino a outra label e porta
○ Saída para Internet controlada por proxy autenticado - WIP
○ “Segmentação” da rede de Containers - Homologação e Produção
○ Saída para rede tradicional controlada por Firewall Lógico
○ Subsistema de rede: Calico
● Demo time