В эфире DevOps FM — срединедельный дайджест новостей и статей.
🟡 Вышел OpenSearch 3.0.
Новый релиз включает изменения для повышения производительности и масштабируемости. Например, добавили векторный движок, который применяется для работы с данными в ML и ускоряет векторный поиск. Ещё усовершенствовали работу с управлением данных, например pull-режим получения данных, поддержка gRPC, интеграция Apache Calcite и автоматическое определение типа индексов.
Все изменения можно посмотреть здесь.
⚫️ В Kubernetes 1.33 появилась новая функция, которая повышает безопасность при работе с приватными контейнерными образами. Теперь
В блоге Kubernetes подробно рассказали о проблеме, которую не могли решить более 10 лет, архитектуре решения и о том, как новая логика аутентификации работает под капотом.
🟡 GitHub обновил поиск по Issues — теперь он поддерживает вложенные запросы и логические операторы AND/OR.
Это улучшение позволяет более точно находить нужные задачи, комбинируя условия поиска. В статье рассказали, как команда реализовала эту функцию: от перехода на Abstract Syntax Tree и интеграции с Elasticsearch до тестирования на реальных нагрузках(до 2000 запросов в секунду) . Всё это — с сохранением обратной совместимости и стабильности интерфейсов.
⚫️ На Medium вышел обзор ключевых обновлений в репозитории Cloud Networking Config Solutions от Google Cloud. В статье перечислены новые шаблоны и улучшения для настройки сетевой инфраструктуры в GCP: от поддержки VPC как spoke в Network Connectivity Center до обновлений для Vertex AI Workbench, App Engine и AlloyDB.
#devops #kubernetes #cloud #github #opensearch
🟡 Вышел OpenSearch 3.0.
Новый релиз включает изменения для повышения производительности и масштабируемости. Например, добавили векторный движок, который применяется для работы с данными в ML и ускоряет векторный поиск. Ещё усовершенствовали работу с управлением данных, например pull-режим получения данных, поддержка gRPC, интеграция Apache Calcite и автоматическое определение типа индексов.
Все изменения можно посмотреть здесь.
⚫️ В Kubernetes 1.33 появилась новая функция, которая повышает безопасность при работе с приватными контейнерными образами. Теперь
kubelet проверяет, действительно ли под имеет доступ к уже загруженному образу, даже если он используется с политикой IfNotPresent. Это изменение помогает избежать несанкционированного использования приватных образов другими подами на той же ноде.В блоге Kubernetes подробно рассказали о проблеме, которую не могли решить более 10 лет, архитектуре решения и о том, как новая логика аутентификации работает под капотом.
🟡 GitHub обновил поиск по Issues — теперь он поддерживает вложенные запросы и логические операторы AND/OR.
Это улучшение позволяет более точно находить нужные задачи, комбинируя условия поиска. В статье рассказали, как команда реализовала эту функцию: от перехода на Abstract Syntax Tree и интеграции с Elasticsearch до тестирования на реальных нагрузках
⚫️ На Medium вышел обзор ключевых обновлений в репозитории Cloud Networking Config Solutions от Google Cloud. В статье перечислены новые шаблоны и улучшения для настройки сетевой инфраструктуры в GCP: от поддержки VPC как spoke в Network Connectivity Center до обновлений для Vertex AI Workbench, App Engine и AlloyDB.
#devops #kubernetes #cloud #github #opensearch
🔥10👍6❤2
Всем DevOps 🖐
Сейчас проводится ежегодное исследование состояния DevOps в России 2025. Своим мнением делятся более 4000 представителей индустрии: разработчики, тестировщики, администраторы, инженеры, техлиды и тимлиды, CIO, CTO.
В центре внимания в этом году — Developer Experience: насколько опыт разработчиков влияет на эффективность команд и бизнеса. В отчете вы сможете узнать о:
• Cloud-трансформации, ключевых трендах и инновациях в cloud
• влиянии практик и инструментов на Developer Experience
• инструментах и подходах в DevSecOps
• влиянии ИИ в разработке ПО
• профилях эффективности и бенчмарках индустрии
➡️ Важно мнение каждого респондента. Опрос можно пройти по ссылке.
Участие анонимно. Все полученные данные будут использоваться в обобщенном виде и не будут передаваться сторонним компаниям.
#партнерский_пост
Сейчас проводится ежегодное исследование состояния DevOps в России 2025. Своим мнением делятся более 4000 представителей индустрии: разработчики, тестировщики, администраторы, инженеры, техлиды и тимлиды, CIO, CTO.
В центре внимания в этом году — Developer Experience: насколько опыт разработчиков влияет на эффективность команд и бизнеса. В отчете вы сможете узнать о:
• Cloud-трансформации, ключевых трендах и инновациях в cloud
• влиянии практик и инструментов на Developer Experience
• инструментах и подходах в DevSecOps
• влиянии ИИ в разработке ПО
• профилях эффективности и бенчмарках индустрии
Участие анонимно. Все полученные данные будут использоваться в обобщенном виде и не будут передаваться сторонним компаниям.
#партнерский_пост
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤1🔥1
Привет! В этот понедельник предлагаем освежить в памяти, как устроено сетевое взаимодействие.
Лука Каваллин собрал в одном месте ключевые сетевые протоколы и кратко прошёлся по каждому. В обзоре — сравнение TCP и UDP, роль ICMP в диагностике, IGMP в мультикастах, а также краткие описания IP, ARP и DNS. Всё это — с акцентом на назначение, структуру и механику взаимодействия протоколов.
Почитать и вспомнить детали можно здесь.
➕ Какие особенности сетевого стека чаще всего всплывают у вас на практике? Расскажите в комментариях — возможно, получится хороший чеклист.
#devops #network #protocols
Лука Каваллин собрал в одном месте ключевые сетевые протоколы и кратко прошёлся по каждому. В обзоре — сравнение TCP и UDP, роль ICMP в диагностике, IGMP в мультикастах, а также краткие описания IP, ARP и DNS. Всё это — с акцентом на назначение, структуру и механику взаимодействия протоколов.
Почитать и вспомнить детали можно здесь.
#devops #network #protocols
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🔥5❤2
Дайджест в среду как хорошо настроенный мониторинг: всегда ловит самое важное.
🟡 Зарелизили Debian 12.11
В релиз вошло 81 исправление ошибок для различных пакетов и 45 обновлений безопасности. Обновили ядро Linux, новые опции монтирования для XFS, добавили поддержку новых устройств и режима восстановления системы. Все обновления можно посмотреть здесь.
Напомним, что Debian 13 уже находится в стадии жесткой заморозки для тестирования и исправления проблем, релиз ожидается этим летом.
⚫️ У Docker появились Hardened Images — безопасные по умолчанию контейнеры, рассчитанные на продакшн. Образы минимальны, регулярно обновляются и поддерживают знакомые дистрибутивы вроде Debian. Поддерживается кастомизация, интеграция с CI/CD и инструментами безопасности. Подключение довольно простое, достаточно заменить базовый образ в Dockerfile.
Больше информации в статье.
🟡 На Faun опубликовали статью о 5 CI/CD-практиках, которые помогают сократить деплой. Автор рассказывает, как команда отказалась от ручных проверок, сделала пайплайн stateless, добавила автоматические гейты между окружениями и настроила безопасное управление секретами. Всё это — с примерами конфигов и скриптов.
⚫️ Microsoft открыли исходный код WSL и запустили сайт wsl.dev для разработчиков. Теперь любой желающий может собрать WSL из исходников, предложить патчи и поучаствовать в развитии подсистемы. Код опубликован под MIT-лицензией. Также в открытый доступ выложили консольный редактор Edit на Rust.
#devops #docker #microsoft #debian
🟡 Зарелизили Debian 12.11
В релиз вошло 81 исправление ошибок для различных пакетов и 45 обновлений безопасности. Обновили ядро Linux, новые опции монтирования для XFS, добавили поддержку новых устройств и режима восстановления системы. Все обновления можно посмотреть здесь.
Напомним, что Debian 13 уже находится в стадии жесткой заморозки для тестирования и исправления проблем, релиз ожидается этим летом.
⚫️ У Docker появились Hardened Images — безопасные по умолчанию контейнеры, рассчитанные на продакшн. Образы минимальны, регулярно обновляются и поддерживают знакомые дистрибутивы вроде Debian. Поддерживается кастомизация, интеграция с CI/CD и инструментами безопасности. Подключение довольно простое, достаточно заменить базовый образ в Dockerfile.
Больше информации в статье.
🟡 На Faun опубликовали статью о 5 CI/CD-практиках, которые помогают сократить деплой. Автор рассказывает, как команда отказалась от ручных проверок, сделала пайплайн stateless, добавила автоматические гейты между окружениями и настроила безопасное управление секретами. Всё это — с примерами конфигов и скриптов.
⚫️ Microsoft открыли исходный код WSL и запустили сайт wsl.dev для разработчиков. Теперь любой желающий может собрать WSL из исходников, предложить патчи и поучаствовать в развитии подсистемы. Код опубликован под MIT-лицензией. Также в открытый доступ выложили консольный редактор Edit на Rust.
#devops #docker #microsoft #debian
🔥10❤2👍2
☁️ Облачные концепции и их ньюансы
Пользователь Reddit предложил поделиться cloud концепциями, на понимание которых ушло гораздо больше времени, чем ожидалось. Вот несколько интересных кейсов:
Делитесь своими черными дырами в cloud-концепциях! Всем желаем весёлого чтения и хороших выходных!
#devops #reddit #cloud
Пользователь Reddit предложил поделиться cloud концепциями, на понимание которых ушло гораздо больше времени, чем ожидалось. Вот несколько интересных кейсов:
Для меня это был IAM на AWS. Сначала все казалось простым — просто дайте пользователям права, верно? Но когда я вник в роли, политики, привилегии... Это было похоже на падение в кроличью нору.
Я сомневался в своих силах каждый раз, когда пытался устранить проблемы с доступом. Даже сейчас я перепроверяю каждую написанную политику по три раза 😅.
Думаю, для меня это была VPC на AWS. Это просто подсети... Ха-ха. Маршруты, шлюзы, частные и публичные подсети — все это похоже на попытку подключения центра обработки данных с помощью невидимых кабелей.
Мне потребовалось слишком много времени, чтобы понять что самая защищенная группа это та, которая ни с кем не соединена 😅.
Ценообразование
Oauth2/OpenID и смежные вопросы, они удивляют меня каждый день.
На первый взгляд все просто, но когда у вас есть несколько приложений с разными требованиями, использующих разные сценарии — их настройка превращается в запутанную паутину. Добавьте сюда корпоративную IDP, и на пенсию вы будете выходить со словами «сейчас, еще кое-что доделаю».
В нашей команде мы тратим 70% времени на различные темы аутентификации и авторизации. Это бесконечная яма.
Делитесь своими черными дырами в cloud-концепциях! Всем желаем весёлого чтения и хороших выходных!
#devops #reddit #cloud
👍16🔥6❤4
В новой версии — почти 15 тысяч нововведений, пара из которых, кстати, оказалась спорной. Тем не менее большинство изменений затронули улучшения драйверов и обновление кода.
Немного про основные фичи: в состав яда приняты драйвера Nova для GPU NVIDIA на Rust, во FUSE реализованы таймауты на выполнение запросов, для
exFAT ускорили операции удаления файлов, а в Btrfs добавили возможность указания уровней сжатия zstd, обеспечивающих более высокую скорость работы.fwctl, предназначенной для стандартизации безопасного взаимодействия и изменения для io_uring. Некоторые разработчики, включая Линуса Торвальдса, выразили обеспокоенность по поводу прозрачности и соответствия этих изменений установленным процессам разработки ядра.Несмотря на споры, Линус Торвальдс отметил, что в финальном релизе «ничего особенно страшного нет» и выразил удовлетворение от проделанной работы.
#devops #linux
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8❤3👍3👎1
Всем DevOps! Деплоим средовую подборку новостей и статей.
⚫️ Обнаружена уязвимость в GitHub MCP-сервере, связанная с ИИ-агентами
Команда Invariant Labs опубликовала исследование уязвимости, которая позволяет злоумышленнику через Issue заставить ИИ-агента слить данные из приватных репозиториев. В отчете продемонстрировано, как атака реализуется на практике и предложены инструменты для обнаружения и предотвращения. Рекомендуем ознакомиться тем, у кого есть ИИ-ассистенты в репозиториях.
🟡 В Grafana появилась поддержка импорта алертов в через UI. Теперь можно перенести алерты из Prometheus, Loki и Mimir в Grafana-managed alerts через UI и API. О нюансах — в статье.
⚫️ Ракан Аль-Зага опубликовал статью о современных подходах к авторизации. Он объясняет, почему традиционные модели (RBAC, ABAC) не справляются с масштабом микросервисов и мультиоблачной архитектуры и предлагает иные решения: Policy-as-Code и Authorization-as-a-Service.
🟡 Шон Вэбб рассказал о прогрессе внедрения Rust в FreeBSD.
Сейчас в отдельной ветке защищенных сборок FreeBSD уже можно собрать Rust-компоненты, при этом все зависимости лежат локально и собираются с пакетным менеджером Cargo. Поддержка библиотеки
⚫️ Крис Ричардсон выпустил вторую часть серии об аутентификации и авторизации в микросервисной архитектуре. На этот раз речь идёт об аутентификации — проверке личности пользователя. Крис объясняет, зачем микросервисам нужен отдельный IAM-сервис, как работают OAuth 2.0 и OpenID Connect, и как встроить всю эту механику в распределённую систему.
⚫️ Обнаружена уязвимость в GitHub MCP-сервере, связанная с ИИ-агентами
Команда Invariant Labs опубликовала исследование уязвимости, которая позволяет злоумышленнику через Issue заставить ИИ-агента слить данные из приватных репозиториев. В отчете продемонстрировано, как атака реализуется на практике и предложены инструменты для обнаружения и предотвращения. Рекомендуем ознакомиться тем, у кого есть ИИ-ассистенты в репозиториях.
🟡 В Grafana появилась поддержка импорта алертов в через UI. Теперь можно перенести алерты из Prometheus, Loki и Mimir в Grafana-managed alerts через UI и API. О нюансах — в статье.
⚫️ Ракан Аль-Зага опубликовал статью о современных подходах к авторизации. Он объясняет, почему традиционные модели (RBAC, ABAC) не справляются с масштабом микросервисов и мультиоблачной архитектуры и предлагает иные решения: Policy-as-Code и Authorization-as-a-Service.
🟡 Шон Вэбб рассказал о прогрессе внедрения Rust в FreeBSD.
Сейчас в отдельной ветке защищенных сборок FreeBSD уже можно собрать Rust-компоненты, при этом все зависимости лежат локально и собираются с пакетным менеджером Cargo. Поддержка библиотеки
cdylib, нескольких программ в одном Makefile и прочие фичи — в планах.⚫️ Крис Ричардсон выпустил вторую часть серии об аутентификации и авторизации в микросервисной архитектуре. На этот раз речь идёт об аутентификации — проверке личности пользователя. Крис объясняет, зачем микросервисам нужен отдельный IAM-сервис, как работают OAuth 2.0 и OpenID Connect, и как встроить всю эту механику в распределённую систему.
👍9🔥3❤2
🎙 В эфире DevOps FM — пятничная подборка подкастов
1. Mastering Microservices от Stack Overflow Podcast. В гостях — Жё Джордж, бывший архитектор Uber и Netflix. Он вместе с ведущим обсуждает эволюцию микросервисной архитектуры, ключевую роль инструментов оркестрации, а также переход от open-source к управляемым сервисам.
2. KubeCon EU 2025 Special от Kubernetes Podcast. Всё самое интересное с KubeCon в Лондоне: платформенный инжиниринг, AI в Kubernetes, свежие апдейты по ядру и неожиданные кейсы вроде запуска Kubernetes на молочной ферме. Также — новости экосистемы, новые фичи в Kubernetes 1.33 и развитие Gateway API.
3. OpenTofu with Cory O’Daniel and Malcolm Matalka от Software Engineering Daily. В этом выпуске рассказывают, как изменение лицензии HashiCorp привело к созданию OpenTofu, делятся историей запуска проекта, обсуждают роль сообщества и объясняют, почему OpenTofu стал важным инструментом для IaC.
Желаем приятного прослушивания! Тем, кто отдыхает — хороших выходных, а тем, кто работает — спокойных дежурных смен!
#devops #подкаст
1. Mastering Microservices от Stack Overflow Podcast. В гостях — Жё Джордж, бывший архитектор Uber и Netflix. Он вместе с ведущим обсуждает эволюцию микросервисной архитектуры, ключевую роль инструментов оркестрации, а также переход от open-source к управляемым сервисам.
2. KubeCon EU 2025 Special от Kubernetes Podcast. Всё самое интересное с KubeCon в Лондоне: платформенный инжиниринг, AI в Kubernetes, свежие апдейты по ядру и неожиданные кейсы вроде запуска Kubernetes на молочной ферме. Также — новости экосистемы, новые фичи в Kubernetes 1.33 и развитие Gateway API.
3. OpenTofu with Cory O’Daniel and Malcolm Matalka от Software Engineering Daily. В этом выпуске рассказывают, как изменение лицензии HashiCorp привело к созданию OpenTofu, делятся историей запуска проекта, обсуждают роль сообщества и объясняют, почему OpenTofu стал важным инструментом для IaC.
Желаем приятного прослушивания! Тем, кто отдыхает — хороших выходных, а тем, кто работает — спокойных дежурных смен!
#devops #подкаст
❤5👍4🔥3
В статье от Microsoft вы узнаете, как дефолтные конфигурации Helm-чартов для Apache Pinot, Meshery и Selenium приводили к инцидентам. Исследователи призывают проверять конфигурации, мониторить состояние кластеров и не полагаться на установки “по умолчанию”.
#devops #helm #security
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🔥4❤1
Первая летняя подборка новостей и релизов уже в эфире DevOps FM!
🟡 Зарелизили VirtualBox 7.1.10
Oracle выпустили VirtualBox 7.1.10, в которой исправили некоторые ошибки и улучшили производительность.
Из интересного:
• Добавлена поддержка Linux 6.15.
• Исправили проблемы с аварийным завершением VBoxManage на хостах Windows и завершением процесса VM Selector на базе Linux
• Исправлена проблема, не позволявшая вставлять данные из буфера обмена в гостевую систему, доступ к которой осуществляется при помощи протокола RDP.
⚫️ В блоге Kubernetes вышла статья о том, как обеспечить корректный порядок запуска контейнеров в поде, когда основное приложение зависит от sidecar-контейнера.
В материале рассматривается, почему даже при использовании нативных sidecar-контейнеров с r
⚫️ Линус Торвальдс распорядился заблокировать учётную запись лидера Ubuntu Security Team
Кеса Кука, одного из главных сторонников Rust в ядре, заблокировали за подмену информации об авторстве коммитов. Поводом стал pull-запрос в Linux 6.16, в котором использовался git-репозиторий с фиктивными изменениями — ряд коммитов в нём значились от имени самого Торвальдса, хотя он к ним не имел отношения.
Торвальдс расценил это как потенциально вредоносную активность и потребовал немедленной блокировки профиля Кука до выяснения обстоятельств. Кес объяснил инцидент неудачным восстановлением репозитория после сбоя SSD и ошибкой в использовании утилиты
Позже автор утилиты
🟡 На TheNewStack опубликовали результаты исследования от Google посвященное зрелости подхода платформенной инженерии и ее влияние на бизнес. Один из ключевых выводов — 65% времени разработчиков тратится на задачи, которые можно устранить с помощью платформенной инженерии — например, настройка инструментов, обновления, поддержка среды и т.д. Ознакомиться с остальными результатами можно здесь.
#devops #linux #kubermetes #platformengineering
🟡 Зарелизили VirtualBox 7.1.10
Oracle выпустили VirtualBox 7.1.10, в которой исправили некоторые ошибки и улучшили производительность.
Из интересного:
• Добавлена поддержка Linux 6.15.
• Исправили проблемы с аварийным завершением VBoxManage на хостах Windows и завершением процесса VM Selector на базе Linux
• Исправлена проблема, не позволявшая вставлять данные из буфера обмена в гостевую систему, доступ к которой осуществляется при помощи протокола RDP.
⚫️ В блоге Kubernetes вышла статья о том, как обеспечить корректный порядок запуска контейнеров в поде, когда основное приложение зависит от sidecar-контейнера.
В материале рассматривается, почему даже при использовании нативных sidecar-контейнеров с r
estartPolicy: Always нельзя гарантировать, что sidecar будет полностью готов до старта основного приложения. Автор показывает, как решить эту проблему с помощью startupProbe, postStart-хуков и других механизмов Kubernetes, чтобы добиться нужной последовательности запуска.⚫️ Линус Торвальдс распорядился заблокировать учётную запись лидера Ubuntu Security Team
Кеса Кука, одного из главных сторонников Rust в ядре, заблокировали за подмену информации об авторстве коммитов. Поводом стал pull-запрос в Linux 6.16, в котором использовался git-репозиторий с фиктивными изменениями — ряд коммитов в нём значились от имени самого Торвальдса, хотя он к ним не имел отношения.
Торвальдс расценил это как потенциально вредоносную активность и потребовал немедленной блокировки профиля Кука до выяснения обстоятельств. Кес объяснил инцидент неудачным восстановлением репозитория после сбоя SSD и ошибкой в использовании утилиты
git-filter-repo в связке с b4 trailers.Позже автор утилиты
b4 подтвердил, что подмена произошла без злого умысла и была следствием некорректного использования утилиты. Доступ Кука к инфраструктуре был восстановлен, а в b4 появится дополнительная проверка, предотвращающая подобные случаи в будущем.🟡 На TheNewStack опубликовали результаты исследования от Google посвященное зрелости подхода платформенной инженерии и ее влияние на бизнес. Один из ключевых выводов — 65% времени разработчиков тратится на задачи, которые можно устранить с помощью платформенной инженерии — например, настройка инструментов, обновления, поддержка среды и т.д. Ознакомиться с остальными результатами можно здесь.
#devops #linux #kubermetes #platformengineering
6 июня 2014 года был сделан первый коммит Kubernetes. Работу над проектом начинали трое инженеров: Джо Беду, Брендон Бёрнс и Крэйг МаКлаки. Они хотели создать систему, которая упростит запуск контейнеризированных приложений и сделает это доступным не только гигантам, но и всему сообществу разработчиков.
О Borg. В 2000-х годах существовал Borg — внутренняя система управления контейнерами в Google, названная в честь киберсуществ из Звездного пути. Она позволяла эффективно распределять нагрузку между серверами и автоматизировать работу с приложениями, позже эти идеи легли в основу Kubernetes. Однако Borg был доступен только инженерам Google, и это ограничивало его влияние на внешний рынок.
В 2010-х появляется Docker, популяризируя новый облачный подход к работе с приложениями. Именно исходя из его ограничений в одну рабочую машину, создатели Kubernetes поставили цели для будущего проекта, а именно:
• Репликация для развертывания нескольких экземпляров приложения
• Балансировка нагрузки и обнаружение сервисов для маршрутизации трафика в эти реплицированные контейнеры
• Базовая проверка работоспособности и ремонт для обеспечения самовосстановления системы
• Планирование объединения большого количества машин в один пул и распределение работы между ними
Первый публичный анонс состоялся в июне 2014 года на DockerCon, а в 2015 году Kubernetes стал первым проектом новой организации CNCF, которая до сих пор курирует развитие ключевых инструментов cloud-native инфраструктур.
О названии. Название выбрали говорящее: Kubernetes — в переводе с греческого «штурман», а символом проекта стал штурвал.
Для тех, кто хочет погрузиться в историю глубже — советуем неплохую двухсерийную документалку от команды Honeypot: первая и вторая части.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12👍5❤3
#devops #репозиторий
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10👍5❤3
Публикуем еженедельный дайджест релизов и новостей.
⚫️ Зарелизили FreeBSD 14.3
В новой версии обновили LLVM, OpenSSH, OpenZFS и другие сторонние компоненты, добавлена поддержка параметров для привязки политик и выполнения
🟡 В блоге Kubernetes вышла статья о выходе Inference Extension для Gateway API — расширения, которое упрощает маршрутизацию трафика к LLM и другим AI/ML-моделям в Kubernetes.
В материале рассказали, как новое расширение учитывает особенности inference-нагрузок: продолжительность сессий, использование GPU и тип модели. Оно позволяет гибко направлять трафик на наименее загруженные поды, снижая задержки и повышая эффективность работы.
⚫️ На InfoQ вышел подробный гайд по использованию зеркалирования трафика для отладки и тестирования микросервисов. Авторы рассказали, как безопасно дублировать реальный трафик на теневые сервисы без влияния на пользователей — с помощью Istio, AWS VPC, eBPF и других инструментов. Если кратко:
• Зеркалирование позволяет ловить редкие баги, проводить регрессионные тесты и профилировать производительность в условиях, близких к боевым.
• Возможны разные уровни — L7 (через Istio и NGINX), L4 (через AWS VPC Mirroring), eBPF и DIY-решения.
Подробности и кейс с примерами читаем в статье.
#devops #freebsd #kubernetes #microservices
⚫️ Зарелизили FreeBSD 14.3
В новой версии обновили LLVM, OpenSSH, OpenZFS и другие сторонние компоненты, добавлена поддержка параметров для привязки политик и выполнения
sysctl к jail-окружениям, изменили логику обработки флага "-U". Все изменения можно посмотреть здесь. 🟡 В блоге Kubernetes вышла статья о выходе Inference Extension для Gateway API — расширения, которое упрощает маршрутизацию трафика к LLM и другим AI/ML-моделям в Kubernetes.
В материале рассказали, как новое расширение учитывает особенности inference-нагрузок: продолжительность сессий, использование GPU и тип модели. Оно позволяет гибко направлять трафик на наименее загруженные поды, снижая задержки и повышая эффективность работы.
⚫️ На InfoQ вышел подробный гайд по использованию зеркалирования трафика для отладки и тестирования микросервисов. Авторы рассказали, как безопасно дублировать реальный трафик на теневые сервисы без влияния на пользователей — с помощью Istio, AWS VPC, eBPF и других инструментов. Если кратко:
• Зеркалирование позволяет ловить редкие баги, проводить регрессионные тесты и профилировать производительность в условиях, близких к боевым.
• Возможны разные уровни — L7 (через Istio и NGINX), L4 (через AWS VPC Mirroring), eBPF и DIY-решения.
Подробности и кейс с примерами читаем в статье.
#devops #freebsd #kubernetes #microservices
3👍7❤3🔥1
В статье разбираются best-practices, которые помогают выстроить безопасную стратегию и упростить управление секретов. Вы узнаете, как и где безопасно хранить статические и динамические секреты, когда внедрять автоматизацию и что делать когда требуется масштабирование. Материал как для начинающих, так и для тех, кто уже работает с облачными инфраструктурами.
Какой из пунктов чеклиста вы бы добавили в инфраструктуру в первую очередь?
#devops #bestpractices
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥6❤2💊1
В прошлом мы уже обсуждали зомби-ресурсы в облаке, теперь пришло время зомби-процессов — и не где-нибудь, а внутри Docker-контейнера с Go-приложением.
Савас Вендова делится кейсом, в котором его сервер стабильно падал с ошибкой
Redis Pub/Sub из-за проблем с утечкой памяти. Причиной были зомби: дочерние процессы Node.js не завершались корректно даже после os.Process.Kill() в Go. А поскольку приложение запускалось как PID 1 внутри Docker, оно не собирало съедающие ресурсы зомби-процессы.Проблему решили с помощью Tini — init-решения для контейнеров. Оно перехватывает SIGCHLD и корректно завершает все процессы. Подробный разбор кейса с примерами читаем здесь.
Желаем всем, кто отдыхает, хороших выходных, а тем, кто дежурит — спокойных смен без серьёзных алертов и зомби!
#devops #docker #go #zombieprocesses
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🔥4🤔1
Не каждый работает с инфраструктурой, где чувствительные данные разбросаны между десятками микросервисов, облаками и кодовой базой. Тем интереснее узнать, как такие системы устроены и как в них обеспечивают безопасность.
В Uber рассказали, как они создали централизованную платформу управлением секретами, которая изменила их подход к защите распределённых систем. Они объединили более 25 разрозненных хранилищ в отказоустойчивую систему на базе Vault, автоматизировали 20 000 ротаций в месяц и сократили дистрибуцию секретов на 90%. А ещё — разработали собственный протокол для обмена с внешними сервисами и движутся к модели secretless благодаря SPIRE.
О том, как это удалось реализовать — в статье.
#devops #security #infrastructure
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤5🔥2
На Reddit подняли интересную тему о различных CI/CD процессах, задав вопрос: Какие небольшие, но полезные улучшения в CI/CD вы сделали?
Собирали для вас несколько популярных ответов:
Для меня это было включение подсветки ошибок в журналах сборки. Эффект был колоссальным, потому что теперь разработчики могли легко сортировать журналы сборки. Коротко и ясно. Не поймите меня неправильно, у нас все еще есть сбои, но теперь очень просто найти 👍
Напишите как можно больше CI/CD-задач в виде отдельных скриптов, чтобы можно было запускать и тестировать их локально. Но не заходите слишком далеко: написание собственной CI/CD системы на скриптовом языке — не самое лучшая трата вашего времени.
Чтобы скрипты было легко вызывать, добавьте несколько Makefiles в качестве обертки. Только эти две вещи сэкономят вам огромное количество времени.
Производительность CI/CD зависит от кэширования. В GitHub Actions есть кэш, который поддерживается Docker. Его использование значительно повышает производительность.
В этом проекте есть ряд примеров использования кэширования для оптимизации производительности. Например, использование GitHub docker реестра для обмена образами между параллельными этапами, использование кэша GitHub для файлов и т. д.
Вообще говоря, будет лучше, если вы сможете запускать CI/CD локально для дебага. Иначе вы застрянете в медленном цикле коммитов кода и ожидания сбоя CI. В этом проекте используется «контейнерная» сборка и тестирование, поэтому все, что возможно, делается в Docker. Так получается его более изолированно.
А какие CI/CD процессы посоветовали бы вы?
#devops #reddit #cicd
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤5🔥3
kro — фреймворк, который позволяет объединять множество Kubernetes-ресурсов в один пользовательский API. С помощью него можно создавать группировки ресурсов и скрывать всю инфраструктурную сложность за простым и понятным интерфейсом для разработчиков в CRD.
popeye — сканер для кластеров, который на лету проверяет конфигурации и выдает предупреждения о потенциальных проблемах. Он помогает находить ошибки в манифестах, устаревшие ресурсы, несоответствие best practices и перекосы в выделении CPU/памяти.
rancher — платформа управления Kubernetes-кластерами, которая обеспечивает централизованный контроль доступа, мониторинг, деплой приложений и автоматизацию операций через единый интерфейс.
#devops #tools #opensource
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👍3🔥1
В эту пятницу рассказываем про онлайн-сервисы для знакомства с Docker и Kubernetes
👩💻 Play with Docker — интерактивная площадка для изучения Docker. После авторизации вас перенаправит на облачный хост, где вы можете создавать инстансы Docker-кластера актуальной версии. Сессия длится 4 часа.
Чтобы разобраться было проще, авторы сделали отдельные интерактивные инструкции. В них можно быстро освоить базовые команды Docker, работу с docker-compose, volumes, сетями и даже с Docker Swarm.
👩💻 Play with Kubernetes — аналогичная Play with Docker площадка для изучения Kubernetes. На сайте вам предоставляется доступ к виртуальной Linux-машине, где можно баловаться с кластерами и разбираться с основными концепциями оркестратора.
Как и в случае с Docker, у Kubernetes есть собственный обучающий портал, где можно пошагово пройти сценарии развёртывания подов, сервисов, ingress, конфигов и прочих сущностей. Отличный способ разобраться в основах и попрактиковаться без настройки инфраструктуры.
Команда DevOps FM желает приятных выходных. А тем, кто работает или дежурит – спокойных рабочих смен!
#devops #docker #kubernetes
Чтобы разобраться было проще, авторы сделали отдельные интерактивные инструкции. В них можно быстро освоить базовые команды Docker, работу с docker-compose, volumes, сетями и даже с Docker Swarm.
Как и в случае с Docker, у Kubernetes есть собственный обучающий портал, где можно пошагово пройти сценарии развёртывания подов, сервисов, ingress, конфигов и прочих сущностей. Отличный способ разобраться в основах и попрактиковаться без настройки инфраструктуры.
Команда DevOps FM желает приятных выходных. А тем, кто работает или дежурит – спокойных рабочих смен!
#devops #docker #kubernetes
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👍2❤1💅1
Начинаем рабочую неделю с занимательной статьи от Шарона Брызинова.
Удалили секрет из GitHub? Увы, он всё равно остаётся доступен. Даже после
Исследователь автоматизировал поиск таких «висячих» коммитов, использовав GitHub Event API, GH Archive и TruffleHog и нашёл тысячи ключей и токенов. Один из них открывал админ-доступ ко всем репозиториям Istio, что могло привести к масштабной supply chain-атаке, но уязвимость вовремя устранили.
В статье — как Шарон он наткнулся на эту проблему, получил доступы к проектам Google, RedHat и других крупных корпораций и создал open-source проект для сканирования подобных утечек.
#devops #github #security
Удалили секрет из GitHub? Увы, он всё равно остаётся доступен. Даже после
git reset --hard HEAD~1 с последующим git push --force коммиты не исчезают навсегда — GitHub хранит их в архиве и позволяет восстановить по хешу.Исследователь автоматизировал поиск таких «висячих» коммитов, использовав GitHub Event API, GH Archive и TruffleHog и нашёл тысячи ключей и токенов. Один из них открывал админ-доступ ко всем репозиториям Istio, что могло привести к масштабной supply chain-атаке, но уязвимость вовремя устранили.
В статье — как Шарон он наткнулся на эту проблему, получил доступы к проектам Google, RedHat и других крупных корпораций и создал open-source проект для сканирования подобных утечек.
#devops #github #security
👍12❤3
К сегодняшней среде подготовили для вас свежий дайджест интересных новостей и материалов за неделю.
⚫️ Let's Encrypt начала выдавать бесплатные TLS-сертификаты для IP-адресов
Let's Encrypt анонсировали начало предоставления бесплатных сертификатов для IP-адресов. Срок действия сертификатов составит 6 дней и пока генерация происходит только в тестовом режиме. Для запроса сертификата требуется наличие в ACME-клиенте поддержки расширения протокола, реализующего профили, а также поддержки профиля
🟡 Зарелизили GNU Bash 5.3
Спустя почти три года разработки представлена новая версия одного из самых популярных Unix-оболочек. Обновление затронуло как функциональность самой оболочки, так и библиотеку Readline, которая используется для редактирования командной строки.
Что нового:
• Появился новый формат подстановки команд
• Добавлена переменная
• Команды read, source, compgen получили новые опции.
• Bash переведён на стандарт C23 — поддержка старых K&R C-компиляторов прекращена.
Полный список изменений можно найти здесь.
⚫️ На официальном блоге Kubernetes вышел разбор проблем с отказами устройств в подах
Авторы статьи делятся выводами из доклада на KubeCon NA и обсуждают, почему текущая модель отказоустойчивости Kubernetes не справляется с современными задачами. AI/ML-нагрузки предъявляют новые требования: устройства дорогие, сбои критичны, а переиспользование подов и девайсов должно быть максимально эффективным. В статье рассказывается о текущих решениях — от кастомных контроллеров до политик завершения работы подов, а также о том, какие доработки планируются в SIG Node: больше extension points, учёт деградации устройств, интеграция с DRA и многое другое.
Чтобы прочитать статью — кликните сюда.
🟡 Манешвар, разработчик LiveAPI, опубликовал гайд по миграции AWS EC2-инстанса в Google Cloud с сохранением всех данных и конфигураций — от ОС до пользовательских файлов. В статье он подробно описывает каждый этап: создание AMI, экспорт в S3, импорт в GCP и запуск нового инстанса на базе полученного образа.
#devops #kubernetes #bash #aws
⚫️ Let's Encrypt начала выдавать бесплатные TLS-сертификаты для IP-адресов
Let's Encrypt анонсировали начало предоставления бесплатных сертификатов для IP-адресов. Срок действия сертификатов составит 6 дней и пока генерация происходит только в тестовом режиме. Для запроса сертификата требуется наличие в ACME-клиенте поддержки расширения протокола, реализующего профили, а также поддержки профиля
shortlived. Полноценный доступ ожидается к концу 2025 года. 🟡 Зарелизили GNU Bash 5.3
Спустя почти три года разработки представлена новая версия одного из самых популярных Unix-оболочек. Обновление затронуло как функциональность самой оболочки, так и библиотеку Readline, которая используется для редактирования командной строки.
Что нового:
• Появился новый формат подстановки команд
${ command; } и ${|command;}• Добавлена переменная
GLOBSORT — теперь можно управлять сортировкой файлов при автодополнении• Команды read, source, compgen получили новые опции.
• Bash переведён на стандарт C23 — поддержка старых K&R C-компиляторов прекращена.
Полный список изменений можно найти здесь.
⚫️ На официальном блоге Kubernetes вышел разбор проблем с отказами устройств в подах
Авторы статьи делятся выводами из доклада на KubeCon NA и обсуждают, почему текущая модель отказоустойчивости Kubernetes не справляется с современными задачами. AI/ML-нагрузки предъявляют новые требования: устройства дорогие, сбои критичны, а переиспользование подов и девайсов должно быть максимально эффективным. В статье рассказывается о текущих решениях — от кастомных контроллеров до политик завершения работы подов, а также о том, какие доработки планируются в SIG Node: больше extension points, учёт деградации устройств, интеграция с DRA и многое другое.
Чтобы прочитать статью — кликните сюда.
🟡 Манешвар, разработчик LiveAPI, опубликовал гайд по миграции AWS EC2-инстанса в Google Cloud с сохранением всех данных и конфигураций — от ОС до пользовательских файлов. В статье он подробно описывает каждый этап: создание AMI, экспорт в S3, импорт в GCP и запуск нового инстанса на базе полученного образа.
#devops #kubernetes #bash #aws
❤6👍3🔥1