🔥 Обязательные настройки Nginx и Linux для здоровой инфраструктуры

В 2025 году Cloudflare зарегистрировал втрое больше DDoS-атак, чем в прошлом. В связи с этим коммьюнити возвращается к такой базовой теме — настройке Nginx. Мы улетели далеко вперед по технологиям, но эта база у многих настроена не правильно. Итак, какие шаги можно предпринять, чтобы быстро и с минимальными затратами, обезопасить себя от большинства DDoS?

В статье на Habr рассматриваются вещи, которые применимы не только для защиты, но и в целом для здоровой инфраструктуры.

👉 Читать статью

Типы DDoS, которые бьют по Nginx

⚪️ SYN Flood
⚪️ TCP exhaustion
⚪️ HTTP Flood

Настройки Linux:

⚪️ SYN cookies
⚪️ Буфер соединений
⚪️ Keepalive и ретраи

Настройки Nginx:

⚪️ Rate limiting по IP
⚪️ По токену/JWT
⚪️ JA4 Fingerprint
⚪️ Кэширование

И многое другое.

@DevOpsKaz 😛

📣 2-я международная выставка Electronica Expo Kazakhstan 2026

Представь свой бизнес и выйди на новые рынки

📅 16–18 июня 2026 года
📍 МВЦ «Экспо», Астана, Казахстан

В прошлом году выставка доказала свой статус главного события отрасли:
— 7 500 профессиональных посетителей
— 40+ спикеров и круглых столов
— 100+ ведущих компаний из 10+ стран

В 2026 году Electronica Expo Kazakhstan станет в два раза масштабнее и продолжит быть центром притяжения инноваций и экспертного общения.

Ключевые направления выставки:

⚪️Цифровые технологии: искусственный интеллект, квантовые решения, сенсорика, беспроводная связь, решения для промышленности
⚪️Автоматизация и робототехника: промышленные роботы, «умные» производственные линии, электронные компоненты, IoT
⚪️Потребительская электроника: техника, инновационные гаджеты, умные устройства, современные цифровые сервисы.

💡 Если вы интегратор цифровых технологий или разрабатываете решения для промышленности — представьте их на выставке и найдите новых заказчиков среди предприятий Центральной Азии!

❗️ Сейчас действует скидка 10% на раннее бронирование

👉 Получить консультацию по участию

Контакты для связи: +77716725190 или +905368106898

#партнерский_пост

🔥 Доклады с KubeCon + CloudNativeCon 2025

Подъехали записи докладов с топовых конференций из США — 348 видео в этом плейлисте на YouTube. Всё самое горячее, важное и интересное. Есть короткие и длинные выступления.

Также опубликованы записи с параллельных основной части KubeCon NA 2025 мероприятий:

- Maintainer Summit (21 videos)
- FluxCon (10)
- Kubernetes on Edge Day (10)
- Cloud Native University (9)
- OpenFeature Summit (9)
- Open Source SecurityCon (35)
- CiliumCon (9)
- EnvoyCon (9)
- OpenTofu Day (11)
- Observability Day (29)
- Kubeflow Summit (7)
- Data on Kubernetes Day (8)
- ArgoCon (31)
- Cloud Native & Kubernetes AI Day (19)
- BackstageCon (15)
- Istio Day (9)
- Platform Engineering Day (29)
- KyvernoCon (8)
- WasmCon (10)

Сохраняйте в закладки, возвращайтесь к посту при необходимости и делитесь с коллегами 🫡

У кого английский не очень, можно смотреть с синхронным переводом Яндекс.Браузера.

@DevOpsKaz 😛

🔥 Архитектура Netflix: как стриминг-гигант обеспечивает опыт миллионам зрителей

К выходу финала «Очень странных дел» стало интересно разобраться в IT-архитектуре сервисов Netflix. Сегодня эта платформа обслуживает 250+ млн пользователей в 190+ странах и обрабатывает петабайты контента ежедневно.

Узнайте, на что опирается гигант стриминга и какие подходы использует.

👉 Читайте в новой статье

Ну, а после погнали смотреть финал шоу 😁

@DevOpsKaz 😛

👀 Гайд по безопасной работе с AI

Сегодня многие пробуют и внедряют AI в свои процессы, но не все знают, какие есть риски и как защищать свои системы. Из-за неверных настроек и непонимания механик компании могут столкнуться с утечками и взломами.

Для того, чтобы ваши системы были в безопасности, предлагаем гайд «Защищенный AI в облаке: как избежать киберугроз», где в коротком формате собрано главное: как безопасно развернуть GenAI в облаке, как выстроить защиту сервисов, как настраивать доступы, логи и контроль и не только.

Пользуйтесь и делитесь с коллегами 🫡

@DevOpsKaz 😛

🔥 Новости DevOps

Апдейты недели:

⚪️ Kyverno 1.16

3 новых ресурса для поддержки развития политик CEL, детализированные исключения из политик, Kyverno Authz Server и другие новинки.

⚪️ OPA Gatekeeper – 3.21.0

Исправлены баги, добавлены новые метрики и отчеты о статусе для функции External Data / Provider API, что улучшает наблюдаемость при интеграции внешних источников данных в оценку политики.

Инструменты недели:

⚪️ GitDiagram

Декомпозирует даже сложнейшие репозитории в интерактивную карту, чтобы вы могли быстрее разобраться в них.

⚪️ Log Analytics Query Builder от Google

Google представила инструмент для упрощённого доступа к данным Google Cloud и автогенерации SQL-запросов к логам, другим типам телеметрии и таблицам в BigQuery. Конструктор поддерживает поиск по всем полям и автоматическое обнаружение JSON-схем. Результаты работы можно сразу визуализировать, сохранив на дашборд.

Пользуйтесь и делитесь с коллегами 🫡

@DevOpsKaz 😛

🔥 Топ 10 инструментов Observability 2025

⚪️ OpenObserve

Полнофункциональная платформа наблюдения, предлагающая унифицированный обзор журналов, метрик и трассировок. Разработана для крупных компаний и стартапов, с поддержкой SQL-запросов, высокой компрессией данных и stateless-архитектурой.

Преимущества: унифицированное наблюдение за метриками, журналами и трассировками на одной платформе. Поддержка OpenTelemetry и высокая производительность (до 140x ниже затрат на хранение по сравнению с Elasticsearch). Масштабирование от одного узла до петабайтных кластеров с кэшированием и совместимостью с облачными хранилищами (S3, GCS, Azure). SOC2-сертификация.

⚪️ Стек Grafana LGTM

Модульный стек для наблюдения, объединяющий Loki (логи), Grafana (визуализация), Tempo (трассировки) и Mimir (метрики). Обеспечивает унифицированную визуализацию телеметрии.

Преимущества: единый интерфейс Grafana для метрик, журналов и трассировок. Интеграция с Prometheus, OpenTelemetry и другими источниками. Легкое масштабирование и модульность для кастомизации.

⚪️ ELK Stack (Elasticsearch, Logstash, Kibana)

Зрелая платформа анализа журналов для централизованного агрегирования, поиска и визуализации. Elasticsearch — бэкенд, Logstash/Beats — сбор данных, Kibana — панели.

Преимущества: мощная аналитика журналов с полнотекстовым поиском, индексацией и сложными запросами. Настраиваемые панели Kibana с диаграммами, тепловыми картами и оповещениями. Обработка больших объемов данных.

⚪️ OpenSearch

Форк Elasticsearch, предоставляющий поиск, аналитику и наблюдение. Включает OpenSearch Dashboards для визуализации; поддерживает журналы, метрики и трассировки через интеграции.

Преимущества: мощные запросы и агрегации для аналитики. Интеграция с Beats, Fluent Bit, OpenTelemetry и Prometheus; поддержка ML/AI и security analytics.

⚪️ Apache SkyWalking

Полнофункциональная платформа наблюдения для распределенных систем, с фокусом на трассировку, метрики и анализ топологии сервисов. Идеальна для микросервисов, Kubernetes и Java-приложений.

Преимущества: сбор телеметрии на одной платформе, автоматическая трассировка запросов и визуализация узких мест. Интеграция с Envoy, Istio, OpenTelemetry; поддержка eBPF, alerting и AI-анализа; масштабирование до 100 млрд точек данных.

⚪️ Zipkin

Распределенная система трассировки для анализа задержек в микросервисах. Собирает данные о времени выполнения запросов в распределенных системах.

Преимущества: трассировка запросов между сервисами для выявления узких мест, анализ первопричин с UI для суммирования данных и диаграмм зависимостей, интеграция с OpenTelemetry, Spring Boot, Prometheus, Grafana, поддержка хранилищ как Cassandra/Elasticsearch.

⚪️ Prometheus

Стандарт для мониторинга метрик в облачных средах. Собирает, хранит и запрашивает данные временных рядов.

Преимущества: мощный PromQL для сложных запросов и агрегаций, обширная экосистема экспортеров для Kubernetes, баз данных и сервисов, встроенные alerting, простое развертывание под Apache 2.0.

⚪️ VictoriaMetrics

Высокопроизводительная база данных временных рядов, оптимизированная для больших объемов метрик. Альтернатива Prometheus для долгосрочного хранения.

Преимущества: эффективная обработка данных при низком потреблении ресурсов, совместимость с Prometheus и PromQL, гибкое развертывание, сжатие и хранение исторических метрик, интеграция с Grafana.

⚪️ Jaeger

Распределенная система трассировки для мониторинга и устранения неполадок в микросервисах.

Преимущества: трассировка запросов для выявления bottleneck и ошибок, анализ первопричин с timelines, flame graphs и dependency diagrams, интеграция с OpenTelemetry, Prometheus, Grafana, масштабируемость.

⚪️ Pinpoint

Инструмент мониторинга производительности приложений для крупных Java/PHP-приложений. Обеспечивает трассировку транзакций, анализ топологии и реал-тайм мониторинг.

Преимущества: трассировка транзакций и визуализация топологии приложений, кодовый уровень видимости и реал-тайм мониторинг, подходит для распределенных систем, интеграция с хранилищами.

@DevOpsKaz 😛

🔥 5 ошибок внедрения DevOps

⚪️ «Практиковать DevOps» вместо того, чтобы «быть DevOps»

Многие до сих пор воспринимают DevOps как набор инструментов или чек-лист, а не фундаментальный сдвиг. Такое отношение приводит к разрозненному рабочему процессу и упущенным преимуществам: ускорение циклов обратной связи и улучшение совместной работы. Без фундамента приложения по-прежнему будут медленно развертываться и содержать типичные ошибки.

⚪️ Разобщенность

Команды часто работают изолированно, концентрируясь исключительно на своих конкретных задачах. Без взаимодействия с другими отделами растет недопонимание, а усилия дублируются. Без совместного владения жизненным циклом приложения команды могут ставить собственные цели выше успеха всего проекта. В результате скорость и качество падают.

⚪️ Скорость развертывания в ущерб прозрачности

Ориентация на скорость может быть в ущерб прозрачности и мониторингу. Без мониторинга и журналов не хватает информации для выявления и устранения проблем с производительностью, которые могут привести к потенциальным сбоям и ухудшению пользовательского опыта. В результате проблемы часто остаются незамеченными.

⚪️ Отказ от автоматизации всего, что можно

Ручное развертывание занимает много времени, задерживая появление новых функций и исправлений ошибок. Это может повлиять на вашу конкурентоспособность и адаптацию к изменениям рынка. Ручное развертывание более подвержено человеческим ошибкам.

⚪️ Игнорирование требований ИБ

Игнор требований ИБ может привести к уязвимостям, которые в будущем создадут много проблем, не говоря уже о крупных штрафах и сбоям. Устранение уязвимостей может занять больше времени, чем изначальная настройка.

@DevOpsKaz 😛

🔥 Кейс миграции Al Safi Bank из одного облака в другое

От Исламского банка Al Safi Bank поступила задача по миграции mission-critical рабочих нагрузок на консолидированную облачную инфраструктуру с поддержкой распределения трафика и динамического масштабирования ресурсов разработки.

Мы в Core 24/7 мигрировали промышленные системы банка, выполняя цель клиента — иметь полный контроль над инфраструктурой и процессами разработки ПО, а так же получить более выгодные бизнес-условия на облачные вычисления.

Данные перенесены без потерь. Инфраструктура готова к будущей сертификации PCI DSS v4.0. Миграция показала, что даже для банковских систем с высокими требованиями к доступности классический big-bang в контролируемое окно может быть самым быстрым, дешёвым и надёжным вариантом.

👉 Подробнее в кейсе

@DevOpsKaz 😛

🔥 Постмортемы вышли на новый уровень

Ценность постмортемов Cloudflare состоит в том, что комментарии пишет их технический директор. Это не про то, как надо оправдаться перед многомиллионной аудиторией и сделать на этом PR, а про уважение аудитории и обмен опытом колоссальных масштабов.

Вот пример постмортема инцидента от 5 декабря, где даны мельчайшие детали, причины и решения. Готовый и пошаговый материал о том, как бывает, что на что влияет и как с этим разбираться. Лучше методички не найти. И приходит вопрос: а что, так можно было?

Да, теперь мы живем в мире, где так рассказывать о своих поражениях — уже сила. В мире, где честность и открытость поощряется. И это очень здорово, коллеги. Особенно для такой тонкой сферы как DevOps.

@DevOpsKaz 😛

🔥 Новости DevOps

Новые инструменты и апдейты.

⚪️ Raptor

Open-source инструмент для проверки безопасности приложений с помощью Claude Code. Сканирует код Semgrep/CodeQL, fuzzит бинарники AFL, анализирует дефекты LLM, генерирует эксплойты для PoC, предлагает фиксы и строит отчёты. Идеально для CI/CD, чтобы ловить уязвимости на ранних этапах.

⚪️ Kubernetes Spec Explorer

Ресурс для быстрого поиска документации по K8s-ресурсам и их свойствам. Автогенерирует данные из OpenAPI (версии 1.11–1.35), показывает диффы между релизами, примеры YAML и CRD от Argo, Cilium, Istio, Kyverno. Полезно для новичков и для быстрого ревью спецификаций.

⚪️ Ingress Migration Kit

Новый инструмент для генерации планов миграции из Ingress в Gateway API. Автоматизирует переход, минимизируя риски — просто укажите ресурсы, и он выдаст шаги. Круто для обновления старых K8s-кластеров на современный стандарт.

⚪️ Kueue v0.15.0

Обновление контроллера очередей для K8s-джобов с новинками: experimental kueue-populator для дефолт-ресурсов, admission checks для контроля задержек, optional интерфейс для кастомных Job (activate/deactivate), TAS-поддержка для Kubeflow Trainer, улучшения MultiKueue. Для тех, кто масштабирует батч-задачи в контролируемом режиме.

⚪️ Freelens v1.7.0

Апдейт GUI для управления K8s-кластерами: улучшенный YAML-редактор, агрегация ресурсов на уровне Pod, Windows Portable-дистрибутив, расширенный extension API. Простой интерфейс для SRE и dev'ов, кто устал от kubectl.

@DevOpsKaz 😛

👀 Unkey уходит из serverless: честный разбор после 2 лет на Cloudflare Workers

Компания Unkey опубликовала подробный отчёт о миграции с Cloudflare Workers на stateful-серверы на Go. Результаты впечатляют: latency упала в 6 раз, затраты сократились, а архитектура стала проще и гибче. Вот ключевые выводы:

⚪️ Latency сократилась в 6 раз

Переход на Go-серверы обеспечил p99 < 10 мс — в serverless это было невозможно.

⚪️ Кэш по сети — главная ловушка stateless

Каждый запрос к кэшу добавлял 30+ мс на p99. На stateful-серверах кэш в памяти — нулевая сетевая задержка.

⚪️ Workaround tax в serverless

Чтобы обойти отсутствие состояния, добавляли Redis, Queues, Durable Objects. Итог: latency выросла, затраты ×3, точки отказа умножились.

⚪️ Батчинг событий стал кошмаром

Flush по каждому вызову → chproxy для ClickHouse + buffering-сервисы для Axiom. Затраты ×3 только на обход ограничений платформы.

⚪️ Stateful — проще, чем кажется

Всё в памяти: батчинг, flush, rate limiting. Нет пайплайнов, нет координации — чистая эффективность.

⚪️ Self-hosting стал реальностью

docker run -p 8080:8080 unkey/api — локальная разработка и деплой на стороне компании. На Cloudflare Workers это было невозможно.

⚪️ Прощай vendor lock-in

Теперь компания деплоит куда угодно, использует любую БД — без runtime-специфичных багов.

⚪️ Rate limiting уровня "сверхбыстрый"

In-memory на stateful-серверах — точный, моментальный и без дополнительных расходов.

⚪️ Serverless хорош для редких задач

Подходит для редких, не критичных по latency ворклоудов. Для высоконагруженных API — это постоянный "налог на обходные пути".

Статья — не анти-serverless манифест, а прагматичный разбор: когда платформа перестаёт быть преимуществом и превращается в проблему

@DevOpsKaz 😛