🔥 Постмортемы вышли на новый уровень

Ценность постмортемов Cloudflare состоит в том, что комментарии пишет их технический директор. Это не про то, как надо оправдаться перед многомиллионной аудиторией и сделать на этом PR, а про уважение аудитории и обмен опытом колоссальных масштабов.

Вот пример постмортема инцидента от 5 декабря, где даны мельчайшие детали, причины и решения. Готовый и пошаговый материал о том, как бывает, что на что влияет и как с этим разбираться. Лучше методички не найти. И приходит вопрос: а что, так можно было?

Да, теперь мы живем в мире, где так рассказывать о своих поражениях — уже сила. В мире, где честность и открытость поощряется. И это очень здорово, коллеги. Особенно для такой тонкой сферы как DevOps.

@DevOpsKaz 😛

🔥 Новости DevOps

Новые инструменты и апдейты.

⚪️ Raptor

Open-source инструмент для проверки безопасности приложений с помощью Claude Code. Сканирует код Semgrep/CodeQL, fuzzит бинарники AFL, анализирует дефекты LLM, генерирует эксплойты для PoC, предлагает фиксы и строит отчёты. Идеально для CI/CD, чтобы ловить уязвимости на ранних этапах.

⚪️ Kubernetes Spec Explorer

Ресурс для быстрого поиска документации по K8s-ресурсам и их свойствам. Автогенерирует данные из OpenAPI (версии 1.11–1.35), показывает диффы между релизами, примеры YAML и CRD от Argo, Cilium, Istio, Kyverno. Полезно для новичков и для быстрого ревью спецификаций.

⚪️ Ingress Migration Kit

Новый инструмент для генерации планов миграции из Ingress в Gateway API. Автоматизирует переход, минимизируя риски — просто укажите ресурсы, и он выдаст шаги. Круто для обновления старых K8s-кластеров на современный стандарт.

⚪️ Kueue v0.15.0

Обновление контроллера очередей для K8s-джобов с новинками: experimental kueue-populator для дефолт-ресурсов, admission checks для контроля задержек, optional интерфейс для кастомных Job (activate/deactivate), TAS-поддержка для Kubeflow Trainer, улучшения MultiKueue. Для тех, кто масштабирует батч-задачи в контролируемом режиме.

⚪️ Freelens v1.7.0

Апдейт GUI для управления K8s-кластерами: улучшенный YAML-редактор, агрегация ресурсов на уровне Pod, Windows Portable-дистрибутив, расширенный extension API. Простой интерфейс для SRE и dev'ов, кто устал от kubectl.

@DevOpsKaz 😛

👀 Unkey уходит из serverless: честный разбор после 2 лет на Cloudflare Workers

Компания Unkey опубликовала подробный отчёт о миграции с Cloudflare Workers на stateful-серверы на Go. Результаты впечатляют: latency упала в 6 раз, затраты сократились, а архитектура стала проще и гибче. Вот ключевые выводы:

⚪️ Latency сократилась в 6 раз

Переход на Go-серверы обеспечил p99 < 10 мс — в serverless это было невозможно.

⚪️ Кэш по сети — главная ловушка stateless

Каждый запрос к кэшу добавлял 30+ мс на p99. На stateful-серверах кэш в памяти — нулевая сетевая задержка.

⚪️ Workaround tax в serverless

Чтобы обойти отсутствие состояния, добавляли Redis, Queues, Durable Objects. Итог: latency выросла, затраты ×3, точки отказа умножились.

⚪️ Батчинг событий стал кошмаром

Flush по каждому вызову → chproxy для ClickHouse + buffering-сервисы для Axiom. Затраты ×3 только на обход ограничений платформы.

⚪️ Stateful — проще, чем кажется

Всё в памяти: батчинг, flush, rate limiting. Нет пайплайнов, нет координации — чистая эффективность.

⚪️ Self-hosting стал реальностью

docker run -p 8080:8080 unkey/api — локальная разработка и деплой на стороне компании. На Cloudflare Workers это было невозможно.

⚪️ Прощай vendor lock-in

Теперь компания деплоит куда угодно, использует любую БД — без runtime-специфичных багов.

⚪️ Rate limiting уровня "сверхбыстрый"

In-memory на stateful-серверах — точный, моментальный и без дополнительных расходов.

⚪️ Serverless хорош для редких задач

Подходит для редких, не критичных по latency ворклоудов. Для высоконагруженных API — это постоянный "налог на обходные пути".

Статья — не анти-serverless манифест, а прагматичный разбор: когда платформа перестаёт быть преимуществом и превращается в проблему

@DevOpsKaz 😛

🔥 Подборка open-source инструментов для захвата и анализа трафика

Все активно поддерживаются, покрывают разные сценарии — от быстрой отладки на сервере до мониторинга корпоративных сетей. Пользуйтесь и делитесь с коллегами 🫡

⚪️ tcpdump

Классический консольный сниффер для захвата и анализа сетевых пакетов. Работает на любом Linux-дистрибутиве без графического интерфейса, отличается минимализмом и высокой надёжностью.

⚪️ Wireshark

Мощный графический анализатор сетевого трафика с поддержкой тысяч протоколов и возможностью глубокой инспекции пакетов.

⚪️ Termshark

Терминальный интерфейс для tshark (консольной версии Wireshark) с текстовым пользовательским интерфейсом (TUI). Удобен для анализа трафика непосредственно на серверах без GUI.

⚪️ Sniffglue

Безопасный многопоточный сниффер, написанный на Rust, с минимальными привилегиями и изоляцией через seccomp.

⚪️ Arkime (ранее известен как Moloch)

Масштабируемая система полного захвата пакетов (full packet capture) с индексацией и поиском на базе Elasticsearch. Предназначена для анализа трафика в крупных сетях.

@DevOpsKaz 😛

🎆 С Днем Независимости!

Сегодня мы, казахстанцы, отмечем развитие страны и её достижения как самостоятельного государства. Для нас, IT-специалистов, этот день — ещё и напоминание, как локальные технологии, подходы и инструменты могут становиться примером для всего рынка — от цифровизации экономики до надёжных сервисов, которые работают без сбоев.

Пусть это добавляет мотивации, когда вы будете решать очередную, даже рутинную задачу.

С праздником, коллеги!

@DevOpsKaz 😛

🔥 Упрощаем работу с NetworkPolicy

— Могут ли Pods в Kubernetes общаться друг с другом?
— Как отобразить сетевые политики, которые влияют на конкретный Pod?
— Есть ли способ сгенерировать политики для связи двух сервисов?

На эти и другие вопросы отвечает простенький CLI инструмент Songbird. Он упрощает работу с NetworkPolicy, предназначен для их анализа, проверки подключений между подами или к внешним ресурсам, диагностики DNS-issues и даже генерации YAML-файлов политик.

Он полезен для DevOps-инженеров, администраторов кластеров и специалистов по безопасности, чтобы быстро диагностировать, почему поды не общаются друг с другом или с внешними IP.

@DevOpsKaz 😛

🔥 Как дела у студентов на курсе DevOps Upgrade, которые получили грант по программе Tech Orda?

Студенты второго потока учебного центра Core 24/7 уже третий месяц в обучении DevOps — время летит быстро, а прогресс радует. Сегодня мы решили ответить на самые частые вопросы:

— Платное ли обучение?

Обучение проходит при поддержке программы Tech Orda. Государственный грант частично покрывает стоимость обучения.

— Справятся ли новички?

На курсе есть минимальные требования для студентов: понимание Linux на уровне админа, знание технологий виртуализации и Bash. Большим плюсом будут умение настраивать среду веб-сервера и опыт администрирования СУБД (MySQL, PostgreSQL).

— Сколько времени нужно уделять обучению?

В среднем 2 часа в день. Можно совмещать с учёбой, работой и личной жизнью.

— Есть ли поддержка?

Конечно. Кураторы, чаты и разборы помогают не застревать на сложных темах, разбираться и двигаться дальше.

— Уже есть результаты?

Студенты второго потока уже применяют знания на практике и видят первые результаты.

— Будет ли Tech Orda в следующем году?

Мы планируем участвовать в программе Tech Orda и в следующем году. Если вы хотите попасть на обучение, рекомендуем готовиться заранее — следите за анонсами в нашем канале.

@DevOpsKaz 😛

🔥 Дорожная карта на 2026 год

Конец года — самое время обновить дорожную карту развития в DevOps. Для этого предлагаем обратиться к проекту Roadmap.sh, где собраны карты по самым разным направлениям в IT. У проекта 346k звезд на GitHub.

Технологии — это не покемоны, которых нужно собрать. Это инструменты для конкретных задач. Используйте Roadmap как GPS — и двигайтесь от одной точки к другой, изучайте глубоко и решайте новые задачи. Помните, что у DevOps нет цели знать всё. Нужно глубоко знать свой стек и широко понимать индустрию.

А наш учебный центр у вас всегда под рукой и поддержит на пути к знаниям.

@DevOpsKaz 😛

🔥 Kubernetes v1.35 под кодовым названием Timbernetes (The World Tree Release)

Релиз от 17 декабря — это 60 улучшений: 17 стабильных, 19 бета и 22 альфа-фич. Фокус — на вкладе сообщества и оптимизации цикла разработки. Релиз подчёркивает эволюцию K8s как "мирового дерева".

Ключевые стабильные фичи:

⚪️ In-place обновление ресурсов Pod: масштабирование CPU/памяти без рестарта (KEP #1287, SIG Node).
⚪️ PreferSameNode для распределения трафика: приоритет локальным нодам.
⚪️ Managed-by для Job API: внешние контроллеры (например, MultiKueue) синхронизируют статус без вмешательства встроенного.
⚪️ .metadata.generation для отслеживания обновлений Pod: инкремент поля для точного мониторинга.
⚪️ NUMA-ограничения для Topology Manager: настраиваемый max-allowable-numa-nodes для серверов >8 NUMA.
⚪️ Ещё 10 стабильных: CPUManager для system-daemons, Invariant Testing, SupplementalGroups, drop-in kubelet config, удаление gogo protobuf, kubelet image GC по возрасту, параллельные image pulls, kubectl headers, SPDY → WebSockets.

В бета-фичах тоже есть интересное: например, сертификаты для Pod (workload identity) и автоматическая миграция storage-версий.

👉 Читать полный патч-ноут

@DevOpsKaz 😛

🔥 Бесплатная премиум-подготовка к экзаменам AWS — до 5 января 2026

AWS запустил праздничную акцию: бесплатный доступ к премиум-материалам для подготовки к сертификациям. Это официальные ресурсы, которые обычно требуют подписки. Акция действует до 5 января 2026 года и доступна на нескольких языках.

Что входит в бесплатный премиум-доступ:

⚪️AWS Certified Cloud Practitioner (CLF-C02)
⚪️AWS AI Practitioner

Премиум-контент (обычно платный):

⚪️ Официальные практические экзамены
⚪️ SimuLearn — интерактивные hands-on лаборатории
⚪️ AWS Escape Room — обучение в игровом формате
⚪️ Официальные претесты и флеш-карточки
⚪️ Планы обучения (Exam Prep Plans)

Это отличный шанс для новичков в облаке или тех, кто планирует сертификацию в 2026 году — без затрат получите материалы уровня профессиональной подписки.

@DevOpsKaz 😛

🔥 Когда цена на инфраструктуру не меняется в процессе

Для pet-проектов, учебных стендов и первых рабочих окружений важно не «самое мощное облако», а предсказуемость. Часто, когда ресурсы в облаке неожиданно дорожают, pet-проект закрывают.

SmartCloud даёт возможность зафиксировать стоимость IaaS на 12 месяцев cо скидкой до 50% для участников сообщества KazDevOps. Вы получите надёжную виртуализацию (KVM и VM) и распределённое хранилище (HDD/SSD) без сюрпризов и скрытых платежей.

Что вы получаете еще:

⚪️ Высокая скорость передачи данных
⚪️ Защита данных: локальный ЦОД в РК
⚪️ Поддержка отказоустойчивых кластеров

Можно спокойно поднимать dev-окружения и не пересчитывать бюджет каждый месяц!

❗️ Чтобы зафиксировать цену и скидку на целый год, укажите кодовое слово kazdevops при заполнении заявки.

👉 Подробности и форма заявки — на smartcloud.kz

#реклама

🔥 Путь запроса в микросервисной архитектуре

На схеме выше показано, какой путь проходит запрос от пользователя до нужного микросервиса. Разбираем точечно.

⚪️Клиенты

Точки входа, которые формируют запросы к API и получают статику: скрипты, стили, файлы.

⚪️ CDN

Ускоряет загрузку фронтенда и разгружает инфраструктуру. При этом часть запросов вообще не доходит до серверов.

⚪️Load Balancer

Отвечает за распределение трафика, отказоустойчивость, горизонтальное масштабирование. Раздаёт входящие запросы между инстансами, чтобы система выдерживала пиковые нагрузки и падения отдельных узлов.

⚪️API Gateway

Отвечает за маршрутизацию, логирование, кэш, трансформацию запросов. Скрывает бэкенд микросервисов, отправляет запрос в нужный сервис.

⚪️Identity Provider

Отвечает за аутентификацию, токены, SSO. Помогает определить роль и доступы, а gateway и сервисы проверяют права и не пускают лишнее.

⚪️Service Registry & Discovery

Отвечает за реестр сервисов, поиск адресов и динамическое масштабирование. Полезен, когда сервисов много, новые экземпляры поднимаются/падают, адреса обновляются — реестр помогает находить актуальные точки.

⚪️Микросервисы по доменам и базы данных

Сервисы группируются по бизнес-функциям, где все данные обычно разделены по доменам. Независимые релизы и масштабирование становятся более доступны из-за меньшего количества связей.

@DevOpsKaz 😛

🔥 Подарок от Docker на Новый год — Hardened Images теперь бесплатны

Весь каталог из 1000+ Hardened Images (DHI) теперь доступен бесплатно. Это готовые, минималистичные и защищённые образы контейнеров, которые раньше были платными.

👉 Каталог образов

Что такое Hardened Images:

⚪️ Защищённые базовые образы: на основе популярных дистрибутивов (Alpine, Debian) с минимальным набором пакетов, чтобы снизить область атаки
⚪️ Практически нулевые CVE, полная прозрачность (SBOM, SLSA Level 3), совместимость с open-source
⚪️ Включает Hardened Helm Charts для Kubernetes и Hardened MCP Servers (для MongoDB, Grafana, GitHub Actions)

В честь чего такой праздник:

⚪️ В 2025 году supply-chain атаки нанесли ущерб >$60 млрд (втрое больше, чем в 2021)
⚪️ Задача Docker — противостоять supply-chain угрозам

@DevOpsKaz 😛

🔥 Чек-лист для инженеров на праздники

1. Проверьте даты списаний и продлений у ключевых поставщиков. Определите ответственного, кто сможет провести оплату, если что-то пойдет не так. Внимательно чекните лимиты, кредитные линии, авто-платежи, привязанные карты/счета

2. Убедитесь, что продление корпоративного домена не выпадает на праздники и включите автопродление при необходимости.

3. Пройдитесь по критичным endpoints и посмотрите сроки сертификатов.

4. Протестируйте, что мониторинг и алертинг реально работают — можно аккуратно триггернуть алерт на тестовом компоненте или временно поднять порог так, чтобы проверить цепочку доставки.

5. Проверьте бэкапы на свежесть и работоспособность — где они лежат, есть ли к ним доступ, можно ли с них развернуться.

6. Оцените объем ресурсов — CPU/Memory по основным узлам и сервисам, лимиты контейнеров, autoscaling, лимиты облака, место на дисках для баз данных.

Помните, что лучше предотвратить проблему, чем ее решать — особенно в праздники. Поделитесь чек-листом с коллегами 🫡

@DevOpsKaz 😛