Devops Bootcamp с Федосеевым

Ну и раз мы обсуждали систему управления доступа, проверим кто не путает основные понятия

Публичный ключ ssh id_rsa.pub который записывается в authorized_keys — это:

🍀 Проблема 4: «Сложность интеграции разнородных систем» ➡️ Что происходит: необходимость реализации поддержки разных протоколов аутентификации (LDAP, SAML, OAuth) для взаимодействия с различными внутренними и внешними системами. ➡️ Как поможет: - Keycloak выступает единым шлюзом для аутентификации. Он может аутентифицировать пользователя через LDAP/AD, социальные сети, SAML-провайдеры, другие OIDC-провайдеры. - Приложениям достаточно интегрироваться с Keycloak по OIDC или SAML, не заботясь о тонкостях подключения к другим источникам. ➡️ Получаем: упрощение архитектуры интеграции. Ускорение подключения новых систем. Гибкость в выборе источников идентификации. 🍀 Проблема 5: «Недостаточная наблюдаемость и аудит» ➡️ Что происходит: трудно отследить, кто, когда и к каким ресурсам обращался. Сложность расследования инцидентов безопасности. ➡️ Чем поможет: - Keycloak детально логирует все важные события: входы/выходы, регистрации, смены паролей, выдачу токенов, административные действия. - Логи легко интегрируются в системы мониторинга (ELK Stack, Splunk, Grafana Loki) через стандартные механизмы. ➡️ Получаем: улучшение наблюдаемости за активностью пользователей. Упрощение аудита безопасности и соответствия требованиям. Быстрое расследование инцидентов. Или просто меньше сталкиваемся с ИБ. ➡️ Keycloak в DevOps-практиках 🟢 Infrastructure as Code (IaC): конфигурацию Keycloak (реалмы, клиенты, пользователей, роли) можно описывать кодом (Terraform, Ansible) и версионировать, обеспечивая воспроизводимость и управляемость. 🟢 CI/CD: интеграция Keycloak в пайплайны для автоматического конфигурирования окружений (например, создание тестовых пользователей/ролей для staging). 🟢 Контейнеризация: Keycloak легко развертывается в Kubernetes, интегрируясь в облачные и контейнерные инфраструктуры. 🟢 Мониторинг: экспорт метрик Keycloak (Prometheus) и логов для централизованного наблюдения за здоровьем и производительностью сервера аутентификации. Keycloak — это не просто «еще один инструмент», это уже стандарт для DevOps-инфраструктуры. Он решает фундаментальные проблемы управления идентификацией и доступом в условиях сложных, распределенных систем: ➡️ Для DevOps-инженера: это инструмент для автоматизации, стандартизации и повышения безопасности процессов аутентификации и авторизации. Он сокращает рутину, снижает риски и ускоряет интеграцию новых сервисов. ➡️ Для безопасности: это централизованный контроль над политиками безопасности ➡️ Для пользователей: это удобство единого входа (SSO) Внедрение Keycloak требует усилий на этапе настройки и интеграции, но долгосрочные выгоды в виде повышения безопасности, снижения эксплуатационных расходов и улучшения пользовательского опыта делают его бесценным активом для любой DevOps команды, стремящейся к построению надежной, масштабируемой и безопасной инфраструктуры. Попробуйте использовать keycloak если вы его еще не используете.

Keycloak: инструмент IAM в арсенале DevOps инженера В мире микросервисов, облачных сред и непрерывной доставки управление идентификацией и доступом (IAM) становится не только критически важным, но и крайне сложным. Ручное управление пользователями, паролями, ролями и доступом для десятков или сотен сервисов и приложений превращается в кошмар безопасности и администрирования. Keycloak — это мощное open-source решение, которое при правильном внедрении становится незаменимым союзником DevOps команды. ➡️ Что такое Keycloak? Keycloak — это сервер идентификации и управления доступом (Identity and Access Management, IAM). Он предоставляет полезные возможности: 🪩 Single Sign-On (SSO): пользователь входит один раз и получает доступ ко всем интегрированным приложениям. 🪩 User Federation: хранение пользователей и их атрибутов в Keycloak или синхронизация с внешними хранилищами (LDAP, AD). 🪩 Аутентификация и Авторизация: поддержка стандартов OAuth 2.0, OpenID Connect (OIDC), SAML 2.0 для безопасного входа и управления правами доступа. 🪩 Администрирование: централизованное управление пользователями, ролями, группами, клиентами (приложениями) и политиками безопасности. 🪩 Identity Brokering: интеграция с внешними провайдерами идентификации (Google, Facebook, GitHub). Или может простой способ подключение MFA 🪩 Плагины: клиентские библиотеки для легкой интеграции или расширения функционала ➡️ Какие проблемы решает Keycloak: 🍀 Проблема 1: «Фрагментированное управление пользователями и доступом» ➡️ Что происходит: отдельные базы пользователей для каждого сервиса, приложения или инструмента (Harbor, Nexus, GitLab, Grafana, внутренние микросервисы, базы данных). Сложность добавления/удаления пользователей, сброса паролей, назначения прав. Несогласованность политик безопасности. ➡️ Как поможет: - Управляет пользователями и их атрибутами в одном месте (или синхронизирует с AD/LDAP). - Определяет клиентов (приложения) в Keycloak и настраивает для них политики доступа. - Легко интегрирует новые инструменты и сервисы через стандартные протоколы (OIDC, SAML). ➡️ Получаем: резкое снижение операционных издержек на администрирование учетных записей. Лучше заниматься чем-то более интересным. 🍀 Проблема 2: «Низкая безопасность и сложность внедрения современных практик» ➡️ Что происходит: слабые пароли, отсутствие MFA, уязвимости из-за самописных решений аутентификации, сложность внедрения единых политик безопасности ➡️ Как поможет: - MFA (Multi-Factor Authentication): готовая поддержка TOTP (Google Authenticator и др.), WebAuthn (FIDO2), SMS/E-mail. Легко включается для всех приложений. - Политики паролей: настройка сложности, истории, срока действия (если не использовать AD/LDAP) - Безопасные протоколы: использование OAuth 2.0 / OIDC вместо базовой аутентификации или самописных токенов. - Адаптивная аутентификация: конфигурируемая аутентификация, требующие MFA например только при определенных условиях - Безопасность API: защита микросервисных API с помощью токенов доступа (JWT) и политик авторизации на основе ролей (RBAC) или атрибутов (ABAC). ➡️ Получаем: значительное повышение уровня безопасности инфраструктуры и приложений без необходимости разработки и поддержки собственных сложных решений. Соответствие требованиям безопасности. 🍀 Проблема 3: «Плохой пользовательский опыт (UX)» ➡️ Что происходит: разработчикам и другим пользователям приходится запоминать множество логинов/паролей для разных инструментов. Постоянные запросы на сброс пароля. ➡️ Как поможет: единый вход (SSO) для всей экосистемы. Пользователь входит один раз в Keycloak (или через доверенный провайдер, например, корпоративный AD) и получает доступ ко всем подключенным приложениям, внутренним порталам и т.д. ➡️ Получаем: удобство для пользователей (разработчиков, тестировщиков, аналитиков). Снижение нагрузки на поддержку (запросы на сброс пароля). Повышение продуктивности.

Результаты конкурса грантов 🍉 Мы с коллегами обработали ваши тесты и анкеты, и готовы назвать имена тех, кто сможет учиться на летнем потоке «DevOps Upgrade» со скидкой до 100%!🔥

Список победителей: Скидка 100% Александр Шилин Павел Брагин Скидка 50% Айваз Багаутдинов Георгий Лубенцов Александр Каныгин Скидка 35% Ислам Кодзоков Дмитрий Дунаев Igor Kalachev Сергей Ковалев Александр Шарый

В ближайшее время с вами свяжутся организаторы конкурса, чтобы открыть доступ к курсу. Поздравляю! 🎉 #devops_upgrade

Сбор ответов для State of DevOps Russia 2025 заканчивается До завершения ежегодного исследования состояния DevOps осталось 2 дня. Напомню, что главная тема в этом году — developer experience. State of DevOps Russia позволяет получить полную картину того, как развивается DevOps в России, какие инструменты и практики используют команды, и с какими вызовами сталкиваются компании. Каждый новый голос делает исследование точнее и полнее, поэтому если вы еще не прошли опрос — очень прошу вас это сделать. ➡️ Результаты исследования будут доступны каждому участнику. А еще организаторы разыграют в лотерею мерч, промокоды и билеты на Highload++ и DevOps Conf. Пройти опрос — по ссылке.

Overengineering, который медленно убивает ваш продукт 👉 Второй вебинар серии FinOps 25 июня в 17:00 мск Overengineering замедляет разработку, тратит ресурсы и подрывает мораль команды в силу увеличения порога входа в продукт. На вебинаре Виталий Лихачев и Александр Крылов: 🔹 разберут разные кейсы: от раздутых пайплайнов до излишнего увлечения надежностью 🔹 расскажут о причинах overengineering – от карго культа до CV driven development. После просмотра вы получите solid понимание, как не надо делать, и советы, как не усложнять себе жизнь без строгой необходимости. Занять место в один клик — через бота.

Ответ на задачу Вижу, что мой опрос вас запутал, давайте разбираться.

Установка воркер ноды делается так же, как и установка мастер ноды, нужно только указать, где находится мастер, и его токен в конфиге.

Правильный вариант — 3. Остальные варианты или не существуют, или не смогут сработать на пустом сервере, где нет никаких утилит.

Запись нашего хардового веба про ранчер доступна к просмотру Напомню для тех, кто пропустил: в понедельник мы с Виталием Лихачевым обсуждали на вебинаре ранчер в продакшене, делились best practices и рассказывали, почему мы продолжаем готовить его неправильно. Смотреть вебинар: 📺 YouTube 📺 VK Видео 📺 Rutube 👉 Сравнение rke2 и k3s, а также алиасы, которые я использовал во время веба — в этом посте.

Про эффективный поиск работы Продолжаем говорить про карьеру и выстраивание рабочих процессов. Сегодня хочу обсудить с вами поиск работы: как искать (и, само собой, находить) эффективно и без выгорания. Думаю, все знают про принцип «есть слона по кусочкам». Он будет как нельзя кстати, если поиск работы превратился в бесконечный марафон, а мотивация скатилась куда-то в район плинтуса или ниже. Ловите пошаговый план на неделю: ➡️ День 1 — день ресерча. Изучаем вакансии и компании. Важно откликаться осмысленно — с персонализированным письмом и правильным адресатом (не всегда HR). Поэтому в первый день мы изучаем рынок и отбираем самые интересные вакансии. ➡️ День 2 — день работы с резюме. Во второй день занимаемся адаптацией резюме под выбранные вакансии. Не нужно переписывать его с нуля под каждую позицию, но важно подчеркнуть ключевые метрики, необходимые работодателю. ➡️ День 3 — день откликов. Составляем сопроводительные письма и отправляем и откликаемся на вакансии своими крутыми адаптированными резюме. ➡️ День 4 — день нетворкинга. Пишем пост в линкедин и обновляем статус о поиске работы (или в Сетку? кто пользуется, расскажите в комментах, как вам?). Иногда лучшие офферы приходят не с джоббордов, а из сети. ➡️ День 5 — день отслеживания откликов. Проверяем почту, отвечаем на вопросы рекрутеров, договариваемся о собеседованиях и двигаем процессы. ➡️ День 6 — день обучения. Учим то, чего не хватает по требованиям вакансии, и прокачиваем свои скиллы. ➡️ День 7 — день отдыха. Выключаем режим поиска. Без перезагрузки можно согласиться на плохой оффер просто из-за усталости. Важные поинты: 🪩 Понедельник и вторник — лучшее время для откликов, рекрутеры в эти дни особенно активны. 🪩 Дни можно менять местами, с учетом рабочих ритмов компаний и вашего собственного.

... но я могу не только объяснить, но и помочь выстроить правильный карьерный трек.

⭐️ Сегодня — последний день действия скидки на летний поток DevOps Upgrade. С завтрашнего дня цена станет выше.

Какие тарифы есть на курсе: ➡️ «Комфорт» - Видеоуроки и практические задания - Практика на виртуальных стендах - Q&A сессии и встречи со мной - Закрытый Telegram-чат ➡️ «Комфорт Карьера» То же, что входит в тариф «Комфорт», и: - 3 индивидуальные встречи со мной - Помощь с резюме и портфолио - Рекомендательное письмо ➡️ «VIP» То же, что входит в тариф «Комфорт Карьера», и: - Индивидуальная карьерная помощь: подготовка к собеседованиям, советы по позиционированию себя на рынке труда, разработка персонального карьерного трека - Личная поддержка от меня: помощь в решении сложных задач, индивидуальные задания, адаптированные под ваши цели, встречи для обсуждения прогресса *Помодульная оплата распространяется на ВСЕ тарифы. **Гранты на обучение касаются только тарифа «Комфорт». Возможна доплата для обучения на желаемом тарифе. ➡️ Забронировать скидку и оставить заявку на обучение — на странице курса. ➡️ Узнать больше про гранты на обучение — в этом посте. #devops_upgrade

Алиасы, которые использовал вчера для работы с rke2:

export CRI_CONFIG_FILE=/var/lib/rancher/rke2/agent/etc/crictl.yaml
export PATH=/var/lib/rancher/rke2/bin:$PATH
export KUBECONFIG='/etc/rancher/rke2/rke2.yaml'
alias crictl='crictl --runtime-endpoint unix:///run/k3s/containerd/containerd.sock'
alias ctr='ctr --address /run/k3s/containerd/containerd.sock --namespace k8s.io'
alias k='kubectl'

Пригодится, если захотите сами попробовать.

K3s vs RKE2: что использовать, и какая между ними разница Вчера мы с Виталием Лихачевым провели веб про rancher. Запись в ближайшее время будет доступна к просмотру, а пока я подготовил для вас развернутый ответ на ключевой вопрос вчерашней встречи. В мире Kubernetes развертывание дистрибутивов через kubeadm или полноценных кластеров часто избыточно. На помощь приходят облегченные решения, среди которых есть k3s и RKE2. Хотя оба преследуют цель упрощения, их философия и применение различаются. Ключевые отличия: 1. Философия и Цель ➡️ k3s: максимальная простота и минимализм. Девиз: «5 секунд до запуска Kubernetes». Удалены все ненужные компоненты, многие заменены облегченными аналогами. Идеален для самых ограниченных сред, локальной разработки. ➡️ RKE2: пытается усидеть на всех стульях без существенного усложнения установки по сравнению с k3s. Сохраняет большую совместимость с «ванильным» K8s. Соответствие стандартам (FIPS 140-2, CIS Benchmark, ACSC Hardening Guide) 2. Архитектура и Компоненты ➡️ k3s: - Один бинарный файл: весь сервер (control plane + kubelet) упакован в один исполняемый файл. - SQLite вместо etcd: по умолчанию использует встроенную БД SQLite для хранения состояния (etcd — опция) - Облегченные компоненты: kine (интерфейс между K8s API и различными бэкендами БД), flannel/wireguard (сеть), traefik (Ingress Controller), local-path-provisioner (Storage) ➡️ RKE2: - Ближе к «ванильному» K8s: использует стандартные компоненты Control Plane (kube-apiserver, kube-scheduler, kube-controller-manager, etcd) из официальных образов CNCF, но упакованные в один бинарник rke2 для простоты управления. - etcd по умолчанию - Безопасные компоненты: Cilium (сеть с eBPF и улучшенной безопасностью) или Calico, CoreDNS, Metrics Server. Интегрированный rke2-ingress-nginx (на основе NGINX) 3. Что выбрать? ➡️ Выбирайте k3s, если вам нужен самый простой и быстрый способ запустить Kubernetes на маломощном устройстве или для локальной разработки, тестирования или CI/CD. Приоритет — минимальный ресурсный след и мгновенный старт. ➡️ Выбирайте RKE2, если вам нужен удобный в развертывании Kubernetes с соответствием стандартам (FIPS, CIS), или вы мигрируете с «ванильного» кластера и хотите максимальной совместимости. А может наоборот планируете в дальнейшем перейти на «ванильный». Приоритет — безопасность и соответствие без чрезмерной сложности управления. В таблице привел сравнительную характеристику для удобства ⬇️

⭐️ Стартуем через 15 минут ⭐️ Подключайтесь!

Вы неправильно готовите Rancher Почему? Да потому что я сам его неправильно готовлю. Сегодня в 19:00 встречаемся на бесплатном вебинаре с Виталием Лихачевым. Будем разбирать: 🪩 централизованное управление кластерами через единый интерфейс; 🪩 автоматизированные бэкапы и восстановление; 🪩 настройку доступа для команд и интеграцию внешней аутентификации; 🪩 встроенные мониторинг и использование магазина приложений. Подробно покажем и расскажем, как Rancher упрощает эксплуатацию k8s и управление инфраструктурой. ➡️ Подключайтесь и задавайте вопросы, будем рады видеть каждого. Ссылка на трансляцию, как всегда, придет в боте.

Коллеги, как ваши выходные? У меня сегодня 898 день занятий английским с зеленой совой (нет, она не держит меня в рабстве). Кто найдет ошибку заработавшегося девопса?

DevOps Upgrade: летние гранты на обучение! 🍉 Коллеги, всем привет. Я к вам с большой новостью: мы с командой решили возродить гранты на обучение. На летнем потоке их будет 10 для тарифа «Комфорт»: ⭐️ 2 места — скидка 100% ⭐️ 3 места — скидка 50% ⭐️ 5 мест — скидка 35% Как получить грант: ➡️ Заполнить входную анкету ➡️ Пройти тестирование до 20 июня 2025 года ➡️ Дождаться результатов — их я объявлю на канале 23 июня Тест состоит из 42 вопросов и помогает проверить вашу готовность к обучению — от знания Linux и Docker до мотивации. На прохождение дается 45 минут. Удачи! #devops_upgrade

Коллеги, кто сталкивался? В пятницу рассказывал вам про свое отношение к неправильной документации, пришло время поделиться тем, что произошло. Я решил создать кластер k8s в облаке через terraform. Взял готовый список ресурсов из примера и, конечно, дополнил их по-своему. Кластер создался, но возникла проблема: под приложения ругается на то, что не соединяется с другим сервисом в интернете. Для диагностики создаю под:

apiVersion: v1
kind: Pod
metadata:
  name: dns-checker
spec:
  containers:
  - name: dns-checker
    image: busybox:latest
    command: ["/bin/sh", "-c"]
    args:
      - while true; do
          echo "=== DNS Test START ===";
          nslookup kubernetes.default.svc.cluster.local;
          nslookup google.com;
          echo "=== DNS Test END ===";
          sleep 30;
        done
  restartPolicy: Never  

И вижу, что резолва имен вообще нет. После скейла core-dns с 2 до 1 проверка начинает проходить, но иногда проблема еще 1 раз из 10 воспроизводится. Вопрос: как дальше диагностировать проблему, что это вообще может быть, и при чем тут документация? Поделитесь в комментах, может, кому-то знакомо?

Коллеги, ссылку на бота исправил, сейчас все должно работать. Жду вас на вебе 😎