Давайте разберем один из частых вопросов, который может быть задан на собеседовании и как на него отвечать.Зачем это нужно:
• чтобы обходить ограничение на размер eBPF-программы (4096 инструкций);
• чтобы собирать модульные eBPF-пайплайны из нескольких независимых программ;
• чтобы снижать overhead на переключение контекста между программами.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5❤3
Как понять, что контейнеры в Kubernetes не «падают», а их убивает OOM-killer
Его добивает OOM-killer, потому что контейнеру не хватает памяти.
Частые причины: лимиты ниже реального потребления или JVM без container-aware GC, которая считает, что у неё «доступно» больше RAM, чем есть.
Первое, что смотрим - события pod’а:
⏺ Если там всплывают OOMKilled или ContainerStatus OOMKilled, всё ясно.
Для подтверждения на ноде можно посмотреть системные логи ядра, где OOM-killer фиксирует, что именно он убил процесс:
⏺ Если же видите записи вроде Killed process <pid> (java) - значит, лимиты задушили контейнер.
Обычно помогает: увеличить limit, включить container-aware настройки JVM, либо перепроверить реальные пики использования через Metrics Server или cAdvisor.
Иногда pod выглядит как будто просто рестартуется: CrashLoopBackOff, несколько перезапусков подряд - но приложение на самом деле не падает само.
Его добивает OOM-killer, потому что контейнеру не хватает памяти.
Частые причины: лимиты ниже реального потребления или JVM без container-aware GC, которая считает, что у неё «доступно» больше RAM, чем есть.
Первое, что смотрим - события pod’а:
kubectl describe pod <pod> | grep -i oom
Для подтверждения на ноде можно посмотреть системные логи ядра, где OOM-killer фиксирует, что именно он убил процесс:
dmesg -T | grep -i kill
Обычно помогает: увеличить limit, включить container-aware настройки JVM, либо перепроверить реальные пики использования через Metrics Server или cAdvisor.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤3
Джуны — всё, ИИ победил. По статистике BCG, за последний год компании выбросили на улицу 75% молодняка. При этом миддлам и сеньорам зарплаты подняли в 4 (!) раза.
Чтобы подняться до уровня элит в аномально короткие сроки — подпишитесь на легендарные каналы для айтишников:
Новости и инсайды
Фронтенд разработка
ИИ и биг дата
Node js
Вёрстка
Питон и нейросети
QA-тестировщики
Там раскрыли инфу из курсов общей стоимостью 5.000.000р в эксклюзивных пошаговых инструкциях. Пока остальные пойдут на дно якорем, вы войдете в 10% тех, кто сломал систему.
Чтобы подняться до уровня элит в аномально короткие сроки — подпишитесь на легендарные каналы для айтишников:
Новости и инсайды
Фронтенд разработка
ИИ и биг дата
Node js
Вёрстка
Питон и нейросети
QA-тестировщики
Там раскрыли инфу из курсов общей стоимостью 5.000.000р в эксклюзивных пошаговых инструкциях. Пока остальные пойдут на дно якорем, вы войдете в 10% тех, кто сломал систему.
👎13😁5❤3🤡3
Релиз nDPI 5.0: открытая система для глубокого анализа трафика стала ещё умнее
Команда ntop выкатили nDPI 5.0 - движок DPI, который используют в системах мониторинга и безопасности, чтобы определять реальные протоколы в трафике, даже если они работают на нестандартных портах.
В 5.0 завезли универсальный fingerprint (TCP-slеpcы + TLS-hash + JA4), улучшенный разбор шифрованного трафика, классификацию TLS/QUIC/HTTP с учётом имён хостов, расширенный FPC (определение по первому пакету) и лимит в 2¹⁶ протоколов.
⏺ Плюс пачка новых категорий, улучшенный анализ TLS, обновлённые списки ботов и разбор свежих протоколов - от Kick и Hamachi до Matter и Akamai.
Команда ntop выкатили nDPI 5.0 - движок DPI, который используют в системах мониторинга и безопасности, чтобы определять реальные протоколы в трафике, даже если они работают на нестандартных портах.
Это эволюция OpenDPI, переписанная, оптимизированная и допиленная до сотен поддерживаемых протоколов и десятков типов угроз.
В 5.0 завезли универсальный fingerprint (TCP-slеpcы + TLS-hash + JA4), улучшенный разбор шифрованного трафика, классификацию TLS/QUIC/HTTP с учётом имён хостов, расширенный FPC (определение по первому пакету) и лимит в 2¹⁶ протоколов.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7❤3
Айтишник, присаживайся поудобнее: собрали для тебя подборку лучших каналов про ИИ, разработки и языки кода.
• Only GPT — твой гид по нейронкам, секретным функциям GPT 5.1 и способам обхода внутренней цензуры.
• Only Hack — канал профессионального хакера про приватность и безопасность.
• Only Apple — инсайды о новых девайсах Apple и утечки от разработчиков компании.
• Only Python — ТОП-1 бесплатные материалы по питону в Интернете.
• Only IT — прорывные стартапы, которые задают тренды в индустрии.
• Only GitHub — всякие полезности (и бесполезности) с Гитхаба.
• Only Tech — все самые свежие и актуальные технологии.
• Ну и мемасики про IT конечно
Сохраняй в подписках!
• Only GPT — твой гид по нейронкам, секретным функциям GPT 5.1 и способам обхода внутренней цензуры.
• Only Hack — канал профессионального хакера про приватность и безопасность.
• Only Apple — инсайды о новых девайсах Apple и утечки от разработчиков компании.
• Only Python — ТОП-1 бесплатные материалы по питону в Интернете.
• Only IT — прорывные стартапы, которые задают тренды в индустрии.
• Only GitHub — всякие полезности (и бесполезности) с Гитхаба.
• Only Tech — все самые свежие и актуальные технологии.
• Ну и мемасики про IT конечно
Сохраняй в подписках!
❤3
Почему Windows 10/11 не запускает EXE, скачанные из интернета
SmartScreen часто ругается на «неизвестного издателя», хотя файл нормальный.
Причина тут скрытая метка Mark of the Web: Windows добавляет поток Zone.Identifier, если файл пришёл из интернета.
Проверить и снять блокировку можно так:
На Powershell👇
👇
После удаления MOTW SmartScreen перестаёт воспринимать файл как «подозрительный».
SmartScreen часто ругается на «неизвестного издателя», хотя файл нормальный.
Причина тут скрытая метка Mark of the Web: Windows добавляет поток Zone.Identifier, если файл пришёл из интернета.
Проверить и снять блокировку можно так:
На Powershell
# Показать все альтернативные потоки файла
Get-Item .\file.exe -Stream *
# Удалить метку Mark of the Web
Unblock-File .\file.exe
:: Через Sysinternals
streams.exe file.exe
:: Удалить Zone.Identifier
streams.exe -d file.exe
После удаления MOTW SmartScreen перестаёт воспринимать файл как «подозрительный».
Please open Telegram to view this post
VIEW IN TELEGRAM
👍17❤4🤔2🔥1
👩💻 Открытый урок «Custom Resource Definitions (CRD) в Kubernetes. Операторы: автоматизация на новом уровне».
🗓 3 декабря в 20:00 МСК
🆓 Бесплатно. Урок в рамках старта курса «Инфраструктурная платформа на основе Kubernetes».
Программа вебинара:
✔️ Что такое Custom Resource Definitions (CRD) и зачем они нужны.
✔️ Как создать и зарегистрировать собственный CRD.
✔️ Примеры использования CRD в продакшн-кластерах.
✔️ Что такое операторы, их роль и принципы работы.
✔️ Как CRD и операторы помогают автоматизировать управление ресурсами и снижать нагрузку на инженеров.
В результате вебинара:
- Поймёте, как с помощью CRD и операторов расширять возможности Kubernetes.
- Научитесь автоматизировать управление пользовательскими ресурсами и упрощать поддержку инфраструктуры.
- Получите базу для создания собственных операторов и интеграции их в CI/CD.
🔗 Ссылка на регистрацию: https://otus.pw/KKYG/?erid=2W5zFJ8yHNp
Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.
🗓 3 декабря в 20:00 МСК
🆓 Бесплатно. Урок в рамках старта курса «Инфраструктурная платформа на основе Kubernetes».
Программа вебинара:
✔️ Что такое Custom Resource Definitions (CRD) и зачем они нужны.
✔️ Как создать и зарегистрировать собственный CRD.
✔️ Примеры использования CRD в продакшн-кластерах.
✔️ Что такое операторы, их роль и принципы работы.
✔️ Как CRD и операторы помогают автоматизировать управление ресурсами и снижать нагрузку на инженеров.
В результате вебинара:
- Поймёте, как с помощью CRD и операторов расширять возможности Kubernetes.
- Научитесь автоматизировать управление пользовательскими ресурсами и упрощать поддержку инфраструктуры.
- Получите базу для создания собственных операторов и интеграции их в CI/CD.
🔗 Ссылка на регистрацию: https://otus.pw/KKYG/?erid=2W5zFJ8yHNp
Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.
❤1
Давайте разберем один из частых вопросов, который может быть задан на собеседовании и как на него отвечать.Зачем это нужно:
• Уменьшается количество записей в таблице страниц (page table),
• Снижается нагрузка на TLB (Translation Lookaside Buffer),
• Уменьшается overhead при управлении памятью, особенно в базах данных и JVM.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6❤4👎4
Открытая конференция GetNet уже начинается — подключайтесь онлайн.
Конфа для сетевиков и сисадминов - говорим о сетях, делимся опытом, разбираем кейсы и отвечаем на вопросы
Что будет:
- Особенности дизайна Wi-Fi сетей для разных сценариев
- Планируем Wi-Fi. Руководство "Как обмануть заказчика"
- Wi-Fi. Вопросы безопасности. Защита периметра
- Как построить МОЩНЫЙ прод и что этому может помешать?
и др.
Подключайся. Начинаем в 11-00
Конфа для сетевиков и сисадминов - говорим о сетях, делимся опытом, разбираем кейсы и отвечаем на вопросы
Что будет:
- Особенности дизайна Wi-Fi сетей для разных сценариев
- Планируем Wi-Fi. Руководство "Как обмануть заказчика"
- Wi-Fi. Вопросы безопасности. Защита периметра
- Как построить МОЩНЫЙ прод и что этому может помешать?
и др.
Подключайся. Начинаем в 11-00
❤1
Какой признак чаще всего говорит о переполнении таблицы conntrack в Linux?
Anonymous Quiz
3%
Периодические ошибки DNS
26%
Большое количество SYN_RECV соединений
65%
Частые dmesg-сообщения: “nf_conntrack: table full, dropping packet”
6%
Высокая нагрузка на CPU после обновления ядра
❤7😁4👍2
И все твои данные перепродаются сотни раз, пока не попадут в руки недоброжелателей.
Чтобы избежать таких ситуаций в будущем и начать что-то понимать в IT – сохраняй каналы:
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2😁1🤡1
Почему HAProxy начинает отдавать 503, хотя backend «зелёный»
Классика: health-checks проходят, backend в статусе UP, но под нагрузкой он отвечает чуть медленнее → HAProxy не дожидается ответа и срабатывает timeout server.
В результате клиенты получают 503, хотя сам сервис жив.
Как диагностировать:
hrsp_5xx + рост srv_abrt в статистике почти всегда указывают на проблему с медленным backend’ом, а не на «падение».
Классика: health-checks проходят, backend в статусе UP, но под нагрузкой он отвечает чуть медленнее → HAProxy не дожидается ответа и срабатывает timeout server.
В результате клиенты получают 503, хотя сам сервис жив.
Как диагностировать:
# Смотреть счётчики ответов, особенно hrsp_5xx
echo "show stat" | socat stdio /run/haproxy/admin.sock | column -s, -t | grep -v '^#'
# Увеличить таймауты сервера (пример)
timeout server 5s
timeout connect 2s
hrsp_5xx + рост srv_abrt в статистике почти всегда указывают на проблему с медленным backend’ом, а не на «падение».
❤7👍3
Производительные или и выгодные базы данных в облаке
Безопасные, масштабируемые и отказоустойчивые базы данных — одна из ключевых потребностей любого проекта. Именно такие предлагает Selectel. СУБД под разные запросы: от универсальной PostgreSQL до поисковой и аналитической БД Opensearch
Новые клиенты сейчас могут получить до 30 000 бонусов на использование облачных баз данных Selectel. Провайдер гарантирует:
🔹Высокую производительность. Выбирайте оптимальную конфигурацию кластера на базе мощного железа и локальных NVMe-дисков.
🔹Надежность. Автоматические бесплатные бэкапы с восстановлением вплоть до секунды — на стороне Selectel. А создать отказоустойчивый кластер можно всего от двух нод и сэкономить до 33%.
🔹Гибкое масштабирование. При росте нагрузки можно поменять конфигурацию облачного сервера и количество реплик без простоя.
Успейте зарегистрироваться и оставить заявку на участие в акции, чтобы протестировать сервис бесплатно: https://slc.tl/alrjy
Реклама. АО "Селектел". erid:2W5zFHGSJtx
Безопасные, масштабируемые и отказоустойчивые базы данных — одна из ключевых потребностей любого проекта. Именно такие предлагает Selectel. СУБД под разные запросы: от универсальной PostgreSQL до поисковой и аналитической БД Opensearch
Новые клиенты сейчас могут получить до 30 000 бонусов на использование облачных баз данных Selectel. Провайдер гарантирует:
🔹Высокую производительность. Выбирайте оптимальную конфигурацию кластера на базе мощного железа и локальных NVMe-дисков.
🔹Надежность. Автоматические бесплатные бэкапы с восстановлением вплоть до секунды — на стороне Selectel. А создать отказоустойчивый кластер можно всего от двух нод и сэкономить до 33%.
🔹Гибкое масштабирование. При росте нагрузки можно поменять конфигурацию облачного сервера и количество реплик без простоя.
Успейте зарегистрироваться и оставить заявку на участие в акции, чтобы протестировать сервис бесплатно: https://slc.tl/alrjy
Реклама. АО "Селектел". erid:2W5zFHGSJtx
❤3
Microsoft усиливает защиту входа в Entra ID от скриптовых атак
Microsoft объявила, что с октября 2026 года вход в Entra ID через браузер получит жёсткую Content Security Policy: скрипты будут загружаться только с доверенных Microsoft-доменов, а любые встроенные или внешние вставки кода - блокироваться.
Изменения затронут лишь входы по login.microsoftonline.com. Компания просит организации протестировать свои сценарии заранее и отказаться от расширений и утилит, которые внедряют код - после обновления они просто перестанут работать.
Мера входит в программу Secure Future Initiative по ужесточению безопасности Microsoft-сервисов.
Microsoft объявила, что с октября 2026 года вход в Entra ID через браузер получит жёсткую Content Security Policy: скрипты будут загружаться только с доверенных Microsoft-доменов, а любые встроенные или внешние вставки кода - блокироваться.
Это должно закрыть атаки, основанные на внедрении скриптов на страницу логина.
Изменения затронут лишь входы по login.microsoftonline.com. Компания просит организации протестировать свои сценарии заранее и отказаться от расширений и утилит, которые внедряют код - после обновления они просто перестанут работать.
Мера входит в программу Secure Future Initiative по ужесточению безопасности Microsoft-сервисов.
👍5🔥3❤1
Выживаем в условиях ограниченной доступности - DevOps, SRE, сисадмины, архитекторы и инженеры, этот практикум для вас!
3 декабря в 20:00 мск ведущий DevOps-инженер Михаил Чугунов разберет:
👨💻как правильно выстроить пайплайн CI/CD
👨💻как организовать DNS, ingress и балансировку
👨💻как проектировать архитектуры кластера и сетевого взаимодействия
После Практикума “Kubernetes в закрытом контуре”:
✔️DevOps/SRE смогут автоматизировать доставку обновлений и контейнерных образов без внешнего доступа
✔️Сисадмины разберутся, как организовать сетевую топологию, прокси, ingress-контроллеры и DNS в полностью изолированном контуре
✔️Архитекторы поймут, как закладывать ограничения NAT и отсутствие интернета в архитектурные решения
✔️Инженеры БД получат систему, как выстроить безопасную модель доступа, обеспечить комплаенс и защиту данных внутри замкнутой инфраструктуры Kubernetes
Для полной погруженности мы дарим видео-курс о Kubernetes - будьте устойчивы и готовы! Забрать уроки: https://tglink.io/3f9af9fb985b
Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963. erid: 2W5zFJNPCmW
3 декабря в 20:00 мск ведущий DevOps-инженер Михаил Чугунов разберет:
👨💻как правильно выстроить пайплайн CI/CD
👨💻как организовать DNS, ingress и балансировку
👨💻как проектировать архитектуры кластера и сетевого взаимодействия
После Практикума “Kubernetes в закрытом контуре”:
✔️DevOps/SRE смогут автоматизировать доставку обновлений и контейнерных образов без внешнего доступа
✔️Сисадмины разберутся, как организовать сетевую топологию, прокси, ingress-контроллеры и DNS в полностью изолированном контуре
✔️Архитекторы поймут, как закладывать ограничения NAT и отсутствие интернета в архитектурные решения
✔️Инженеры БД получат систему, как выстроить безопасную модель доступа, обеспечить комплаенс и защиту данных внутри замкнутой инфраструктуры Kubernetes
Для полной погруженности мы дарим видео-курс о Kubernetes - будьте устойчивы и готовы! Забрать уроки: https://tglink.io/3f9af9fb985b
Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963. erid: 2W5zFJNPCmW
❤3👍1👎1
Honeypot на Ubuntu: ловим злоумышленников в реальном времени
Honeypot — это поддельная система, созданная для того, чтобы выманивать злоумышленников и отслеживать их поведение. В отличие от фаерволов, это не просто защита, а способ разведки: кто, откуда и что делает.
Один из самых простых и рабочих способов — использовать Cowrie, который имитирует SSH-доступ и shell.
Установка и настройка Cowrie:
1️⃣ Создаём изолированного пользователя:
2️⃣ Устанавливаем зависимости и клонируем:
3️⃣ Настраиваем среду и запускаем от имени пользователя:
4️⃣ По умолчанию SSH доступ доступен на порту 2222.
5️⃣ Добавляем fail2ban фильтр по логам cowrie.log, чтобы блокировать IP, если они что-то активное ломают.
6️⃣ Опционально: логируем вход через PAM:
В /etc/pam.d/sshd добавляем:
Где login_notify.sh может отправлять оповещения в Telegram или писать в отдельный лог.
Honeypot — это поддельная система, созданная для того, чтобы выманивать злоумышленников и отслеживать их поведение. В отличие от фаерволов, это не просто защита, а способ разведки: кто, откуда и что делает.
Один из самых простых и рабочих способов — использовать Cowrie, который имитирует SSH-доступ и shell.
Установка и настройка Cowrie:
sudo adduser --disabled-password cowrie
sudo apt install git python3-venv libssl-dev libffi-dev build-essential
git clone https://github.com/cowrie/cowrie.git /opt/cowrie
cd /opt/cowrie
sudo chown -R cowrie:cowrie .
sudo -u cowrie bash
cd /opt/cowrie
python3 -m venv cowrie-env
source cowrie-env/bin/activate
pip install --upgrade pip
pip install -r requirements.txt
cp etc/cowrie.cfg.dist etc/cowrie.cfg
bin/cowrie start
В /etc/pam.d/sshd добавляем:
session optional pam_exec.so /usr/local/bin/login_notify.sh
Где login_notify.sh может отправлять оповещения в Telegram или писать в отдельный лог.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9❤2🔥1
Как понять, что сеть не «умерла», а всё уткнулось в ARP-cache
Когда хост переполняет ARP-таблицу (обычно на LXC/KVM-нодах с кучей виртуалок), он банально перестаёт добавлять новые ARP-записи.
Внешне это выглядит как хаос: одни IP пингуются, другие - нет, пакеты то проходят, то «теряются», сервисы будто рандомно падают.
На самом деле сеть жива - просто таблица забита.
Как проверить:
Что делать:
➖ увеличить лимиты:
➖ проверить, не генерирует ли лишний ARP-флуд контейнер или мост;
➖ перезапустить «шумящий» namespace или виртуалку, если ARP-таблица быстро восстанавливается.
Когда хост переполняет ARP-таблицу (обычно на LXC/KVM-нодах с кучей виртуалок), он банально перестаёт добавлять новые ARP-записи.
Внешне это выглядит как хаос: одни IP пингуются, другие - нет, пакеты то проходят, то «теряются», сервисы будто рандомно падают.
На самом деле сеть жива - просто таблица забита.
Как проверить:
ip -s neigh # ищем INCOMPLETE и FAILED
ip neigh show | wc -l # сколько реальных записей
cat /proc/sys/net/ipv4/neigh/default/gc_thresh3 # максимальный размер ARP-cache
dmesg | grep -i arp # бывают явные предупреждения
Что делать:
sysctl -w net.ipv4.neigh.default.gc_thresh1=4096
sysctl -w net.ipv4.neigh.default.gc_thresh2=8192
sysctl -w net.ipv4.neigh.default.gc_thresh3=16384
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8👍5
Please open Telegram to view this post
VIEW IN TELEGRAM
😁15👍5❤3
📌 Приглашаем на вебинар
«Дефицит ресурсов — не повод для хаоса: как выстроить техподдержку 220 торговых точек всего за 6 недель»
🗓 4 декабря, 11:00
Будет полезно, если:
— Сервис перегружен и нужно наладить его работу с минимумом затрат
— Требуется расширить набор функций и метрик без долгих и дорогих доработок service desk
↓ ↓ ↓
На примере реального кейса спикеры ITSM 365 и SMARTER расскажут:
— Как за 6 недель перевести сотни торговых точек с почты и Excel в сервис деск
— Как объединить команды торговой сети, подрядчиков и вендоров в одной системе
— Как создать в service desk структуру обслуживания, связав заявки с оборудованием, складами и поставщиками
— Витрина услуг, кастомизация заявок, согласование и оценка работ, настройка отчетов и дашбордов — какие функции гарантированно разгрузят ваш сервис.
Регистрируйтесь по ссылке 🔗
#реклама
О рекламодателе
«Дефицит ресурсов — не повод для хаоса: как выстроить техподдержку 220 торговых точек всего за 6 недель»
🗓 4 декабря, 11:00
Будет полезно, если:
— Сервис перегружен и нужно наладить его работу с минимумом затрат
— Требуется расширить набор функций и метрик без долгих и дорогих доработок service desk
↓ ↓ ↓
На примере реального кейса спикеры ITSM 365 и SMARTER расскажут:
— Как за 6 недель перевести сотни торговых точек с почты и Excel в сервис деск
— Как объединить команды торговой сети, подрядчиков и вендоров в одной системе
— Как создать в service desk структуру обслуживания, связав заявки с оборудованием, складами и поставщиками
— Витрина услуг, кастомизация заявок, согласование и оценка работ, настройка отчетов и дашбордов — какие функции гарантированно разгрузят ваш сервис.
Регистрируйтесь по ссылке 🔗
#реклама
О рекламодателе
🔥2❤1👍1
Почему контейнеры внезапно теряют сеть
Снаружи это выглядит как «сеть умерла», но на самом деле проблема чаще всего скрыта в конфигурации сети контейнеров: конфликт IP, переполненный bridge или правила iptables, блокирующие трафик.
Как проверить проблему:
Сначала смотрим, что видят контейнеры и хост:
Если IP конфликтует или bridge переполнен - новые пакеты просто не доходят. В Kubernetes это часто проявляется как «ContainerNetworkNotReady» или потеря соединения между Pod’ами.
Фикс:
1️⃣ Пересоздать сеть CNI или bridge:
2️⃣ Почистить старые network namespaces:
3️⃣ Проверить, чтобы IP-пулы не пересекались, и настроить CNI так, чтобы новые контейнеры получали уникальные адреса.
4️⃣ Просмотреть логи Docker или kubelet, чтобы найти ошибки подключения:
После этих действий сеть контейнеров обычно восстанавливается, и новые Pod’ы получают IP без конфликтов.
Иногда контейнеры в Docker или Kubernetes перестают отвечать на пинги или теряют доступ к внешним сервисам.
Снаружи это выглядит как «сеть умерла», но на самом деле проблема чаще всего скрыта в конфигурации сети контейнеров: конфликт IP, переполненный bridge или правила iptables, блокирующие трафик.
Как проверить проблему:
Сначала смотрим, что видят контейнеры и хост:
# Интерфейсы и IP адреса
ip a
# Состояние Docker-сети
docker network inspect <network_name>
# В Kubernetes смотрим IP и ноды
kubectl get pods -o wide
kubectl describe pod <pod_name>
# Проверка правил iptables, которые могут блокировать трафик
iptables -L -n -v
Если IP конфликтует или bridge переполнен - новые пакеты просто не доходят. В Kubernetes это часто проявляется как «ContainerNetworkNotReady» или потеря соединения между Pod’ами.
Фикс:
# Docker
docker network rm <network_name>
docker network create <network_name>
# Kubernetes (Calico, Flannel и др.)
kubectl delete pod -n kube-system -l k8s-app=<cni_plugin>
ip netns
ip netns delete <old_ns>
journalctl -u kubelet -f
docker logs <container_id>
После этих действий сеть контейнеров обычно восстанавливается, и новые Pod’ы получают IP без конфликтов.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👍2❤1