Kubernetes Deckhouse с сертификатом ФСТЭК: российский enterprise K8s

Меня зовут Семёнов Евгений Сергеевич, и я — директор АйТи Фреш. Хочу поделиться важной информацией: Deckhouse Kubernetes Platform — это наше первое российское K8s решение, которое получило сертификат ФСТЭК №4356. Знаете, для госсектора и банков это, по сути, единственный легальный способ использовать контейнеры в production. Я готов подробно разобрать наш практический опыт внедрения Deckhouse в одном региональном банке. Там мы развернули 50 нод, работает более 200+ микросервисов, и, что очень важно, всё это полностью соответствует строгим требованиям ЦБ РФ.

Deckhouse vs vanilla Kubernetes: ключевые отличия

Production кейс: региональный банк

Архитектура Deckhouse для банковской инфраструктуры:

# Deckhouse cluster configuration
apiVersion: deckhouse.io/v1
kind: ClusterConfiguration
metadata:
  name: bank-production
clusterType: Static
podSubnetCIDR: "10.111.0.0/16"
serviceSubnetCIDR: "10.222.0.0/16"
kubernetesVersion: "1.28"
clusterDomain: "cluster.local"
---
# ФСТЭК compliance modules
apiVersion: deckhouse.io/v1alpha1
kind: ModuleConfig
metadata:
  name: security-policies
spec:
  enabled: true
  settings:
    enforcementMode: "strict"
    podSecurityStandards: "restricted"
    networkPolicies: "deny-all-default"
    auditPolicy: "fstec-compliant"

Безопасность по стандартам ФСТЭК

• Мандатное разграничение доступа — интеграция с МЭ «Заря»
• Аудит всех операций — k8s audit + Deckhouse events
• Шифрование данных — etcd encryption + pod-to-pod TLS
• Network isolation — Calico with ФСТЭК policies
• Container security — image scanning + runtime protection

Интеграция с российскими SIEM

# MaxPatrol SIEM integration
apiVersion: deckhouse.io/v1alpha1
kind: DeckHouseConfig
metadata:
  name: siem-integration
spec:
  auditPolicy:
    rules:
    - level: "RequestResponse"
      namespaces: ["production", "critical"]
      verbs: ["create", "update", "delete"]
      resources:
      - group: ""
        resources: ["pods", "services", "secrets"]

    webhook:
      config:
        endpoint: "https://maxpatrol.bank.local/api/k8s-events"
        headers:
          Authorization: "Bearer ${SIEM_TOKEN}"

TCO и лицензирование

Стоимость Deckhouse для enterprise (3 года):

Migration с vanilla Kubernetes

# Migration strategy
# 1. Backup existing workloads
kubectl get all --all-namespaces -o yaml > k8s-backup.yaml

# 2. Install Deckhouse
curl -L https://deckhouse.io/install.sh | bash -s -- \
  --cluster-type=existing \
  --config=deckhouse-config.yaml

# 3. Migrate workloads gradually
# Namespace-by-namespace approach
kubectl label namespace production deckhouse.io/migrated=true

# 4. Enable ФСТЭК modules
kubectl apply -f fstec-compliance.yaml

Production опыт: что работает хорошо

• Автоматические обновления — zero-downtime K8s upgrades
• Russian support — техподдержка на русском языке
• Compliance reporting — готовые отчеты для ФСТЭК аудита
• Integrated stack — мониторинг, логи, алерты из коробки
• Multi-cloud — работает в Yandex.Cloud, VK Cloud, on-premises

Что может быть лучше

• Документация — не хватает enterprise use cases
• Vendor lock-in — сложно мигрировать обратно на vanilla K8s
• Экосистема — меньше community modules vs Helm charts
• Цена — дороже чем DIY подход

Заключение: когда выбирать Deckhouse

Обязательно для:

• Госсектора (ФСТЭК обязательно)
• Банков (требования ЦБ РФ)
• Критичных систем с высокими SLA

Рассмотреть для:

• Команд без глубокой K8s экспертизы
• Проектов с жесткими deadline
• Enterprise с budget на поддержку

Deckhouse — mature российское решение для enterprise Kubernetes. ФСТЭК сертификат делает его единственным вариантом для regulated industries.