ref: https://medium.com/k8slens/most-popular-lens-extensions-june-2021-8f88ef79aab6

這篇文章是作者推薦 Lens 這套 Kubernetes Dashboard 上相當熱門的擴充功能。

1. Mirantis Container Cloud Extensions
這項功能是由 Mirantis 所開發的，可以讓使用者更輕鬆的去使用 Mirantis Container Cloud 上的資源

2. Starboard Extension
該擴充功能是由 Aqua Security 所開發的功能，可以更方便地去檢視 Kubernetes 中部署 Image 的安全性報告，
該報告主要會列出該 Image 已知的 vulnerability 列表。

3. Kubernetes Resource Map Extension
該擴充功能會透過視覺化的方式來呈現 Kubernetes 內的資源關係，譬如 Service, Deployment, Pod...等彼此關係，可以讓使用者更清楚的知道
目前叢集中不同資源的彼此關係

4. Kubecost Extension
如果有使用 Kubecost 這個專案來管理 Kubernetes 叢集內的相關資源成本的話，可以使用這個擴充工具將這個資訊直接已視覺化的方式呈現到 Lens 的介面中

5. GKE Sync Extension
該擴充功能會自動地透過 gcloud 指令來同步 GCP 上的資源，包含了 projects 以及 GKE Clusters。
透過這個擴充功能，使用者可以不需要去準備相關的 kubeconfig 就可以管理新加入的 GKE Clusters。

6. Capsule Extension
該擴充功能由 Clastix 所開發的，Clastix 提供了一個讓 Kubernetes 支援多租戶的功能，而該擴充功能是讓使用者可以透過 Lens 來輕鬆管理這些多租戶的資源與使用情況

ref: https://www.cyberark.com/resources/threat-research-blog/securing-kubernetes-clusters-by-eliminating-risky-permissions

本篇文章是一個基礎分享文，整個主軸圍繞於 Authentication 與 Authorization 兩大塊，同時透過這兩大概念的介紹來分享一些會可能會有資安問題的設定

開頭作者探討了 Kubernetes 的架構，並且將 API Server 這個重點核心拿來出探討，提到為了存取 Kubernetes API，使用者必須要經過三個階段的處理，分別是
Authentication, Authorization 以及 Admission Control

接者用一個簡單的流程來說明上述三者的差異，假設今天有一個 Client 想要請求 API Server 幫忙創建一個 Pod 的物件。
首先 API Server 會針對該請求進行 Authentication 的檢查，通常情況下會使用 Certificate, Tokens, Basic Authentication(username/password) 來判別。
如果通過後，則會進入到 Authorization 的階段，該階段要判別發送當前 Request 的 Client 是否擁有創建 Pod 的權限，如果有權限就會把相關操作交給後續的 Admission Control 來處理。
文章中舉了一個名為 AlwaysPullImages 的 Admission Controller，該 Controller 對於一個多用戶的 Kubernetes Cluster 來說特別有用，主要是用來確保使用者 A 想要使用的 Private Image 不能被使用者 B 存取。
試想一個情況，假設今天使用者 A 順利於 NodeA 上抓取了自己的 Private Image，那使用者 B 假如很剛好知道這個 Image 的名稱，是不是有機會就可以不需要相關權限直接使用 NodeA 上的 Image？
所以這個 Admission Controller 就是用來避免這個問題的。

接者作者從 Authentication 與 Authorization 中個挑選一個方式來介紹並且講解這兩者如何結合的。

Authentication 使用的是 Service Account Token，管理會事先於 Kubernetes 內創立一個相關的 Service Account，並且把該 SA(Service Account) 的 Token 給交給 Client(Kubeconfig 也可)
Client 發送 HTTPS 請求到 API Server 的時候就可以夾帶這個 Token 的資訊，這樣 API Server 就會去檢查該 Token 是否存在於 Cluster 內。

事實上當每個 Pod 被創立後， Kubernetes 預設情況下就會將該 namespace 下的 service account 資訊給掛載到該 Pod 內的 "/var/run/secrets/kubernetes.io/serviceaccount" 這個路徑
這樣該 Pod 就可以使用該 Service Account Token 的資訊與 API Server 溝通。

Authorization 則是使用 RBAC 的方式來處理， RBAC 由三個部分組成，分別是 Role(代表可以針對 Cluster 進行什麼樣類型的操作，譬如 create pod, delete pod), Subject(你是誰，譬如 Service Account), RoleBinding(用來將 Role 與 Subject 給綁定)

管理員要創建並且管理這些叢集的話，就要好好的去設計這三個物件的關係，來確保最後的 Client 可以擁有剛剛好符合其需求的權限，千萬不要為了懶散而給予過多權限。

接者作者列舉了五種 Risky permissions 的可能情境
1. Listing secrets
大部分的應用程式開發者都會使用 secret 的物件來管理一些機密資訊，如帳號密碼，憑證等，所以一個擁有 list secrets 的 service account 其實是相對危險的。
非必要的話，不要讓管理員以外的任何使用者有這個權限，特別是使用 ClusterRole/ClusterRoleBinding 時要特別注意

2. Creating a pod with a privileged service account
假設今天有一個攻擊者已經獲得一個可以創建 pod 的 service account，那該攻擊者已經可以很順利的於叢集內創建 Pod 去進行基本操作(譬如挖礦)
如果攻擊者很巧地又知道目標 namespace 內存在一個很強的 service account，它就有辦法讓他創立的 Pod 去使用這個很強的 Service Account 並且進行更多後續操作

3. Impersonating privileged accounts
作者提到 Impersonating 這個 Role 裡面的動作要特別小心使用，擁有這個權限的使用者可以輕鬆化身為其他的使用者/群組
舉例來說，一個擁有 Impersonating -> users/group 的 serviceaccount 是沒有辦法看到任何 secrets 的物件。
但是攻擊者只要使用的時候加上 --as=null --as-group=system:master 則就會變成如 master 般的上帝擁有這些權限
因此這種權限設定上要特別小心

4. Reading a secret – brute-forcing token IDs
5. Creating privileged RoleBindings

後續兩個有興趣的可以參考全文，都是滿有趣的一些想法，值得閱讀擴展自己的認知

本篇文章是一個入門文章，主要探討 GitOps 相關的起源與概念，同時介紹不少關於 GitOps 的工具

起源: Weaveworks 於 2017 年針對 Kubernetes 的工作環境產生了不同的部署方式，而 GitOps 這個詞也就那時開始萌芽發展

概念: 透過 Git PR 的方式來驗證與自動的部署所有與系統有關的修改。今天有任何部署的需求時，團隊要做的事情就是 1) 產生 Git PR 2)進行 Review 3) 合併 接者就是等任何修改被自動部署
Git 於整個環節中扮演者 Single Source of Truth 的角色，所有的修改都必須發生於 Git 本身，也因為是基於 Git 來使用，所以不論是 GitHub, Gitlab, Bitbucket, Gerrit 等系統都可以使用。
註: Bitbucket 還針對 GitOps 這種形式取了一個名為 BDDA 的名稱，意義為 Build-Diff-Deploy-Apply

好處:
1. 稽核性: 透過 Git 可以針對所有的修改去查閱，知道誰於什麼時間點進行什麼修改
2. 由於不需要將 Kubeconfig 等資源放到外部叢集，資安方面會比傳統外部直接Push/Apply 來得更好
3. 開發人員可以更容易地去部署應用，不需要仰賴Ops幫忙
4. ...etc

註: GitOps 並不是只能適用於 Kubernetes 本身，事實上整個系統架構都可以套用這種方式，譬如搭配 Terraform 等相關的 IaC 工具時，就可以透過 GitOps 來搭建整個系統，包含底層架構，k8s叢集以及最重要的應用程式

相關工具(文章列出滿多工具):
1. ArgoCD
2. Atlantis: Terraform PR 的自動化工具
3. Autoapply
4. CloudBees Rollout
5. FlexCD
6. Helm Operator
7. Flagger
8. Ignite
9. Faros
10. Gitkube
11. Jenkins X
12. KubeStack
13. Weave Cloud
14. Werf
15. PipeCD

https://medium.com/searce/gitops-the-next-big-thing-for-devops-and-automation-2a9597e51559