🗓 27 августа в 20:00 МСК
🆓 Бесплатно. Урок в рамках старта курса «CI/CD на основе GitLab».
🎯 На вебинаре разберем:
👥 Кому будет интересно:
- DevOps-инженерам, которые осваивают или уже используют GitLab CI и Ansible, и хотят связать их в единый, автоматизированный процесс
- Начинающим специалистам, изучающим инфраструктурный код и автоматизацию
- Техническим архитекторам, заинтересованным в построении масштабируемых и управляемых CI/CD процессов с Ansible
🎯 Что вы получите:
- Практическое понимание интеграции Ansible с GitLab CI
- Готовые идеи и примеры для запуска и тестирования Ansible-плейбуков
- Уверенность в использовании CI/CD пайплайнов для инфраструктурных задач и конфигурационного менеджмента
🔗 Ссылка на регистрацию: https://vk.cc/cOK1Eo
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👍1
Работа с правами доступа файлов и директорий в Linux
Назначить пользователя vasya владельцем файла file
Рекурсивно обойти директорию directory и назначить пользователя vasya владельцем всех вложенных файлов и директорий
Назначить владельца и группу для файла /file
Установить полные права доступа rwx ( Read Write eXecute ) для всех ugo ( User Group Other ) на директорию /directory. То-же самое можно сделать, используя числовой представление chmod 777 directory
Удалить все права на директорию /directory для группы и остальных
Изменить группу-владельца для file на new_group
Установить так называемый STIKY-бит на директорию /home/public. Удалить файл в такой директории может только владелец данного файла
Удалить STIKY-бит с директории /home/public
Установить SUID-бит на файл /bin/binary_file. Это позволяет любому пользователю системы, запускать данный файл с правами владельца файла
Удалить SUID-бит с файла /bin/binary_file
Установить SGID-бит на директории /home/public
Удалить SGID-бит с директории /home/public
Поиск всех файлов с установленным SUID битом, начиная с корня файловой системы
Листинг текущего каталога с правами доступа
#devops #девопс
Подпишись 👉@i_DevOps
# chown vasya /fileНазначить пользователя vasya владельцем файла file
# chown -R vasya directoryРекурсивно обойти директорию directory и назначить пользователя vasya владельцем всех вложенных файлов и директорий
# chown vasya:group /fileНазначить владельца и группу для файла /file
# chmod ugo+rwx /directoryУстановить полные права доступа rwx ( Read Write eXecute ) для всех ugo ( User Group Other ) на директорию /directory. То-же самое можно сделать, используя числовой представление chmod 777 directory
# chmod go-rwx /directoryУдалить все права на директорию /directory для группы и остальных
# chgrp new_group fileИзменить группу-владельца для file на new_group
# chmod o+t /home/publicУстановить так называемый STIKY-бит на директорию /home/public. Удалить файл в такой директории может только владелец данного файла
# chmod o-t /home/publicУдалить STIKY-бит с директории /home/public
# chmod u+s /bin/binary_fileУстановить SUID-бит на файл /bin/binary_file. Это позволяет любому пользователю системы, запускать данный файл с правами владельца файла
# chmod u-s /bin/binary_fileУдалить SUID-бит с файла /bin/binary_file
# chmod g+s /home/publicУстановить SGID-бит на директории /home/public
# chmod g-s /home/publicУдалить SGID-бит с директории /home/public
# find / -perm -u+sПоиск всех файлов с установленным SUID битом, начиная с корня файловой системы
# ls -lhЛистинг текущего каталога с правами доступа
#devops #девопс
Подпишись 👉@i_DevOps
❤6👍1
Kubernetes, SDN, балансировщики🖥
На GoCloud Tech будем обсуждать, как на практике работать с облачной инфрой.
Команда Cloud․ru снова приглашает на IT-конференцию про облака и AI. В этом году целый трек посвящен инфраструктуре:
А еще будут обсуждать тренды в AI&ML, работу с данными и инструменты, ускоряющие разработку.
Где и когда
3 сентября, Москва, Гоэлро Лофт
Регистрируйтесь🖱
На GoCloud Tech будем обсуждать, как на практике работать с облачной инфрой.
Команда Cloud․ru снова приглашает на IT-конференцию про облака и AI. В этом году целый трек посвящен инфраструктуре:
➡️ нюансы сетевой архитектуры➡️ проектирование IaaS‑кластеров на K8s➡️ возможности балансировщиков➡️ производительность SDN
А еще будут обсуждать тренды в AI&ML, работу с данными и инструменты, ускоряющие разработку.
Где и когда
3 сентября, Москва, Гоэлро Лофт
Регистрируйтесь
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
ArgoCD — мощный инструмент для GitOps-подхода, но его использование в мультикластерной среде накладывает дополнительные требования к безопасности.
🔑 Основные идеи из статьи:
- Распределённая архитектура: при работе с несколькими кластерами важно правильно выстраивать доверительные отношения между ними, чтобы избежать компрометации всей инфраструктуры.
- Аутентификация и авторизация: рекомендуется использовать внешние провайдеры идентификации (OIDC), что упрощает управление доступом и позволяет централизовать контроль.
- RBAC и политики безопасности: ограничение прав до минимально необходимых снижает риск злоупотреблений и атак через скомпрометированные учётные данные.
- Секреты и их хранение: лучше всего использовать внешние менеджеры секретов (например, HashiCorp Vault, AWS Secrets Manager), а не хранить их напрямую в кластере.
- Zero Trust подход: предполагается минимизация доверия даже внутри инфраструктуры — каждый запрос должен быть аутентифицирован и авторизован.
В итоге, защищённый мультикластерный ArgoCD — это комбинация централизованного управления доступом, минимальных прав, надёжного хранения секретов и постоянного мониторинга. Такой подход снижает поверхность атаки и повышает устойчивость CI/CD-процессов.
https://www.tremolo.io/post/securing-multi-cluster-argocd
#devops #девопс
Подпишись 👉@i_DevOps
🔑 Основные идеи из статьи:
- Распределённая архитектура: при работе с несколькими кластерами важно правильно выстраивать доверительные отношения между ними, чтобы избежать компрометации всей инфраструктуры.
- Аутентификация и авторизация: рекомендуется использовать внешние провайдеры идентификации (OIDC), что упрощает управление доступом и позволяет централизовать контроль.
- RBAC и политики безопасности: ограничение прав до минимально необходимых снижает риск злоупотреблений и атак через скомпрометированные учётные данные.
- Секреты и их хранение: лучше всего использовать внешние менеджеры секретов (например, HashiCorp Vault, AWS Secrets Manager), а не хранить их напрямую в кластере.
- Zero Trust подход: предполагается минимизация доверия даже внутри инфраструктуры — каждый запрос должен быть аутентифицирован и авторизован.
В итоге, защищённый мультикластерный ArgoCD — это комбинация централизованного управления доступом, минимальных прав, надёжного хранения секретов и постоянного мониторинга. Такой подход снижает поверхность атаки и повышает устойчивость CI/CD-процессов.
https://www.tremolo.io/post/securing-multi-cluster-argocd
#devops #девопс
Подпишись 👉@i_DevOps
👍3
📈Picosnitch - мониторинг сетевого трафика на каждый исполняемый файл с помощью BPF
Получение уведомлений при подключении к сети новой программы или при ее изменении
Контролирует пропускную способность сети, разбивая трафик по исполняемым файлам, хэшам, родителям, доменам, портам или пользователям с течением времени
При желании можно проверить хэши или исполняемые файлы с помощью VirusTotal
Хеши исполняемых файлов кэшируются на основе устройства + inode для повышения производительности и работают с приложениями, запущенными в контейнерах
Используется BPF для точного мониторинга пропускной способности с низкими накладными расходами и fanotify для контроля исполняемых файлов на предмет модификации
Поскольку приложения могут вызывать других пользователей для отправки/получения данных для них, родительский исполняемый файл и хэш также регистрируются для каждого соединения
Прагматичный и минималистичный дизайн, сфокусированный на точном обнаружении с четким сообщением об ошибке, когда это невозможно
https://github.com/elesiuta/picosnitch
https://elesiuta.github.io/picosnitch/
#devops #девопс
Подпишись 👉@i_DevOps
Получение уведомлений при подключении к сети новой программы или при ее изменении
Контролирует пропускную способность сети, разбивая трафик по исполняемым файлам, хэшам, родителям, доменам, портам или пользователям с течением времени
При желании можно проверить хэши или исполняемые файлы с помощью VirusTotal
Хеши исполняемых файлов кэшируются на основе устройства + inode для повышения производительности и работают с приложениями, запущенными в контейнерах
Используется BPF для точного мониторинга пропускной способности с низкими накладными расходами и fanotify для контроля исполняемых файлов на предмет модификации
Поскольку приложения могут вызывать других пользователей для отправки/получения данных для них, родительский исполняемый файл и хэш также регистрируются для каждого соединения
Прагматичный и минималистичный дизайн, сфокусированный на точном обнаружении с четким сообщением об ошибке, когда это невозможно
https://github.com/elesiuta/picosnitch
https://elesiuta.github.io/picosnitch/
#devops #девопс
Подпишись 👉@i_DevOps
👍4❤1
🚀 Готовим Kubernetes-кластеры за несколько минут в Deckhouse Virtualization Platform (DVP)
Как быстро и просто развёртывать Kubernetes-кластеры?
Эксперты Deckhouse покажут демо на вебинаре 28 августа в 12:00.
В программе:
• сценарии виртуализации в экосистеме Deckhouse: от тестовых сред до промышленного KaaS;
• автоматизация развёртывания Kubernetes-кластеров с помощью DVP Cloud Provider;
• живое демо развёртывания и обсуждение технических требований;
• ответы на ваши вопросы в прямом эфире.
🔵 Регистрация по ссылке. Приходите — будет интересно и по делу.
Как быстро и просто развёртывать Kubernetes-кластеры?
Эксперты Deckhouse покажут демо на вебинаре 28 августа в 12:00.
В программе:
• сценарии виртуализации в экосистеме Deckhouse: от тестовых сред до промышленного KaaS;
• автоматизация развёртывания Kubernetes-кластеров с помощью DVP Cloud Provider;
• живое демо развёртывания и обсуждение технических требований;
• ответы на ваши вопросы в прямом эфире.
🔵 Регистрация по ссылке. Приходите — будет интересно и по делу.
❤1👍1
Хотите освоить одну из самых востребованных профессий в IT и дойти до уровня middle Python-разработчика в рамках одной программы? Тогда онлайн-курс «Python Developer» - ваш идеальный выбор!
📅 Старт обучения - 29 сентября
Чем отличается этот курс?
Это не просто курс - это специализация, в которой вы пройдёте путь от новичка до уверенного middle-разработчика без дополнительных программ и переключений. Всё - в одном курсе.
Специализация от OTUS - это практика, живые лекции, наставники из индустрии и диплом, который ценят работодатели.
⌛️ Старт уже скоро! Сделайте первый шаг к профессии Python-разработчика уже сегодня: https://vk.cc/cOO9po
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru
📅 Старт обучения - 29 сентября
Чем отличается этот курс?
Это не просто курс - это специализация, в которой вы пройдёте путь от новичка до уверенного middle-разработчика без дополнительных программ и переключений. Всё - в одном курсе.
Специализация от OTUS - это практика, живые лекции, наставники из индустрии и диплом, который ценят работодатели.
⌛️ Старт уже скоро! Сделайте первый шаг к профессии Python-разработчика уже сегодня: https://vk.cc/cOO9po
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru
👍2
Перестаньте переживать об allowPrivilegeEscalation
Многие инженеры теряются в нюансах настройки allowPrivilegeEscalation в Kubernetes. Автор статьи простым языком объясняет, зачем нужен этот флаг, как он работает и почему его наличие или отсутствие не критично для большинства сценариев. Если хотите понять, как устроена безопасность контейнеров, — эта статья для вас.
https://habr.com/ru/companies/flant/articles/923432/
original https://blog.christophetd.fr/stop-worrying-about-allowprivilegeescalation/
#devops #девопс
Подпишись 👉@i_DevOps
Многие инженеры теряются в нюансах настройки allowPrivilegeEscalation в Kubernetes. Автор статьи простым языком объясняет, зачем нужен этот флаг, как он работает и почему его наличие или отсутствие не критично для большинства сценариев. Если хотите понять, как устроена безопасность контейнеров, — эта статья для вас.
https://habr.com/ru/companies/flant/articles/923432/
original https://blog.christophetd.fr/stop-worrying-about-allowprivilegeescalation/
#devops #девопс
Подпишись 👉@i_DevOps
👍4
Armadа — это open-source система для управления заданиями (job scheduling) в Kubernetes кластерах. Она ориентирована на высокопроизводительные вычисления (HPC) и работу с большими кластерами.
🔹 Основные идеи:
- Очереди: задания распределяются через очереди с гибкими правилами приоритизации.
- Масштабируемость: поддержка тысяч узлов и миллионов заданий.
- Интеграция с Kubernetes: Armada выступает как надстройка над существующими кластерами.
- Справедливое распределение ресурсов: балансировка между пользователями и проектами.
- gRPC API: для отправки и управления заданиями.
Архитектура включает Armada server (центральный сервис с API и логикой очередей) и executor (компонент, работающий в Kubernetes-кластере и запускающий задания). Таким образом, можно подключать несколько кластеров к одному серверу Armada.
Использование Armada позволяет запускать распределённые вычисления, ML-задачи и batch-ворклоады в больших инфраструктурах, где стандартных возможностей Kubernetes недостаточно.
https://github.com/armadaproject/armada
#devops #девопс
Подпишись 👉@i_DevOps
🔹 Основные идеи:
- Очереди: задания распределяются через очереди с гибкими правилами приоритизации.
- Масштабируемость: поддержка тысяч узлов и миллионов заданий.
- Интеграция с Kubernetes: Armada выступает как надстройка над существующими кластерами.
- Справедливое распределение ресурсов: балансировка между пользователями и проектами.
- gRPC API: для отправки и управления заданиями.
Архитектура включает Armada server (центральный сервис с API и логикой очередей) и executor (компонент, работающий в Kubernetes-кластере и запускающий задания). Таким образом, можно подключать несколько кластеров к одному серверу Armada.
Использование Armada позволяет запускать распределённые вычисления, ML-задачи и batch-ворклоады в больших инфраструктурах, где стандартных возможностей Kubernetes недостаточно.
https://github.com/armadaproject/armada
#devops #девопс
Подпишись 👉@i_DevOps
👍4
🚀 Автоматизация деплоя приложений без боли и хаоса
Хотите, чтобы обновления в вашем приложении попадали в кластер автоматически, а конфигурации всегда были согласованы?
Приходите на вебинар по GitOps и Argo CD.
Разберём:
🔹 Что такое GitOps и как ArgoCD работает как «оператор доставки»
🔹 Как пошагово настроить деплой из Git-репозитория в Kubernetes
🔹 Как создать Application CRD и отслеживать процесс в веб-интерфейсе
Кому будет полезно: DevOps, GitOps-инженерам, администраторам, разработчикам, SRE.
📈 После вебинара вы сможете:
Разворачивать Argo CD в Kubernetes
Автоматизировать доставку из Git
Управлять мультикластерными средами и контролировать дрейф конфигураций
💡 Меньше ручных действий — больше стабильности!
Регистрируйтесь сейчас и получите скидку на обучение: https://vk.cc/cOTKSo
Дата: 26 августа в 20:00
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
Хотите, чтобы обновления в вашем приложении попадали в кластер автоматически, а конфигурации всегда были согласованы?
Приходите на вебинар по GitOps и Argo CD.
Разберём:
🔹 Что такое GitOps и как ArgoCD работает как «оператор доставки»
🔹 Как пошагово настроить деплой из Git-репозитория в Kubernetes
🔹 Как создать Application CRD и отслеживать процесс в веб-интерфейсе
Кому будет полезно: DevOps, GitOps-инженерам, администраторам, разработчикам, SRE.
📈 После вебинара вы сможете:
Разворачивать Argo CD в Kubernetes
Автоматизировать доставку из Git
Управлять мультикластерными средами и контролировать дрейф конфигураций
💡 Меньше ручных действий — больше стабильности!
Регистрируйтесь сейчас и получите скидку на обучение: https://vk.cc/cOTKSo
Дата: 26 августа в 20:00
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
❤1👍1
Рабочие процессы Арго - паттерны, проверенные на продакшене
Argo Workflows представляет собой отличную платформу для автоматизации инфраструктуры и заменил Jenkins в качестве основного инструмента для выполнения запланированных или управляемых событиями задач автоматизации.
За время работы с Argo Workflows мне приходилось убивать кластеры, ломать рабочие процессы и вообще вносить беспорядок в работу. Я также создал множество рабочих процессов, которые нуждались в рефакторинге, поскольку их стало сложно поддерживать.
Цель этой статьи - поделиться некоторыми уроками, которые я извлек, и некоторыми паттернами, которые я разработал, чтобы помочь вам избежать тех же ошибок, которые совершил я.
https://hodgkins.io/argo-workflow-proven-patterns-from-production
#devops #девопс
Подпишись 👉@i_DevOps
Argo Workflows представляет собой отличную платформу для автоматизации инфраструктуры и заменил Jenkins в качестве основного инструмента для выполнения запланированных или управляемых событиями задач автоматизации.
За время работы с Argo Workflows мне приходилось убивать кластеры, ломать рабочие процессы и вообще вносить беспорядок в работу. Я также создал множество рабочих процессов, которые нуждались в рефакторинге, поскольку их стало сложно поддерживать.
Цель этой статьи - поделиться некоторыми уроками, которые я извлек, и некоторыми паттернами, которые я разработал, чтобы помочь вам избежать тех же ошибок, которые совершил я.
https://hodgkins.io/argo-workflow-proven-patterns-from-production
#devops #девопс
Подпишись 👉@i_DevOps
👍4
Вопросы с собеседования
df сообщает о наличии 20 Гб занятого пространства, подсчёт занятого файлами места при помощи du даёт результат в 20 Мб. При каких обстоятельствах может возникнуть описанная ситуация?
Когда файл удален т. к. файловый дескриптор «держит» его.
Ищем файл через:
При удалении файла, который в этот момент был «занят» процессом — его имя удаляется, но inode — остаётся в файловой системе до тех пор, пока не завершится процесс, который «держит» этот файл.
Соответственно, что бы «освободить» уже удалённые файлы — необходимо перезапустить процесс, который этот файл держит.
#devops #девопс
Подпишись 👉@i_DevOps
df сообщает о наличии 20 Гб занятого пространства, подсчёт занятого файлами места при помощи du даёт результат в 20 Мб. При каких обстоятельствах может возникнуть описанная ситуация?
Когда файл удален т. к. файловый дескриптор «держит» его.
Ищем файл через:
lsof -a +L1 | grep var | grep httpdПри удалении файла, который в этот момент был «занят» процессом — его имя удаляется, но inode — остаётся в файловой системе до тех пор, пока не завершится процесс, который «держит» этот файл.
Соответственно, что бы «освободить» уже удалённые файлы — необходимо перезапустить процесс, который этот файл держит.
#devops #девопс
Подпишись 👉@i_DevOps
👍8
«Apache Kafka» от OTUS — это повышение квалификации для тех, кто хочет обрабатывать потоки данных быстро и без сбоев.
Живые лекции от инженеров-практиков, актуальные технологии Kafka Streams, Spring, ZIO и ksqlDB, много практики и востребованный диплом.
Вы научитесь разворачивать Kafka, интегрировать технологии с другими сервисами и строить систему мониторинга.
Проверьте, готовы ли вы к погружению в мир Kafka. Пройдите короткий вступительный тест и получите скидку на обучение: https://vk.cc/cOUiq4
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru
Живые лекции от инженеров-практиков, актуальные технологии Kafka Streams, Spring, ZIO и ksqlDB, много практики и востребованный диплом.
Вы научитесь разворачивать Kafka, интегрировать технологии с другими сервисами и строить систему мониторинга.
Проверьте, готовы ли вы к погружению в мир Kafka. Пройдите короткий вступительный тест и получите скидку на обучение: https://vk.cc/cOUiq4
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru
👍1
Что такое Docker? В чем отличие контейнера от образа?
Docker — программное обеспечение для автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации.
Образ — шаблон приложения, который содержит слои файловой системы в режиме "только-чтение".
Контейнер — запущенный образ приложения, который кроме нижних слоев в режиме "только чтение" содержит верхний слой в режиме "чтение-запись".
#devops #девопс
Подпишись 👉@i_DevOps
Docker — программное обеспечение для автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации.
Образ — шаблон приложения, который содержит слои файловой системы в режиме "только-чтение".
Контейнер — запущенный образ приложения, который кроме нижних слоев в режиме "только чтение" содержит верхний слой в режиме "чтение-запись".
#devops #девопс
Подпишись 👉@i_DevOps
👍5