Vadim

ssl.truststore.location=/opt/ssl/kafka1.truststore ssl.truststore.password=pass super.users=User:admin sasl.enabled.mechanisms=SCRAM-SHA-256 sasl.mechanism.inter.broker.protoc...

подскажите как можно это поддержать ? Должно мониториться (проверяться), что все внешние соединения ПОДов шифрованы (только протокол TLS). Должны запрещаться нешифрованные вн...

Как продюсеры пишут без инстинк реплик? Acks 1 стоит?

сделал так, не выдал ли лишнего... для группы сузить надо наверное, что то типо на чтение только? читать из группы теперь ошибки нет /opt/qkafka/bin/kafka-acls.sh --bootstrap-...

какой золотой набор приложух или практик для обеспечения безопасности в kubernetes ?

1. security best practice настройки самого куба, 2. network policy 3. Ограничения для сущностей в кубе (pod security admission через pod security standarts или kyverno) 4. Огр...

как то можно ограничить доступ админа кубера к ресурсам куда имеют доступ сервисы установленные в кубере? как организовать хранение секретных настроек чтобы к ним админ кубера...

кубер на чем лучше работает на Astra или Alt linux, кто-нибудь выбирал из этого, что выбрали?

коллеги, слышал бест практис, чтобы сервис в кубере запускался независимо от внешних зависимостей, реально делаете чтобы сервис стартовал успешно, даже если у него допустим Б...

коллеги а данные кафки бэкапят вообще? на уровне файлов если забэкапить можно будет восстановиться потом?

Если kubernetes audit log в webhook плагина Falco k8saudit запихнуть, его нельзя будет куда-то ещё в эластик послать? А чтение лога аудита из файла пишут не рекомендуется, чис...

а мониторинг кубера и сервисов в нем через mertricbeat- elastic-kibana использует кто-нибудь? чем оно намного хуже прометеуса?

у меня 3600 топиков, 80000 партиций, 2500 консьюмер групп, версия кафки 2.7.2 , работает все хуже, некоторые запросы по таймауту падают, видимо из-за большого кол-ва метаданны...

как из containerd доступ к приватному репозиторию настроить? делаю как в доке https://github.com/containerd/containerd/blob/master/docs/cri/registry.md [plugins."io.contain...

коллеги, есть смысл поначалу простые сетевые политики через стандартное АПИ создавать? А если чего-то не достаточно в нем, досоздать специфичным для CNI апи? или лучше на всяк...

какой наименее ресурсоемкий способ через kafkacat проверить что брокер запущен и работает? /usr/bin/kafkacat -b localhost:9092 -L использую, но оно весь список топиков зачиты...

коллеги для перекидывания сообщений из одной кафки в другую чем лучше пользоваться? перекидывать оффсеты, консьюмер группы не надо пробовал kcat (kafkacat) но не получается им...

подскажите каким инструментов сообщения из одного кластер в другой перекидывать в другой топик без метаданных? сейчас uReplicator использую, в стандартном MM2 не хватало возм...

heapdump снялся по OOM, открыл его, а там из 10гигов, 5 гигов unreachable мапа, а поток который выдал OOM всего 1.8 гига, ок это неважно память была занята другими объектами...

кроме openssl чем сертификаты подписывать? в нем баг неприятный что поле SAN теряется, а через конфигурационный файл как в доке сказано что-то муторно, может лучше другой ту...