DevOps | Вопросы собесов

🤔 Видим что места нет находим большой файл 5 Гб например удаляем его а пишет что места всё равно нет в чём причина? В Linux удаленный файл может оставаться в памяти, если он все еще используется запущенным процессом. Это происходит, потому что файл не удаляется физически, пока его дескриптор (file descriptor) открыт. Файл все еще используется процессом Файл удален, но все еще открыт (deleted в /proc) Файл удален, но был записан в смонтированный том 🚩Проверить, какие процессы держат удаленный файл (`lsof`) Команда

lsof | grep deleted

Вывод

nginx     1234  www-data   4w   REG  8,1  5G   /var/log/nginx/access.log (deleted)

Решение: Перезапустить процесс:

systemctl restart nginx

или

kill -HUP 1234  # Закрыть процесс (PID = 1234)

🚩Освободить место вручную (`/proc`) Если процесс нельзя перезапустить, можно освободить занятую память без перезапуска.

ls -l /proc/*/fd/ | grep deleted

Вывод

lrwx------ 1 root root 64 Feb 21 14:23 /proc/5678/fd/4 -> /var/log/nginx/access.log (deleted)

Очистить файл, не перезапуская процесс

> /proc/5678/fd/4

🚩Проверить монтирование (Docker, NFS, tmpfs) Если файл хранился в смонтированном томе, он может не удалиться сразу. Проверить монтированные диски:

df -h
mount | grep /var/log

Если файл был в Docker-контейнере, проверить объемы:

docker system df

Ставь 👍 и забирай 📚 Базу знаний

🤔 Как делали права доступа в GitHub для агента, который скачивал/разворачивал ECS? Используются: - GitHub Actions OIDC → IAM Role in AWS; - IAM Role for Service Account (IRSA); - IAM policies + ограниченные assume-role. Ставь 👍 если знал ответ, 🔥 если нет Забирай 📚 Базу знаний

🤔 Почему плохо запускать контейнер от рута? Запуск контейнеров от имени пользователя root (рута) в Docker является обычной практикой, но это может привести к серьезным проблемам безопасности. Вот основные причины, почему это считается плохой практикой: 🟠Повышение рисков безопасности: Эксплуатация уязвимостей: Если злоумышленник получает доступ к контейнеру, запущенному от имени root, он может легко использовать уязвимости контейнера для атаки на хост-систему. Злоумышленники: Контейнеры могут содержать уязвимые или злонамеренные коды, которые при запуске с привилегиями root могут получить доступ к чувствительной информации или вызвать сбои. 🟠Отсутствие изоляции: Гостевая изоляция: Контейнеры должны быть изолированы от хост-системы. Запуск контейнера от имени root нарушает эту изоляцию, так как root внутри контейнера — это также root на хосте. Повышенные привилегии: Контейнеры, запущенные от имени root, могут иметь доступ к системным ресурсам, что увеличивает риск нарушения безопасности. 🟠Нарушение принципа наименьших привилегий: Принцип наименьших привилегий: Этот принцип гласит, что процесс должен иметь только те привилегии, которые необходимы для выполнения его задач. Запуск контейнера от имени root нарушает этот принцип, предоставляя ему избыточные права. 🚩Примеры проблем 🟠Повышение привилегий: Если в контейнере, запущенном от имени root, найдена уязвимость, злоумышленник может использовать ее для выполнения команд с привилегиями root на хосте, что может привести к серьезным нарушениям безопасности. 🟠Доступ к файловой системе хоста: Контейнер, запущенный от имени root, может получить доступ к критически важным файлам хостовой системы, изменять их или удалять, что может привести к нарушению работы всей системы. 🚩Как избежать запуска контейнеров от рута Использование непривилегированных пользователей: В Dockerfile можно создать пользователя с ограниченными привилегиями и переключиться на него.

FROM ubuntu:20.04
RUN useradd -m myuser
USER myuser
CMD ["myapp"]     

Использование флага --user: При запуске контейнера можно использовать флаг --user, чтобы указать непривилегированного пользователя.

docker run --user 1000:1000 myapp

Использование механизмов безопасности Docker: Использование профилей seccomp для ограничения системных вызовов. Использование AppArmor или SELinux для ограничения доступа контейнеров к системным ресурсам. Ставь 👍 и забирай 📚 Базу знаний

Не грузится? Понимаем. Бесплатный мессенджер для вашей компании - Битрикс24. Личные и групповые чаты, видеозвонки, каналы и нейросеть. Всё привычно и удобно. Начните работать на бесплатном тарифе уже сейчас. Узнать больше #реклама 16+ bitrix24.ru О рекламодателе

Курсы по ИИ и Excel от Яндекс Практикума бесплатно Освойте ИИ и Excel для работы бесплатно. Яндекс Практикум дарит +2 курса бонусом к корпоративному обучению Один подарок хорошо, а два — ещё лучше. Начните усиливать сотрудников в Практикуме до 31 мая и получите бесплатно набор курсов для себя и команды! Заберёте навыки, которые пригодятся в ежедневных задачах: ⚡«Excel для работы». Освоите табличный редактор на уровне профи ⚡«Основы ИИ». Получите базу для уверенной работы с нейросетями Оставьте заявку, чтобы узнать подробнее. Акция только для юрлиц. Узнать больше #реклама 16+ practicum.yandex.ru О рекламодателе

Нужны актуальные вопросы с собеседований ? DevOps | Собеседования - твой незаменимый помощник в подготовке к собеседованиям. 🔊Обзоры собеседований c вилками на позиции: 🔵DevOps инженеров (Junior, Middle, Senior). 🔵С комментариями автора, как человека, который активно собеседует кандидатов. 🔊В ближайшее время: 🔵Записи реальных собеседований (не моки и открытые собеседования). 🔵Гайды и рекомендации по обходу частых ошибок при выступлении на техническом интервью. ➡️ Подписаться

Не грузится? Понимаем. Бесплатный мессенджер для вашей компании - Битрикс24. Личные и групповые чаты, видеозвонки, каналы и нейросеть. Всё привычно и удобно. Начните работать на бесплатном тарифе уже сейчас. Узнать больше #реклама 16+ bitrix24.ru О рекламодателе

Главный навык на ближайшие годы — ВАЙБ-КОДИНГ ИИ уже пишет код, чинит баги, генерирует тесты, документацию и помогает запускать продукты быстрее, чем это делали классические команды разработки. И это уже не "будущее когда-нибудь", а реальность, которая меняет рынок уже сегодня И те, кто научится вайбкодить сейчас, будут увереннее конкурировать на рынке и зарабатывать больше тех, кто по-прежнему делает всё вручную. Стартовать с нуля поможет канал Вайб-кодинг. Там ребята круглосуточно мониторят более 320 российских и зарубежных источников и публикуют только главное: релизы, инструменты, гайды, курсы и практические кейсы. Подписывайтесь, нас уже 30 тысяч: @vibecoding_tg

ИН:Ритейл 21 мая приглашаем всех, кто определяет стратегию развития и маркетинга бизнесов в ритейле, обсудить ситуацию на рынке в новых условиях, вызовы 2026 года и перспективы. Отдельный фокус — на технологиях и инструментах, которые помогают бизнесу отвечать на новые вызовы: как меняется эффективность привлечения, как растёт измеримость рекламных каналов и какую роль играют новые форматы в маркетинговом миксе. Встречаемся 21 мая в Москве. Для тех, кто не сможет приехать, организуем онлайн-трансляцию. Мероприятие бесплатное, нужно только зарегистрироваться. Зарегистрироваться #реклама yandex.ru О рекламодателе

📘 На платформе Mentorix вышел курс — «DevOps-инженер: от основ до продакшена» Если вы хотите не просто изучить инструменты, а понять, как собирается реальная DevOps-инфраструктура — этот курс даёт полный системный подход. 🔧 Что внутри: • Linux, администрирование и bash • Docker и Kubernetes (реальная оркестрация) • Terraform и Ansible (Infrastructure as Code) • CI/CD: GitLab CI, GitHub Actions, Jenkins • мониторинг и логирование: Prometheus, Grafana, ELK • безопасность, сети, балансировка нагрузки • облака (AWS/GCP/Azure) 📊 Формат: — 82 урока и 784 шага — 320 теорий, 325 тестов, 139 задач практических задач — практика в каждом блоке 💡 Важно: вы не просто изучаете инструменты — вы собираете end-to-end инфраструктуру, которую можно положить в портфолио и показывать на собеседованиях. 💰 скидка 40%, действует 24 часа 👉 Пройти курс

Яндекс Музыка до 360 дней бесплатно Яндекс Музыка для вас и 3-х ваших близких. Кинопоиск и Яндекс Книги тоже в подписке. Попробуйте бесплатно❤️ Слушать #реклама 18+ music.yandex.ru О рекламодателе

Нужны актуальные вопросы с собеседований ? DevOps | Собеседования - твой незаменимый помощник в подготовке к собеседованиям. 🔊Обзоры собеседований c вилками на позиции: 🔵DevOps инженеров (Junior, Middle, Senior). 🔵С комментариями автора, как человека, который активно собеседует кандидатов. 🔊В ближайшее время: 🔵Записи реальных собеседований (не моки и открытые собеседования). 🔵Гайды и рекомендации по обходу частых ошибок при выступлении на техническом интервью. ➡️ Подписаться

🤔 Для чего используются иниь контейнеры? Init-контейнеры (init containers) – это специальные контейнеры в поде, которые запускаются перед основным приложением. Они выполняют подготовительные задачи, а затем завершаются. 🚩Основные сценарии использования Init-контейнеров 🟠Подготовка окружения Создание директорий, загрузка конфигураций или файлов перед запуском основного контейнера. 🟠Ожидание зависимостей Проверка доступности БД, API или других сервисов перед запуском приложения. 🟠Миграции БД Выполнение migrations перед стартом веб-приложения. 🟠Проверка и валидация данных Убеждаемся, что все файлы и настройки корректны. 🚩Как работают Init-контейнеры? Запускаются последовательно (поочередно). Должны завершиться успешно, иначе весь под не стартует. Не перезапускаются после завершения. Не делят volume'ы с основным контейнером (могут передавать данные через shared volumes). 🚩Пример: Init-контейнер, проверяющий доступность БД

apiVersion: v1
kind: Pod
metadata:
  name: my-app
spec:
  containers:
  - name: main-app
    image: my-app:latest
    ports:
    - containerPort: 8080
  initContainers:
  - name: wait-for-db
    image: busybox
    command: ['sh', '-c', 'until nc -z db-service 5432; do echo waiting for DB; sleep 2; done;']

Ставь 👍 и забирай 📚 Базу знаний

🤔 Что такое IaaS? Infrastructure as a Service — модель, в которой пользователю предоставляются виртуальные машины, диски, сети и прочее, а он сам управляет ОС и ПО. Пример: AWS EC2, Google Compute Engine. Ставь 👍 если знал ответ, 🔥 если нет Забирай 📚 Базу знаний

🤔 Где хранятся данные о группах которые существуют в системе? В Linux информация о группах пользователей хранится в файле: /etc/group — основной файл, содержащий список всех групп системы. 🚩Как посмотреть список групп? Вывести содержимое файла /etc/group

cat /etc/group

Формат строк в файле

имя_группы:x:GID:пользователи

Пример

root:x:0:
sudo:x:27:alice,bob
developers:x:1001:john,mary

Найти группу по имени

grep '^sudo:' /etc/group

Выведет

sudo:x:27:alice,bob

Узнать, в каких группах состоит пользователь

groups alice

или

id -Gn alice

Выведет

alice sudo developers

🚩Где ещё хранятся группы? 🟠Файл `/etc/gshadow` хранит пароли групп Если у группы есть пароль (редкость), он хранится здесь. Формат:

  имя_группы:пароль:GID:админы_группы

Пример:

sudo:!:27:
developers:!:1001:john

Посмотреть содержимое

sudo cat /etc/gshadow

🟠LDAP или Active Directory (если система подключена к домену) Если используется корпоративный домен, данные о группах могут храниться в LDAP или Active Directory.

getent group

Ставь 👍 и забирай 📚 Базу знаний

🤔 Что нужно сделать, чтобы использовать любую питон-библиотеку? - Установить её через pip install имя_пакета. - Лучше — в виртуальной среде: - python -m venv venv && source venv/bin/activate && pip install Ставь 👍 если знал ответ, 🔥 если нет Забирай 📚 Базу знаний

🤔 Как мы можем с помощью cloudfront сохранить бюджет на использование сервисов? Amazon CloudFront — это CDN (Content Delivery Network), которая помогает оптимизировать затраты на трафик и нагрузку на серверы. Использование CloudFront позволяет экономить бюджет на AWS-сервисах следующими способами: 🟠Кеширование контента (уменьшение нагрузки на бэкенд) CloudFront кэширует статический и динамический контент, что снижает количество запросов к вашим основным серверам (например, EC2, S3, API Gateway, Lambda). Меньше запросов к S3 (меньше операций GET, а они платные). Меньше запросов к API Gateway и Lambda (так как CloudFront может кешировать ответы API). Экономия на EC2 и RDS, так как нагрузка перераспределяется. 🟠Использование бесплатного трафика между CloudFront и S3 Когда CloudFront забирает файлы из S3 в том же регионе, за исходящий трафик из S3 не взимается плата. Исходящий трафик из S3 в интернет стоит ≈ $0.09 за ГБ. Исходящий трафик из CloudFront в интернет дешевле (например, первые 1 ТБ в месяц — бесплатно). 🟠Снижение стоимости глобального трафика Если у вас клиенты в разных странах, CloudFront дешевле, чем стандартный AWS-трафик. Исходящий трафик из CloudFront в интернет в среднем на 30-50% дешевле, чем прямой выход из EC2 или S3. AWS часто снижает цены на CloudFront трафик в рамках программ оптимизации. 🟠Фильтрация ненужного трафика (ботов, DDoS, парсеров) CloudFront позволяет использовать AWS WAF (Web Application Firewall) для блокировки вредоносных запросов. Меньше запросов к бэкенду (EC2, API Gateway, Lambda). Защита от DDoS (AWS Shield Standard бесплатен для CloudFront). 🟠Кеширование динамического контента CloudFront поддерживает TTL (Time-to-Live) для кэширования даже динамических API-ответов. Вместо запроса к API Gateway/Lambda, CloudFront может вернуть кэшированный ответ. Можно настроить "Stale While Revalidate" — клиент получает устаревший контент, пока идет обновление. 🟠Гибкое управление ценой через региональные edge-локации CloudFront позволяет управлять ценами, ограничивая определенные регионы. Можно исключить дорогие регионы (например, Южную Америку, где трафик дороже). Можно использовать AWS Origin Shield для дополнительного кеширования между регионами. 🟠Использование CloudFront Functions вместо AWS Lambda CloudFront поддерживает CloudFront Functions, которые выполняются прямо на edge-узлах и дешевле, чем Lambda@Edge. CloudFront Functions работают быстрее и стоят $0.10 за миллион запросов. Lambda@Edge стоит $0.60 за миллион запросов + плата за выполнение. Ставь 👍 и забирай 📚 Базу знаний

🤔 Как хранить Helm шаблоны в GitLab? - В отдельном репозитории (infrastructure/helm-charts). - Или внутри проекта в папке helm/, charts/. - Можно сделать GitLab Pages Registry: - упаковывать чарты (helm package) - публиковать (helm repo index . + pages) Ставь 👍 если знал ответ, 🔥 если нет Забирай 📚 Базу знаний

🤔 Какие есть метрики для измерения качества системы? Для измерения качества системы (особенно в DevOps, SRE и разработке) используют различные метрики производительности, надежности и доступности. 🚩Основные метрики качества системы 🟠Метрики "Четырёх ключевых показателей" (DORA) Эти метрики помогают оценить эффективность процессов DevOps: Lead Time for Changes (Время доставки изменений) — время от написания кода до его выхода в прод. Deployment Frequency (Частота развертываний) — как часто изменения попадают в прод. Mean Time to Restore (MTTR) (Среднее время восстановления) — как быстро исправляются инциденты. Change Failure Rate (Процент неудачных изменений) — доля развертываний, вызывающих сбои. 🟠Метрики надежности и доступности (SRE) Эти метрики помогают измерять надежность системы: SLA (Service Level Agreement) — договорное время доступности (например, 99.9%). SLO (Service Level Objective) — целевое значение доступности (например, 99.95%). SLI (Service Level Indicator) — фактические измеренные показатели (например, 99.93%). Error Rate — процент ошибок в системе (HTTP 500, таймауты и т. д.). Latency (Задержка) — время ответа системы на запросы. 🟠Метрики производительности Они показывают, насколько быстро работает система: CPU Utilization — загрузка процессора. Memory Usage — использование оперативной памяти. Disk I/O — скорость чтения/записи на диск. Network Throughput — пропускная способность сети. Response Time — время отклика системы. 🟠Метрики пользовательского опыта Оценивают удобство работы пользователей с системой: Apdex (Application Performance Index) — индекс удовлетворенности пользователей (0–1). TTFB (Time to First Byte) — время до получения первого байта ответа от сервера. Page Load Time — время полной загрузки страницы. Bounce Rate — процент пользователей, покинувших сайт без взаимодействия. Ставь 👍 и забирай 📚 Базу знаний

🤔 Как работать с VictoriaMetrics? VictoriaMetrics — это высокопроизводительная time-series база данных. Чтобы с ней работать: - Писать метрики можно через: - Prometheus Remote Write API (/api/v1/write), - vmagent (аналог prometheus с проксированием), - вручную через HTTP POST. - Читать метрики: - по PromQL (совместим с Prometheus), - через vmui (веб-интерфейс), - или Grafana + Prometheus data source. - Развёртывание: - может быть один бинарник (для single-node), - или кластерная версия (vmselect, vminsert, vmstorage). Ставь 👍 если знал ответ, 🔥 если нет Забирай 📚 Базу знаний