13139
Присоединяйтесь к нашему каналу и погрузитесь в мир DevOps Сотрудничество, реклама: @devmangx Менеджер: @Spiral_Yuri РКН: https://clck.ru/3P8kFH
Локальный сервис, например дев-сервер, можно выставить в публичный интернет через простой reverse SSH-туннель (ssh -R).
Но если вы хотите контролировать, кто может открывать такой туннель и кто может получать доступ к опубликованному сервису, можно использовать Pomerium — опенсорсный инструмент, который будет терминировать ssh -R-сессии. Pomerium ставит OIDC-аутентификацию перед получившимся HTTPS-роутом и применяет access policies.
Удобно для дев-боксов, CI-раннеров, on-call ноутбуков и хоумлабов, которые сидят за NAT.
Посмотрите полный туториал от Nick Taylor, чтобы увидеть, насколько просто поднять рабочий пример: https://labs.iximiuz.com/tutorials/native-reverse-ssh-tunneling-with-pomerium-005bfe2a
👉 DevOps Portal
В DevOps мы много говорим про масштабирование, аптайм и пайплайны.
Но в большинстве случаев безопасность всегда обсуждают в последнюю очередь.
В клауд-нейтив мире приложения должны воспринимать аутентификацию и авторизацию как базовые принципы дизайна.
Kubernetes — отличный реальный пример такого подхода.
* Каждый Pod получает JWT — токен сервис-аккаунта.
* Когда Pod обращается к Kubernetes API, он прикладывает этот токен.
* API-сервер проверяет токен и применяет RBAC-правила, чтобы определить, что этому Pod разрешено делать.
Это 15-Factor security на практике.
* Каждый запрос проходит проверку.
* Система следует zero-trust модели: по умолчанию никому и ничему нет доверия.
* Identity и permissions закладываются в архитектуру с самого начала.
Если хотите больше узнать про 15-Factor Apps, вот разбор дополнительных факторов
Читайте здесь: https://newsletter.devopscube.com/p/12-factor-to-15-factor-apps
👉 DevOps Portal
Мультиоблачная инфраструктура: когда одного облака уже недостаточно
По мере роста проекта инфраструктура редко остается в рамках одной площадки. Часть сервисов работает в облаке, часть остается on-premise, появляются требования к резервированию, отказоустойчивости и масштабированию.
Для таких сценариев существует ё— мультиоблачная платформа для построения гибридной инфраструктуры, миграции сервисов, размещения критичных систем и управления облачными ресурсами.
Что можно найти в канале RCloud:
• практические материалы по облачной инфраструктуре;
• разборы архитектурных решений;
• темы информационной безопасности;
• кейсы миграции и эксплуатации ИТ-систем;
• обзоры технологий и рыночных трендов.
Если работаете с облаками, Kubernetes, виртуализацией или инфраструктурой в целом — канал может быть полезен.
👉 Подробнее о RCloud
Новая подборка практических Kubernetes-челленджей от Omkar Shelke уже доступна. Learning by doing в лучшем виде
- Добавьте ephemeral container в distroless Pod и проверьте HTTP-запрос между namespace’ами
https://labs.iximiuz.com/challenges/inject-debug-container-into-distroless-pod-confirm-cross-namespace-http-8040ab18
- Запустите короткую задачу как отдельный Pod без Job-контроллера
https://labs.iximiuz.com/challenges/run-short-task-as-a-standalone-pod-without-a-job-controller-f6655185
- Приложение Puzzle Block Game пропало — восстановите его из etcd
https://labs.iximiuz.com/challenges/puzzle-block-game-application-is-gone-recover-it-from-etcd-28e61727
- Создайте и восстановите snapshot etcd в Kubernetes-кластере
https://labs.iximiuz.com/challenges/take-and-restore-etcd-snapshot-on-a-kubernetes-cluster-7ae31fbc
Изучаем Linux на практике: локальный проброс портов через SSH
- Получите доступ к внутреннему порту для отладки через SSH-туннель: https://labs.iximiuz.com/challenges/ssh-local-port-forwarding
- Подключитесь к приватному сервису в VPC через bastion-хост: https://labs.iximiuz.com/challenges/ssh-local-port-forwarding-bastion
- Получите доступ ко всей VPC через SSH SOCKS-прокси: https://labs.iximiuz.com/challenges/ssh-socks-proxy
👉 DevOps Portal
Быстрый совет по Linux
Хотите понять, что именно запустится, когда вы введёте команду?
Используйте:
$ which ssh
Изучите все основные концепции Prometheus за 8 минут
В этой статье вы узнаете:
- Что представляет собой архитектура Prometheus?
- Сервер Prometheus
- База данных временных рядов (TSDB)
- Таргеты в Prometheus
- Экспортеры Prometheus
- Механизм Service Discovery в Prometheus
- Prometheus Pushgateway
- Клиентские библиотеки Prometheus
- Alertmanager
- PromQL
Подробная статья: https://devopscube.com/prometheus-architecture/
👉 DevOps Portal
Зоопарк решений растёт, а команда — нет
Одни сервисы развёрнуты в облаке, другие — на своих серверах, а третьи – в изолированном контуре. Чем больше «зоопарк», тем сложнее управлять такой инфраструктурой. Вместо того, чтобы нанимать нового DevOps-инженера, можно автоматизировать рутинные операции.
30 июня на вебинаре мы представим сервис, который поможет автоматически управлять лоскутной инфраструктурой в режиме «одного окна».
Мы покажем, как с помощью MWS B2B Store:
1️⃣ Деплоить сервисы в VMware и K8s через Terraform as a Service
2️⃣ Автоматически «раскатывать» обновления в изолированные контуры
3️⃣ Контролировать, кто и как использует лицензии на серверное ПО
4️⃣ Управлять инстансами из разной инфраструктуры в едином окне
Вместо слайдов — живое демо. Вы сможете задать любые вопросы и разобрать ответы со спикерами.
⏰ 30 июня в 11:00
Будет полезно: CTO, директорам по инфраструктуре, DevOps-инженерам и тимлидам инфраструктурных команд.
Регистрируйтесь по ссылке
Ваш домен может стоить один рубль
Переносите и продлевайте домены в Selectel и платите за это всего по одному рублю. Бонусом получите бесплатный DNS-хостинг и SSL-сертификаты, а еще возможность развернуть полноценную IT-инфраструктуру проекта в одном окне браузера.
Успейте перенести и продлить домены в Selectel по рублю до 30.06 →
Реклама. АО "Селектел". erid:2W5zFJij77F
🔥VPS + ISPmanager со скидкой до 100% на Waicore
Запускаете сайты на VPS? Сейчас самое время попробовать ISPmanager практически бесплатно.
➕ Наши акции:
— 100% скидка на первый месяц лицензии ISPmanager при заказе VPS из категории «Веб-хостинг»
— Скидка 60% на лицензии ISPmanager при отдельной покупке
Также доступны:
🛡 SSL-сертификаты
🛡 BitNinja для защиты серверов от атак, спама и вредоносного ПО.
Получаете готовый VPS с установленной панелью управления и можете сразу приступать к работе с сайтами, почтой, базами данных и другими сервисами.
⚡️Акция действует месяц.
Подробнее на сайте WAICORE.
Pod Affinity vs Pod Anti-Affinity
В Kubernetes
Pod Affinity и Pod Anti-Affinity помогают контролировать, где будут запускаться ваши поды, в зависимости от расположения других подов.
Вот самый простой способ запомнить
Pod Affinity = держать поды вместе
Pod Anti-Affinity = разносить поды друг от друга
Когда использовать Pod Affinity?
Используйте, когда два пода должны находиться ближе друг к другу для лучшей производительности.
Например, под приложения и небольшой под кэша/базы данных, работающие на одной ноде, чтобы уменьшить количество сетевых переходов.
Используйте, когда нужна высокая доступность.
Например, несколько реплик backend-сервиса распределяются по разным нодам, чтобы отказ одной ноды не положил всё приложение.
Как правильно работать с резервным копированием в облаке?
25 июня приглашаем на бесплатный вебинар от MWS Cloud Platform всех, кто работает с облаками.
⚫️Развеем мифы, разберём лучшие современные подходы и инструменты.
⚫️Обсудим интеграцию в процессы, консистентность, точечное восстановление и безопасность. Поговорим о плюсах нативных облачных инструментов.
⚫️Проведём демо в MWS Cloud Platform и ответим на ваши вопросы.
Зарегистрируйтесь, чтобы не пропустить!
⏰ 25 июня в 14:00 (мск)
✅ Зарегистрироваться
Корректное завершение работы контейнеризированных приложений может быть не таким простым, как кажется
Разберитесь с типичными подводными камнями на практике:
- Слишком медленная последовательность остановки приложения: https://labs.iximiuz.com/challenges/docker-graceful-container-shutdown
- Потеря сигналов при их передаче процессам: https://labs.iximiuz.com/challenges/graceful-termination-for-nodejs-container
- Некорректно работающий entrypoint-скрипт: https://labs.iximiuz.com/challenges/graceful-termination-for-container-with-entrypoint
VPN и mTLS — это базовые и обязательные для понимания технологии для DevOps-инженеров.
Это руководство поможет вам на практике разобраться со следующими темами:
- VPN типа Client-to-Site
- Генерация клиентских и серверных сертификатов с помощью EasyRSA
- Взаимная TLS-аутентификация (mTLS)
Почему это важно изучить?
Практически в любой организации VPN используется для безопасного подключения к облачным ресурсам и внутренней инфраструктуре.
Лучший способ по-настоящему понять, как работают VPN и mTLS, — развернуть и настроить их самостоятельно.
Подробное руководство: https://devopscube.com/aws-client-vpn/
В рамках руководства в теоретическом формате также рассматриваются следующие темы:
- Аутентификация на основе SAML и Active Directory
- TCP vs UDP — различия и сценарии использования
👉 DevOps Portal
Как запускать Linux-демон при первом подключении к его API-сокету?
Одно из ключевых назначений systemd – запуск и управление долго работающими фоновыми процессами. Демоны регистрируются в systemd как service units и обычно стартуют во время загрузки системы.
Однако если сервис не нужен сразу после загрузки и предоставляет API через TCP-сокет или Unix-сокет, зачастую эффективнее запускать его только тогда, когда к нему подключается первый клиент. Такой механизм называется socket activation.
Изучите, как работает socket activation в systemd, выполнив следующие задания:
- Запустите сервис при первом подключении к его TCP-сокету:
https://labs.iximiuz.com/challenges/systemd-socket-activate-listen-stream-inet
- Запустите сервис при первом подключении к его Unix-сокету:
https://labs.iximiuz.com/challenges/systemd-socket-activate-listen-stream-unix
⚡️ПОСЛЕДНИЙ ДЕНЬ АКЦИИ ЖАРКОЕ ЛЕТО
Таких условий больше не будет
🟦Диплом установленного образца (Системный администратор) - это не просто сертификат о прохождении, это официальный документ, который открывает двери в корп-сегмент и гарантирует железобетонный фундамент в Linux.
🟦Полная база пентеста (Red & Blue Team) - от сканирования инфраструктуры до сложных атак на Active Directory и веб-уязвимостей. Вы начинаете думать и действовать как профессиональный хакер.
🟦Взлом баз данных - глубокое понимание SQL-инъекций и архитектуры БД, чтобы доставать самые ценные активы компаний.
🟦AI-помощники на Python - автоматизация всей рутины. Пока другие работают руками, ваши ИИ-агенты парсят уязвимости и пишут отчеты, умножая ваш чек и скорость.
Что мощнее — S3 или локальные диски?
Разбираем сценарии использования S3-хранилища в связке с Postgres Pro
На вебинаре узнаете о лучших практиках эксплуатации в продакшн-средах. Эксперты Selectel и Postgres Pro разберут все: от резервного копирования через pg_probackup и S3 Selectel до хранения паркетных данных с Postgres Pro AXE и результатов TPC-тестов. Особенно интересно будет архитекторам, техлидам и всем, кто отвечает за надежность и экономику хранения данных.
📍 Онлайн
⏰ 14 июля в 12:00
Регистрируйтесь ➡️ https://slc.tl/i3ylp
Больше мероприятий для ИТ-специалистов в канале @selectel_events. Подписывайтесь!
Реклама. АО "Селектел". erid:2W5zFJwDcdF
Случайные сбои DNS в Kubernetes?
Возможно, проблема вовсе не в CoreDNS.
Причиной может быть переполненная таблица conntrack.
Эту настройку Kubernetes полезно знать, если вы:
- изучаете сетевую архитектуру Kubernetes;
- готовитесь к экзамену CKA;
- администрируете production-кластеры, развернутые с помощью kubeadm.
Если вы используете kubeadm, размер таблицы conntrack можно настроить через KubeProxyConfiguration.
Вот пошаговое руководство, в котором подробно показано, как это сделать.
Подробный гайд: https://devopscube.com/setup-kubernetes-cluster-kubeadm/
👉 DevOps Portal
В этом гайде разбирается, как опубликовать Kubernetes-кластер на Proxmox через связку из двух HAProxy: внешний HAProxy работает на хосте как edge-прокси, а внутренний в кластере в качестве ingress-контроллера.
➜ https://ruzhnikov.substack.com/p/exposing-kubernetes-dual-haproxy
👉 DevOps Portal
Как ИИ меняет инфраструктуру дата-центров
Рост ИИ-нагрузок требует изменений не только на уровне разработки, но и на уровне всей инфраструктуры.
На infra.conf’26 Яндекс анонсировали, как адаптирует физическую и ML-инфраструктуру для дальнейшего масштабирования ИИ-сервисов.
Что меняется 👇
- Компания переходит к концепции кампусов дата-центров. Такой подход позволяет наращивать мощность до 180 МВт, что является рекордным показателем для России.
- В дата-центрах внедряется жидкостное охлаждение. Оно обеспечивает более эффективное терморегулирование вычислительного оборудования и помогает снижать энергопотребление.
- Для ML-разработчиков запущен внутренний сервис Dev Cluster. Он ускоряет проведение экспериментов и сокращает время разработки моделей.
Изменения затрагивают как физическую инфраструктуру, так и внутренние платформенные инструменты, необходимые для развития ИИ.
👉 DevOps Portal
ИИ пишет конфиги?
А кто проверяет, что он не придумал лишнего?
💎Слёрм проводит БЕСПЛАТНУЮ вечернюю школу для инженеров «ИИ для инженеров: польза и риски».
Разберём на реальных примерах и практиках, как использовать ИИ в DevOps, SRE и инфраструктуре эффективно, системно и безопасно.
🧩На занятиях поговорим про:
— реальные сценарии применения ИИ в инженерной практике
— как применять его для метрик, алёртов, документации и рутины
— безопасную работу с данными и внешними сервисами
— юридические вопросы и ответственность за результат
✅ +файл для самоизучения после каждого занятия
✅ +возможность выиграть скидку на курсы по ИИ и мерч от вечерней школы
⭐️Дадим не просто набор разрозненных кейсов, а вместе формируем мышление: как использовать и адаптировать ИИ под свои рабочие задачи.
Первое занятие 21 июля.
Тема: «Как научить ИИ разгребать метрики, пока дежурный допивает чай».
Участие бесплатное, не пропусти событие лета
➡️ Узнать подробнее и зарегистрироваться в боте
Если вы работаете в DevOps, то SLSA — это концепция безопасности, которую обязательно нужно знать.
Сегодня злоумышленники всё чаще атакуют CI/CD-пайплайны ещё до того, как код попадает в продакшен-кластеры.
Недавний компромисс цепочки поставок npm-пакетов TanStack в 2026 году – наглядный тому пример.
Когда ваш CI-пайплайн собирает контейнерный образ и публикует его в реестр,
как вы можете быть уверены, что этот образ действительно был собран именно из вашего исходного кода?
Для большинства команд доказать это невозможно.
Фреймворк SLSA создан именно для решения этой проблемы.
В этой статье разобрали:
- Что такое SLSA Provenance и уровни доверия
- Как внедрить SLSA в ваш CI/CD-пайплайн
- Как проверять Provenance в Kubernetes с помощью Admission Policies
- Три инцидента в цепочке поставок ПО, о которых должен знать каждый DevOps-инженер
Читайте здесь: https://newsletter.devopscube.com/p/slsa-explained
👉 DevOps Portal
В этом туториале вы узнаете, как настроить событийное trace-based тестирование в Kubernetes с помощью Tracetest и Testkube
https://tracetest.io/blog/event-driven-kubernetes-testing-with-testkube-and-tracetest
👉 DevOps Portal
DevOps-инструмент недели: SpecKit
Инструменты для AI-кодинга часто упускают то, что вам действительно нужно.
Spec Kit — это open-source тулкит от GitHub, который ставит требования к проекту на первое место.
Вместо того чтобы сразу переходить к генерации кода, он помогает AI-агентам следовать понятному процессу: определить спецификацию, составить план, декомпозировать работу на задачи и только потом приступать к реализации.
Что умеет Spec Kit
- Проводит агентов через структурированный workflow: Spec → Plan → Tasks → Implement
- Использует файл правил для определения проектных требований и ограничений, которым должен соответствовать каждый этап
- Выявляет пробелы и недостающие требования ещё до начала разработки
- Генерирует чек-листы требований для валидации результата
- Поддерживает более 30 AI-инструментов для разработки, включая Claude Code, Copilot, Cursor и Codex.
Начать можно здесь: https://github.com/github/spec-kit
👉 DevOps Portal
Gateway API vs Ingress Controller
Вот ключевое различие, которое важно понимать
В Kubernetes объект Ingress лишь описывает правила маршрутизации.
Фактическая обработка и маршрутизация трафика выполняется Ingress Controller, который одновременно выступает и контроллером, и прокси-сервером.
С Gateway API процесс выглядит почти так же.
Вы создаёте такие ресурсы, как Gateway и HTTPRoute, чтобы управлять маршрутизацией и потоком трафика.
Затем контроллер Gateway API (NGINX Gateway Fabric) преобразует эти конфигурации в реальные правила маршрутизации и необходимую сетевую инфраструктуру.
Но здесь есть важное отличие в архитектуре NGINX Gateway Fabric.
У него control plane и data plane разделены.
Когда вы создаёте ресурс Gateway, контроллер автоматически разворачивает выделенный pod с NGINX (data plane), который непосредственно обрабатывает входящий трафик.
В случае с Ingress сам контроллер одновременно выполняет роль прокси и обрабатывает трафик.
👉 DevOps Portal
Kubernetes NodeLocal DNSCache: как это работает
Когда речь заходит о производительности, в Kubernetes важен каждый DNS-запрос.
Без NodeLocal DNSCache поды отправляют DNS-запросы на Service IP kube-dns/CoreDNS.
Эти запросы проходят через kube-proxy, правила DNAT и conntrack, прежде чем попасть в CoreDNS.
В загруженных кластерах это может приводить к дополнительным задержкам и увеличивать нагрузку на таблицу conntrack.
NodeLocal DNSCache решает эту проблему, разворачивая локальный DNS-кеш на каждой ноде в виде DaemonSet.
В результате поды обращаются не напрямую к CoreDNS, а к локальному DNS-кешу на той же ноде.
Основные преимущества:
- Сокращает среднее время DNS-резолвинга, поскольку многие запросы обрабатываются локально из DNS-кеша.
- Снижает нагрузку на CoreDNS.
- Помогает избежать переполнения таблицы conntrack, так как соединения между подами и локальным DNS-кешем не создают записей в conntrack.
- DNS-запросы к внешним доменам могут форвардиться напрямую, без участия CoreDNS.
Примечание: NodeLocal DNSCache не включён в Kubernetes по умолчанию.
Для его использования необходимо вручную развернуть DaemonSet с NodeLocal DNSCache (за исключением некоторых managed-решений, например GKE Autopilot, где эта функциональность уже включена по умолчанию).
👉 DevOps Portal
Шпаргалка по SSH-туннелям
Забавный факт: с появлением ИИ-агентов и песочниц я стал пользоваться SSH даже чаще – это по-настоящему фундаментальная технология.
👉 DevOps Portal
DevOps-инструмент недели: AirLLM
Для локального запуска больших моделей вам не нужен мощный GPU.
AirLLM — это open-source инструмент, который позволяет запускать крупные модели на одной видеокарте, не загружая всю модель в VRAM целиком.
Он разбивает модель на слои и во время инференса подгружает их по одному.
Вот как это работает 👇
- При первом запуске AirLLM скачивает полную модель, разбивает её на отдельные шарды по слоям и сохраняет их на локальном диске.
- Когда вы отправляете запрос, модель начинает загружаться в VRAM послойно.
- Сначала из диска в VRAM видеокарты загружается первый слой, выполняется его обработка, затем память освобождается и загружается следующий слой.
- Этот процесс повторяется для каждого слоя. После обработки всех слоёв AirLLM возвращает ответ на ваш запрос.
Благодаря такому подходу даже GPU с 4 ГБ видеопамяти способен запускать модель размером 70B параметров.
Начать можно здесь: AirLLM GitHub Repository
👉 DevOps Portal
• Друзья, пришло время провести очередной конкурс. На этот раз мы разыгрываем бумажную версию книги "Компьютерные сети. Принципы, технологии, протоколы" - это новое (7-е) издание легендарного учебника для изучения сетевых технологий, которое поступит в продажу через неделю.
• К слову, книга содержит более 1100 страниц информации, а первое издание этой литературы появилось целых 25 лет назад... С того момента авторы постоянно актуализируют материал и выпускают новые издания.
• Итоги подведём 20 Июня в 10:00, при помощи бота, который рандомно выберет 10 победителей. Доставка для победителей бесплатная в зоне действия СДЭК. Удачи ❤
Для участия нужно:
1. Быть подписанным на наш канал: Infosec.
2. Подписаться на канал наших друзей: Мир Linux.
3. Нажать на кнопку «Участвовать»;
4. Ждать результат.
Бот может немного подвиснуть — не переживайте! В таком случае просто нажмите еще раз на кнопку «Участвовать».
#Конкурс
DevOps-инструмент недели: Dragonfly
Загрузка модели размером 130 ГБ на 200 GPU-нод создаёт около 26 ТБ сетевого трафика.
Но что если ноды будут скачивать данные друг у друга, а не напрямую из исходного источника?
Именно для этого нужен Dragonfly – опенорс система P2P-распространения файлов.
Первая нода, которая скачивает файл, становится локальным кэшем. К хранилищу моделей обращаются только один раз, а остальные ноды в кластере получают данные друг от друга.
Что умеет Dragonfly 👇
- Поддерживает прямую загрузку моделей из Hugging Face и ModelScope.
- Разбивает файлы на части и начинает раздачу по P2P ещё до завершения первого скачивания.
- Снижает нагрузку на источник с 26 ТБ до примерно 130 ГБ при развёртывании на 200 нодах.
- Поддерживает работу с приватными репозиториями через аутентификацию по токенам.
- Разворачивается в Kubernetes как DaemonSet.
GitHub-репозиторий: https://github.com/dragonflyoss/dragonfly
👉 DevOps Portal