DevOps

🖥 Как работает сеть в контейнерах: Docker Bridge с нуля Временами работа с контейнерами может казаться чем-то непостижимым и удивительным. В хорошем смысле для тех, кто понимает как устроено внутри, и в ужасающем - для тех, кто этого не понимает. Если вы уже Docker-гуру, то знаете, что контейнеры - это просто изолированные и ограниченные процессы Linux, что образы на самом деле не нужны для запуска контейнеров, и что, наоборот, для создания образа нам, возможно, потребуется запускать контейнеры. Также неплохо бы разобраться с работой сети в контейнерах. Для этого в статье освещаются такие вопросы: ⏩Как виртуализировать сетевые ресурсы, чтобы контейнеры думали, что у них есть отдельные сетевые среды? ⏩Как превратить контейнеры в дружелюбных соседей и научить общаться друг с другом? ⏩Как выйти во внешний мир (например, в Интернет) изнутри контейнера? ⏩Как связаться с контейнерами, работающими на хосте Linux, из внешнего мира? ⏩Как реализовать публикацию портов, подобную Docker? Параллельно в статье строится контейнерная сеть с одним хостом с нуля при помощи стандартных инструментов Linux. В общем, отличная статья, рекомендую) 📎 Статья @DevOPSitsec

💻Мультирегиональная репликация Apache Kafka: кластерные топологии Неплохая статья о том, какую топологию может иметь кластер Apache Kafka при межрегиональной репликации по нескольким ЦОД и как это реализовать. Плюс описывается, чем брокеры-наблюдатели отличаются от подписчиков в Confluent Server и при чем здесь конфигурация подтверждений acks в приложении-продюсере. Для репликации в нескольких регионах кластер Kafka может иметь следующую топологию: ⏩растянутые кластеры (stretched clusters), когда один кластер Kafka устанавливается в нескольких ЦОД. При этом используется протокол синхронной репликации Kafka. ⏩связанные кластеры (connected clusters) с асинхронной репликацией в нескольких регионах. В этом случае может использоваться внешняя система для копирования данных из одного или нескольких кластеров в другой. Преимущество растянутого кластера в том, что он сохраняет смещения, а также обеспечивает быстрое аварийное восстановление и автоматическое переключение клиента при сбое без дополнительного кода. 📎 Статья @DevOPSitsec

🤓 1 апреля Университет искусственного интеллекта проведет бесплатный вебинар о том, как создать нейро-сотрудников. В результате обучения вы сможете создать и «нанять» к себе на работу 6 первоклассных специалистов: 1️⃣ Нейро-продавец: знает все о продуктах и услугах компании и сам продает клиенту. 2️⃣ Нейро-маркетолог: пишет рассылки, создает рекламные объявления. 3️⃣ Нейро-HR: оценивает резюме и результаты собеседований. 4️⃣ Нейро-координатор: отвечает на вопросы сотрудников по внутренним регламентам компании. 5️⃣ И других. Формат: бесплатный вебинар. Дата: 1 апреля 2024. Время: 19.00 (московское). ➡️ Регистрация по ссылке Реклама. ООО "ТЕРРА ЭЙАЙ". ИНН 9728019395. erid: LjN8KGULB

🖥 Уязвимость в runc, позволяющая выбраться из контейнеров Docker и Kubernetes ⏩В инструментарии для запуска изолированных контейнеров runc, применяемом в Docker и Kubernetes, найдена уязвимость CVE-2024-21626, позволяющая получить доступ к файловой системе хост-окружения из изолированного контейнера. В ходе атаки злоумышленник может перезаписать некоторые исполняемые файлы в хост-окружения и таким образом добиться выполнения своего кода вне контейнера. ⏩Уязвимость устранена в выпуске runc 1.1.12. В runtime LXC, crun и youki, альтернативных runc, проблема не проявляется. ⏩В случае использования инструментариев Docker или Kubernetes атака может быть совершена через подготовку специально оформленного образа контейнера, после установки и запуска которого из контейнера можно обратиться к внешней ФС. При использовании Docker имеется возможность эксплуатации через специально оформленный Dockerfile. Уязвимость также может быть эксплуатирована в случае запуска в контейнере процессов командой runc exec через привязку рабочего каталога к пространству имён хостового окружения ⏩Уязвимость вызвана утечкой внутренних файловых дескрипторов. Перед запуском кода внутри контейнера в runc выполняется закрытие файловых дескрипторов при помощи флага O_CLOEXEC. Однако, после последующего выполнения функции setcwd() остаётся открытым файловый дескриптор, указывающий на рабочий каталог и продолжающий оставаться доступным после запуска контейнера. Предложено несколько базовых сценария атаки на хост-окружение, используя оставшийся файловый дескриптор ⏩Например, атакующий может указать в образе контейнера параметр process.cwd, указывающий на "/proc/self/fd/7/", что приведёт к привязке к процессу pid1 в контейнере рабочего каталога, находящегося в пространстве монтирования хост-окружения. Таким образом, в образе контейнера можно настроить запуск "/proc/self/fd/7/../../../bin/bash" и через выполнение shell-скрипта перезаписать содержимое "/proc/self/exe", которое ссылается на хостовую копию /bin/bash. 📎 Читать подробнее @DevOPSitsec

🖥 Как устроены конвейеры CI/CD 💻 Схема взаимодействия контейнерных технологий в рамках работы с привычными инструментами может быть представлена так: 1️⃣Утилита podman с помощью Libpod API обращается к библиотеке libpod, которая вызывает низкоуровневый container runtime (по умолчанию утилиту runc) containers/podman Podman Commands 2️⃣Утилита docker с помощью Docker API вызывает сервис dockerd docker/cli Docker CLI reference Docker architecture Docker API 3️⃣Сервис dockerd вызывает сервис containerd Dockerd reference 4️⃣Сервис containerd вызывает низкоуровневый container runtime (по умолчанию утилиту runc) containerd/containerd Containerd Scope and principles 5️⃣Сервис kubelet с помощью протокола CRI вызывает сервис container runtime (например, containerd или crio) Container Runtime Interface Container Runtimes CRI: the Container Runtime Interface 6️⃣Сервис containerd вызывает низкоуровневый container runtime (по умолчанию runc) Containerd CRI 7️⃣Сервис cri-o вызывает низкоуровневый container runtime (по умолчанию runc) cri-o/cri-o 8️⃣Утилита OCI container runtime (по умолчанию runc): 🔘runc с помощью библиотеки libcontainer создает контейнер по runtime-spec, взаимодействуя с подсистемами ядра Linux – пространствами имен (namespaces) и контрольными группами (cgroups) opencontainers/runc runc man opencontainers/runc/libcontainer 🔘crun создает контейнер по runtime-spec, взаимодействуя с подсистемами ядра Linux – пространствами имен (namespaces) и контрольными группами (cgroups) containers/crun @DevOPSitsec

Есть ли мемы на Марсе? Как вытянуть репку с помощью кода? Попробуйте разгадать все тайны Гиперкуба на Tinkoff CTF. 20 и 21 апреля пройдет ИТ-соревнование с призами до 420 000 ₽. Выберите лигу по скиллам и участвуйте даже без опыта в спортивном хакинге. Задания будут интересны сильным разработчикам, QA- и SRE-инженерам, аналитикам и другим ИТ-специалистам. Играйте как вам удобно: онлайн из дома или офлайн — в одном 16 городов России, Беларуси и Казахстана. В офлайне вас ждет общение с другими игроками, квизы, мерч и другие развлечения. Узнайте больше о соревновании и зарегистрируйтесь до 19 апреля erid:2VtzqwvKFDP Реклама. АО "Тинькофф Банк", ИНН 7710140679, лицензия ЦБ РФ № 2673

📌CI/CD pipeline с помощью Jenkins Отличное видео, в нём говорится про: ⏩Создание образа Docker и отправка его в Docker Hub ⏩Развертывание образа Docker в кластере Kubernetes ⏩Создание проекта и настройка Jenkins ⏩Сборка и развертывание в Kubernetes ⏩Тестирование приложения 📎 Кликабельный план ролика 📎 Видео @DevOPSitsec

Я знаю кучу IT-управленцев, у которых: ❌ Интеграции между программным обеспечением – боль; ❌ Отказ одной системы приводит к отказу всего остального; ❌ Разработка интеграций переполняет бэклог собственных разработчиков. Всё это – симптомы сильной связанности IT-контура. Что делать? 28 марта в 11:00 мск наши друзья KT.Тeam проводят вебинар «Интеграции в масштабе предприятия: как решать проблемы, а не создавать новые. Связанность IT-контура» На вебинаре вы узнаете, как снижение связанности IT-контура поможет: ✅ Легко менять одни системы без доработок всего  остального; ✅ Снизить нагрузку на IT-системы; ✅ Избавиться от единой точки отказа. Регистрируйтесь на вебинар бесплатно ЗДЕСЬ

💻 Wasm vs Docker containers vs Kubernetes vs serverless: битва за первенство Держите годную статью О чём она: ⏩WebAssembly (Wasm) — новая технология, которая может заменить контейнеры в некоторых сценариях использования. ⏩Wasm имеет преимущества в размере, скорости, безопасности и переносимости. ⏩Контейнеры имеют экосистему, такую как Kubernetes, которая предоставляет множество инструментов и сервисов. • Wasm может стать жизнеспособной альтернативой контейнерам, если создаст свою экосистему или станет частью экосистемы Docker и Kubernetes. ⏩Wasm может быть использован в serverless-сервисах и на edge-устройствах, где существуют проблемы с размером, скоростью, безопасностью и экосистемой. ⏩Выбор использования Wasm зависит от конкретных потребностей и сценариев использования. 📎 А вот сама статья @DevOPSitsec

🚀Проникните в самую суть инфраструктуры 1С! На бесплатном вебинаре онлайн-курса «DevOps 1C» - «Схемы расположения и работы продуктов 1С на серверах»: регистрация Вы научитесь устанавливать и настраивать платформу 1С: - Шаги по установке и базовой настройке платформы 1С. - Конфигурация параметров для оптимальной производительности. Узнаете схемы расположения продуктов 1С: - Рассмотрим различные схемы размещения 1С-серверов в корпоративной среде. - Выберем наилучшие схемы для конкретных бизнес-задач. В результате предоставим вам понимание процесса установки, настройки и управления платформой 1С в среде серверов. Узнаете о конфигурации кластера 1С и основных параметрах, влияющих на его работу. 🤝Для регистрации пройдите тест! erid: LjN8JzPoX

🔥 Лучшие бесплатные ресурсы для изучения этичного хакинга и кибербезопасности 🔗 Смотреть Linux Academy

⭐️ Проекты с открытым исходным кодом, которые изменили мир ▪ Веб: Node.js, React, Apache ▪ Базы данных: PostgreSQL, Redis, Elasticsearch ▪ Инструменты разработчика: Git, VSCode, Jupyter Notebook ▪ ML и Big Data: Tensorflow, Apache Spark, Kafka ▪ DevOps: Docker, Kubernetes, Linux @DevOPSitsec

💻 Будущее Kubernetes и DevOps: строим прогнозы на 10 лет Полезная статья, в ходе которой опросили инженеров «Фланта» и экспертов из индустрии, как, по их мнению, будут развиваться Kubernetes, DevOps, Ops и Cloud Native-экосистема в ближайшее десятилетие. Цель статьи — спрогнозировать будущее на основе тенденций в настоящем. Вот вопросы, которые освещаются: ⏩Будет ли еще популярен Kubernetes через 5–10 лет? Какие технологии могут прийти ему на смену? Какие вызовы ему придется решать? ⏩Будет ли ещё DevOps? Как изменится его понимание? Как изменится культурный аспект, стоящий за DevOps-практиками? Как могут измениться сами практики? ⏩Какие интересные, необычные Ops'ы могут появиться? Какие задачи они будут решать? ⏩Что станет с Cloud Native-экосистемой и программами внутри нее? Какие проблемы она должна будет научиться решать? Какие новые программы могут появиться в ней? Что станет с облаками? Как они изменятся? Придет ли какая-то другая технология на смену облакам, и если да, то какой примерно она будет? 📎 Статья @DevOPSitsec

❓Как системным администраторам и DBA повысить квалификацию?  Прийти на бесплатный практический урок «Percona XtraDB Cluster (PXC): знакомство и настройка» от OTUS. 👉 На уроке разберем:1. разберёте основные различия кластера PXC и обычной репликации;2. запустите и настроите рабочий кластер на базе решения Percona XtraDB Cluster;3. изучите архитектурные различия репликации и кластеризации, понимание возможностей и ограничений PXC. ⏰ Занятие пройдёт 26 марта в 19:00 мск в рамках курса «Инфраструктура высоконагруженных систем». Доступна рассрочка на обучение! 👉 Пройдите короткий тест прямо сейчас, чтобы посетить бесплатный урок и получить запись: https://otus.pw/OnyPK/?erid=LjN8KXZwG Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.

💻 Лучшие практики работы с Kubernetes Держите, остаётся самое сложное — следовать этим практикам) 📎 А вот полезная статья в тему, где подробно рассказывается о каждом из правил @DevOPSitsec

Смартфон за ваш ответ! Исследовательская компания OMI проводит опрос среди IT-специалистов. Пройдите по ссылке, ответьте на несколько вопросов и получите шанс выиграть последнюю модель передового смартфона! Примите участие в опросе прямо сейчас — это займет минимум времени.

💻 Flagger — инструмент для автоматизации развёртывания приложений на Kubernetes • Flagger автоматизирует процесс выпуска приложений на Kubernetes, снижая риск внедрения новой версии. • Flagger реализует стратегии развертывания, включая Canary, A/B тестирование и Blue/Green deployments. • Flagger интегрируется с различными входными контроллерами Kubernetes и решениями для мониторинга. • Является проектом фонда облачных вычислений Native Computing Foundation и частью семейства инструментов GitOps от Flux. • Документация по флаггеру доступна на fluxcd.io/flagger. • Flagger отслеживает конфигурационные карты и секреты и запускает анализ Canary при изменении этих объектов. 🖥 GitHub ⭐️4.7K Лицензия Apache 2.0 @DevOPSitsec

📌20 полезных, но малоиспользуемых команд Git Держите, это кликабельный список: ⏩ Git Web — открыть встроенный графический интерфейс ⏩ Git Notes — прикрепить дополнительную информацию к коммитам ⏩ Git Bisect — дебажить как про ⏩ Git Grep — найти что угодно ⏩ Git Archive — сжать проект для шеринга ⏩ Git Submodules — импортировать другие репозитории в ваш ⏩ Git Bugreport — скомпилировать баг-репорт с информацией о системе ⏩ Git Fsck — проверить и восстановить недоступные объекты ⏩ Git Stripspace — удалить пробелы в конце текста ⏩ Git Diff — сравнить изменения между двумя файлами ⏩ Git Hooks — выполнить скрипт при запуске команды git ⏩ Git Blame — показать, кто написал данную строку ⏩ Git Large File Storage — сохранить большие файлы в git ⏩ Git Garbage Collection — оптимизировать git-репо ⏩ Git Show — легко просмотреть любой объект git ⏩ Git Describe — дать читаемое имя на основе последнего тега ⏩ Git Tag — создать метки версий в определенных точках ⏩ Git Reflog — список всех действий, выполненных над репозиторием ⏩ Git Log — просмотреть журнал коммитов и диаграммы ветвей ⏩ Git Cherry Pick — вытащить фичу в вашу ветку ⏩ Git Switch — быстро переключиться между ветками Пользуйтесь) @DevOPSitsec

🌟 Вышел WingetUI (UnigetUI) 3.0 ⏩13 марта 2024 года состоялся релиз WingetUI (UnigetUI) 3.0. Это графический инструментарий с открытым исходным кодом, который позволяет устанавливать, удалять и обновлять приложения на устройствах Windows с помощью наиболее распространённых консольных менеджеров (CLI) для Windows 10 и Windows 11, включая Windows Package Manager (winget), Scoop и Chocolatey, а также Pip, Npm, .NET Tool и PowerShell Gallery. ⏩Фактически WingetUI превратился в поддержку различных менеджеров пакетов, а не только Winget, что привело к тому, что имя WingetUI сбивает с толку новых пользователей и не отражает основную суть этого приложения. В настоящее время в WingetUI доступно более 14 тыс. пакетов (Winget, Scoop и Chocolatey). Автор проекта Марти Климент пояснил, что он с каждым днём наблюдает, как пользователи всё чаще путают WingetUI и winget, что вполне ожидаемо, учитывая небольшую разницу между этими двумя названиями. Поэтому WingetUI скоро будет переименован в UnigetUI. @DevOPSitsec

📌Большая шпаргалка по System Design Здесь рассказывается о 99% самых используемых технологий в сфере System Design (а также о очень прикладных вещах), в том числе: ⏩как работает SSO ⏩как хранить пароли в БД ⏩как устроен HTTPS ⏩почему SSD быстрый ⏩про AWS Lambda ⏩откуда у Kafka такая скорость Много схем, графиков — всё как мы любим) 📎 PDF @DevOPSitsec