Kubernetes Deckhouse с сертификатом ФСТЭК: российский enterprise K8s

Меня зовут Семёнов Евгений Сергеевич, я — директор ITFresh. Сегодня расскажу о важном: наша Deckhouse Kubernetes Platform — это первое российское K8s-решение, которое официально сертифицировано ФСТЭК под номером 4356. Для госсектора и банков, сами понимаете, это не просто новость — это, по сути, единственный легальный способ запускать контейнеры в production. Хотите увидеть, как это выглядит в деле? Мы готовы поделиться реальным кейсом: внедрение Deckhouse в одном региональном банке. Там мы развернули 50 нод, сейчас там крутится больше 200 микросервисов, и, что критично, вся эта махина полностью соответствует строжайшим требованиям Центробанка РФ.

Deckhouse vs vanilla Kubernetes: ключевые отличия

Production кейс: региональный банк

Разбираем архитектуру Deckhouse для банковской инфраструктуры:

# Deckhouse cluster configuration
apiVersion: deckhouse.io/v1
kind: ClusterConfiguration
metadata:
  name: bank-production
clusterType: Static
podSubnetCIDR: "10.111.0.0/16"
serviceSubnetCIDR: "10.222.0.0/16"
kubernetesVersion: "1.28"
clusterDomain: "cluster.local"
---
# ФСТЭК compliance modules
apiVersion: deckhouse.io/v1alpha1
kind: ModuleConfig
metadata:
  name: security-policies
spec:
  enabled: true
  settings:
    enforcementMode: "strict"
    podSecurityStandards: "restricted"
    networkPolicies: "deny-all-default"
    auditPolicy: "fstec-compliant"

Безопасность по стандартам ФСТЭК

• Мандатное разграничение доступа — интеграция с МЭ «Заря»
• Аудит всех операций — k8s audit + Deckhouse events
• Шифрование данных — etcd encryption + pod-to-pod TLS
• Network isolation — Calico with ФСТЭК policies
• Container security — image scanning + runtime protection

Интеграция с российскими SIEM

# MaxPatrol SIEM integration
apiVersion: deckhouse.io/v1alpha1
kind: DeckHouseConfig
metadata:
  name: siem-integration
spec:
  auditPolicy:
    rules:
    - level: "RequestResponse"
      namespaces: ["production", "critical"]
      verbs: ["create", "update", "delete"]
      resources:
      - group: ""
        resources: ["pods", "services", "secrets"]

    webhook:
      config:
        endpoint: "https://maxpatrol.bank.local/api/k8s-events"
        headers:
          Authorization: "Bearer ${SIEM_TOKEN}"

TCO и лицензирование

А теперь о главном для enterprise: стоимость Deckhouse на 3 года.

Migration с vanilla Kubernetes

# Migration strategy
# 1. Backup existing workloads
kubectl get all --all-namespaces -o yaml > k8s-backup.yaml

# 2. Install Deckhouse
curl -L https://deckhouse.io/install.sh | bash -s -- \
  --cluster-type=existing \
  --config=deckhouse-config.yaml

# 3. Migrate workloads gradually
# Namespace-by-namespace approach
kubectl label namespace production deckhouse.io/migrated=true

# 4. Enable ФСТЭК modules
kubectl apply -f fstec-compliance.yaml

Production опыт: что работает хорошо

• Автоматические обновления — zero-downtime K8s upgrades
• Russian support — техподдержка на русском языке
• Compliance reporting — готовые отчеты для ФСТЭК аудита
• Integrated stack — мониторинг, логи, алерты из коробки
• Multi-cloud — работает в Yandex.Cloud, VK Cloud, on-premises

Что может быть лучше

• Документация — не хватает enterprise use cases
• Vendor lock-in — сложно мигрировать обратно на vanilla K8s
• Экосистема — меньше community modules vs Helm charts
• Цена — дороже чем DIY подход

Заключение: когда выбирать Deckhouse

Обязательно для:

• Госсектора (ФСТЭК обязательно)
• Банков (требования ЦБ РФ)
• Критичных систем с высокими SLA

Рассмотреть для:

• Команд без глубокой K8s экспертизы
• Проектов с жесткими deadline
• Enterprise с budget на поддержку

Deckhouse — это полностью зрелое российское решение, идеальное для корпоративного Kubernetes. А вот сертификат ФСТЭК делает его по-настоящему уникальным: это теперь единственный вариант для всех регулируемых отраслей.