Познакомим вас с экосистемой Deckhouse и поделимся ключевыми обновлениями, которые внедрили в продукты за год. Расскажем про изменения в ядре и интерфейсе, улучшения в сети и наблюдаемости. Поделимся новостями о запуске виртуализации, новыми фичами для работы с облаками и управляемыми сервисами. И, конечно, затронем вопросы безопасности и сертификации нашей Kubernetes-платформы ФСТЭК России.

Все мы пользуемся системами мониторинга. Но сами по себе метрики не приносят пользы — гораздо важнее то, как мы их интерпретируем. А для верной интерпретации необходимо понимать особенности отображения данных, и здесь зачастую не всё очевидно.

Де-факто стандартом мониторинга стал Prometheus. В докладе мы разберёмся, всегда ли можно доверять данным, которые он предоставляет. Расскажем, в каких случаях данные не соответствуют реальности и почему разработчики реализовали это именно так. В итоге слушатели глубже поймут внутреннее устройство Prometheus и смогут корректно интерпретировать данные с учётом его особенностей.

Мы встречали в компаниях самые разные способы доставки инфраструктурных секретов в приложения. Ни один из них не был одновременно удобным и по-настоящему безопасным. В докладе расскажем, какие варианты доставки секретов существуют и почему нам не понравился ни один из них, а также что побудило нас разработать свой инструмент несмотря на то, что идеального и полного решения для задачи нет.

Kubernetes — это не просто оркестратор контейнеров, а полноценный фреймворк для построения REST API. Его главная сила — гибкость и расширяемость. Однако, в отличие от Django или Spring, где многое работает «из коробки», здесь нужно учитывать множество нюансов. Инструменты мощные, но и подводные камни попадаются довольно часто.

В Deckhouse мы строим API-first систему на Kubernetes. В докладе на реальных примерах расскажу, с какими проблемами при стандартизации API и управлении конфигурациями мы столкнулись. Приведу примеры нюансов работы с API через UI и CLI и покажу, что нужно учитывать для соблюдения контрактов с пользователями.

Благодаря Kubernetes разработчики настолько абстрагировались от инфраструктурных реалий, что теперь им негде применить знания о маске подсети или цепочке в iptables. Эти сложные вещи спрятаны за интерфейсами кластера, причём очень продуманно и эффективно. Но к хорошему быстро привыкаешь, а место для развития всегда есть.

В рамках доклада обсудим, что не так со стандартным Service, как сделать грамотный стык с инфраструктурой, если нет BGP-роутера, как наладить комфортный и надёжный egress gateway и, конечно, его величество VPC. А также затронем тему podsubnet — суверенной области кластера, в которую нельзя лезть с политиками на инфраструктурном уровне.

Что нужно для эффективной работы с Kubernetes? Каким требованиям должны отвечать современные приложения и инструменты оркестрации? Ответим на эти вопросы и обсудим процесс развёртывания DIY K8s от минимального кластера до production ready. А ещё разберём сложности, возникающие при поддержке собственного решения на базе оркестратора, и ситуацию, когда без вендорской платформы точно не обойтись.

Документ «NIST 800-190 Application Container Security Guide» описывает потенциальные проблемы безопасности, связанные с использованием контейнеров, и даёт рекомендации по решению этих проблем. Но сам документ вышел в 2017 году, через два года после релиза Kubernetes 1.0, и с тех пор не обновлялся. С учётом скорости развития технологий это гигантские сроки.

Посмотрим на NIST 800-190 из реалий 2025 года и разберёмся, что в нём до сих пор актуально, что — уже нет, а что можно добавить в документ, чтобы смело использовать сегодня.