🔥 Сетевой харденинг: подходы и инструменты

Сетевой харденинг становится частью работы DevOps-специалистов, особенно при управлении облачными средами (AWS, Azure, Kubernetes), где сети интегрированы в CI/CD-пайплайны и конфигурации IaC (Terraform, Ansible). Также часто DevOps работает с сетевыми командами, чтобы синхронизировать политики безопасности с бизнес-требованиями.

Опыт показывает, что для доступов в сети не существует единого средства и без многоуровневого подхода не обойтись. Чтобы полностью разобраться в теме, рекомендуем посмотреть доклад.

👉 Смотреть доклад

Узнаете:

⚪️ Почему сетевой харденинг эффективней чем хостовый
⚪️ Проблематика сегментирования внутренней сети
⚪️ Использование NGFW в качестве ядра сети. Зачем? Какие есть проблемы и какие решения
⚪️ Проблемы формирования политики доступа. Как формировать и как поддерживать в актуальном состоянии.
⚪️ Дополнительные инструменты для улучшения сетевой безопасности

@DevOpsKaz 😛

🔥 Курс DevOps Upgrade уже стартовал, но ещё есть возможность присоединиться

Если хотели прокачаться в DevOps и долго решались, то сейчас самый момент: можно влиться в поток и пройти 8-месячное обучение с высокой нагрузкой, настоящими рабочими задачами и реальной пользой для карьеры.

Этот курс для IT-специалистов, которые хотят серьёзно вырасти в DevOps, прокачать hard skills и стать востребованными на рынке.

📌 Стоимость участия — 750 000 ₸ вместо 1 267 500 ₸

Грантов уже нет, но всё ещё можно успеть в последний вагон!

❗️Присоединиться по такой цене можно только до 16 октября — дальше набор будет закрыт.

👉 По всем вопросам обращайтесь: @UlKonovalova

@DevOpsKaz 😛

🔥 Сетевые интерфейсы в Linux: Bonding и Bridging

Когда мы взаимодействуем с сетями Linux, для повышения отказоустойчивости, производительности или организации сетей нам часто приходится объединять сетевые интерфейсы. Это процессы — bonding (агрегация каналов) и bridging (создание мостов).

⚪️ Bonding

Позволяет объединить несколько физических сетевых интерфейсов (например, eth0 и eth1) в один логический интерфейс (bond0), что обеспечивает:

— Отказоустойчивость: режимы, такие как active-backup (mode 1), переключают трафик на резервный интерфейс при сбое.
— Увеличение пропускной способности: режим balance-rr (round-robin, mode 0) распределяет нагрузку между интерфейсами, что критично для высокопроизводительных приложений.
— Конфигурация: используется модуль ядра bonding, управляемый через /etc/network/interfaces или nmcli в современных дистрибутивах

⚪️ Bridging

Объединяет несколько интерфейсов в один мост (bridge), что позволяет устройствам общаться на уровне L2, как в виртуализированных средах (VMware, KVM) или контейнерах (Docker, Podman).

— Применение: используется для создания VLAN или подключения контейнеров к хост-сети. Пример — br0 с привязкой eth0 и veth интерфейсов.
— Конфигурация: настраивается через brctl или bridge-utils. Современный подход — ip link add name br0 type bridge и привязка интерфейсов

⚪️ Вывод

Bonding обеспечивает отказоустойчивость и производительность, а Bridge создаёт виртуальный коммутатор для контейнеров или VM.

@DevOpsKaz 😛

🔥 3 soft skills, которые помогут админам стать архитекторами инфраструктуры

Самый гениальный PowerShell-скрипт бесполезен, если вы не можете объяснить бизнесу, какую проблему он решает. Когда речь заходит о карьерном росте, hard skills порой отходят на второй план. И это как раз тот случай.

⚪️ Бизнес-мышление

Админ мыслит, как решить задачу. Архитектор идет глубже и думает, зачем и как это поможет компании заработать деньги. Параллельно размышляет: как это снизит риски, как повлияет на time to market, и так далее. Работа без отрыва IT от бизнес-целей — главный признак архитектурного мышления.

⚪️ Умение документировать

Инфраструктура, которая описана лишь в мыслях — это красный флаг. А умение писать внятную документацию, схемы и процессы — то, что ценится на рынке, и позволяет команде работать в единой системе, снижает риски и упрощает планирование.

⚪️ Коммуникация с бизнесом

Способность объяснить сложное техническое решение менеджеру, который далек от IT-терминологии — мастхев. Также работает и в обратную сторону: важно понимать бизнес-требования, а уже потом предлагать технологию. Способность убедительно аргументировать свою позицию и договариваться с коллегами — то, что можно прокачать уже сейчас.

Решайте бизнес-проблемы с помощью технологий, а не просто технические задачи — и создавайте сверхценность. А там и карьерный скачок.

@DevOpsKaz 😛

🔥 Kolesa Conf 2025: крупнейшая IT-конференция Казахстана собрала 1600 участников

11 октября в Алматы прошла седьмая ежегодная Kolesa Conf 2025 — крупнейшая конференция для представителей IT-индустрии Казахстана и СНГ. В этом году мероприятие объединило разработчиков, аналитиков, QA-инженеров, продуктовых менеджеров, стартаперов и других специалистов.

Традиционно конференция проходила сразу по 4 IT-направлениям: Management, Data, Web и Mobile. За день участники смогли послушать 30+ докладов с практическими кейсами, которые отражают реальные задачи и решения, применяемые в IT. Также были доклады на казахском языке, а синхронный перевод был доступен в каждом потоке для удобства гостей.

Помимо докладов, квартирников и дискуссионных столов на площадке проходили шахматный турнир с роботом, дебаты на холиварные IT-темы, гадания на «айтишном таро» и тематические активности, за участие в которых участники могли получить брендированный мерч.

Новая инициатива для Data-сообщества Казахстана

Одним из анонсов Kolesa Conf стала первая в Казахстане Data & AI Премия — совместный проект Kazakhstan Data Community, DataBoom и Kolesa Group.
Подать заявку или номинировать коллег можно до конца 2025 года. Шорт-лист объявят в январе 2026-го, а финал — в феврале на конференции Kazakhstan Data Community.

#партнерский_пост

@DevOpsKaz 😛

🔥 Systemd как фундамент Linux: руководство для админов с примерами

Systemd — комплексная, глубоко интегрированная система инициализации и управления, которая стала cтандартом современных дистрибутивов Linux (Fedora, Debian, Ubuntu, Arch и др). Её архитектура строится вокруг концепции юнитов, cgroups и централизованного журналирования, и кардинально меняет подход к администрированию системы.

Понимать этот скелет важно, чтобы повысить как раз-таки эту эффективность администрирования системы. В руководстве собраны технические аспекты: архитектура, юниты, cgroups, работа с журналами. Команды и конфиги.

👉 Читать руководство

Отличное пятничное чтиво 🫡

@DevOpsKaz 😛

🔥 ИИ сегодня — это вопрос эффективности и выживания бизнеса

Но внедрить его так, чтобы он не превратился в бесконечный пилот и не создал хаос — задача уровня CTO.

23 октября в Алматы — закрытый бизнес-ужин Qazaq IT Community, где CIO, CTO и Heads of IT обсудят, как строить AI-стратегию без иллюзий и ошибок. Полезными кейсами поделятся Алексей Шаравар и Рамиль Мухоряпов

Финал вечера — неформальный нетворкинг за ужином.

📍 Laureate, Богенбай батыра 85
🗓 23 октября 2025 | 18:30–21:00

❗️ Вход только для СТО/CIO/ИТ-Директоров и глав ИТ департаментов.

👉 Регистрация

#партнерский_пост

@DevOpsKaz 😛

🔥 Масштабируемость без потолка

Масштабируемость — фундамент serverless-платформ, который позволяет справляться с переменной нагрузкой и фокусироваться на продукте. В статье компания Ably рассказывает, как достигает масштабируемости и как им удается стереть потолок этой метрики.

Это одна из серии статей, объясняющих четыре столпа надежности Ably. Серия посвящена созданию конкретных, объективно проверяемых утверждений о технических характеристиках сервиса. Рекомендуем к чтению.

Ably как serverless-платформа для realtime-месседжинга справляется с вирусным ростом приложений, обеспечивая отказоустойчивость и эластичность без потолка масштаба.

Ключевые моменты:

⚪️ Масштабируемость как столп надежности: позволяет платформе обрабатывать произвольно большие и изменчивые нагрузки без перепроектирования приложений; критически важна для современных serverless-облаков, где управление масштабом передается платформе, освобождая разработчиков от SRE-задач.

⚪️ Вертикальная vs горизонтальная: вертикальная (увеличение мощности компонентов) ограничена и неэластична; горизонтальная (добавление компонентов) обеспечивает динамический рост, необходимый для Ably, с автоматическим выделением ресурсов и распределением нагрузки.

⚪️ Вызовы горизонтального масштаба: не только репликация ресурсов, но и эффективная маршрутизация, балансировка (load balancer) и взаимосвязь для зависимостей (например, fanout сообщений одному каналу для миллионов подписчиков).

⚪️ Измерения масштаба: нет лимитов на количество каналов (единица обработки сообщений), соединений (для коммуникации через каналы) и пропускную способность сообщений (входящих/исходящих); все масштабируется горизонтально.

⚪️ Архитектура: эластичные слои — frontend (stateless обработка соединений via load balancer) и core (stateful каналы via consistent hashing); поддержка высокомасштабного fanout (до миллиардов соединений) через многоуровневое распространение сообщений по регионам.

@DevOpsKaz 😛

🔥 Сбой сервисов AWS и цепная реакция

Сбой AWS затронул не только Amazon, Snapchat, Prime Video, Canva, но и онлайн-магазины, кинотеатры, службы такси, мессенджеры, онлайн-игры и даже "умные матрасы" по всему миру. Сбой начался с US East-1, распространившись на другие регионы.

Предполагается, что:

1. Корень проблемы — в сбое, связанном с elevated level of errors (повышенным уровнем ошибок)
2. Возможно из-за проблемы DNS сервисы AWS перестали взаимодействовать друг с другом.
3. Это вызвало сбой DynamoDB, от которого зависят многие сервисы AWS.
4. Инстансы EC2 и функции Lambda начали выходить из строя по мере распространения проблемы.
5. AWS устранили проблему с DNS, но некоторые сервисы всё ещё восстанавливаются.

Пока ждем официального постмортема, важно понимать, что сбой подчёркивает риски облачных зависимостей и напоминает про мультиоблако.

@DevOpsKaz 😛

🔥 Helm v4 — что нас ждет

Новые архитектурные шаблоны и улучшенная функциональность при сохранении обратной совместимости для чартов — и не только.

⚪️ Основные архитектурные изменения

Полная переработка плагин-системы (HIP-0026) с использованием WebAssembly (Extism), интеграция server-side apply в Kubernetes для улучшенного управления ресурсами, внедрение Chart v3 с поддержкой обратной совместимости с v2, реструктуризация пакетов (например, pkg/chart/v2, pkg/release/v1) для обеспечения будущей совместимости.

⚪️ Изменения в CLI

Переименование флагов (--atomic → --rollback-on-failure, --force → --force-replace), удаление устаревших флагов (--no-update, --create-pods), рефакторинг структуры cmd/helm для использования Helm как Go-библиотеки.

⚪️ Основные новые функции

Мониторинг статуса ресурсов через kstatus watcher, установка из OCI-репозиториев по хэшу, улучшенная обработка шаблонов (многофайловые values, функции mustToYaml/mustToJson), поддержка JSON-аргументов, кастомных функций и пост-рендеринга для хуков.

⚪️ Технические улучшения

Оптимизация производительности (кеширование на основе содержимого, избежание дублирования зависимостей), усиленная безопасность (OCI-аутентификация, подпись чартов, улучшенная поддержка TLS), переход на Go 1.24, улучшение логирования (slog), обновление линтинга и очистка зависимостей.

⚪️ Плагины

Полная переработка с WebAssembly, поддержка распределения через OCI, изолированная (sandboxed) среда выполнения, интеграция пост-рендеринга как плагин-типа.

⚪️ Фиксы и стабильность

Улучшена идентификация ресурсов по GroupVersionKind, оптимизация работы хуков, поддержка кастомных ресурсов (CRD), устранение нестабильных (flaky) тестов, соблюдение XDG-стандартов и исправление race conditions (DNS, горутины).

⚪️ Влияние

— Для пользователей: улучшенный мониторинг (kstatus) и настройка конфигураций.
— Для плагин-разработчиков: необходимость миграции на WebAssembly-runtime.
— Для создателей чартов: новые возможности Chart v3 и улучшенная валидация.

Релиз Helm v4 запланирован на ноябрь 2025 года. Ждете? 😎

@DevOpsKaz 😛

🔥 Подборка инструментов DevOps

⚪️ k7

Инструмент позволяет поднимать инфраструктуру на легковесных VM. В составе: Kubernetes, Kata, Firecracker, Devmapper Snapshotter. Есть API и Python SDK.

⚪️ KubeVirt

Фреймворк для запуска и управления ВМ как нативных ресурсов Kubernetes через CRD: kubectl-управление, CNI/CSI-сети, live migration, cloud-init, интеграция KVM/QEMU. Единая платформа для контейнеров и виртуальных машин.

⚪️ Codeaudit

Утилита для анализа Python-проектов на уязвимости безопасности: сканирует код (>70 правил), выявляет проблемы в импортах (OSV Database), показывает SLOC/AST/сложность проекта и файлов. Генерирует красивые HTML-отчёты (JSON — через настройки). Идеально для быстрого code review безопасности.

⚪️ Dive

Инструмент для исследования образа Docker, содержимого слоев и поиска способов уменьшения размера образа Docker/OCI.

@DevOpsKaz 😛

🔥 Cloud Native Community Meetup Almaty

📅 13 ноября, 16:00 – 19:00
📍 Satbayev University, Алматы

QOSI (Qazaq Open Source Initiative) приглашает инженеров, SRE, DevOps и платформенные команды на главное cloud-native событие осени — Cloud Native Community Meetup Almaty!

На встрече вас ждут lightning-доклады, живые демо и открытые обсуждения о Kubernetes, observability, supply-chain security, платформенной инженерии и оптимизации затрат.

Организаторы: QOSI — Qazaq Open Source Initiative, Freedom Cloud, CORE 24/7 в партнёрстве с Cloud Native Kazakhstan.

👉 Регистрация на бесплатный Meetup

@DevOpsKaz 😛

🔥 Инфраструктура ML-кластера

Представьте: мы построили кластер, добились работоспособности инфраструктуры, настроили ROCEv2, DCQCN и прочие страшные слова, — «работает – не трогай….». А если все же копнуть чуть глубже?

В докладе Павла Михайлика вы найдете ответы, почему стоит оптимизировать сетевую инфраструктуру и к каким результатам это может привести. Описываются и подходы, и примеры. А разбираться там действительно есть с чем.

👉 Смотреть доклад

P.S. А скоро мы опубликуем доклады с DevOpsDays Almaty 25 😏

@DevOpsKaz 😛

👀 Почему рекомендуют мониторинг VictoriaMetrics для self-hosted решений

В 2024 году Prezi решила модернизировать устаревшую систему мониторинга на Prometheus (5+ лет, 5 млн активных серий, высокие затраты).

Цель: перейти на Kubernetes, упростить архитектуру и сократить расходы. После сравнения Thanos, Mimir и VictoriaMetrics выбрали последнюю за простоту и дешевизну (block storage вместо S3).

PoC: кластерная версия VictoriaMetrics показала отличную производительность (запросы 3–7 сек вместо 30+), экономию ресурсов (–70% хранилища, –60% RAM, –30% CPU). Однако межзонный трафик в AWS (VMInsert/VMSelect ↔️ VMStorage) резко увеличил счёт.

Финальное решение: отказ от кластера в пользу двух VictoriaMetrics Single в разных AZ (hot-hot HA), VMAlert рядом, балансировщик для Grafana. Трафик между зонами — только от агентов. Добавили отдельный VMSingle для долгосрочного хранения и VictoriaMetrics Operator для конфигурации через CRD.

Результаты:

⚪️ –30% затрат
⚪️ Быстрые запросы
⚪️ Упрощённая настройка
⚪️ Grafana Cloud + self-hosted через Private Data Connect

Миграция сделала мониторинг дешевле, быстрее и удобнее.

@DevOpsKaz 😛