12692
Присоединяйтесь к нашему каналу и погрузитесь в мир DevOps Связь: @devmangx РКН: https://clck.ru/3P8kFH
Linux 101: Защити открытый порт с помощью правил фаервола
HTTP-сервис уже запущен на сервере и слушает 0.0.0.0:8080. Твоя задача – защитить этот порт, не перезапуская и не перенастраивая сервис.
Сможешь решить задачу? https://labs.iximiuz.com/challenges/linux-protect-ports
👉 DevOps Portal
Эта статья рассказывает, как в Dream11 собрали собственную observability-платформу на базе SigNoz, ClickHouse и OpenTelemetry, чтобы обрабатывать миллионы метрик и трейсов с тысяч EC2-инстансов и при этом сэкономить миллионы на коммерческих инструментах.
Читайте ShiveeGupta/building-a-production-grade-observability-platform-with-signoz-clickhouse-and-opentelemetry-d7f09a5250f5">тут
👉 DevOps Portal
60 минут, чтобы оптимизировать Redis для высоких нагрузок
Selectel приглашает на практический вебинар, где разберут целостный инженерный подход к оптимизации Redis под high-load — от памяти и клиентских запросов до мониторинга и нагрузочного тестирования.
Покажут, как настройки и паттерны использования Redis влияют на вытеснение ключей, p95/p99 задержки и стабильность системы.
📅 26 марта, 12:00
📍 Онлайн
👥 Для инженеров DevOps и DBA, бэкенд-разработчиков, системных администраторов и архитекторов
👉Смотрите полную программу и регистрируйтесь: https://slc.tl/372hz
Чтобы не пропустить вебинар и узнавать о других событиях и бесплатных курсах Selectel, подписывайтесь на @selectel_events
Реклама. АО "Селектел". erid:2W5zFHppVWy
Оптимизация СУБД в облаке: ускоряем запросы и стабилизируем прод
Нет ничего более постоянного, чем что-то временное, поэтому проекты часто обрастают костыльными решениями, которые потом сложно переписывать.
24 марта, 17:00 (мск) мы проведем вебинар, где на практике разберем, как правильно создавать запросы в разных СУБД, как работать с их встроенными инструментами и как нужно интерпретировать метрики.
Почему стоит прийти на вебинар
- Посмотрим, как и почему происходит деградация производительности после релиза
- Попрактикуемся в оптимизации запросов MySQL и PostgreSQL, а также посмотрим на универсальные решения
- Разберем типовые ошибки и антипаттерны: как избегать использования костылей при снятии блокировок
- Соберем чек‑лист качественной оптимизации СУБД
До встречи в эфире! Будет много практики и прикладных решений.
✅ Помните времена, когда спокойно покупали игры, подписки и софт без танцев с бубном?
Сейчас оплатить многие сервисы стало непросто: GPT, игры, подписки, зарубежные сайты 💚
Я сам пользуюсь ботом, через который можно оплачивать всё прямо в Telegram.
🟢 Оплата рублями
🟢 СБП / карты РФ
🟢 Без лишней мороки
Если тоже устали искать обходные пути — вот рабочий вариант ➡️@OplataRublemBot
Этот туториал объясняет, как создавать и деплоить production-ready микрофронтенды в Kubernetes.
Также в нём рассматривается настройка ingress-роутинга для module federation и реализация CI/CD пайплайнов для изолированных команд микрофронтенда.
Читайте tamer-abdulghani/building-production-ready-micro-frontends-in-kubernetes-a-pragmatic-approach-708134467b02">тут
👉 DevOps Portal
Как работают мультиплатформенные container images
Когда вы делаете docker pull nginx:1.29 на AMD64-сервере и на ARM64-ноутбуке, Docker подтягивает совершенно разные сборки образа. Но как это возможно, если в обоих случаях используется одно и то же имя образа?
Чтобы представить несколько сборок через одну ссылку на образ (например, nginx:1.29), container registry использует специальный файл — Image Index, в котором перечислены манифесты для отдельных платформенных сборок. Поэтому при pull появляется дополнительный шаг:
- Сначала запрашивается index по адресу https://registry.example[.]com/v2/REPO/manifests/TAG
- Затем в index находится манифест образа для нужной платформы, после чего он запрашивается по digest: https://registry.example[.]com/v2/REPO/blobs/DIGEST
- И уже после этого по digest’ам из манифеста подтягиваются config образа и blobs слоёв файловой системы
Для single-platform image ссылка https://registry.example[.]com/v2/REPO/manifests/TAG указывает сразу на его manifest. То есть здесь на один уровень косвенности меньше.
Подробнее о внутреннем устройстве container images:
https://labs.iximiuz.com/tutorials/container-image-from-scratch
👉 DevOps Portal
Kubernetes v1.36 официально выходит 22 апреля 2026 года
Вот 6 ключевых изменений, к которым нужно подготовить свои кластеры:
1️⃣ HPA Scale-to-Zero (включено по умолчанию):
→ Фича HPAScaleToZero выходит из alpha (была там с версии v1.16).
→ Теперь можно стабильно использовать minReplicas: 0.
→ Существенная экономия затрат для простаивающих staging-окружений и batch-пайплайнов.
2️⃣ Эфемерные SA-токены для pull образов:
→ Заменяют долгоживущие статические секреты для аутентификации в приватных registry.
→ Используются краткоживущие, автоматически ротируемые токены Service Account.
→ Доступ теперь привязан к identity конкретного pod’а, что значительно снижает риск утечек.
3️⃣ Более умный выбор pod’ов в HPA:
→ Исправлена проблема, когда HPA учитывал метрики orphaned или устаревших pod’ов.
→ Новая логика гарантирует, что HPA читает метрики только с pod’ов, управляемых целевым workload’ом.
→ Поведение автоскейлинга становится гораздо более предсказуемым и стабильным.
4️⃣ Удаление режима IPVS в kube-proxy:
→ Режим IPVS был deprecated в v1.35 и теперь полностью удаляется.
→ Пора мигрировать кластеры на iptables (backend на nftables) или eBPF-прокси (например, Cilium).
→ Запланируйте миграцию заранее, чтобы patch-апдейт не сломал сетевой стек.
5️⃣ Отказ от Ingress NGINX и переход на Gateway API:
→ Сообщество активно отказывается от Ingress NGINX.
→ Gateway API становится новым стандартом для управления трафиком.
→ Предоставляет нативный cross-namespace routing без необходимости городить кастомные аннотации.
6️⃣ Переход на containerd 2.x:
→ v1.36, вероятно, станет последним релизом с поддержкой старых версий containerd (например, 1.6.x).
→ Экосистема Kubernetes полностью выравнивается под containerd 2.x.
→ Обновите container runtime заранее, чтобы избежать ломающих изменений в следующем цикле.
👉 DevOps Portal
Kubernetes CNI vs Istio CNI
Вот ключевой момент, который нужно понять
Когда ты разворачиваешь Istio, тебе нужно запускать Istio CNI. Это не означает, что ты заменяешь CNI своего Kubernetes-кластера.
Он работает вместе с уже существующим CNI (например, Calico или Cilium) как chaining-плагин.
Вот в чём основное отличие.
Когда под стартует, Kubernetes вызывает CNI-плагин, чтобы настроить сеть: выдать IP, создать сетевые интерфейсы, прописать маршруты и т.д.
То есть именно он делает всю «реальную» сетевую работу.
Вот что делает Istio CNI:
- Работает только с подами, которые входят в mesh (неймспейсы с лейблом dataplane-mode=ambient)
- Когда он обнаруживает новые поды, входящие в mesh, он уведомляет Istio CNI node agent
- Node agent добавляет правила iptables в сетевой namespace пода, чтобы перенаправить трафик пода в прокси Ztunnel
В целом, Istio CNI - это chaining plugin. Это значит, что несколько CNI-плагинов выполняются последовательно для одного и того же пода, и каждый добавляет свою часть сетевой логики.
Например:
- Под стартует
- Calico (назначает IP, настраивает маршруты)
- Istio CNI (добавляет правила iptables для редиректа трафика)
👉 DevOps Portal
DevOps-инженеры, превращающие простое приложение в Kubernetes-кластер
👉 DevOps Portal
Минимальные требования для получения работы DevOps-инженером в 2026 году
👉 DevOps Portal
Разбираемся в архитектуре Istio за 12 минут (иллюстрированный гайд)
Если вы хотите лучше понять Istio,
вам необходимо разобраться в его полной архитектуре и в том, как компоненты Istio взаимодействуют друг с другом.
В cтатье подробно разбираем это с помощью наглядных диаграмм и простых объяснений.
Вот что вы узнаете
- Почему Istio понадобилась новая архитектура
- Обзор архитектуры Istio
- Подробный разбор ключевых компонентов: Istiod, Ztunnel, Waypoint Proxy и CNI
- Является ли Ztunnel единой точкой отказа?
- Бизнес-кейсы использования Ambient Mesh, включая преимущества по стоимости
- Практическое руководство по настройке Istio Ambient Mesh
Читать здесь: https://newsletter.devopscube.com/p/istio-ambient-mesh
Примечание: для лучшего понимания сначала разверните Ambient Mesh, а затем изучайте архитектуру. Так вам будет гораздо проще связать все концепции между собой.
👉 DevOps Portal
📘 На Stepik вышел курс — «DevSecOps»
ИИ-инструменты, облака, автоматизация — всё это стало стандартом. И ровно поэтому защита инфраструктуры стала не опцией, а необходимостью. DevSecOps — навык, который всё чаще требуют от инженеров любого профиля. Глубоких знаний в ИБ не требуется — всё нужное объясняется прямо в процессе.
• Docker, Kubernetes — безопасная сборка, политики доступа, аудит образов
• SAST, DAST, SCA — анализ кода и сканирование зависимостей на CVE в пайплайне
• CI/CD с security-gates — проверки безопасности на каждом этапе деплоя
• SIEM, ELK — мониторинг, корреляция событий, реагирование на инциденты
• Управление секретами, IaC, защита API и фаерволы
• Финальный проект: end-to-end DevSecOps-инфраструктура с документацией — в портфолио или как база для продакшена
🎓 Сертификат по завершении — добавьте в резюме или LinkedIn
🚀 Скидка 25% — действует 48 часов
👉 Пройти курс на Stepik
Terraform за 60 секунд!
Не пропусти.
👉 DevOps Portal
Уменьшил Docker-образ с 1.37 GB → 168 MB.
Всего лишь за счёт использования multi-stage сборок, slim-базовых образов и очистки неиспользуемых зависимостей.
Небольшие оптимизации = более быстрый CI/CD и более безопасные контейнеры 👍
👉 DevOps Portal
🚀 Выиграйте обучение до 100 000 ₽ на любом курсе
Учебный центр для инженеров разработки и эксплуатации (DevOps), разработчиков и системных администраторов Слёрм запустил розыгрыш грантов на обучение: это ваш шанс получить доступ к курсам для ИТ‑специалистов абсолютно бесплатно, улучшить свои навыки и ускорить карьерный рост.
Что можно выиграть:
1 место — 100 000 ₽ на обучение
2 место — 30 000 ₽
3 место — 10 000 ₽
❗️Важно: грант можно использовать на любой курс или комплект курсов Слёрма, но он не действует на пакеты подписки и курс «Профессия DevOps-инженер».
Чтобы участвовать:
✨ Подпишитесь на канал Слёрма, если не сделали этого ранее
✨ Нажмите «Участвовать» под этим постом
Подведём итоги и назовём счастливчиков 4 апреля. Искренне желаем удачи каждому! 🍀
База по сетевым технологиям для разрабов, девопсов и платформенных инженеров
Мини-курс с кучей наглядных схем по уровням Ethernet и IP (L2/L3) в компьютерных сетях. В комплекте — богатый набор практических лабораторных работ
Забираем здесь 🍯
👉 DevOps Portal
HTTP (HyperText Transfer Protocol)
Данные передаются в открытом виде, и любой в сети может их перехватить или прочитать – протокол небезопасен.
Пример: http://example.com
Шифрование отсутствует, поэтому соединение уязвимо для атак.
HTTPS (HTTP Secure)
Данные передаются в зашифрованном виде, и злоумышленники не могут их прочитать или изменить – соединение считается безопасным.
Пример: https://example.com
Данные защищены.
👉 DevOps Portal
Как Kubernetes вообще понимает, что в вашем кластере есть GPU?
Kubernetes сам по себе не умеет обнаруживать GPU.
Он полагается на device plugin’ы, которые запускаются как DaemonSet’ы на нодах с GPU.
Когда вы устанавливаете NVIDIA GPU Operator или соответствующий device plugin, он регистрирует GPU-ресурсы в kubelet на каждой ноде.
Плагин объявляет доступные GPU как расширенные ресурсы (например, nvidia.com/gpu: 1).
После регистрации kubelet репортит эти ресурсы в API server, и они становятся доступными для планировщика (schedulable).
После этого ваши поды могут запрашивать GPU через resource limits в своих спецификациях.
Без device plugin’а Kubernetes вообще не знает, что на нодах есть GPU, даже если железо физически присутствует.
Читайте здесь: https://newsletter.devopscube.com/p/gpu-scheduling-kubernetes
Примечание: в Kubernetes 1.32 появился Dynamic Resource Allocation (DRA) — следующий этап эволюции управления аппаратными ресурсами.
Он предоставляет более гибкое и детализированное распределение ресурсов, которое невозможно реализовать с помощью device plugin’ов.
Тем не менее, device plugin’ы по-прежнему широко используются в продакшене, и на данный момент оба подхода сосуществуют.
StatefulSet в Kubernetes используется для управления stateful-приложениями, где каждому поду нужна фиксированная идентичность и собственное хранилище данных.
Ключевая идея (просто):
В отличие от Deployment (где поды считаются взаимозаменяемыми), StatefulSet даёт каждому поду:
- Стабильное имя → app-0, app-1, app-2
- Персистентное хранилище → каждый под сохраняет свои данные
- Упорядоченный запуск/остановку → поды стартуют и завершаются последовательно
Используй StatefulSet, когда приложение:
- Требует сохранения данных (например, базы данных)
- Нуждается в уникальной идентичности для каждого пода
- Требует упорядоченного масштабирования
Примеры:
- MySQL кластер
- MongoDB
- Kafka
- Redis (в режиме кластера)
👉 DevOps Portal
Наши планы на последнюю пятницу марта:
✅ Получить чек-лист по защите чувствительных данных на DBaaS
✅ Узнать различия и преимущества FoundationDB и Cassandra 5 на практике
✅ Понять, чем отличается путь масштабирования S3 в Авито
Всё потому, что мы узнали, что 27 марта будет Avito Database meetup в офисе Авито
Кстати, если будете не в Москве, то у ребят есть онлайн-трансляция.
Нашли и ссылку для регистрации, поэтому залетайте, увидимся ✌️
Как отечественная ОС стала лидером рынка и гарантом безопасности?
Рассказывам в спецпроекте «Российская ОС: код доверия». Он посвящен Astra Linux, самой популярной отечественной ОС, которая занимает 76% рынка российских операционных систем.
В проекте — пять развернутых материалов:
🔹 «17 лет эволюции Astra Linux: от первого релиза до версии 1.8» — о ключевых этапах становления продукта и его развитии.
🔹 Интерфейс Fly 2.0 — о создании графической оболочки во взаимодействии с пользователями и заказчикам.
🔹 Безопасность и встроенные СЗИ — о механизмах защиты в актуальной версии.
🔹 Опыт заказчика — Павел Лобанов, руководитель практики по продуктовому бизнес-анализу компании «Газпром нефть», рассказывает про процесс миграции и результаты внедрения.
🔹 Пошаговый гайд по переходу на версию 1.8 — рассказываем о ценности обновлений, даем рекомендации для ИТ-команд, демонстрируем переход на Astra Linux 1.8 в видео.
Отправиться в путешествие по галактике Astra Linux
Helm — это один из базовых инструментов, который обязательно нужно знать при работе с Kubernetes. Практические примеры, проходящие через полный жизненный цикл: добавление репозиториев, просмотр чартов, деплой NGINX ingress и настройка реальных override’ов – сильно помогают в обучении.
В этом гайде показан не только "счастливый путь": автор специально пушит некорректный тег образа, показывает, как падают поды, и затем демонстрирует, как с помощью rollback в Helm можно аккуратно восстановиться. Это максимально приближено к реальному опыту работы с Helm (и другими инструментами), поэтому материал лучше усваивается.
Shivam Soni даёт чёткий разбор команд без лишней абстракции. Если вы только начинаете работать с Helm или хотите освежить знания по версионированию релизов и механике rollback – это чистый, хорошо структурированный материал, на который стоит обратить внимание.
Читайте shivtrent800/helm-for-kubernetes-deploy-break-and-roll-back-an-application-hands-on-guide-05d0d073151e">здесь
👉 DevOps Portal
Контейнерный образ — это база любого релиза ❤️
Но когда версии, доступы и безопасность пущены на самотек, команда увязает в «починке доставки» и отвлекается от развития продукта.
На вебинаре вместе с экспертом Cloud․ru вы:
▶️рассмотрите контур артефактов и разберёте, где он чаще всего ломается;
▶️научитесь загружать Docker-образы, версионировать и управлять ими в Evolution Artifact Registry;
▶️настроите приватный доступ к репозиториям и разграничение прав;
▶️включите сканирование на уязвимости и примените политики безопасности;
▶️разберете, как поддерживать порядок в реестре: политики удаления и жизненный цикл.
Сетевое взаимодействие в Kubernetes - штука сложная.
Но это не значит, что в ней невозможно разобраться. Если разложить всё на более мелкие части, станет понятно, как они между собой связаны.
Следующий урок курса Kubernetes the Very Hard Way посвящён именно этой теме:
https://labs.iximiuz.com/courses/kubernetes-the-very-hard-way-0cbfd997/cluster/network
👉 DevOps Portal
🖥 Загрузчики Linux — что выбрать и зачем?
Загрузчик — первая программа после BIOS/UEFI: она поднимает ядро Linux в память. Без неё система не стартует.
От выбора зависит удобство настройки, совместимость и надёжность.
💬 GRUB (GRand Unified Bootloader) — самый распространённый и мощный.
Поддерживает BIOS и UEFI, грузит Linux/Windows/BSD, дружит с шифрованием, LVM, ZFS, есть меню и куча опций.
Выбор по умолчанию для большинства.
💬 Systemd-boot - лёгкий загрузчик, встроенный в systemd.
Работает через текстовые файлы в /boot/loader/entries/.
Идеален, если у вас один Linux на современном ПК и хочется меньше магии.
💬 Прямая запись в UEFI через efibootmgr — самый минималистичный способ — создать запись в UEFI-прошивке, которая напрямую загружает ядро Linux. Не требует отдельного загрузчика.
Подробнее о способах читайте здесь.
➡️ Больше лайфхаков и практичных утилит — в CORTEL
Реклама ООО "Кортэл"
ИНН: 7816246925
Объединение слоёв контейнерного образа в «плоскую» файловую систему с помощью OverlayFS
Тема, о которой я слишком давно хотел рассказать — как контейнерные рантаймы превращают многослойные образы в «плоский» rootfs контейнера.
Разберёмся на практике в новом челлендже iximiuz Labs:
https://labs.iximiuz.com/challenges/union-mount-container-image-layers-using-overlayfs
👉 DevOps Portal
Настройка NVIDIA GPU Operator в Kubernetes
Базовый процесс настройки выглядит так:
- Проставить labels и taints для GPU-нод
- Добавить Helm-репозиторий Nvidia GPU Operator
- Установить Nvidia GPU Operator
- Проверить обнаружение GPU
Подробное руководство:
https://devopscube.com/setup-gpu-operator-kubernetes/
👉 DevOps Portal
🔥 Подписка на easyoffer PRO на 1 год со скидкой 70%
easyoffer – сайт для подготовки к собеседованию на программиста, тестировщика и другие IT-профессии становится еще доступнее со скидкой 70% до 10 марта.
⚙️ Актуальные функции:
1. База вопросов из реальных технических собеседований с вероятностью встречи и примерами ответов.
2. База задач с этапа live-coding.
3. База видеозаписей 1100+ реальных собеседований, в том числе в топовые компании (Сбер, Авито, Яндекс, WB, OZON, МТС и др.) на позиции Junior/Middle/Senior.
4. База 400+ тестовых заданий от компаний.
5. Аналитика ТОП-требований из вакансий для лучшего написания резюме по ключевым словам.
6. Тренажеры для подготовки к собеседованию. В том числе тренажер «Реальное собеседование» со сценарием вопросов под конкретную компанию.
Акция до 10 марта (включительно) на PRO-тариф.
– Подписка действует 1 год
– Доступ ко всем профессиями сразу
👉 Смотри подробности тарифа и покупай на easyoffer
Узнайте, как с помощью GPT и Claude построить полноценную мульти-средовую платформу Kubernetes.
От k3s до продакшн-кластеров, с использованием GitHub Actions, Traefik, Helm и PostgreSQL – полностью автоматизированная DevOps-архитектура, собранная с помощью AI.
Читайте julien.reichel_97314/how-i-used-gpt-and-claude-to-build-a-complete-multi-environment-kubernetes-platform-8de21d729ea9">тут
👉 DevOps Portal