13139
Присоединяйтесь к нашему каналу и погрузитесь в мир DevOps Сотрудничество, реклама: @devmangx Менеджер: @Spiral_Yuri РКН: https://clck.ru/3P8kFH
✅ Помните времена, когда спокойно покупали игры, подписки и софт без танцев с бубном?
Сейчас оплатить многие сервисы стало непросто: GPT, игры, подписки, зарубежные сайты 💚
Я сам пользуюсь ботом, через который можно оплачивать всё прямо в Telegram.
🟢 Оплата рублями
🟢 СБП / карты РФ
🟢 Без лишней мороки
Если тоже устали искать обходные пути — вот рабочий вариант ➡️@OplataRublemBot
Этот туториал объясняет, как создавать и деплоить production-ready микрофронтенды в Kubernetes.
Также в нём рассматривается настройка ingress-роутинга для module federation и реализация CI/CD пайплайнов для изолированных команд микрофронтенда.
Читайте tamer-abdulghani/building-production-ready-micro-frontends-in-kubernetes-a-pragmatic-approach-708134467b02">тут
👉 DevOps Portal
Как работают мультиплатформенные container images
Когда вы делаете docker pull nginx:1.29 на AMD64-сервере и на ARM64-ноутбуке, Docker подтягивает совершенно разные сборки образа. Но как это возможно, если в обоих случаях используется одно и то же имя образа?
Чтобы представить несколько сборок через одну ссылку на образ (например, nginx:1.29), container registry использует специальный файл — Image Index, в котором перечислены манифесты для отдельных платформенных сборок. Поэтому при pull появляется дополнительный шаг:
- Сначала запрашивается index по адресу https://registry.example[.]com/v2/REPO/manifests/TAG
- Затем в index находится манифест образа для нужной платформы, после чего он запрашивается по digest: https://registry.example[.]com/v2/REPO/blobs/DIGEST
- И уже после этого по digest’ам из манифеста подтягиваются config образа и blobs слоёв файловой системы
Для single-platform image ссылка https://registry.example[.]com/v2/REPO/manifests/TAG указывает сразу на его manifest. То есть здесь на один уровень косвенности меньше.
Подробнее о внутреннем устройстве container images:
https://labs.iximiuz.com/tutorials/container-image-from-scratch
👉 DevOps Portal
Kubernetes v1.36 официально выходит 22 апреля 2026 года
Вот 6 ключевых изменений, к которым нужно подготовить свои кластеры:
1️⃣ HPA Scale-to-Zero (включено по умолчанию):
→ Фича HPAScaleToZero выходит из alpha (была там с версии v1.16).
→ Теперь можно стабильно использовать minReplicas: 0.
→ Существенная экономия затрат для простаивающих staging-окружений и batch-пайплайнов.
2️⃣ Эфемерные SA-токены для pull образов:
→ Заменяют долгоживущие статические секреты для аутентификации в приватных registry.
→ Используются краткоживущие, автоматически ротируемые токены Service Account.
→ Доступ теперь привязан к identity конкретного pod’а, что значительно снижает риск утечек.
3️⃣ Более умный выбор pod’ов в HPA:
→ Исправлена проблема, когда HPA учитывал метрики orphaned или устаревших pod’ов.
→ Новая логика гарантирует, что HPA читает метрики только с pod’ов, управляемых целевым workload’ом.
→ Поведение автоскейлинга становится гораздо более предсказуемым и стабильным.
4️⃣ Удаление режима IPVS в kube-proxy:
→ Режим IPVS был deprecated в v1.35 и теперь полностью удаляется.
→ Пора мигрировать кластеры на iptables (backend на nftables) или eBPF-прокси (например, Cilium).
→ Запланируйте миграцию заранее, чтобы patch-апдейт не сломал сетевой стек.
5️⃣ Отказ от Ingress NGINX и переход на Gateway API:
→ Сообщество активно отказывается от Ingress NGINX.
→ Gateway API становится новым стандартом для управления трафиком.
→ Предоставляет нативный cross-namespace routing без необходимости городить кастомные аннотации.
6️⃣ Переход на containerd 2.x:
→ v1.36, вероятно, станет последним релизом с поддержкой старых версий containerd (например, 1.6.x).
→ Экосистема Kubernetes полностью выравнивается под containerd 2.x.
→ Обновите container runtime заранее, чтобы избежать ломающих изменений в следующем цикле.
👉 DevOps Portal
Kubernetes CNI vs Istio CNI
Вот ключевой момент, который нужно понять
Когда ты разворачиваешь Istio, тебе нужно запускать Istio CNI. Это не означает, что ты заменяешь CNI своего Kubernetes-кластера.
Он работает вместе с уже существующим CNI (например, Calico или Cilium) как chaining-плагин.
Вот в чём основное отличие.
Когда под стартует, Kubernetes вызывает CNI-плагин, чтобы настроить сеть: выдать IP, создать сетевые интерфейсы, прописать маршруты и т.д.
То есть именно он делает всю «реальную» сетевую работу.
Вот что делает Istio CNI:
- Работает только с подами, которые входят в mesh (неймспейсы с лейблом dataplane-mode=ambient)
- Когда он обнаруживает новые поды, входящие в mesh, он уведомляет Istio CNI node agent
- Node agent добавляет правила iptables в сетевой namespace пода, чтобы перенаправить трафик пода в прокси Ztunnel
В целом, Istio CNI - это chaining plugin. Это значит, что несколько CNI-плагинов выполняются последовательно для одного и того же пода, и каждый добавляет свою часть сетевой логики.
Например:
- Под стартует
- Calico (назначает IP, настраивает маршруты)
- Istio CNI (добавляет правила iptables для редиректа трафика)
👉 DevOps Portal
DevOps-инженеры, превращающие простое приложение в Kubernetes-кластер
👉 DevOps Portal
Минимальные требования для получения работы DevOps-инженером в 2026 году
👉 DevOps Portal
Разбираемся в архитектуре Istio за 12 минут (иллюстрированный гайд)
Если вы хотите лучше понять Istio,
вам необходимо разобраться в его полной архитектуре и в том, как компоненты Istio взаимодействуют друг с другом.
В cтатье подробно разбираем это с помощью наглядных диаграмм и простых объяснений.
Вот что вы узнаете
- Почему Istio понадобилась новая архитектура
- Обзор архитектуры Istio
- Подробный разбор ключевых компонентов: Istiod, Ztunnel, Waypoint Proxy и CNI
- Является ли Ztunnel единой точкой отказа?
- Бизнес-кейсы использования Ambient Mesh, включая преимущества по стоимости
- Практическое руководство по настройке Istio Ambient Mesh
Читать здесь: https://newsletter.devopscube.com/p/istio-ambient-mesh
Примечание: для лучшего понимания сначала разверните Ambient Mesh, а затем изучайте архитектуру. Так вам будет гораздо проще связать все концепции между собой.
👉 DevOps Portal
📘 На Stepik вышел курс — «DevSecOps»
ИИ-инструменты, облака, автоматизация — всё это стало стандартом. И ровно поэтому защита инфраструктуры стала не опцией, а необходимостью. DevSecOps — навык, который всё чаще требуют от инженеров любого профиля. Глубоких знаний в ИБ не требуется — всё нужное объясняется прямо в процессе.
• Docker, Kubernetes — безопасная сборка, политики доступа, аудит образов
• SAST, DAST, SCA — анализ кода и сканирование зависимостей на CVE в пайплайне
• CI/CD с security-gates — проверки безопасности на каждом этапе деплоя
• SIEM, ELK — мониторинг, корреляция событий, реагирование на инциденты
• Управление секретами, IaC, защита API и фаерволы
• Финальный проект: end-to-end DevSecOps-инфраструктура с документацией — в портфолио или как база для продакшена
🎓 Сертификат по завершении — добавьте в резюме или LinkedIn
🚀 Скидка 25% — действует 48 часов
👉 Пройти курс на Stepik
Terraform за 60 секунд!
Не пропусти.
👉 DevOps Portal
Уменьшил Docker-образ с 1.37 GB → 168 MB.
Всего лишь за счёт использования multi-stage сборок, slim-базовых образов и очистки неиспользуемых зависимостей.
Небольшие оптимизации = более быстрый CI/CD и более безопасные контейнеры 👍
👉 DevOps Portal
Один из ключевых трюков, лежащих в основе Service Mesh — это прозрачный перехват трафика. Такой прокси, как Envoy, можно разместить на сетевом пути между двумя сервисами, даже не давая им понять, что он вообще существует.
eBPF — одна из тех "магических" технологий, с помощью которых можно реализовать такой прозрачный перехват трафика.
Узнайте, как реализовать перехват исходящего трафика, а заодно прокачать навыки программирования на eBPF, в свежем туториале Теодора Подобника:
https://labs.iximiuz.com/tutorials/ebpf-envoy-egress-dc77ccd7
👉 DevOps Portal
⌨️ Что такое траблшутинг и почему это самый важный навык инженера?
Представьте: понедельник, самый разгар рабочего дня. Сервис падает. Пользователи жалуются. Партнёры пишут в чат. В логах — сплошной хаос из ошибок.
Вот это и есть момент, когда начинается траблшутинг.
🤔 Что это вообще такое?
Траблшутинг — это не просто «на 7 бед — один резет». Это системная детективная работа:
✅ Замечаешь симптом.
✅ Выдвигаешь гипотезы.
✅ Проверяешь их по одной.
✅ Находишь настоящую причину.
✅ Устраняешь с минимальным риском.
В Linux у вас всегда есть улики (нагрузка, логи, сетевые соединения, открытые файлы), подозреваемые (процессы, сервисы, конфиги) и инструменты (ps, top, journalctl, tcpdump). Задача — собрать улики так, чтобы они указывали на одного виновника.
Главные правила бойцовского клуба:
😤 Не паниковать. Паника — худший советчик.
Паника превращает расследование в хаотичное дёрганье за рычаги. Проблема уже произошла — ваши эмоции не ускорят решение.
🧠 Симптом ≠ причина. Копай глубже.
Высокий CPU — это не проблема. Медленные запросы — это не диагноз. Это симптомы. Задача траблшутера — выстроить цепочку: от симптома к реальному источнику.
🔍 Работай гипотезами, а не рандомными командами.
Не «попробую эту команду, если не поможет — следующую». А: сформулировали → поняли, что должно быть правдой → проверили. Ошибочная гипотеза — не провал, а шаг, который сделал картину чуть яснее.
💡 Каждый шаг должен сужать круг поиска.
Каждый шаг должен либо подтверждать гипотезу, либо исключать целый класс причин. Это как идти с фонариком в тёмной комнате — вы не освещаете всё сразу, вы постепенно делаете тьму меньше.
Почему это один из самых ценных навыков?
Инженер, который умеет системно разбирать инциденты:
✅ Сокращает время простоя — меньше денежных и репутационных потерь.
✅ Меньше зависит от помощи коллег.
✅ Видит точки улучшения: где добавить мониторинг, что автоматизировать.
✅ Прокачивает мышление, применимое далеко за пределами Linux
Именно это отличает человека, который выполняет задачи, от человека, которому доверяют сложные системы.
Со временем приходит важное ощущение: инцидент — это не катастрофа. Это задача. Иногда сложная, иногда неприятная — но у неё всегда есть причина и решение.
Умение это чувствовать — и есть настоящий траблшутинг 😉
👨💻 Код в Прод
Документация iximiuz Labs продолжает улучшаться – добавили новый раздел о том, как пробрасывать наружу HTTP(S)-приложения, запущенные в playground’ах, а также кучу диаграмм, объясняющих локальный и удалённый port forwarding и доступ к playground’ам по SSH.
Внутри практические примеры!
https://labs.iximiuz.com/docs/playgrounds/expose-http-ports#introduction
👉 DevOps Portal
Совет по Linux
Vim умеет откатывать изменения по времени, а не только по шагам.
Вместо того чтобы жать u много раз, можно использовать:
:earlier 2m
:later 30s
:earlier 3
:later 1
:set undofile
StatefulSet в Kubernetes используется для управления stateful-приложениями, где каждому поду нужна фиксированная идентичность и собственное хранилище данных.
Ключевая идея (просто):
В отличие от Deployment (где поды считаются взаимозаменяемыми), StatefulSet даёт каждому поду:
- Стабильное имя → app-0, app-1, app-2
- Персистентное хранилище → каждый под сохраняет свои данные
- Упорядоченный запуск/остановку → поды стартуют и завершаются последовательно
Используй StatefulSet, когда приложение:
- Требует сохранения данных (например, базы данных)
- Нуждается в уникальной идентичности для каждого пода
- Требует упорядоченного масштабирования
Примеры:
- MySQL кластер
- MongoDB
- Kafka
- Redis (в режиме кластера)
👉 DevOps Portal
Наши планы на последнюю пятницу марта:
✅ Получить чек-лист по защите чувствительных данных на DBaaS
✅ Узнать различия и преимущества FoundationDB и Cassandra 5 на практике
✅ Понять, чем отличается путь масштабирования S3 в Авито
Всё потому, что мы узнали, что 27 марта будет Avito Database meetup в офисе Авито
Кстати, если будете не в Москве, то у ребят есть онлайн-трансляция.
Нашли и ссылку для регистрации, поэтому залетайте, увидимся ✌️
Как отечественная ОС стала лидером рынка и гарантом безопасности?
Рассказывам в спецпроекте «Российская ОС: код доверия». Он посвящен Astra Linux, самой популярной отечественной ОС, которая занимает 76% рынка российских операционных систем.
В проекте — пять развернутых материалов:
🔹 «17 лет эволюции Astra Linux: от первого релиза до версии 1.8» — о ключевых этапах становления продукта и его развитии.
🔹 Интерфейс Fly 2.0 — о создании графической оболочки во взаимодействии с пользователями и заказчикам.
🔹 Безопасность и встроенные СЗИ — о механизмах защиты в актуальной версии.
🔹 Опыт заказчика — Павел Лобанов, руководитель практики по продуктовому бизнес-анализу компании «Газпром нефть», рассказывает про процесс миграции и результаты внедрения.
🔹 Пошаговый гайд по переходу на версию 1.8 — рассказываем о ценности обновлений, даем рекомендации для ИТ-команд, демонстрируем переход на Astra Linux 1.8 в видео.
Отправиться в путешествие по галактике Astra Linux
Helm — это один из базовых инструментов, который обязательно нужно знать при работе с Kubernetes. Практические примеры, проходящие через полный жизненный цикл: добавление репозиториев, просмотр чартов, деплой NGINX ingress и настройка реальных override’ов – сильно помогают в обучении.
В этом гайде показан не только "счастливый путь": автор специально пушит некорректный тег образа, показывает, как падают поды, и затем демонстрирует, как с помощью rollback в Helm можно аккуратно восстановиться. Это максимально приближено к реальному опыту работы с Helm (и другими инструментами), поэтому материал лучше усваивается.
Shivam Soni даёт чёткий разбор команд без лишней абстракции. Если вы только начинаете работать с Helm или хотите освежить знания по версионированию релизов и механике rollback – это чистый, хорошо структурированный материал, на который стоит обратить внимание.
Читайте shivtrent800/helm-for-kubernetes-deploy-break-and-roll-back-an-application-hands-on-guide-05d0d073151e">здесь
👉 DevOps Portal
Контейнерный образ — это база любого релиза ❤️
Но когда версии, доступы и безопасность пущены на самотек, команда увязает в «починке доставки» и отвлекается от развития продукта.
На вебинаре вместе с экспертом Cloud․ru вы:
▶️рассмотрите контур артефактов и разберёте, где он чаще всего ломается;
▶️научитесь загружать Docker-образы, версионировать и управлять ими в Evolution Artifact Registry;
▶️настроите приватный доступ к репозиториям и разграничение прав;
▶️включите сканирование на уязвимости и примените политики безопасности;
▶️разберете, как поддерживать порядок в реестре: политики удаления и жизненный цикл.
Сетевое взаимодействие в Kubernetes - штука сложная.
Но это не значит, что в ней невозможно разобраться. Если разложить всё на более мелкие части, станет понятно, как они между собой связаны.
Следующий урок курса Kubernetes the Very Hard Way посвящён именно этой теме:
https://labs.iximiuz.com/courses/kubernetes-the-very-hard-way-0cbfd997/cluster/network
👉 DevOps Portal
🖥 Загрузчики Linux — что выбрать и зачем?
Загрузчик — первая программа после BIOS/UEFI: она поднимает ядро Linux в память. Без неё система не стартует.
От выбора зависит удобство настройки, совместимость и надёжность.
💬 GRUB (GRand Unified Bootloader) — самый распространённый и мощный.
Поддерживает BIOS и UEFI, грузит Linux/Windows/BSD, дружит с шифрованием, LVM, ZFS, есть меню и куча опций.
Выбор по умолчанию для большинства.
💬 Systemd-boot - лёгкий загрузчик, встроенный в systemd.
Работает через текстовые файлы в /boot/loader/entries/.
Идеален, если у вас один Linux на современном ПК и хочется меньше магии.
💬 Прямая запись в UEFI через efibootmgr — самый минималистичный способ — создать запись в UEFI-прошивке, которая напрямую загружает ядро Linux. Не требует отдельного загрузчика.
Подробнее о способах читайте здесь.
➡️ Больше лайфхаков и практичных утилит — в CORTEL
Реклама ООО "Кортэл"
ИНН: 7816246925
Объединение слоёв контейнерного образа в «плоскую» файловую систему с помощью OverlayFS
Тема, о которой я слишком давно хотел рассказать — как контейнерные рантаймы превращают многослойные образы в «плоский» rootfs контейнера.
Разберёмся на практике в новом челлендже iximiuz Labs:
https://labs.iximiuz.com/challenges/union-mount-container-image-layers-using-overlayfs
👉 DevOps Portal
Настройка NVIDIA GPU Operator в Kubernetes
Базовый процесс настройки выглядит так:
- Проставить labels и taints для GPU-нод
- Добавить Helm-репозиторий Nvidia GPU Operator
- Установить Nvidia GPU Operator
- Проверить обнаружение GPU
Подробное руководство:
https://devopscube.com/setup-gpu-operator-kubernetes/
👉 DevOps Portal
🔥 Подписка на easyoffer PRO на 1 год со скидкой 70%
easyoffer – сайт для подготовки к собеседованию на программиста, тестировщика и другие IT-профессии становится еще доступнее со скидкой 70% до 10 марта.
⚙️ Актуальные функции:
1. База вопросов из реальных технических собеседований с вероятностью встречи и примерами ответов.
2. База задач с этапа live-coding.
3. База видеозаписей 1100+ реальных собеседований, в том числе в топовые компании (Сбер, Авито, Яндекс, WB, OZON, МТС и др.) на позиции Junior/Middle/Senior.
4. База 400+ тестовых заданий от компаний.
5. Аналитика ТОП-требований из вакансий для лучшего написания резюме по ключевым словам.
6. Тренажеры для подготовки к собеседованию. В том числе тренажер «Реальное собеседование» со сценарием вопросов под конкретную компанию.
Акция до 10 марта (включительно) на PRO-тариф.
– Подписка действует 1 год
– Доступ ко всем профессиями сразу
👉 Смотри подробности тарифа и покупай на easyoffer
Узнайте, как с помощью GPT и Claude построить полноценную мульти-средовую платформу Kubernetes.
От k3s до продакшн-кластеров, с использованием GitHub Actions, Traefik, Helm и PostgreSQL – полностью автоматизированная DevOps-архитектура, собранная с помощью AI.
Читайте julien.reichel_97314/how-i-used-gpt-and-claude-to-build-a-complete-multi-environment-kubernetes-platform-8de21d729ea9">тут
👉 DevOps Portal
Почему важно менять версии Helm Chart?
Когда вы пакуете и публикуете Helm chart, именно версия чарта отслеживается репозиториями.
Не теги образов.
Не версия вашего приложения.
Если вы изменили шаблоны, но не увеличили версию чарта:
- Репозиторий будет считать это тем же самым релизом.
- Ваш CI/CD-пайплайн будет использовать закэшированные артефакты.
- Кластер не обнаружит изменений при выполнении upgrade.
В итоге всё выглядит так, будто обновилось, но на самом деле ничего не изменилось.
Поле appVersion — это всего лишь метаданные о версии вашего приложения. Оно не влияет на упаковку чарта и индексацию в репозитории.
Поэтому если вы просто обновили тег образа в values.yaml и забыли увеличить версию чарта, инструменты, которые на неё опираются, не распознают новый релиз.
Всегда увеличивайте поле version в Chart.yaml, когда меняете любой файл внутри чарта.
Подробный блог:
https://devopscube.com/create-helm-chart/
👉 DevOps Portal
Пойми, как работает firewall, за 45 секунд
👉 DevOps Portal
📘 На Stepik вышел курс - "Профессия DevOps-инженер"
Хотите войти в DevOps или перейти на новый уровень? Этот курс — то, что нужно, чтобы освоить профессию с нуля.
• Полный путь от основ до продакшна: Linux, Bash, Git, Docker, Kubernetes, Ansible, Terraform, CI/CD, Prometheus + Grafana
• Практика на реальных кейсах: настраиваем серверы, пишем пайплайны, разворачиваем контейнеры, автоматизируем инфраструктуру
• Интерактивные задания с автопроверкой — учитесь в браузере, в удобное время
• Итоговый pet-project: рабочая инфраструктура, развёрнутая и автоматизированная вашими руками
• В стоимость включено: поддержка на протяжении курса, разбор задач и вопросов, рецензирование итогового проекта
🎓 Сертификат по завершении — добавьте в резюме или LinkedIn
🚀 Освойте DevOps с удовольствием. Начните уже сегодня и получите скидку 25%, которая действует 48 часов
👉 Пройти курс на Stepik