Essa apresentação demonstra a produção segura de Containers com Kubernetes e CoreOS pelo SERPRO e foi dada no QCON SP 17.

1. Produção segura de
Containers com
Kubernetes e
CoreOS

2. Os problemas originais
● Lentidão na criação de Infraestrutura
● Lentidão na resolução de problemas
● Diversidade de plataformas cada vez maior
● Soluções cada vez mais complexas
● Falta de um padrão de produção de serviços
● Crescimento exponencial de servidores

4. Projeto Estaleiro

5. Os novos problemas - Segurança
Novas soluções trazem novos
problemas :(

6. Os novos problemas - Segurança
1) Infraestrutura segura para produção de Containers
2) Novos poderes para o desenvolvimento
a) Desenvolvimento define recursos
b) Nova mentalidade: Viabilizar e auditar ao invés de restringir e
embarreirar
3) Projetos de clientes distintos coexistindo na mesma infraestrutura
física
4) O fim das redes lógicas (e da segmentação física)

8. Problema 1 - Infra para produção de Containers
CoreOS Container Linux - Sistema minimalista para execução de Containers
Fonte: https://coreos.com/products/container-linux-subscription/

9. Problema 1 - Infra para produção de Containers
Container Linux - Atualização
Fonte: https://infoslack.com/devops/coreos-first-impressions

10. Problema 2 - Grandes poderes, grandes responsabilidades

11. Problema 2 - Grandes poderes, grandes responsabilidades

12. Problema 2 - Grandes poderes, grandes responsabilidades
● Para cada acesso à API do Kubernetes uma entrada de auditoria é
gerada, com as seguintes informações:
○ ID da requisição
○ Quando
○ Quem (usuário e IP)
○ Onde (namespace e objeto do Kubernetes)
○ Conseguiu? - Essa auditoria é uma linha à parte, com o mesmo ID da
requisição e o Return Code da transação
● Demo time

13. Problema 3 - Segregação de projetos e papéis

14. Problema 3 - Segregação de papéis e projetos
● Cada um no seu quadrado
○ Desenvolvedor
○ Gerente de Projeto
○ Administrador do ambiente
● Controle de recursos - Quotas e limites.
○ Pay per Use - Mas sem acabar com os recursos do ambiente
○ CPU e memória, quantidade de PODs, Containers, objetos, etc
● Demo Time

15. Problema 4 - Segregação de rede
● A maior preocupação das equipes de Segurança
○ Uma aplicação chamando outra indevidamente
○ Uma aplicação chamando o ambiente tradicional indevidamente
○ Uma aplicação indo na Internet indevidamente (Facebook,
Wikipedia..)
○ Falta de rastreabilidade de rede (quem chamou e quando?)
○ Normas federais, Sindicâncias, auditorias, Polícia Federal :)

16. Problema 4 - Segregação de rede

17. Problema 4 - Segregação de rede
● Containers não tem IP fixo
○ Regras aplicadas por ‘labels’
○ Regras com origem de uma label (namespace, deployment) e com
destino a outra label e porta
○ Saída para Internet controlada por proxy autenticado - WIP
○ “Segmentação” da rede de Containers - Homologação e Produção
○ Saída para rede tradicional controlada por Firewall Lógico
○ Subsistema de rede: Calico
● Demo time

18. Dúvidas?
Agradeço pela atenção.
Ricardo Pchevuzinske Katz
ricardo.katz@serpro.gov.br
ricardo.katz@gmail.com
@katzsp