اکنون در دسترس! پژوهش تلگرام ۲۰۲۵ — مهمترین بینشهای سال 
CORTEL
رفتن به کانال در Telegram
Помогаем ИТ-директорам, DevOps и системным инженерам снижать TCO и поднимать SLA. Кейсы, инструменты и гайды. Сайт: https://cortel.cloud Cотрудничество: @ivan_cmo
نمایش بیشتر4 080
مشترکین
-224 ساعت
-127 روز
-3630 روز
در حال بارگیری داده...
کانالهای مشابه
ابر برچسبها
اشارات ورودی و خروجی
---
---
---
---
---
---
جذب مشترکین
ژوئن '26
ژوئن '26
+3
در 0 کانالها
مه '26
+23
در 2 کانالها
Get PRO
آوریل '26
+17
در 0 کانالها
Get PRO
مارس '26
+55
در 4 کانالها
Get PRO
فوریه '26
+53
در 2 کانالها
Get PRO
ژانویه '26
+74
در 2 کانالها
Get PRO
دسامبر '25
+147
در 7 کانالها
Get PRO
نوامبر '25
+72
در 4 کانالها
Get PRO
اکتبر '25
+139
در 6 کانالها
Get PRO
سپتامبر '25
+80
در 6 کانالها
Get PRO
اوت '25
+87
در 7 کانالها
Get PRO
ژوئیه '25
+135
در 7 کانالها
Get PRO
ژوئن '25
+116
در 6 کانالها
Get PRO
مه '25
+160
در 3 کانالها
Get PRO
آوریل '25
+137
در 6 کانالها
Get PRO
مارس '25
+123
در 5 کانالها
Get PRO
فوریه '25
+203
در 6 کانالها
Get PRO
ژانویه '25
+152
در 5 کانالها
Get PRO
دسامبر '24
+314
در 8 کانالها
Get PRO
نوامبر '24
+141
در 7 کانالها
Get PRO
اکتبر '24
+192
در 5 کانالها
Get PRO
سپتامبر '24
+104
در 3 کانالها
Get PRO
اوت '24
+216
در 8 کانالها
Get PRO
ژوئیه '24
+219
در 7 کانالها
Get PRO
ژوئن '24
+163
در 3 کانالها
Get PRO
مه '24
+185
در 11 کانالها
Get PRO
آوریل '24
+82
در 2 کانالها
Get PRO
مارس '24
+100
در 1 کانالها
Get PRO
فوریه '24
+223
در 3 کانالها
Get PRO
ژانویه '24
+130
در 4 کانالها
Get PRO
دسامبر '23
+33
در 7 کانالها
Get PRO
نوامبر '23
+110
در 1 کانالها
Get PRO
اکتبر '23
+127
در 7 کانالها
Get PRO
سپتامبر '23
+146
در 0 کانالها
Get PRO
اوت '23
+104
در 0 کانالها
Get PRO
ژوئیه '23
+147
در 0 کانالها
Get PRO
ژوئن '23
+229
در 0 کانالها
Get PRO
مه '23
+107
در 0 کانالها
Get PRO
آوریل '23
+126
در 0 کانالها
Get PRO
مارس '23
+156
در 0 کانالها
Get PRO
فوریه '23
+384
در 0 کانالها
Get PRO
ژانویه '23
+40
در 0 کانالها
Get PRO
دسامبر '22
+3
در 0 کانالها
Get PRO
نوامبر '22
+2
در 0 کانالها
Get PRO
اکتبر '22
+76
در 0 کانالها
Get PRO
سپتامبر '22
+251
در 0 کانالها
| تاریخ | رشد مشترکین | اشارات | کانالها | |
| 06 ژوئن | +1 | |||
| 05 ژوئن | 0 | |||
| 04 ژوئن | +1 | |||
| 03 ژوئن | 0 | |||
| 02 ژوئن | +1 | |||
| 01 ژوئن | 0 |
پستهای کانال
📖 Как освоить современный Linux
Полный справочник по современной Linux-среде: от базовых принципов работы ОС до ядра, оболочек, файловых систем, сетевого взаимодействия, контейнеров и систем мониторинга.
🔍 Рассматривается:
— что такое современный Linux и где он используется;
— архитектура Linux и устройство ядра;
— процессы, память, системные вызовы и модули ядра;
— работа с терминалом, оболочками и скриптами;
— управление пользователями, правами и доступом;
— файловые системы и виртуальная файловая система;
— приложения, systemd и управление пакетами;
— контейнеры и современные менеджеры пакетов;
— основы сетевого взаимодействия, TCP/IP и DNS;
— журналирование, мониторинг и наблюдаемость;
— виртуальные машины и межпроцессное взаимодействие;
— современные дистрибутивы Linux и перспективные возможности системы.
Автор:
Майкл Хаузенблас
Издательство:
O’Reilly / русское издание, 2026 г.
#книги #полезное
| 2 |  🖥 systemd-resolved — компонент systemd, который отвечает за разрешение сетевых имён. По сути — это небольшой кеширующий DNS-сервер, который крутится прямо на вашей машине и работает посредником между приложениями и реальными DNS-серверами.
📍 Зачем он нужен?
Раньше DNS-серверы прописывались в один файл /etc/resolv.conf, и за него дрались все подряд: DHCP, VPN, NetworkManager. Кто последний записал — тот и победил, а остальные настройки терялись. systemd-resolved решает это и даёт сверху:
— Раздельный DNS под каждый интерфейс (per-link) — VPN, Wi-Fi и Ethernet больше не затирают настройки друг друга.
— Кеширование — повторные запросы не уходят в сеть, резолвинг быстрее.
— Современные протоколы — DNSSEC, DNS-over-TLS (DoT), а также LLMNR и mDNS для имён в локальной сети.
📍 Как работает?
Поднимает локальный DNS-сервер на адресе 127.0.0.53:53 — это так называемый stub-резолвер (заглушка). /etc/resolv.conf превращается в симлинк на /run/systemd/resolve/stub-resolv.conf, где прописан единственный nameserver те самые 127.0.0.53.
Все приложения отправляют запросы на этот локальный адрес. Дальше resolved сам решает, на какой реальный upstream-сервер переслать запрос в зависимости от интерфейса, домена и настроек.
📍 Основные команды
Главная утилита — resolvectl
Полный статус с DNS-серверами по каждому интерфейсу:
resolvectl status
Global
Protocols: -LLMNR -mDNS +DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub
Link 2 (eth1)
Current Scopes: DNS
Protocols: +DefaultRoute +DNSSEC
Current DNS Server: 77.88.8.8
DNS Servers: 77.88.8.8 77.88.8.1
Резолвинг имени через resolved:
resolvectl query cortel.cloud
cortel.cloud: 95.181.181.7 -- link: eht1
-- Information acquired via protocol DNS in 12.3ms.
-- Data is authenticated: no
Сброс DNS-кеша:
resolvectl flush-caches
systemd-resolved — это локальный кеширующий резолвер, который наводит порядок в DNS: разводит серверы по интерфейсам, кеширует ответы и поддерживает современные протоколы вроде DoT и DNSSEC. На большинстве свежих Ubuntu/Debian он включён по умолчанию.
#линуксятина | 395 |
| 3 |  💻 etcd — распределённое хранилище данных Kubernetes.
В нём хранится состояние кластера: поды, деплойменты, секреты, конфигурации, ноды, правила доступа и другие объекты.
По этим данным управляющий контур понимает, что сейчас есть в кластере и какое состояние нужно поддерживать.
➡️ Особенности
С etcd напрямую работает API-сервер Kubernetes.
Остальные компоненты получают данные уже через него.
Так Kubernetes централизованно проверяет запросы, права доступа и изменения в состоянии кластера.
Данные в etcd хранятся с версиями.
Когда объект меняется, Kubernetes видит это изменение и реагирует: создаёт под, обновляет конфигурацию, приводит сервис к нужному состоянию.
➡️ Как работает
Обычно etcd работает как кластер из нескольких узлов.
Один узел принимает изменения, остальные синхронизируют с ним данные.
Запись считается подтверждённой, когда её приняло большинство узлов.
Изменения в etcd фиксируются только после подтверждения большинством узлов. Поэтому в production чаще используют 3 или 5 узлов: так проще сохранить кворум при отказе и продолжить работу управляющего контура.
Потеря etcd без актуального бэкапа может привести к потере управляемого состояния Kubernetes-кластера.
Сами ноды при этом могут быть живы, но Kubernetes уже не сможет нормально управлять объектами, конфигурациями и доступами.
Поэтому снимок состояния etcd — обязательная часть эксплуатации.
➡️ Снять снимок можно командой:
etcdctl snapshot save /backup/etcd-$(date +%F).db
➡️ Проверить состояние узлов:
etcdctl endpoint status --cluster -w table
etcd хранит состояние Kubernetes-кластера. Поэтому бэкап должен быть не просто настроен, а проверен: снимок нужно уметь восстановить до того, как это потребуется в аварийной ситуации.
#заметкиИнженера | 490 |
| 4 |  🧩 Импортозамещение виртуализации без переделок
Переход на отечественные решения начинается раньше, чем миграция виртуальных машин.
Сначала нужно проверить всю связку:
платформу, серверы, СХД, сеть, резервное копирование, мониторинг, поддержку и дальнейшее масштабирование.
Если выбрать решение только по формальному признаку, то проблемы перейдут в эксплуатацию. Может не хватить производительности, появятся ограничения по совместимости, а привычные процессы придётся собирать заново.
Отдельное внимание нужно уделить вендору.
Важно смотреть на матрицы совместимости, опыт внедрений, документацию, пилотирование и поддержку в реальных сценариях после запуска.
👉 В новом материале разобрали, как выбрать оборудование и вендора для импортозамещения виртуализации, чтобы архитектура выдержала миграцию, нагрузку и масштабирование.
#статья | 753 |
| 5 |  ⚙️ Xargs — классическая Unix-утилита, которая берёт данные со стандартного ввода и подставляет их как аргументы другой команде.
Звучит просто, но именно она помогает превращать пайплайны в мощные однострочники для массовых операций.
Многие команды (rm, cp, mv, kill) не читают список целей из stdin напрямую. Они ждут аргументы. xargs решает эту задачу: принимает поток данных, разбивает его на элементы и передаёт следующей команде уже в нужном формате.
Базовый принцип
Без xargs:
echo "file1.txt file2.txt" | rm
# Не работает — rm не читает stdin
С xargs:
echo "file1.txt file2.txt" | xargs rm
# Превратится в: rm file1.txt file2.txt
Основные флаги
-n N — количество аргументов на одну команду.
-I {} — заменитель (placeholder), используется когда нужно вставить значение в середину команды, а не в конец.
-P N — параллельное выполнение в N процессов.
-0 — разделитель — нулевой байт.
-t — показать команду перед выполнением (verbose).
-p — спросить подтверждение для каждой команды.
Боевые примеры
Убить все процессы по имени
pgrep -f "old_script" | xargs kill -9
Удалить пустые файлы
find . -type f -empty -print0 | xargs -0 rm
Архивация найденных файлов:
find . -name "*.log" -mtime +30 -print0 | xargs -0 tar czf old_logs.tar.gz
Изменить права на всех скриптах:
find . -name "*.sh" -print0 | xargs -0 chmod +x
xargs нужен там, где поток данных нужно превратить в аргументы команды. За счёт этого обычные Unix-команды начинают работать с большими списками файлов, процессов и других объектов.
#линуксятина | 729 |
| 6 | Стартуем через 1 час! 🎬
Любители запрыгивать в последний вагон, это объявление для вас. Вот-вот встречаемся на МК по модели угроз.
Готовьте всё возможное для записи, запасайтесь чаем/кофе/чемпокрепче, 4+ часами времени и платочками для слёз от смеха на шутках Вероники. Будет жарко и насыщенно. Впрочем, как и всегда, не нам рассказывать, какую информацию и как она даёт.
Свет, камера и звук готовы, Вероника вносит последние правки, чтобы дать вам максимум по плотности контента.
3 свободных места!
Кому?
‼️ЗАРЕГИСТРИРОВАТЬСЯ‼️ | 383 |
| 7 | 🔈 VPS от enterprise команды
Выкатили новый сервис для аренды VPS/VDS — Serverum
Пилили сначала для себя, теперь решили показать «своим»
Да, у нас есть своя разработка и да, мы будем об этом иногда рассказывать 🙂
Сделали по-человечески: заходим, выбираем конфиг и пользуемся полностью в автоматическом режиме.
Что внутри:
— собственная проприетарная платформа
— простые платежи
— очень низкие цены
— адекватная живая поддержка
Сейчас запускаем первых пользователей и собираем честный фидбек.
Если нужна VPS под сайт, бота, dev-среду, тестовый стенд или пет-проект — заходите, берите, гоняйте, будем рады.
Фидбек можно писать в личку: @ivan_cmo
Самому внимательному и вовлечённому — «та самая» толстовка в подарок 💎
👉 Serverum.ru | 944 |
| 8 | УЖЕ ЗАВТРА!
Друзья, это не учебная тревога‼️
Менее чем через 24 часа мы встретимся в прямом эфире с Вероникой Нечаевой, чтобы от и до разобрать модель угроз.
Расставим все точки и ответим на самые популярные вопросы.
⁉️ Это будет просто вебинар?
Нет, это практический мастер-класс в двух частях. Более 10 часов контента, возможность задать Веронике вопрос во время эфиров и после.
⁉️ Будет ли что-то помимо эфира?
Да, мы вышлем всем участникам шаблон модели угроз, чтобы вы в прямом эфире вместе с Вероникой могли подготовить МУ. Также будем на связи и после МК и ответим на все вопросы.
⁉️ Как попасть?
Чтобы быть завтра в прямом эфире, нужно зарегистрироваться по ссылке. Участие платное.
⁉️ Если я новичок в теме ПДн, мне подойдёт?
Нет. Если вы не знаете, что такое уровень защищённости ИСПДн, как выглядит схема ИС и пугаетесь при аббревиатуре СЗИ - мастер-класс вам не подойдёт. Он рассчитан на продвинутый уровень, на тех, кто знает, что такое модель угроз, техническое задание и проект и уже готовил документацию по ПДн.
⁉️ Когда повтор?
Повторов не планируем.
Если вы оттягивали до последнего - вот он, ваш выход. Просто поверьте, после этого МК вы будете знать о модели угроз всё и даже больше.
👉 ЗАРЕГИСТРИРОВАТЬСЯ 👈 | 954 |
| 9 |  👏Топ-5 постов #ЗаметкиИнженера
➡️ Надёжный способ бэкапа PostgreSQL
Разбор pg_dump для логических бэкапов: plain SQL, custom и directory-форматы, параллельный дамп через -Fd -j, выборочный дамп таблиц и схем, и pg_dumpall для бэкапа всего кластера с ролями. В комплекте — пайплайн с gzip и автоочисткой через find.
➡️ Загадка зависшего Temporal UI. Часть 1 — расследование
Реальный кейс: UI Temporal отдаёт 200 ОК, но данные не грузятся. Алерты молчат, CPU и память в норме, а запросы к БД зависают на 8 минут. Корень проблемы оказался в переполненном пуле соединений PgBouncer — начало трилогии с разбором архитектуры и метафорой автопарка.
➡️ Live Migration: как переместить работающую ВМ без простоя
Как KVM/QEMU переносит ВМ между серверами, пока пользователи продолжают работать. Разбор четырёх фаз: подготовка, pre-copy с итеративной синхронизацией «грязных» страниц памяти, короткий stop-and-copy и запуск на целевом хосте.
➡️ Terraform
Декларативный IaC от HashiCorp: описываете желаемое состояние, а Terraform сам приводит инфраструктуру к нему. Связка init / plan / apply, state-файлы, модули как Lego-кубики и универсальный HCL для AWS, GCP и других провайдеров — один код, разные облака.
➡️ Горячие клавиши для управления процессами в Linux-терминале
Подборка из 7 must-have комбинаций: Ctrl+C (SIGINT), Ctrl+Z (SIGTSTP с возвратом через fg/bg), Ctrl+D (EOF), Ctrl+S/Ctrl+Q (заморозка вывода), Ctrl+L и Ctrl+R. Минимум команд — максимум контроля над процессами и сессиями.
#ЗаметкиИнженера | 834 |
| 10 | Всего 2 дня...‼️
До, без преувеличений, главного мастер-класса этой весны!
28 мая встречаемся в прямом эфире с Вероникой Нечаевой, нашим директором по ИБ, чтобы от и до разобраться с темой моделирования угроз.
Напомним главное
1️⃣Мастер-класс будет в 2 частях. 28 мая - вся необходимая теоретическая база по МУ. 4+ часа контента, разбор ваших ситуаций и ответы на вопросы. В июне встречаемся на практической части, где создадим МУ с 0 по шаблону (да, его тоже дадим!).
2️⃣Повторов не планируем. Успевайте 28 мая, чтобы быть онлайн, спросить Веронику обо всех тонкостях, получить записи, к которым можно вернуться и оставаться на связи даже после МК.
3️⃣Для участия нужно зарегистрироваться и оплатить участие. Все детали - по ссылке. Вас ждёт обновлённый МК и 10+ часов контента без воды.
Количество участников ограничено, чтобы уделить время каждому. Мест всё меньше.
🔙ЗАРЕГИСТРИРОВАТЬСЯ🔜 | 995 |
| 11 |  🔫 Multus CNI — плагин для Kubernetes, позволяющий подключать поды к нескольким сетевым интерфейсам. Решает задачу «одна сетевая карта на под» по умолчанию, добавляя дополнительные интерфейсы через механизм CNI-цепочки.
💬 Основной функционал:
— Поддержка нескольких CNI-конфигураций для одного пода
— Делегирование создания интерфейсов сторонним CNI-плагинам
— Интеграция с сетевыми ресурсами через CRD NetworkAttachmentDefinition
— Совместимость с любыми CNI-плагинами, поддерживающими стандарт интерфейса
💬 Ключевые особенности:
— Мульти-интерфейсность — один под может иметь eth0 (основная сеть) и net1, net2 для изолированных сетей или прямого доступа к устройствам
— NetworkAttachmentDefinition (NAD) — CRD для описания дополнительных сетей: тип CNI, параметры IPAM, VLAN, gateway
— Изоляция трафика — разные интерфейсы могут принадлежать разным VRF или сетевым доменам
— Прозрачность для приложений — дополнительные интерфейсы видны как обычные сетевые устройства внутри контейнера
Multus расширяет стандартную модель сети Kubernetes, позволяя объединять несколько CNI в одном кластере и предоставлять подам гибкие сетевые конфигурации без изменения основного CNI. Это особенно востребовано в сценариях, где часть рабочих нагрузок требует прямого доступа к физическим интерфейсам или изолированных каналов, а остальные продолжают использовать общий overlay.
👉 Git
#полезное | 743 |
| 12 |  💎 Бэкапы, которые нельзя зашифровать
Ценность резервных копий становится понятна в момент инцидента — при сбое, ошибке или атаке шифровальщика.
Но бэкапы тоже могут оказаться под ударом 🤯
Если к ним есть доступ из основной инфраструктуры, злоумышленник может зашифровать или удалить не только рабочие данные, но и резервные копии.
Поэтому резервное копирование нужно строить так, чтобы копии были изолированы, защищены от изменений и доступны для восстановления после инцидента.
👉 В новом материале разобрали, как после атаки шифровальщика пересобрали архитектуру резервного копирования и усилили защиту бэкапов с помощью Hardened Repository.
#статья | 808 |
| 13 |  🔄 ReportPortal — open-source платформа для агрегации и анализа результатов автотестов из разных фреймворков в едином дашборде.
Решает проблему разрозненных отчётов: вместо десятков HTML-страниц от Allure, JUnit или Pytest в артефактах CI — единая лента запусков с историей, логами и аналитикой в реальном времени.
💬 Основной функционал:
— Сбор результатов автотестов через агенты для популярных фреймворков (JUnit, TestNG, Cucumber, Pytest, Mocha, Jest, NUnit, Robot Framework и др.).
— Реалтайм-отображение прогона: видно прохождение тестов прямо во время выполнения, не нужно ждать окончания сборки.
— Хранение логов, скриншотов и вложений (через S3) с привязкой к конкретным шагам теста.
— Интеграции с баг-трекерами (Jira, Rally, Azure DevOps)
💬 Ключевые особенности:
— Развёртывание через Docker Compose или Helm-чарт в Kubernetes — удобно для self-hosted сценариев, данные остаются под контролем.
— Дашборды и виджеты — кастомные графики flaky-тестов, time-to-fix, статистики по продуктам и командам.
— REST API для CI/CD — встраивается в пайплайны GitLab/Jenkins/GitHub Actions и позволяет автоматически проверять статус прогона перед деплоем.
— Лицензия Apache 2.0 — без ограничений в коммерческом использовании.
ReportPortal закрывает боль командной работы с автотестами: появляется единая база знаний по тестированию, где видна динамика, повторяющиеся падения и узкие места
👉 Git
#полезное | 966 |
| 14 |  🖥 modprobe — утилита для загрузки и выгрузки модулей ядра во время работы системы.
В отличие от прямого insmod, она умна: автоматически подтягивает зависимости, ищет модули в стандартных путях и работает с алиасами.
➡️ Модуль ядра — это кусок кода, который можно подключить к ядру на лету: драйверы устройств, файловые системы, сетевые протоколы, криптоалгоритмы. Благодаря модульной архитектуре ядро не таскает с собой всё подряд — нужное подгружается по требованию.
➡️ Где располагаются модули?
Все скомпилированные модули лежат в /lib/modules/$(uname -r)/, разложенные по категориям (kernel/drivers/, kernel/fs/, kernel/net/ и т.д.). Имеют расширение .ko (kernel object).
➡️ Основные команды
Посмотреть загруженные модули
lsmod
Загрузить модуль
sudo modprobe overlay
modprobe сам найдёт зависимости и подгрузит их.
Выгрузить модуль
sudo modprobe -r overlay
Информация о модуле
modinfo overlay
➡️ Как загружать модули при старте системы?
Разовая загрузка через modprobe живёт до ребута. Чтобы модуль подгружался автоматически — необходимо написать его в конфиг.
Создание файла со списком модулей (по одному на строку):
sudo nano /etc/modules-load.d/k8s.conf
Внутри конфига
br_netfilter
overlay
После ребута модули загрузятся автоматически.
Как заблокировать модуль (blacklist)?
Иногда нужно запретить автозагрузку — например, конфликтующий драйвер или дырявый протокол.
Создание файла блок-лист:
sudo nano /etc/modprobe.d/blacklist-custom.conf
Внутри конфига
# Отключение Bluetooth
blacklist btusb
blacklist bluetooth
После правки нужно пересобрать initramfs, если модуль грузится на ранней стадии:
sudo update-initramfs -u # Debian/Ubuntu
sudo dracut -f # RHEL/Fedora
modprobe — базовый инструмент, без которого не настроить ни Kubernetes-ноду, ни туннилирование, ни кастомные сетевые правила.
#линуксятина | 814 |
| 15 | ⛔️️️️ГЛАВНАЯ ОШИБКА ПРИ СОСТАВЛЕНИИ МОДЕЛИ УГРОЗ
На практике всё едет в тартарары не туда ещё до отбора самих угроз. Гораздо раньше, на этапе, где нужно ответить на вопрос:
что именно мы защищаем?
То есть определить границы информационной системы, состав объекта защиты и исходные данные.
Если границы ИС определены неверно, дальше некорректным становится всё — от состава компонентов до выводов по достаточности защиты.
Нельзя корректно определить угрозы для системы, если непонятно, где эта система начинается и где заканчивается.
Качественная Модель угроз начинается с описания:
1. Что является объектом защиты.
2. Где проходят границы ИС.
3. Как выглядит архитектура.
4. Какие есть исходные данные.
5. Какие допущения приняты.
И только после этого можно переходить к нарушителям, уязвимостям и угрозам.
Если вы хотите сделать МУ вместе с Вероникой Нечаевой в прямом эфире по готовому шаблону, то не откладывайте.
Места в группу заканчиваются, а стартуем уже через неделю, 28 мая.
👉 ХОЧУ С ВАМИ, РЕГИСТРИРУЮСЬ 👈 | 850 |
| 16 | ▶️ GitHub расследует возможный взлом внутренних репозиториев.
По данным ИБ-сообщества, хакерская группа TeamPCP заявила, что получила доступ примерно к 4 тыс. приватных репозиториев GitHub и выставила данные на продажу — от $50 тыс.
Предварительно, точкой входа могло стать скомпрометированное расширение для VS Code.
Сегодня разработческая среда — это доступ к репозиториям, токенам, CI/CD, облакам, секретам, внутренним пакетам и production-инфраструктуре.
Одно расширение в IDE может стать входной дверью в компанию. | 886 |
| 17 | 💻 Pod-Level Resource Managers — новая альфа-функция Kubernetes 1.36
Она расширяет работу Topology Manager, CPU Manager и Memory Manager в kubelet: теперь они умеют работать с ресурсами, заданными на уровне всего пода через .spec.resources, а не только по отдельным контейнерам.
🔵 Зачем это нужно?
Раньше менеджеры ресурсов в kubelet работали строго по контейнерам — каждому выделялись свои CPU и память, NUMA-выравнивание делалось индивидуально. Для типовых нагрузок это нормально, но для производительных приложений возникают проблемы:
— ML-тренировки с main-контейнером и sidecar'ами, которым нужен общий NUMA-узел
— Базы данных, где shared-память и кэш CPU должны быть выровнены для всего пода
В таких сценариях нужны эксклюзивные NUMA-выровненные ресурсы для всего пода как единого целого, а не для каждого контейнера по отдельности.
🔵 Пример использования
apiVersion: v1
kind: Pod
metadata:
name: tightly-coupled-database
spec:
# Pod-level resources establish the overall budget and NUMA alignment size.
resources:
requests:
cpu: "8"
memory: "16Gi"
limits:
cpu: "8"
memory: "16Gi"
initContainers:
- name: metrics-exporter
image: metrics-exporter:v1
restartPolicy: Always
- name: backup-agent
image: backup-agent:v1
restartPolicy: Always
containers:
- name: database
image: database:v1
'Здесь 8 CPU и 16Gi памяти выделяются на весь под целиком. Kubelet через Topology Manager выровняет их по одному NUMA-узлу, а CPU Manager закрепит эксклюзивные ядра на уровне пода.
🔵 Что с CPU-квотами?
Меняется и работа CPU-квот в cgroup.
Раньше каждый контейнер получал свою квоту (cpu.max), и неиспользованный CPU одного контейнера не передавался другому. Теперь квота задается на родительском cgroup пода — контейнеры внутри могут брать из общего пула, пока не упрутся в общий лимит пода. Это удобно, когда основной контейнер периодически просит дополнительный CPU, а sidecar'ы работают неравномерно.
Pod-Level Resource Managers — логичный шаг в эволюции управления ресурсами k8s. Они закрывают старую боль с распределением CPU и памяти между контейнерами одного пода и делают кластер удобнее для чувствительным к производительности нагрузкам. Пока это альфа — нужно включать feature gate, и для прода рановато, но для тестов уже можно попробовать.
👉 Подробнее в официальном блоге Kubernetes
#заметкиИнженера | 787 |
| 18 | Ваши отзывы 🥰
Да, после практикума по модели угроз у вас точно не останется вопросов.
Вы можете задавать всё по вашей ситуации как в эфире, так и после – мы на связи.
В этот раз программа обновлена: будет ещё больше полезного, конкретного и актуального на реалии 2026.
Повторов не планируем! Давайте побережем ресурс нашей Вероники Нечаевой и не станем откладывать до следующего раза.
Стартуем уже в следующий четверг🔥
👉 РЕГИСТРАЦИЯ 👈 | 822 |
| 19 |  🧬 Инциденты виртуализации, которые стоили бизнесу данных и миллионов рублей
Сбой в слое виртуализации быстро отражается на работе всей инфраструктуры.
Под ударом оказываются не отдельные виртуальные машины, а сервисы, базы данных, внутренние системы и процессы, которые от них зависят. Скорость восстановления в такой ситуации зависит от того, насколько инфраструктура заранее готова к отказам, атакам и ошибкам в эксплуатации.
Инциденты последних лет показывают, что слабое место не всегда находится в самом гипервизоре. Причиной может стать архитектура кластера, резервное копирование, доступы, DR-план или зависимость от одной платформы.
Поэтому отказоустойчивость виртуализации — это про готовность компании восстановить критичные системы в допустимые сроки и не потерять больше данных, чем бизнес может себе позволить.
👉 В новом материале разобрали реальные инциденты: что стало причиной сбоев, к каким последствиям они привели и какие выводы стоит учесть при построении устойчивой инфраструктуры.
#статья | 934 |
| 20 | 🎬Только для вас - отрывок из прошлого практикума по моделированию угроз!
30 секунд из 8+ часов контента.
Вероника Нечаева вместе с вами возьмёт шаблон МУ (да, его предоставим) и пойдёт по порядку - так, чтобы у вас получился готовый, качественный документ, по которому вы не только построите систему защиты, но и будете готовы ко всем проверкам регуляторов.
Не откладывайте регистрацию!
Стартуем менее чем через 2 недели и берём ОГРАНИЧЕННОЕ количество участников, чтобы уделить время каждому.
👉РЕГИСТРАЦИЯ👈 | 1 060 |
