متاح الآن! بحث تيليغرام 2025 — أهم رؤى العام 
NetworkAdmin.ru
الذهاب إلى القناة على Telegram
Авторский блог про сетевое и системное администрирование. Сайт: networkadmin.ru Реклама: @dad_admin Биржа: https://telega.in/c/networkadminru
إظهار المزيد4 715
المشتركون
-524 ساعات
-107 أيام
-930 أيام
أرشيف المشاركات
4 715
📱 Bash как DSL: пишем читаемые админские скрипты
Многие админские bash-скрипты со временем превращаются в свалку из if, grep, awk, sed и случайных команд, склеенных по принципу: работает - не трогай. Проблема в том, что через месяц такой скрипт уже тяжело читать. Через полгода - страшно менять. А если его откроет другой админ, он вообще решит, что это археология, а не автоматизация.
Один из рабочих подходов - писать bash не как набор команд, а как маленький DSL: domain-specific language, то есть мини-язык под свою задачу.
Идея простая: вместо простыни команд вы собираете скрипт из понятных функций с говорящими именами.
Например, не так:
useradd -m -s /bin/bash "$name"
mkdir -p "/home/$name/.ssh"
cp ./authorized_keys "/home/$name/.ssh/authorized_keys"
chown -R "$name:$name" "/home/$name/.ssh"
chmod 700 "/home/$name/.ssh"
chmod 600 "/home/$name/.ssh/authorized_keys"
create_user "$name"
install_ssh_keys "$name"
harden_ssh_dir "$name"
create_user() {
useradd -m -s /bin/bash "$1"
}
install_ssh_keys() {
local user="$1"
mkdir -p "/home/$user/.ssh"
cp ./authorized_keys "/home/$user/.ssh/authorized_keys"
chown -R "$user:$user" "/home/$user/.ssh"
}
harden_ssh_dir() {
local user="$1"
chmod 700 "/home/$user/.ssh"
chmod 600 "/home/$user/.ssh/authorized_keys"
}
create_user "$name"
install_ssh_keys "$name"
harden_ssh_dir "$name"
require_root
check_dependencies
backup_config "/etc/nginx/nginx.conf"
deploy_new_config "./nginx.conf" "/etc/nginx/nginx.conf"
test_nginx_config
reload_nginx
cp "$src" "$dst" &&
nginx -t &&
systemctl reload nginx ||
echo "something failed"
deploy_config "$src" "$dst"
validate_nginx
reload_service nginx4 715
📘 На платформе Mentorix вышел курс — «DevOps-инженер: от основ до продакшена»
Если вы хотите не просто изучить инструменты, а понять, как собирается реальная DevOps-инфраструктура — этот курс даёт полный системный подход.
🔧 Что внутри:
• Linux, администрирование и bash
• Docker и Kubernetes (реальная оркестрация)
• Terraform и Ansible (Infrastructure as Code)
• CI/CD: GitLab CI, GitHub Actions, Jenkins
• мониторинг и логирование: Prometheus, Grafana, ELK
• безопасность, сети, балансировка нагрузки
• облака (AWS/GCP/Azure)
📊 Формат:
— 82 урока и 784 шага
— 320 теорий, 325 тестов, 139 задач практических задач
— практика в каждом блоке
💡 Важно:
вы не просто изучаете инструменты — вы собираете end-to-end инфраструктуру, которую можно положить в портфолио и показывать на собеседованиях.
💰 скидка 40%, действует 24 часа
👉 Пройти курс
4 715
🖥 gping и fping
Стандартный ping - полезный инструмент, но в реальной админской жизни его часто не хватает. Иногда хочется быстро увидеть задержку на графике, а иногда - массово проверить десятки или сотни адресов без лишней возни с выводом.
Для этого есть как минимум две полезные утилиты:
gping и fping. Они не заменяют классический ping, а скорее дополняют его под разные задачи.
1️⃣ gping - ping с графиком задержки. Она умеет не просто пинговать хост, а показывать время отклика в виде графика. Причем можно проверять сразу несколько адресов одновременно.
Установка:
apt install gping
gping 1.1.1.1 8.8.8.8 8.8.4.4
apt install fping
fping -g 192.168.13.0/24 -qa
192.168.13.1
192.168.13.2
192.168.13.17
192.168.13.50
192.168.13.186
fping -s -g 192.168.13.1 192.168.13.50 -qa
fping 10.20.1.2
10.20.1.2 is alive
fping 10.20.1.2 -q
echo $?
fping 10.20.1.3 -q
echo $?4 715
✍️ iotop, dstat, pidstat: поиск узких мест по диску и CPU
Когда сервер начинает тормозить, первая ошибка - сразу лезть в логи и гадать, что что-то жрет ресурсы. Гораздо полезнее сначала быстро ответить на три вопроса: кто грузит CPU, кто долбит диск, и где именно начинается узкое место.
Для такой первичной диагностики очень хорошо работают три утилиты:
iotop, dstat и pidstat. Они не заменяют полноценный мониторинг, но отлично помогают, когда нужно быстро понять, что происходит прямо сейчас.
▪️ iotop - показывает, кто активно читает и пишет на диск. Если сервер упирается в I/O, обычный top это не всегда покажет. Процесс может почти не грузить CPU, но при этом убивать систему постоянной записью или чтением.
Запуск:
iotop
iotop -o-o оставляет только процессы, у которых прямо сейчас есть дисковая активность.
▪️ dstat - дает общую картину по системе
dstat хорош тем, что показывает сразу несколько метрик в одном месте: CPU disk I/O network memory swap interruptsПример запуска:
dstat
dstat -cdngym
pidstat 1
pidstat -d 1
pidstat -r 1
pidstat -p 1234 1
dstat -cdngym
iotop -o
pidstat -d 1
pidstat 14 715
🔖 DNS caching servers: unbound vs bind vs systemd-resolved
Когда в инфраструктуре нужен локальный DNS-кэш, выбор обычно сводится к трем вариантам: Unbound, BIND и systemd-resolved. Все они умеют работать с DNS, но подходят под разные задачи.
▪️ Важно понять главное:
systemd-resolved - это в первую очередь локальный stub-resolver для хоста.
Unbound - легкий рекурсивный и кэширующий резолвер.
BIND - большой комбайн, который умеет и рекурсию, и authoritative DNS, и сложные серверные сценарии.
▪️ Что это значит на практике.
▪️Unbound -отличный вариант, когда нужен именно быстрый caching/recursive DNS server без лишней тяжести. Он изначально позиционируется как validating, recursive, caching resolver и хорошо подходит для локального DNS-кэша в офисе, на шлюзе, в домашней лаборатории или как отдельный резолвер для серверов.
▪️BIND - подходит, когда DNS в вашей инфраструктуре - это уже не просто кэш, а полноценный сервис с зонами, views, форвардингом, authoritative-частью, интеграциями и сложной логикой. Он мощный, гибкий, но за это платите более тяжелой конфигурацией и большим объемом настроек.
▪️systemd-resolved - удобен как локальный резолвер на самой машине. Он дает кэширование, stub-resolver на 127.0.0.53, умеет DNSSEC validation, а также работает с LLMNR и mDNS. Для ноутбука, обычного Linux-хоста или VM это часто уже достаточно хорошо. Но строить на нем центральный DNS-кэширующий сервер для всей сети - обычно не лучший выбор.
▪️ Как выбирать?
нужен DNS-кэш для сервера или небольшой сети - это Unbound
нужен DNS-комбайн с authoritative-зонами и сложной серверной логикой - это BIND
нужен просто нормальный локальный резолвер на Linux-хосте - это systemd-resolved
Поэтому перед выбором инструмента лучше честно ответить на вопрос: вам нужен локальный резолвер для одного хоста, кэширующий DNS для сети или полноценный DNS-сервер. И вот от этого уже выбирать: systemd-resolved, Unbound или BIND.
#dns #network
🧑💻 NetworkAdmin
4 715
👾 Быстрый поиск пожирателей диска
Когда на сервере внезапно заканчивается место, первое желание - запустить что-нибудь вроде
du -sh * и начать вручную искать, кто сожрал диск. Рабочий способ, но неудобный. Особенно если каталогов много, структура глубокая, а проблема уже горит.
В таких ситуациях выручает ncdu - консольная утилита для быстрого анализа использования диска. По сути это удобная оболочка над du, но с нормальной навигацией по каталогам в терминале.
▪️ Установка простая:
apt install ncdu
yum install ncdu
ncdu /Почему это удобно: не нужно вручную гонять du по каждому уровню сразу видно самые тяжелые каталоги можно быстро проваливаться внутрь и искать источник проблемы работает прямо в терминале, без GUI и лишних зависимостей▪️ Типичный сценарий: сервер начал ругаться на нехватку места, заходите через SSH, запускаете:
ncdu /var
ncdu /var
ncdu -x /
ncdu -q /data4 715
📘 На платформе Mentorix вышел курс — «Nginx на практике: от деплоя до production»
Практический курс по настройке Nginx для реальных задач: от базовой конфигурации до использования в production.
В курсе:
• настройка и конфигурация Nginx
• работа как reverse proxy
• SSL и HTTPS
• балансировка нагрузки
• подготовка конфигурации для production
Начать можно сразу — вводная часть курса доступна без оплаты.
🎁 Промокод: NGINX_20
Скидка 20% — действует 48 часов
👉 Пройти курс
4 715
📱 Что показывать на IP-адресе Nginx, чтобы не светить виртуальные хосты
Если обратиться к Nginx-серверу по IP-адресу, а не по доменному имени, то обычно откроется либо первый virtual host в конфиге, либо тот, где указан default_server в listen. Чаще всего показывать что-то реальное на таком запросе не хочется, поэтому на IP обычно вешают заглушку.
▪️ Для HTTP это решается просто:
server {
listen 80 default_server;
server_name _;
return 404;
}
server {
listen 443 ssl default_server;
server_name _;
return 404;
}
openssl req -x509 -nodes -days 3650 -newkey rsa:2048 \
-keyout /etc/nginx/certs/nginx.key \
-out /etc/nginx/certs/nginx.crt
server {
listen 443 ssl default_server;
server_name _;
ssl_certificate /etc/nginx/certs/nginx.crt;
ssl_certificate_key /etc/nginx/certs/nginx.key;
return 404;
}
server {
listen 80 default_server;
listen 443 ssl default_server;
server_name _;
ssl_reject_handshake on;
return 404;
}ssl_reject_handshake on.
Она позволяет сразу отклонять TLS-handshake, не отдавая пользователю чужой сертификат и не доводя дело до стандартного браузерного предупреждения о несовпадении имени.
Что это дает на практике:
запросы по IP на 443 сразу режутся;
сертификаты реальных виртуальных хостов не светятся;
пользователь сразу получает ошибку соединения, без лишних переходов и предупреждений.
В итоге это выглядит чище, чем схема с самоподписанным сертификатом-заглушкой.
ssl_reject_handshake on удобно использовать именно в default server для HTTPS-запросов, которые не должны попадать ни в один нормальный виртуальный хост. Если задача - не просто вернуть 404, а вообще не раскрывать ничего лишнего по IP, это один из самых аккуратных вариантов.
#nginx #webserver
🧑💻 NetworkAdmin4 715
📱 K8s на практике
Теория без практики - не даст большого результата. Наткнулся на hands-on челлендж:
В кластере есть Pod, который не может нормально стартануть.
Он пытается подняться, но постоянно падает.
Причина: в спецификацию недавно добавили новый контейнер, и после этого init-последовательность стала некорректной.
Задачей является найти, что именно сломали, и починить, чтобы Pod снова запускался.
Внутри будет:
▪️init containers и порядок старта;
▪️логи Pod / events;
▪️kubectl describe / logs;
▪️диагностика CrashLoopBackOff и зависаний.
Ссылка 👈
#kubernetes #devops
🧑💻 NetworkAdmin
4 715
Вот такое упражнение раз в полгода делай и системный блок всегда чистый будет
#юмор
🧑💻 NetworkAdmin
4 715
👉 NTFS vs ReFS: что использовать на серверах Windows
Когда речь заходит о файловой системе на Windows Server, многие смотрят на ReFS как на новый NTFS. Но в реальной эксплуатации все не так просто.
NTFS - это универсальный и самый совместимый вариант.
ReFS - это специализированный инструмент под определенные сценарии, а не замена везде и для всего. Microsoft прямо позиционирует NTFS как файловую систему по умолчанию, а ReFS - как вариант для задач, где важны целостность данных, масштабирование и отдельные storage-оптимизации.
▪️ Что дает NTFS:
▪️максимальную совместимость с приложениями и ролями windows;
▪️привычные функции вроде ACL, квот, сжатия и EFS;
▪️нормальную жизнь для системных и загрузочных томов;
▪️меньше сюрпризов в проде, когда у вендора в требованиях написано просто: Windows Server;
▪️ Что дает ReFS:
▪️лучшую защиту от повреждения данных;
▪️integrity streams и проверку целостности;
▪️block cloning и другие оптимизации для крупных storage-нагрузок;
▪️хорошие сценарии в связке с Storage Spaces / S2D и Hyper-V-нагрузками ;
Но вот где начинается практика.
▪️ ReFS - не ставим везде вместо NTFS.
У него до сих пор не такая универсальная совместимость, как у NTFS. Для части сценариев microsoft сама рекомендует NTFS: например, SAN-тома в Failover Cluster обычно форматируют в NTFS, а для Azure File Sync серверный endpoint вообще поддерживается только на NTFS. Для S2D/Storage Spaces Direct, наоборот, ReFS - рекомендуемый вариант.
То есть выбор обычно выглядит так:
▪️Системный диск, обычный файловый сервер, универсальный сервер под все - NTFS
▪️Hyper-V, Storage Spaces Direct, большие data-volume, backup/storage-нагрузки - смотреть в сторону ReFS
▪️ Где NTFS лучше:
▪️системные и boot-разделы;
▪️серверы с максимальной совместимостью ПО;
▪️роли, где нужны квоты, сжатие, EFS и предсказуемое поведение;
▪️инфраструктура, где важнее “работает у всех”, чем storage-фишки;
▪️ Где ReFS уместен:
▪️Hyper-V-хосты;
▪️volumes под VHDX;
▪️Storage Spaces Direct;
▪️большие хранилища, где важна целостность и быстрые операции на уровне метаданных;
#windowsserver #refs
🧑💻 NetworkAdmin
4 715
🎥 Вебинар: «От кода до Kubernetes за полтора часа»
О чём поговорим:
- Создание Docker-образа ASP.NET-приложения
- Подготовка манифестов для Kubernetes
- Разворачивание в кластере (minikube/microk8s/demo-кластер)
- Настройка сервисов, ingress, переменных окружения
- Практика с kubectl и манифестами
- Ответы на вопросы в режиме live
Что вы получите:
- Пошаговый сценарий деплоя ASP.NET-приложения в Kubernetes;
- Поймёте, как настроить сервисы, ingress и переменные окружения;
- Освоите базовые команды для управления кластером;
- Готовый шаблон манифестов и инструкцию для своих проектов.
👉 Для участия зарегистрируйтесь: https://otus.pw/ceHE/
🎁 Все участники вебинара получат специальные условия на полное обучение курса «Инфраструктурная платформа на основе Kubernetes»
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru
4 715
❗️ cgroups v2: ограничение CPU/RAM для сервисов без Docker
Многие привыкли к тому, что лимиты CPU и памяти - это что-то из мира docker и k8s. Но на самом деле механизм один и тот же:
cgroups. И если у вас обычный linux-сервер без контейнеров, вы все равно можете жестко ограничивать ресурсы для systemd-сервисов.
Это удобно, когда один процесс начинает съедать всю память, душить CPU или мешать остальным сервисам на хосте.
В современных дистрибутивах используется cgroups v2, а systemd умеет работать с ним из коробки.
▪️ Что можно ограничить:
Память. Чтобы сервис не выедал весь RAM и не отправлял сервер в OOM.
CPU. Чтобы процесс не занимал все ядра и не мешал соседям.
Число процессов. Чтобы защититься от fork-бомб и неконтролируемого роста дочерних процессов.
▪️ Пример: ограничим сервис по памяти и CPU.. Откроем override-конфиг:
systemctl edit myapp.service
[Service]
MemoryMax=500M
CPUQuota=50%
TasksMax=200MemoryMax=500M - сервис не сможет использовать больше 500 МБ памяти
CPUQuota=50% - максимум половина одного CPU
TasksMax=200 - не более 200 процессов/потоков
После этого применяем изменения:
systemctl daemon-reload
systemctl restart myapp.service
systemctl show myapp.service | grep -E "MemoryMax|CPUQuota|TasksMax"
systemctl status myapp.service
systemctl set-property myapp.service MemoryMax=300M CPUQuota=25%
[Service]
MemoryHigh=400M
MemoryMax=500M
CPUWeight=200
IOWeight=200MemoryHigh - мягкий порог, после которого ядро начинает сильнее давить процесс по памяти
MemoryMax - жесткий предел
CPUWeight - относительный приоритет по CPU среди других cgroup
IOWeight - относительный приоритет по дисковому I/O
⚠️ Важно помнить
CPUQuota=50% - это не половина всех ядер, а квота CPU-времени. На многоядерных системах поведение нужно понимать внимательно.
И еще: если сервис уже упирается в лимит памяти, он может начать падать, а не магически оптимизироваться. Лимиты защищают систему, но не исправляют плохое приложение.
#systemd #cgroups
🧑💻 NetworkAdmin4 715
👨💻 tcpdump: набор команд для быстрой диагностики сети
Инструмент незаменимый, возможностей у него огромное количество, но на практике чаще всего хватает небольшого набора команд. Ниже краткая шпаргалка из того, что реально используется в работе.
⚠️ Практически всегда добавляю ключ
-nn, чтобы tcpdump не резолвил IP-адреса в домены и не подменял номера портов именами сервисов. В отладке это только мешает.
▪️ Список интерфейсов для захвата. Посмотреть, с каких интерфейсов можно слушать трафик:
tcpdump -D
tcpdump -nn -i any
tcpdump -nn -i eth0
tcpdump -nn -i any not port 22
tcpdump -nn -i any port 443
tcpdump -nn dst 1.1.1.1
tcpdump -nn dst 1.1.1.1 or dst 9.9.9.9
tcpdump -nn dst 1.1.1.1 and port 443
tcpdump -nn -i any arp
tcpdump -nn -i any not arp
tcpdump -nn -i any > ~/traffic.log
tcpdump -nn -i tun0 src 10.10.0.25 and dst 10.10.0.5 and port 443
IP 10.0.0.12.53422 > 10.0.0.5.4434 715
В России можно посещать IT-мероприятия хоть каждый день: как оффлайн, так и онлайн
Но где их находить? Как узнавать о них раньше, чем когда все начнут выкладывать фотографии оттуда?
Переходите на канал IT-Мероприятия России. В нём каждый день анонсируются мероприятия со всех городов России
📆 в канале размещаются как онлайн, так и оффлайн мероприятия;
👩💻 можно найти ивенты по любому стеку: программирование, frontend-backend разработка, кибербезопасность, дата-аналитика, osint, devops и другие;
🎙 разнообразные форматы мероприятий: митапы с коллегами по цеху, конференции и вебинары с известными опытными специалистами, форумы и олимпиады от важных представителей индустрии и многое другое
А чтобы не искать по разным форумам и чатам новости о предстоящих ивентах:
🚀 IT-мероприятия России — подписывайся и будь в курсе всех предстоящих мероприятий!
4 715
💫 Быстрые откаты системы без LVM
Файловая система Btrfs умеет делать снапшоты - мгновенные снимки состояния файловой системы. Это позволяет быстро откатывать систему или данные назад без использования LVM, внешних бэкапов или сложных схем.
Снапшоты в Btrfs работают по принципу Copy-on-Write (CoW): данные не копируются сразу. Создается только метаданные-ссылка на текущие блоки. Реальное место начинает занимать только то, что изменяется после создания снимка.
▪️ Создание subvolume. Сначала создаем подтом (subvolume), если его еще нет:
btrfs subvolume create /data
btrfs subvolume snapshot /data /data_snapshot
btrfs subvolume snapshot -r /data /snapshots/data_2026-04-20
btrfs subvolume list /
btrfs subvolume delete /data
btrfs subvolume snapshot /snapshots/data_2026-04-20 /data4 715
🚀 INFRAX 1.0.0 — официальный выход из беты!
INFRAX — это единая российская on-premise платформа (ситуационный центр ИТ-инфраструктуры).
В одном интерфейсе: мониторинг (ITOM), Service Desk (ITSM), CMDB + ITAM, резервное копирование, удалённый доступ (RPAM), автоматизация, агентный ИИ-помощник и управление виртуализацией.
Заменяет зоопарк из 12+ разрозненных систем — всё под рукой, данные не уходят наружу.
✨ Главное в версии 1.0.0
• SNMP-мониторинг
• Резервное копирование
• SLA
• CMDB + ITAM
• Поддержка из тикета
• Инструменты инженера
• Агентный ИИ-помощник
INFRAX 1.0.0 — вся ИТ-инфраструктура теперь в одной удобной и мощной системе.
Готовы закрыть все боли одним решением?
infrax.ru 🔥
#реклама
О рекламодателе
4 715
📎 TCP keepalive: почему соединения умирают и как это чинить
Знакомая ситуация: приложение держит постоянное TCP-соединение (к БД, API, брокеру), все работает… а потом внезапно «connection reset» или таймаут. Особенно часто это происходит через 5–30 минут простоя. Причина обычно не в приложении, а в сети.
🤩 Что происходит
Между клиентом и сервером почти всегда есть:
NAT
firewall
балансировщик
облачный LB
Эти устройства хранят таблицы состояний соединений. Если трафика нет - запись удаляется. Со стороны приложения соединение живое, но по факту его уже нет.
▪️ Где здесь TCP keepalive
TCP keepalive - это механизм, при котором стек TCP периодически отправляет служебные пакеты, чтобы подтвердить, что соединение ещё активно.
По умолчанию в Linux:
tcp_keepalive_time = 7200 (2 часа!)
tcp_keepalive_intvl = 75
tcp_keepalive_probes = 9
sysctl -w net.ipv4.tcp_keepalive_time=300
sysctl -w net.ipv4.tcp_keepalive_intvl=30
sysctl -w net.ipv4.tcp_keepalive_probes=5