172 похожих чатов

А как думаете, там еще требование шифровать database files. Сильно

ли это влияет на latency запросов записи в базу? Правда в той же mongodb encrypt данных вообще только в enterprise (благо есть percona)

32 ответов

29 просмотров

шифруй диски, лол, luks и все дела

George Gaál
шифруй диски, лол, luks и все дела

Там будет просадки по IOPS )))

zeleniumex
Там будет просадки по IOPS )))

В зависимости что за железо, если какойнибудь аппаратный рейд из 8 ssd то просадки и не заметишь

Dmitry-Sergeev 🇺🇦 Автор вопроса
George Gaál
шифруй диски, лол, luks и все дела

ну там хз, там во первых прям четко написано про database files, а не разделы. А во вторых luks мне кажется тормозить будет сильней

Dmitry-Sergeev 🇺🇦 Автор вопроса
zeleniumex
Там будет просадки по IOPS )))

Как показывает практика, LUKS не такой уж и большой оверхед даёт

Dmitry-Sergeev 🇺🇦 Автор вопроса
George Gaál
тогда тебе нужно full disk encryption

А не знаешь случаем. В pv кластеров yandex это можно включить?

Dmitry Sergeev 🇺🇦
А не знаешь случаем. В pv кластеров yandex это мож...

ЯО сейчас вот так шифруют диски https://github.com/yandex-cloud/yc-solution-library-for-security/tree/master/encrypt_and_keys/encrypt_disk_VM, так что можно с 90% уверенностью сказать, что нет такой фичи

Dmitry-Sergeev 🇺🇦 Автор вопроса
George Gaál
напиши архитектору яндекса

а вы логи на worker нодах не шифруете. Ну те что лежат в /var/logs/kubelet ?

Dmitry-Sergeev 🇺🇦 Автор вопроса
zeleniumex
Параноя все хуже ?

не у меня к сожалению. Но судя по всему такие требования от facebook - требует шифровать всё, где присутсвует platform data -) То есть это сразу enryption at rest в базе (либо шифрование раздела, как обсуждали выше). Но есть же еще логи, в логи легко может попасть id юзера, который дал нам facebook, а следовательно по определнию это platform data, а следовательно это требуется шифровать =) Самое забавное что id юзера от facebook это бесполезная херь, он выделяет этот id на приложение, то есть это даже не id в соц. сети. И непонятно зачем с ним так параонить. Но там определение platform data = все что тебе дает facebook, и id в том числе

Dmitry-Sergeev 🇺🇦 Автор вопроса
George Gaál
а ты не пиши в логи

вот да. Но это надо конролировать. Любой же проггер может сделать print в коде =)

George Gaál
а ты не пиши в логи

Я видел другой варик. Логи не пишутся в STDOUT а летят в “коннектор” который по mTLS отправляет в эластик

Dmitry Sergeev 🇺🇦
не у меня к сожалению. Но судя по всему такие треб...

https://medium.com/@danielhuang37/encrypting-all-your-logs-in-2-easy-steps-using-logrotate-and-peacemakr-8ad9cbfe1b4c

Dmitry-Sergeev 🇺🇦 Автор вопроса
zeleniumex
https://medium.com/@danielhuang37/encrypting-all-y...

так это херня. Логи же kubelet складывает. Пока там за ротейтится, один фиг какое-то время они будут не шифрованы. Не, тут походу надо отдельный пул нод делать, где /var/logs будет шифрованный

Dmitry Sergeev 🇺🇦
так это херня. Логи же kubelet складывает. Пока та...

Да об этом не подумал, тут тогда как-то в реалтайме через эту приблуду прогонять с rsyslog демона.

Dmitry-Sergeev 🇺🇦 Автор вопроса
zeleniumex
Да об этом не подумал, тут тогда как-то в реалтай...

kubelet напрямую логи же складывает. В нем вроде нет настройки их перенаправлять в rsyslog

Dmitry-Sergeev 🇺🇦 Автор вопроса
German Vechtomov
у меня один вопрос. зачем такая шиза?

Enforce encryption at rest for all Platform Data storage (e.g., all database files, backups, object storage buckets) Platform Data” means any information, data, or other content you obtain from us, through Platform or through your App, whether directly or indirectly and whether before, on, or after the date you agree to these Terms, including data anonymized, aggregated, or derived from such data. Требование аггрегированные и анонимизированные данные тоже =)

Dmitry-Sergeev 🇺🇦 Автор вопроса
Sergei Monakhov
это cri решает

не факт, вроде таки kubelet https://kubernetes.io/docs/reference/command-line-tools-reference/kubelet/ --container-log-max-files --container-log-max-size

Dmitry Sergeev 🇺🇦
не факт, вроде таки kubelet https://kubernetes.io/...

да ты прав > When using a CRI container runtime, the kubelet is responsible for rotating the logs and managing the logging directory structure. The kubelet sends this information to the CRI container runtime and the runtime writes the container logs to the given location. The two kubelet parameters containerLogMaxSize and containerLogMaxFiles in kubelet config file can be used to configure the maximum size for each log file and the maximum number of files allowed for each container respectively.

Похожие вопросы

Обсуждают сегодня

Господа, а что сейчас вообще с рынком труда на делфи происходит? Какова ситуация?
Rꙮman Yankꙮvsky
29
А вообще, что может смущать в самой Julia - бы сказал, что нет единого стандартного подхода по многим моментам, поэтому многое выглядит как "хаки" и произвол. Короче говоря, с...
Viktor G.
2
30500 за редактор? )
Владимир
47
а через ESC-код ?
Alexey Kulakov
29
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
14
Добрый день! Скажите пожалуйста, а какие программы вы бы рекомендовали написать для того, чтобы научиться управлять памятью? Можно написать динамический массив, можно связный ...
Филипп
7
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
Ребят в СИ можно реализовать ООП?
Николай
33
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Карта сайта