DevOps by REBRAIN

Как приручить хаос: Импорт ресурсов и рефакторинг без даунтайма Знакомая ситуация? Ты приходишь на новый проект, а там — классический ClickOps. Половина инфраструктуры натыкана руками в консоли облака, другая половина — в потерянных bash-скриптах. Или другой сценарий: ты решил навести порядок в коде, переименовать ресурсы, разложить всё по модулям, запускаешь plan, а Terraform радостно сообщает:

Plan: 10 to add, 10 to destroy.

У тебя холодный пот. Удалять прод нельзя. Оставлять как есть — значит плодить технический долг. Многие в этот момент сдаются и оставляют "как есть". Но сильный инженер знает: Terraform state — это не скрижаль, которую нельзя трогать. Это база данных, которой можно и нужно управлять. Проблема 1️⃣: "Это было создано руками" Допустим, у тебя уже есть виртуалка в Yandex Cloud (`ID: fhm...`), созданная через UI. Тебе нужно загнать её под IaC. Неправильно: Писать код и надеяться, что Terraform "подхватит" существующий айдишник. Он попытается создать новую ВМ и упадет с ошибкой конфликта. Как делает профи: Использует terraform import. 1️⃣ Описываем ресурс в коде (пока можно даже пустой):

resource "yandex_compute_instance" "legacy_vm" {
  # Пока пусто, заполним после импорта, глядя в state
}

2️⃣ Импортируем реальное состояние в наш стейт:

terraform import yandex_compute_instance.legacy_vm fhm1234567890abcdef

3️⃣ Теперь самое интересное. Выполняем `terraform plan`. Terraform скажет, что хочет *изменить* ресурс, чтобы привести его к пустому конфигу. Твоя задача — дописать HCL код так, чтобы plan показал: No changes. Проблема 2️⃣: "Хочу переименовать, но боюсь пересоздания" Ты назвал ресурс resource "yandex_vpc_network" "net" {}, но по стайл-гайду нужно vpc-main. Если просто поменяешь имя в коде — Terraform удалит старую сеть (и всё, что в ней!) и создаст новую. 💡Решение: Манипуляции со стейтом (`terraform state mv`). Мы объясняем Terraform, что объект в базе данных переехал по новому адресу:

terraform state mv yandex_vpc_network.net yandex_vpc_network.vpc-main

После этой команды меняешь имя в .tf файле, запускаешь plan — и видишь заветный зеленый свет без разрушений. 🚀 Terraform 2.0: Глобальная перезагрузка Умение работать со стейтом, писать чистые модули, внедрять CI/CD и понимать, *как* это работает под капотом — это база. И именно эту базу мы полностью пересобрали. Рады сообщить, что мы обновили курс по Terraform на 90%. Это не просто косметика, это полный рефакторинг программы. 🔗 Смотреть подробную программу (PDF) 🔗 Купить обновленный курс. Мы сделали знания доступнее. Теперь модуль стоит 30 000 ₽ (вместо 50 000 ₽). 🛑 Важно для "старичков": Если ты уже покупал этот курс ранее — тебе не нужно платить снова. Пиши в поддержку, и тебе откроют доступ к новой версии бесплатно (без сохранения прогресса старой, так как программа новая). Перестань бояться terraform apply. Становись архитектором своей инфраструктуры.

Как приручить хаос: Импорт ресурсов и рефакторинг без даунтайма Знакомая ситуация? Ты приходишь на новый проект, а там — классический ClickOps. Половина инфраструктуры натыкана руками в консоли облака, другая половина — в потерянных bash-скриптах. Или другой сценарий: ты решил навести порядок в коде, переименовать ресурсы, разложить всё по модулям, запускаешь plan, а Terraform радостно сообщает: ```Plan: 10 to add, 10 to destroy.``` У тебя холодный пот. Удалять прод нельзя. Оставлять как есть — значит плодить технический долг. Многие в этот момент сдаются и оставляют "как есть". Но сильный инженер знает: Terraform state — это не скрижаль, которую нельзя трогать. Это база данных, которой можно и нужно управлять. Проблема 1️⃣: "Это было создано руками" Допустим, у тебя уже есть виртуалка в Yandex Cloud (`ID: fhm...`), созданная через UI. Тебе нужно загнать её под IaC. Неправильно: Писать код и надеяться, что Terraform "подхватит" существующий айдишник. Он попытается создать новую ВМ и упадет с ошибкой конфликта. Как делает профи: Использует terraform import. 1️⃣ Описываем ресурс в коде (пока можно даже пустой): ```hcl resource "yandex_compute_instance" "legacy_vm" {   # Пока пусто, заполним после импорта, глядя в state } ``` 2️⃣ Импортируем реальное состояние в наш стейт: ```bash terraform import yandex_compute_instance.legacy_vm fhm1234567890abcdef ``` 3️⃣ Теперь самое интересное. Выполняем `terraform plan`. Terraform скажет, что хочет *изменить* ресурс, чтобы привести его к пустому конфигу. Твоя задача — дописать HCL код так, чтобы plan показал: No changes. Проблема 2️⃣: "Хочу переименовать, но боюсь пересоздания" Ты назвал ресурс resource "yandex_vpc_network" "net" {}, но по стайл-гайду нужно vpc-main. Если просто поменяешь имя в коде — Terraform удалит старую сеть (и всё, что в ней!) и создаст новую. 💡Решение: Манипуляции со стейтом (`terraform state mv`). Мы объясняем Terraform, что объект в базе данных переехал по новому адресу: ```bash terraform state mv yandex_vpc_network.net yandex_vpc_network.vpc-main ``` После этой команды меняешь имя в .tf файле, запускаешь plan — и видишь заветный зеленый свет без разрушений. 🚀 Terraform 2.0: Глобальная перезагрузка Умение работать со стейтом, писать чистые модули, внедрять CI/CD и понимать, *как* это работает под капотом — это база. И именно эту базу мы полностью пересобрали. Рады сообщить, что мы обновили курс по Terraform на 90%. Это не просто косметика, это полный рефакторинг программы. 🔗 Смотреть подробную программу (PDF) 🔗 Купить обновленный курс. Мы сделали знания доступнее. Теперь модуль стоит 30 000 ₽ (вместо 50 000 ₽). 🛑 Важно для "старичков": Если ты уже покупал этот курс ранее — тебе не нужно платить снова. Пиши в поддержку, и тебе откроют доступ к новой версии бесплатно (без сохранения прогресса старой, так как программа новая). Перестань бояться terraform apply. Становись архитектором своей инфраструктуры.

🗓️ Расписание вебинаров на сегодня ⏰ 20:00 МСК - Linux From Scratch: 01 🔗 Регистрация и программа О вебинаре напомним за 5 минут до начала на этом канале. Также вы сможете зайти через личный кабинет. 🔥 Задать вопросы и обсудить детали можно в нашем чате

🚀 Турбо-поиск в Dovecot или как ускорить сервер 🚀 Знакомая боль: пользователь ищет письмо за 2018 год, Thunderbird висит, а сервер выжирает диск в полку. Почему? Dovecot по умолчанию ищет "в лоб", перебирая файлы. Решение — Full Text Search (FTS) на движке Lucene. Он быстрый, легкий, не требует Java (как Solr) и хранит индексы прямо рядом с письмами. 🛠 Настройка за 5 минут 1️⃣ Ставим плагин:`apt install dovecot-lucene` (или yum) 2️⃣ Правим глобальный конфиг (`/etc/dovecot/conf.d/90-plugin.conf`):

plugin {
  fts = lucene
  # Лайфхак: @. в whitespace_chars позволяет искать по email целиком
  fts_lucene = whitespace_chars=@. no_index=mime
  
  # Индексируем входящие сразу. Для HighLoad лучше 'no' + cron
  fts_autoindex = yes
  
  # Стемминг для русского и английского
  fts_languages = en ru
}

3️⃣ Включаем плагин в протоколах (`10-mail.conf` или `20-imap.conf`):

protocol imap {
  mail_plugins = $mail_plugins fts fts_lucene
}
# То же самое добавляем в protocol lda и lmtp!

После рестарта (`systemctl restart dovecot`) новые письма индексируются сами. ⚡ Как ускорить старые письма? Их нужно прогнать через индексатор вручную. Осторожно, нагрузка на CPU!

# Для одного страдающего пользователя
doveadm fts rescan -u user@domain.com && doveadm index -u user@domain.com INBOX

# Для всех сразу (запускать в screen/tmux)
doveadm fts rescan -A

✅ Итог: * Скорость: Поиск занимает миллисекунды. * Ресурс: Диски перестают "хрустеть" I/O операциями при поиске. * Цена: Индексы съедят ~10-20% доп. места на диске. --- 🔥 Почта — это сложная экосистема. Хочешь понимать, как тюнить производительность, интегрировать SQL/LDAP, настраивать Sieve и безопасность? Приходи на новый курс Dovecot, материалы уже на платформе. Разбираем архитектуру, а не просто копипастим конфиги.

Всем привет, небольшой апдейт по вебинару Keycloak: часть 3 👋 Мы отменяем вебинар по этой теме: спикер приболел, а также выяснилось, что все ключевые моменты Вася Озеров уже подробно разобрал в предыдущих вебинарах. Увидимся с Васей 5 февраля на вебинаре Kubernetes: Service Mesh на базе Linkerd 🚀 Спасибо за понимание и до встречи!

🗓️ Расписание вебинаров на сегодня ⏰ 19:00 МСК - Keycloak: часть 3 🔗 Регистрация и программа О вебинаре напомним за 5 минут до начала на этом канале. Также вы сможете зайти через личный кабинет. 🔥 Задать вопросы и обсудить детали можно в нашем чате

🔥🔥 Docker Socket: Удобно тебе = удобно хакеру. Закрываем дыру Привет! 🤙 Мы с вами уже говорили про sudo и скрытые угрозы типа Capabilities. Но сегодня я хочу затронуть слона в посудной лавке — Docker 🐳 Все мы любим Докер. Но часто ради удобства (или лени) мы прокидываем доступ к Docker сокету внутрь контейнеров или даем пользователям группу docker. ⚠️ В чем проблема? Если у пользователя есть доступ к /var/run/docker.sock или он входит в группу docker, это эквивалентно правам root на хост-системе. Без паролей, без регистрации и смс. 🔫 Сценарий атаки: Злоумышленник (или кривой скрипт) получает доступ к сокету и запускает привилегированный контейнер, монтируя корень хостовой системы (`/`) внутрь контейнера. Всё, он владеет сервером. 🛡️ Решение: Docker Socket Proxy (Harden Configuration) Не прокидывайте сырой сокет! Используйте проксирующий контейнер, который фильтрует запросы к Docker API. Это "флоппинет" (firewall) для вашего докера. Ниже готовый docker-compose.yml для Tecnativa Docker Socket Proxy. Он разрешает только чтение (GET запросы) и запрещает запуск новых контейнеров. Идеально для мониторинга (Portainer, Traefik, Prometheus и др.). 📂 Конфигурация (docker-compose.yml)

version: '3.8'

services:
  docker-proxy:
    image: tecnativa/docker-socket-proxy
    container_name: docker-proxy
    privileged: true # Нужно для доступа к реальному сокету
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock:ro # Монтируем оригинал в RO
    environment:
      # --- Политика безопасности ---
      # Разрешаем только безопасные операции
      CONTAINERS: 1  # List containers
      IMAGES: 1      # List images
      NETWORKS: 1    # List networks
      VOLUMES: 1     # List volumes
      INFO: 1        # System info
      
      # Запрещаем всё, что может менять состояние
      POST: 0        # Запрет на создание (POST)
      DELETE: 0      # Запрет на удаление
      AUTH: 0        # Запрет auth
      SECRETS: 0     # Не палить секреты
      # Остальное по умолчанию запрещено образом
    ports:
      - "127.0.0.1:2375:2375" # Слушаем только на localhost!
    restart: unless-stopped
    networks:
      - proxy-net

# Пример сервиса, которому нужен доступ к докеру (например, мониторинг)
  monitoring-agent:
    image: alpine:latest
    command: ["curl", "http://docker-proxy:2375/containers/json"]
    depends_on:
      - docker-proxy
    networks:
      - proxy-net

networks:
  proxy-net:
    internal: true # Изолированная сеть

🛠️ Как это работает в продакшене: 1️⃣ Изоляция: Сервисы (мониторинг, Traefik и т.д.) больше не получают /var/run/docker.sock. 2️⃣ Доступ: Они общаются с docker-proxy:2375 внутри внутренней сети proxy-net. 3️⃣ Фильтр: Если взломанный сервис попробует сделать POST /containers/create (создать новый контейнер для побега), прокси ответит 403 Forbidden. Совет: Если у вас Jenkins или GitLab Runner требует сокет для сборки — используйте Docker-in-Docker (dind) или выделенные ноды. Не давайте CI/CD системам прямой доступ к сокету продакшн-хоста. Это самоубийство. --- Хочешь реально понимать, где в Linux живут уязвимости и как их закрывать, а не просто копировать конфиги с StackOverflow? Жду тебя на курсе "Повышение привилегий в Linux". Разберем всё: от SUID и ядра до NFS и токенов. 🗓 Старт: 26 января 👉 Записывайся тут, Стоимость всего 22 000 рублей ⛔️сегодня последний день скидки на модуль⛔️

❗ Открытый практикум Kubernetes: Ingress vs Gateway API идёт уже 30 минут Если вы ещё не с нами, скорее подключайтесь! Ссылка для входа: https://my.rebrainme.com/live-class/332 🔥 Задать вопрос по практикуму и обсудить детали можно в нашем чате

❗Начало Открытого практикума Kubernetes: Ingress vs Gateway API уже через 5 минут Встречаемся в 19:00 МСК. Ссылка для входа: https://my.rebrainme.com/live-class/332 Также вы можете подключиться к вебинару через личный кабинет, в разделе «Вебинары». 🔥 Задать вопрос по практикуму и обсудить детали можно в нашем чате

Открытый практикум Kubernetes: Ingress vs Gateway API начнётся сегодня в 19:00 МСК. Практикум будет проходить на площадке Zoom.US Важно!!! Чтобы вы смогли без проблем к нам присоединиться, заранее протестируйте комнату по ссылке: https://zoom.us/test Ссылку для доступа отправим вам за 5 минут до начала. Либо заходите через личный кабинет в разделе «Вебинары». 🔥 Задать вопрос по практикуму и обсудить детали можно в нашем чате

🗓️ Расписание вебинаров на сегодня ⏰ 19:00 МСК - Kubernetes: Ingress vs Gateway API 🔗 Регистрация и программа О вебинаре напомним за 5 минут до начала на этом канале. Также вы сможете зайти через личный кабинет. 🔥 Задать вопросы и обсудить детали можно в нашем чате

🟡 Анонс открытых практикумов на следующую неделю 1️⃣ Keycloak: часть 3 ↘ Регистрация Время проведения: 27 января 2026, вторник, 19:00 по МСК Программа практикума: 🟢Интегрируем apiserver к Keycloak 🟢Настраиваем роли и группы в Kubernetes 🟢Связываем kubectl с Keycloak" Кто ведёт? Василий Озеров — co-Founder REBRAIN, IT-инженер с 2012 года, провёл 100+ вебинаров по DevOps и инфраструктуре. --------------------------------------------------------------------------------------- 2️⃣ Linux From Scratch: 01 ↘ Регистрация Время проведения: 28 января 2026, среда, 20:00 по МСК Программа практикума: 🟢Получаем нужные пакеты для создания окружения 🟢Получаем нужные патчи для создания окружения 🟢Настраиваем пользователя для создание окружения Кто ведёт? Андрей Буранов — системный администратор в департаменте VK Play, 10+ лет опыта работы с ОС Linux, 8+ лет опыта преподавания. Входит в топ 3 лучших преподавателей образовательных порталов --------------------------------------------------------------------------------------- 3️⃣ HTTPS в Angie и Nginx ↘ Регистрация Время проведения: 29 января 2026, четверг, 19:00 по МСК Программа практикума: 🟢Теория TLS: шифры, версии; 🟢Оптимальная настройка TLS; 🟢Особенности реализации Kernel TLS; 🟢Получение бесплатных сертификаты с помощью различных инструментов; 🟢Создаём самоподписные сертификаты; 🟢Используем модуль ACME от Angie; 🟢Настраиваем аутентификацию по TLS-сертификату (mTLS). Кто ведёт? Николай Лавлинский — Технический директор в ООО “Метод Лаб”. Веб-разработчик более 15 лет. Спикер конференций HighLoad++, РИТ++

Привет, инженеры! Слушайте, мы тут оглянулись на четвертый квартал и сами офигели. Работа проделана колоссальная. Мы не просто пилили контент, мы реально прокачали платформу. Вы часто спрашиваете: «А что там нового?». Скажу прямо: индустрия летит вперед, и мы вместе с ней. Более 80% контента мы либо обновили с нуля, либо жестко перетряхнули. Поэтому, чтобы вы ничего не упустили, держите сводку по нашему апдейту. Всё это уже боевое и готово делать из вас крутых спецов. 🔥 Абсолютно новые модули Смотрите, это не просто теория, а ответы на то, что сейчас болит у бизнеса и девопсов: 🔹Безопасность веб-приложений (OWASP Top 10): Чтобы спать спокойно и не быть тем самым инженером, через которого слили базу. 🔹Прикладной LLM: Хайп хайпом, а понимание, как встроить нейронки в реальный пайплайн — это уже мастхэв. 🔹Kube-prometheus-stack: Весь мониторинг в кубе как на ладони. Настраиваем грамотно. 🔹GitLab CI: Классика, но теперь в самом свежем и правильном виде. Пайплайны, раннеры — всё как надо. 🔹ArgoCD: GitOps победил. Если вы еще не деплоите через Argo, вы либо мазохисты, либо просто еще не видели этот модуль. 🔹EFK (Elasticsearch, Fluentd, Kibana): Логи — это жизнь. Учимся их собирать и читать так, чтобы решать инциденты за минуты. 🔹Teamlead: Софт-скиллы для тех, кто устал быть просто крутым инженером и хочет вести команду за собой. 🔹Starvault: Секреты должны оставаться секретами. Глубокое погружение. 🛠 Глобальные рефакторинги Мы взяли проверенные временем темы и пересобрали их под современные реалии. Убрали "воду", добавили "мяса": 🔸Ceph: Распределенное хранилище без боли (ну, почти). 🔸 Kafka Admin: Чтобы брокеры летали, а не падали. 🔸RabbitMQ: Очереди для тех, кто понимает толк в асинхронности. 🔸HAProxy: Балансировка на максималках. 🔸Grafana: Красивые дашборды — это половина успеха в инцидент-менеджменте. 🔸Terraform: IaC наше всё. Актуализировали под свежие версии провайдеров. --- В чем суть? Мы не заставляем зубрить конфиги. Мы даем понимание *архитектуры*. Как это работает под капотом и зачем это вообще нужно твоему проекту. Теория сразу закрепляется практикой — заходите, ломаете, чините. Если чувствуешь, что в твоем стеке пробел по этим технологиям — велкам к нашим менеджерам. Они подскажут, с чего лучше начать. 🤝 Чтобы вход был приятнее, сделали скидки (действуют до 27 января включительно): 💰 Одна технология — скидка 3 000 ₽ 💰💰 Две технологии — скидка 7 000 ₽ 💰💰💰 Три технологии — скидка 15 000 ₽ Не стой на месте. Инженерия — это постоянное движение. 👉 Пиши менеджерам в лс: @rebrain_manager

❗ Открытый практикум Обратный прокси на базе Angie/Nginx идёт уже 30 минут Если вы ещё не с нами, скорее подключайтесь! Ссылка для входа: https://my.rebrainme.com/live-class/334 🔥 Задать вопрос по практикуму и обсудить детали можно в нашем чате

❗Начало Открытого практикума Обратный прокси на базе Angie/Nginx уже через 5 минут Встречаемся в 20:00 МСК. Ссылка для входа: https://my.rebrainme.com/live-class/334 Также вы можете подключиться к вебинару через личный кабинет, в разделе «Вебинары». 🔥 Задать вопрос по практикуму и обсудить детали можно в нашем чате

Открытый практикум Обратный прокси на базе Angie/Nginx начнётся сегодня в 20:00 МСК. Практикум будет проходить на площадке Zoom.US Важно!!! Чтобы вы смогли без проблем к нам присоединиться, заранее протестируйте комнату по ссылке: https://zoom.us/test Ссылку для доступа отправим вам за 5 минут до начала. Либо заходите через личный кабинет в разделе «Вебинары». 🔥 Задать вопрос по практикуму и обсудить детали можно в нашем чате

🗓️ Расписание вебинаров на сегодня ⏰ 20:00 МСК - Обратный прокси на базе Angie/Nginx 🔗 Регистрация и программа О вебинаре напомним за 5 минут до начала на этом канале. Также вы сможете зайти через личный кабинет. 🔥 Задать вопросы и обсудить детали можно в нашем чате

Привет!🤘 Кратко о граблях, на которые наступают даже профи. Нужно дать скрипту права root. Кажется, что это просто:

# ⛔️ ОШИБКА, НЕ ДЕЛАЙ ТАК!
sudo chown root my_tool.sh
sudo chmod u+s my_tool.sh

Эта команда ставит SUID`-бит, который должен запускать файл с правами владельца (`root`). Но с скриптами (.sh`, .py`) это не работает — ядро Linux игнорирует `SUID для них из соображений безопасности. Хуже того, это создает ложное чувство защиты и открывает двери для атаки Path Injection. Как `root`-скрипт отдает тебе систему Представь, у тебя есть скрипт, который запускается через sudo и содержит вызов системной команды без полного пути: victim_script.sh

#!/bin/bash
# ...какой-то код...
# Вот уязвимость:
ps aux
# ...

Атакующий делает три простых шага: 1️⃣ Создает свой `ps`:

    # Этот "ps" на самом деле запускает шелл
    echo '/bin/bash' > /home/attacker/ps
    chmod +x /home/attacker/ps
    

2️⃣ Добавляет свою папку в `PATH`:

    export PATH=/home/attacker:$PATH
    

Теперь его папка в приоритете для поиска команд. 3️⃣ Запускает твой скрипт:

    sudo /path/to/victim_script.sh
    

Скрипт попытается выполнить ps, найдет вредоносный файл атакующего и запустит его с правами root. Игра окончена, система захвачена. Как делать правильно и безопасно Всего два железных правила, которые спасут твою инфраструктуру: 1️⃣ Всегда указывай полные пути к исполняемым файлам в своих скриптах: /bin/ps, /usr/bin/systemctl и т.д. 2️⃣ Используй `sudoers` для выдачи прав. Это единственный контролируемый способ. Создай файл /etc/sudoers.d/developers:

# Дать право запускать ТОЛЬКО один конкретный скрипт без пароля
developer ALL=(root) NOPASSWD: /usr/local/bin/my_awesome_tool.sh

Это безопасно, логируется и полностью под твоим контролем. --- Знание таких основ — это фундамент. Чтобы видеть все векторы атак, от sudo и SUID до эксплойтов ядра, и уметь им противостоять, нужно мыслить как атакующий. Именно этому мы учим на нашем практикуме "Повышение привилегий в Linux". Только хардкор, только практика на стендах. 🚀 Старт курса уже 26 января! Успей запрыгнуть, чтобы стать на голову выше в понимании Linux. 🤘Записаться на курс --- P.S. Мы хотим постить прямые ссылки на самые сочные материалы в сторис, но для этого Телеграм просит "бусты". Если наши посты тебе полезны, поддержи канал своим голосом! Это быстро и бесплатно. 🚀 Бустануть канал Rebrain Спасибо! 💪