DevOps FM

Дайджест в DevOps FM! ☀️Солнечная среда и свежие релизы. Что может быть лучше в середине рабочей недели? ⏺Весеннее обострение или атака в цепочке поставок. На этот раз в PyPI нашли вредонос библиотеки LiteLLM. Были украдены API-ключи для подключения к OpenAI, Anthropic и другим провайдерам. Проблема коснулась SSH-ключей, конфигураций Kubernetes, Docker, токенов AWS, GCP, Azure, секретов непрерывной интеграции и доставки (CI/CD). Безопасная версия доступна с 22 марта. Атака – одна из серии от команды PCP. Если у вас были установлены версии LiteLLM 1.82.7 или 1.82.8, рекомендуем заменить API-ключи и проверить пайплайны в CI/CD. Подробнее – на GitHub, а разбор мартовских атак от команды PCP – в блоге Wiz. ⏺Вы в зоне риска, если работали с aquasec/trivy, применяли теги версий 0.69.4, 0.69.5, or 0.69.6 или последней версии с 19 по 23 марта. В блоге Docker дали рекомендации для проверки окружения: найдите скомпрометированный образ Trivy по его digest’ам, удалите все затронутые образы, обновитесь до aquasec/trivy:0.69.3, а затем проведите полную ротацию секретов на всех системах, где этот образ мог работать. Пошаговая инструкция – здесь. ⏺CNCF опубликовали отчёт за Q1: что нового? Сообщество значительно приросло – с 15.6 до 19.9 миллионов, что составляет 28% за 6 месяцев. Облачный гибрид – самый популярный формат, 34% разработчиков включили его в рабочий цикл. Тенденция связана с новыми политиками регуляторов. Практики платформенной инженерии, инженерии хаоса и работы со множеством управляемых кластеров внедрили 88% разработчиков. В сфере ИИ до 7.3 миллионов специалистов работают в рамках подхода Cloud Native. Подробности – в отчёте. ⏺Выкатили релиз KubeVirt v1.8 с поддержкой Kubernetes v1.35. В нём улучшили политики конфиденциальности для работы с ВМ, представили прослойку Hypervisor Abstraction для работы со множественными уровнями системы виртуализации (бэкенды гипервизора) за пределами KVM, а так же включили ворклоады ИИ и HPC. Теперь KubeVirt лучше понимает, как устроены CPU, память и PCIe-устройства на хосте. Все обновления в SIG – в заметках о релизе и обзоре от CNCF. ⏺Дождались – Ingress2Gateway 1.0, ассистент при миграции. Основное изменение – поддержка более 30 аннотаций вместо 3 (CORS, TLS между балансировщиком, сопоставление с регулярным выражением (regex matching)). В Ingress2Gateway 1.0 улучшили форматирование и систему уведомлений. Теперь не нужно тратить время на поиск подводных камней и устранение ошибок в конфигах. Пошаговый туториал оставили – здесь. ⏺Kyverno, инструмент политики как кода, прошел все уровни ревью на GitHub. В честь "выпуска" Брайан Грант, СТО CofigHub-а, выкатил статью с описанием основных функций: ограничение ресурсов Kubernetes на примере запрета использования :latest тега, проверку политик и работу триггеров. Всё интересное – здесь. ⏺DataDog описали архитектуру Karpenter, автоскейлера кластеров Kubernetes. Логика сервиса учитывает пропускную способность, оптимизирует потребление ресурсов и улучшает работу приложений. Речь идет о поддержке оптимизации NodePool-ум, агностическим провайдером, и учёте особенностей инфрастуктуры облачных окружений провайдером NodeClass. Подробнее об инструменте наблюдаемости – тут. #devops #инциденты #kubernetes #cncf #новостная_подборка

🎉 Результаты розыгрыша: 🏆 Победители: 1. дум (@gomich) 2. Iskander 3. Artem (@artlers) ✔️Проверить результаты

LLM-агенты в SQL: проверено на базе терабайтов данных 🖖Всем DevOps! Начинаем понедельник с оптимизации данных. В блоге Mendral Андреа Луцарди разбирает работу LLM-агента в цикле непрерывной интеграции (CI) с доступом ко всей истории логов. Подводные камни — ниже. Каждую неделю система сохраняет около 1,5 млрд строк в ClickHouse. В «сыром» виде — до 5 TB данных, за счёт метода хранения и сжатия на диске – порядка 154 GB. В работе агент получает прямой доступ к базе через SQL и сам формирует запросы. В процессе он анализирует метаданные джобов и при необходимости «проваливается» в строки. Как именно агент справляется с обработкой миллионов запросов? Из ключевых архитектурных решений в статье приводят денормализацию. Суть проста – в каждой строке лога хранится весь контекст, который позволяет настроить фильтр без JOIN’ов и снизить вес. 👀Ещё одна задача под звездочкой – работа с лимитами GitHub API. При загрузке логов команда настроила ограничение до 3-х запросов в секунду. Если лимит достигнут, срабатывает механизм durable execution через Inngest. Подробности кейса – читайте тут. Ключевой вывод: если хранить логи в правильно спроектированном хранилище и дать LLM доступ к данным, работа с инцидентами в CI сокращается с часов до секунд. 💻Поделитесь опытом внедрения агентов в работу с БД в комментариях! #девопс #ИИ #БД

🔓Раскрыли секреты Google: API ключи и требования к безопасности Сегодня поговорим о рисках. Годами Google убеждал разработчиков в том, что API-ключи формата AIza вполне допустимы для публичного использования — особенно в сценариях вроде Firebase и Maps. Но с Gemini риски такой практики выросли. В статье от Truffle Security. Джо Леон объяснил, с чем связано расширение привилегий и какие у него последствия. ➡️Если в проекте Google Cloud Platform (GCP) включён Generative Language API, а ключ не ограничен по сервисам, он может начать работать и с Gemini endpoint’ами. Быстро, без уведомлений и подтверждений. В качестве примера – ключ, который три года использовался только для карты на сайте и стал credential для работы с LLM. Авторы просканировали Common Crawl и нашли 2 863 действующих публичных ключа, способных обращаться к Gemini. Среди них – ключи крупных компаний и даже собственные ключи Google. Что это означает на практике: • возможный доступ к /files и /cachedContents; • риск утечки данных; • потребление LLM-ресурсов и расходы; • исчерпание квот и потенциальные отказы сервисов. Основная проблема не в утечке секрета, а в расширении привилегий: ключи по умолчанию создаются как unrestricted и начинают работать со всеми включёнными API. Если вы используете GCP – проверьте, включён ли Generative Language API, ограничены ли ключи по сервисам и не размещены ли они публично. Подробнее – тут. 🔎 Всё тайное становится явным, и лучше узнать обо всех секретах до того, как придёт счёт за LLM. #девопс #безопасность #пятничное_чтиво

Приглашаем на GLOBAL TECH FORUM Разыгрываем 3 билета тарифа STANDART. Уже в следующую пятницу, 27 марта 2026 вы сможете посетить масштабную конференция-выставку по цифровизации и автоматизации бизнеса GLOBAL TECH FORUM. На одной площадке соберутся разработчики и поставщики комплексных ИТ-решений. Более 120 спикеров поделятся опытом по ведущим трендам в бизнесе: - Актуальные тренды и технологии: ИИ, большие данные, облачные решения, кибербезопасность - Внедрение HR-платформ, решений для автоматизации подбора и обучения персонала - Автоматизация продаж и клиентского сервиса - Цифровые решения для маркетинга 📅Когда? 27 марта 2026 📍Где? Москва | Кластер «Ломоносов» Регистрируйтесь и смотрите полную программу здесь. Чтобы участвовать: 1. Убедитесь, что вы на нас подписаны, @DevOps_FM. 2. Нажмите «Участвую!» под этим постом. 🗓 Итоги мы подведём случайным образом, а результаты объявим 24 марта! Успейте принять участие и следите за обновлениями! 🚀 #партнёрский_пост

🛡Безопасная среда в DevOps FM! Собрали для вас подборку выявленных уязвимостей. В качестве приятного бонуса – обзор изменений в KIP и решения платформенной инженерии. ⏺Начнем с уязвимостей в GSSAPI к OpenSSH. Если коротко, речь идет о получении доступа до аутентификации пользователей. CVE-2026-3497 уже обнаружили в Debian и Ubuntu. Использование уязвимости приводит к повреждению памяти и обходу механизма разделения привилегий и появляется, если подтвердить обмен ключей GSSAPI. Подробнее – здесь. ⏺Выкатили список из 9 уязвимостей в AppArmor, которые предоставляют root-доступ к системе. CVE-идентификаторы назначили не всем, известно только о CVE-2026-3888 в в snapd и Rust Сoreutils . Зато представили кодовое имя – «дыра в броне» с отсылкой на приложение (CrackArmor). Кроме прав root-доступа злоумышленники могут обойти ограничения в AppArmor, выйти из изолированных контейнеров. Проблемы встретились LSM-модуле, дистрибутивов Ubuntu, Debian, openSUSE и SUSE. Разработчикам Linux передали патчи, которые будут включены в последующие релизы (в т.ч. Ubuntu). Список оставили здесь. А подробнее об CVE-2026-3888 – тут. ⏺Модуль IPv6 в Linux могут убрать. В компании SUSE отметили, что при установке сборки подсистемы добавляют множественные обработчики на случай выгрузки IPv6. Для упрощения сопровождения, снижения нагрузки предложили опции для встраивания модуля или полное отключение. Детали – здесь. ⏺В блоге Kubernetes выкатили статью об изменениях в KIP (Kubernetes Image Promoter). Саша Грунерт из RadHat предоставил исторический очерк: со старта проекта в 2018 году до текущих изменений. Цель Линуса Арвера, одного из основоположников, состояла в упрощении, автоматизации переноса контейнерных образов в Kubernetes. В течение следующих лет в проект внесли множество инструментов (cip, gh2gcs, krel promote-images, promobot-files), поддержку SBOM. Ключевая проблема – скорость обработки промо-джобов для образов и ошибки в rate limits. В статье описаны все фазы работы с issue #1701 и представлен новый promotion пайплайн для стабилизации в проде. Как это было – читайте здесь. ⏺На Robusta разобрали подводные камни платформенной инженерии. В качестве оптимального решения Натан Йелин, руководитель высшего звена, предложил переход на MVP. Из ключевых проблем автор вынес: ⁃ Множество URL: инженеры «теряются» в них при использовании набора инструментов и микросервисов ⁃ Неумение работать с Kubernetes: команды отлично справляются с Docker, но поднимают менеджеров в 3 ночи из-за некорректной проверки работоспособности контейнеров ⁃ Перенос ответственности за поддержку на DevOps: 30% времени уходит на ответ разработчикам в Slack-е , а вопросы одни и те же «где найти логи пода» ⁃ Работа с тикетами: разработчики направляют тикеты инженерам из-за отсутствия доступов, а нужна ли «прослойка» между инструкцией и действием? Как закрыть эти проблемы с MVP – читайте тут. #девопс #безопасность #linux

👩‍💻 Docker – 13!  13 лет назад, в марте 2013, Соломон Хайкес на сцене PyCon впервые представил инструменты контейнеризации. Через год, 10 июня 2014, команда выкатила первый стабильный релиз Docker 1.0: обеспечили обратную совместимость и годовой цикл поддержки. Docker представили, как проект компании dotCloud. Основатели хотели обеспечить гибкость разработки по запросам пользователей, которую реализовали как: •Набор (mix and match) готовых компонентов вместо привычных стеков. •Альтернативу Heroku, облачной PaaS-платформе. Уже к октябрю 2013 Docker стал одним из самых быстрорастущих проектов открытого кода, его загрузили более 100.000 раз. По состоянию на 2024 г. платформа объединила 17 млн разработчиков, а ведущие облачные платформы (Microsoft Azure, AWS, Google Cloud) используют его как ключевое контейнерное решение. Платформа постоянно совершенствуется. В 2016 г. в Docker интегрировали собственный оркестратор (Swarm Mode), с конца 2018 г. в Docker Desktop по умолчанию включили Kubernetes. В последние релизы включили ИИ-инструменты: Docker Model Runner для локального запуска ИИ-моделей, изолированные песочницы для ИИ-агентов и протокол MCP для подключения внешних источников данных. Docker прошёл путь длиной в десятилетия – от экспериментов с LXC до современной платформы с поддержкой ИИ. Docker доказал, что путь от сервера до кода сложен, но сделал всё для его упрощения. 🔵Из интересного •Название проекту дали сами инженеры: un docker – фр. рабочий, занятый погрузкой, разгрузкой контейнеров в порту. Соломон Хайкес до последнего планировал изменения:

Docker какое-то время было прозвищем, которое мы должны были править перед запуском. К счастью, из-за ошибки в сроках, проект запустили раньше и исправлять было поздно. Уже после мы сменили название всей компании на Docker.

•Делимся первым выступлением на PyCon – смотрите и ностальгируйте здесь. Cмотрим в будущее вместе с Docker! #девопс #docker

GameDev – Пятничная подборка 👀Хорошие новости – сегодня пятница, а значит созвоны, багфиксинг и деплой переносятся на следующую неделю. Подготовили для вас подборку игр на выходные, а для желающих послушать о трендах в GameDev-е и сокращении расходов на облако – приглашение на Gamedev Cityfest 14 марта. ⏺Uptime9999 — браузерная игра‑симулятор для практики навыков DevOps. Здесь вы отслеживаете uptime и принимаете стратегические решения. Игра моделирует сложность рабочих процессов, а значит — будьте готовы к алертам :) Полезна для отработки навыков оптимизации производительности и поддержания стабильности инфраструктуры в безопасной среде. Представлен авторский web-прототип, подробности — тут. ⏺Sojourner under Sabotage — браузерная игра-симулятор для тестирования и дебага. Вы очнулись на борту космического корабля Sojourner, но всё весь персонал без сознания. Ваша капсула раскрылась раньше срока из-за ошибки в программном коде. Кто-то — или что-то — вмешалось в работу корабля. Дело в случайном сбое… или саботаже? Узнайте сами. ⏺Tower Networking Inc. — стратегический симулятор, где вам предстоит предоставлять услуги в растущей башне. На каждом этаже вы прокладываете кабели, предоставляете клиентский сервис. В игре важно отслеживать траты и вовремя реагировать на инциденты (SLA): всего одна жалоба — и вам конец. Отважитесь? Распутать тайны и раскрыть дело предстоит в SQL Murder Mistery, готовьтесь к головоломкам, а для любителей порядка – обучайтесь в полицейском участке SQL. 👨‍💻Для тех, кто всё же хочет поработать: Immersive APM — геймифицированная платформа для мониторинга в 3D и VR. Представьте себя внутри системы: трассировки, метрики и журналы отображаются в реальном времени. Immersive APM совместим с OpenTelemetry. Поддержка .NET, Java, Python, Go, Node.js. Подробности — здесь. А мы ждём вас завтра, 14 марта, на Gamedev Cityfest. Для всех, кто не успел взять билеты – не отчаивайтесь, запись будет. Желаем приятных выходных и дежурств без алертов! #девопс #gamedev

Наконец-то среда… 🔔Выкатываем свежий новостной дайджест. Неделя выдалась продуктивной: релизы, обновления и авторские инструменты. ⏺Rust 1.94.0 Выкатили новую версию Rust, с поддержкой множества окон (array_windows). Поскольку каждое окно имеет тип &[T; N], его можно напрямую «разобрать» в параметрах, например |[a, b, c, d]|, и компилятор выведет значение автоматически. Данный метод оптимизирует работу с файлами, и оставляет ручную индексацию в прошлом. Также представили Include для включения файлов конфигураций Cargo. Подробнее – в документации. Наконец, в Rust 1.94.0 добавили поддержку TOML 1.1 для манифестов и конфигураций и стабилизировали API-шники для работы с инициализацией, константами и `const`-контекстом. Одно из заметных улучшений – более гибкий синтаксис inline-таблиц, новые цепочки escape и временные условия. Если прошлую версию устанавливали через rustup, используйте $ rustup update stable или загляните в заметки. А почитать обо всём сразу – тут. ⏺FreeBSD 14.4 Команда анонсировала пятый релиз стабильной/14 ветки, посвященный памяти Кена Смита, бывшего руководителя команды Release Engineering. Изменения повлияют на деплой, автоматическую инициализацию и безопасность SSH. OpenZFS обновили до 2.2.9, что улучшит стабильность в хранении данных, nuageinit совместим с cloud-init для поддержки команд настройки сети, установки пакетов и записи файлов конфигурации. Дополнительно обновили системные инструменты, документацию и выкатили много контента. Версия поддерживается до 31 декабря 2026 года, а вся ветка 14.x – до ноября 2028 года. Подробнее о новой версии – читайте здесь. ⏺Патч-релиз nginx 1.29.6 В версии сосредоточились на багфиксах и улучшении стабильности работы с инструментом. Решили проблему с проксированием HTTP/2 с задействованным кэшем, улучшили обработку заголовков с разделителями и обработку ошибок keylog callback, исправили сборки BPF для новых версий Linux. Обновили README, советуем изучить – тут. ⏺Что делать с истекающим сроком TLS-сертификата? На портале dev.to опубликовали статью с текущими реалиями поэтапного сокращения сроков сертификатов. Уже с 15 марта срок уменьшится с 398 дней до 200, затем 15 марта 2027 — до 100, а к 15 марта 2029 — до 47. С увеличением сервисом и доменов инструменты вроде Certbot или решения Kubernetes не всегда обеспечивают эффективное отслеживание. Командам не хватает централизованного управления: учёта, видимости цикла, оповещений и доступа к API для интеграции в CI/CD. В статье представлено авторское решение – KrakenKey, сервис управления сертификатами, прослойка над ACME. Подробнее – в статье. ⏺Безопасность в Kubernetes В блоге CNCF разобрали проблему при работе с секретами Kubernetes. Часто образы «подтягиваются» из приватных зеркал и кеша, особенно в изолированных средах. Настройка аутентификации на уровне нодов усложняет управление кредами и создаёт риски для безопасности. Саша Грунерт предлагает следующее решение – настройка CRI-O Credential Provider, интегрированного с kubelet. Плагин динамически аутентифицирует данные из секретов, ограниченных по namespace, и создаёт временные файлы для CRI-O. Когда kubelet «подтягивает» образ, то передаёт плагину информацию о поде и образе. Такой подход сохраняет безопасность: под видит только свои namespace, доступ к чужим кредам ограничен. Подробнее – на портале. #обновления #kubernetes #новостная_подборка

📌 Опубликован первый отчёт «State of Enterprise Kubernetes 2026»! В новом исследовании, подготовленном TAdviser и командой платформы Штурвал, собраны данные и кейсы от 252 топ-менеджеров, DevOps-руководителей и ИТ-архитекторов крупнейших российских компаний. В отчёте вы найдёте актуальную информацию по: ⏺уровню использования оркестратора Kubernetes в бизнесе (более 60% в производственной среде); ⏺ключевым драйверам внедрения и главным барьерам (дефицит компетенций, требования к отказоустойчивости); ⏺реальным бизнес-эффектам: ускорение Time-to-Market, улучшение MTTR и автоматизация процессов. Ознакомиться с отчётом и подробностями об эффектах можно здесь — узнайте, как компании настраивают платформу под требования импортозамещения и увеличивают выручку с Kubernetes. #партнёрский_пост

Хватит копипастить в YAML 👨‍💻В этот понедельник разбираем статью Джанлуки Марденте про управление кластерами Kubernetes с помощью Sveltos. Традиционно команды сталкиваются с рассинхронизацией и ошибками при работе в оркестраторе. Возможные причины – копипаста в YAML и как следствие, перегрузка в чартах, ручной патчинг. Автор статьи предлагает следующее решение: централизованный «Intent» и Surgical Post-Processor, который определяет, что и куда деплоим. Суть подхода в распределении: система определяет «Intent», затем автоматически ищет кластеры через метаданные и применяет точечные патчи для конкретных регионов. Все локальные настройки хранятся как «Policy Packets» и связываются с приложением только при деплое (концепция Late Binding). Основной инструмент в работе – Sveltos, набор контроллеров Kubernetes, которые работают в управляемом кластере. Он определяет патчи для каждого кластера и включает в YAML-манифест. В статье автор привёл пример на базе US- и EU-кластеров. 👀Важно: при ограничении инфраструктуры ДЦ и облаками, адаптируйте скрипты авторизации, endpoint-ы и политики безопасности. Подробнее о подходе и кейсах — в статье. #девопс #kubernetes

Атака в GitHub Actions: Trivy, Microsoft, DataDog, CNCF 👩‍💻 ИИ-бот hackerbot-claw получил доступ к репозиториям в GitHub Actions, недавно писали об этом – здесь. Пользователи Reddit поделились мнением об атаке и собрали подборку советов для обеспечения безопасности в CI/CD.

Friendly-Ask6895 pull_request_target – это убийца. Проблема существует столько лет, но никто не хочет проверять конфиги, пока не стало поздно. Удивительно, что понадобился ИИ-бот, чтобы инженеры позаботились о безопасности в CI/CD.

Emotional-Drawing761 Безопасность в GitHub Actions о-очень важна, это порог входа. В нашей компании внедрили ротацию токенов, придерживаемся строгих политик для пайплайнов. Как в других компаниях обеспечивают безопасность?

Extra-Pomegranate-50 Комбо pull_request_target + checkout-of-fork уже много лет как оружие массового поражения, но атака на Trivy и Datadog все равно удивила. Я, конечно, больше думаю о цепочках поставок. Если извлекли бинарники Trivy, запушили пустой репо, то сканер безопасности сам по себе становится вектором атаки. davidadamns Несмотря на негативные последствия, урок вышел ценным: 1. Проверяйте скачанные бинарники и контейнерные образы, подтверждайте подписи через Cosign/Sigstore. 2. Держите резервные инструменты безопасности (Checkov, Grype). 3. Используйте OIDC-токены вместо долгоживущих секретов. 4. Проводите аудит в GitHub Actions: не используйте pull_request_target с кодом форков, следите за ${{ }} в run. 5. Настройте автоматическую проверку зависимостей перед запуском. 6. Все образы должны быть подписаны. 7. Непроверенный код запускайте в изолированных средах (gVisor, Firecracker). 8. Включите аудит логов с хранением на несколько дней. 👩‍💻 И подборка репо: zizmorcore/zizmor boostsecurityio/poutine

Весь тред – найдете здесь. 👀А как вы следите за безопасностью в CI/CD? Делитесь опытом в комментариях! #devops #reddit #инцидент

Сезоны сменяют друг друга, а наш дайджест выходит по расписанию. 👀Инцидент Trivy 1 марта зафиксировали атаку ИИ-бота: hackerbot-claw получил доступ к репозиториям в GitHub Actions. Пострадали несколько проектов Microsoft, DataDog и CNCF, а репозиторий Trivy был переименован в `aquasecurity/private-trivy `и вместо публичного кода был запушен пустой репо, массово удалены релизы, артефакты и обсуждения. Об инциденте – тут, а также в обсуждении. ⏺На GitLab вышел патч-релиз 18.9.1, 18.8.5, 18.7.5 В релизе представлены исправления для обеспечения безопасности. Включили защиту от CVE-2026-0752 в Mermaid, и несколько DoS уязвимостей в контейнерах, Jira и обработке merge request’ов (CVE-2025-14511, CVE-2026-1662, CVE-2026-1388). Также устранили проблемы при лимите запросов в импортере Bitbucket Server, создании переменных для CI джобов и контролем доступа в пакетных репозиториях. Обратите внимание при обновлении: на одиночных nod-ах переход займет время, ожидайте downtime, на на множественных – применяйте принцип zero-downtime. Подробнее – на GitHub. ⏺ Шон Вэбб отчитался о проделанной в феврале 2026 в HardenedBSD. Большая часть времени ушла на расследование kernel crash в ветке 15-STABLE. Ожидаем новых сборок на этой неделе или в рамках обновления 1 апреля 2026. По проекту mesh-сетей (Meshtastic + Reticulum + HardenedBSD) ведется работа по созданию proof-of-concept. Также опубликовали скрипт на Python для exec-over-meshtastic. В части инфраструктурой разработки приняли решение о постепенной миграции части репозиториев с self-hosted GitLab в Radicle. Отчёт– здесь. ⏺На портале Percona вышел отчёт о серии уязвимостей, затрагивающих все версии Valkey. Часть проблем исправлена в версиях valkey-server и valkey-bloom, поэтому мы настоятельно рекомендуем обновиться. Исправления затронули CVE-2025-67733, ошибки обработки символов null в скриптах Lua, CVE-2026-21864, некорректная обработка ошибок парсинга RDB в модулях, CVE-2026-21863, некорректной валидации пакетов в cluster bus и CVE-2026-27623, DoS перед аутентификацией. Без обновления можете: ⁃ ограничить команды EVAL, EVALSHA, FCALL, RESTORE через ACL ⁃ изолировать cluster bus порт ⁃ проверить модули на корректную обработку IO-ошибок Подробнее – здесь. ⏺Не мигрируйте, пока не ознакомитесь В блоге Kubernetes описали поведение Ingress-NGINX, которое важно учитывать при миграции на Gateway API. Автор уточняет, что речь пойдет исключительно об этом контроллере, а не NGINX Ingress от F5. Из основных особенностей работа с префиксами regex в Ingress-NGINX, которые не учитывает регистр. При переносе может пострадать маршрутизация. Следующая особенность – use-regex влияет на все Ingress с теми же хостами. Если хотя бы один Ingress для хоста содержит use-regex: "true", все пути считываются как regex. В Gateway API exact остаётся exact. После миграции такие запросы начнут возвращать 404. Также в статье упоминают автоматические редиректы и нормализацию URL перед matching. Как безопасно переехать – указали тут. #DevOps #gitlab #valkey #kubernetes #новостная_подборка

7 утилит Linux, которые ускорят работу в терминале Всем DevOps! 🖖С началом весны возвращается заряд продуктивности. Сегодня собрали в подборку утилиты CLI в Linux, которые ускорят загрузку, предоставят удобный мониторинг и просмотр файлов: ⏺ripgrep (rg) – утилита для поиска по коду, логам, конфигам, инфраструктурным репозиториям. Быстрее grep, игнорирует файлы в .gitignore. Установить на Debian/Ubuntu: sudo apt install ripgrep  Репо: BurntSushi/ripgrep ⏺fzf (Fuzzy Finder) – поисковая утилита для быстрого поиска файлов в больших репо, истории, выбора Git-веток и pod'ов Установить на Debian/Ubuntu: sudo apt install fzf Репо: junegunn/fzf ⏺pv (Pipe Viewer) – утилита для просмотра прогресса в пайплайнах. Позволяет отследить индикатор прогресса, ожидаемое время завершения и скорость операций. Полезен для копирования больших файлов, tar/backup операций, при миграции данных и в CI скриптах. Пример: pv largefile.iso > /backup/largefile.iso Подробнее – тут ⏺btop — утилита TUI-мониторинга ресурсов с графиками и темами. Если всё ещё пользуетесь top и htop, присмотритесь :) Репо: aristocratos/btop ⏺aria2 — быстрый загрузчик (HTTP/FTP/BitTorrent), умеет разбивать загрузку на части и качать параллельно. Пример использования: aria2c -x4 http://example.com/large-iso-file.iso Репо: aria2/aria2 ⏺duf — удобная альтернатива df: цветная табличка, графы с группировкой устройств. Репо: muesli/duf ⏺plocate — утилита для быстрого индексного поиска файлов (альтернатива `mlocate`) Обновление базы: sudo updatedb; поиск: locate config Подробнее – тут 🚀Желаем продуктивной недели! Делитесь вашей подборкой в комментариях. #devops #linux

🤖«Я сыт по горло постами о магии ИИ»: агенты в разработке В эту пятницу поговорим о наболевшем. Разработчик проекта iximiuz Labs поделился своим опытом работы с ИИ-агентами для генерации кода. Иван Величко не верит в сказки: невозможно написать абсолютно что угодно в кратчайшие сроки, без каких-либо знаний о домене или опыта программирования. В статье инженер поделился опытом работы с Claude Code и отметил, насколько инструмент реально ускоряет разработку и где дает сбой. Оказалось, что агенты отлично работают с четко поставленными задачами, но не справляются со сложными требованиями. Например, при создании клиента для Google Cloud Storage с поддержкой SSE-C агенты долго не могли разобраться с заголовками и аутентификацией, а простая фронтенд-фича, редизайн дашборда, потребовала точных указаний и исправлений. 👀Вывод автора: агенты – мощный инструмент, но только в руках опытного разработчика, который умеет правильно декомпозировать задачи и проверять результат. Полностью автономная работа пока невозможна, особенно для сложных систем в проде. Подробнее о плюсах и ограничениях работы с ИИ-агентами – в статье. #DevOps #AI

Последний новостной дайджест... ... этой зимы. Сегодня разберем, как эволюционирует система алертинга в Grafana 12.4.0, что меняется после обновлений API в GitHub Actions, почему масштабирование etcd остаётся критическим фактором в Kubernetes. ⏺Grafana 12.4.0 и прозрачное управление алертами Выкатили релиз версии 12.4.0, в которую внесли изменения в Grafana Alerting, политики RBAC и datasource-стек. В обновлении представили политики routing (policy selector, вкладки конфигурации, навигация), импорт конфигураций через Wizard первой итерации. Из важного – добавили метки алертов в аннотации, улучшили тестирование receiver’ов (в сторону Kubernetes-style API), а также исправили неточности во временных расчетах. В версии 12.4.0 оптимизировали преобразование regex в label matchers для Prometheus, ввели поддержку serverless для Elasticsearch и переменных в Query editor для PostgreSQL и MySQL. Работа с метриками и логами стала более предсказуемой. Ознакомиться с релизом – здесь. ⏺Что нового в GitHub Actions? Внесли обновления в API workflow dispatch: теперь при ручном запуске вы получаете идентификатор и ссылки на созданный run. Благодаря параметру return_run_details вам возвращаются метаданные workflow_id, run API URL и workflow URL. Эта функция также поддерживается в GitHub CLI, начиная с версии v2.87.0. Представленные обновления значительно облегчили автоматизацию, больше никакого кастомного трекинга :) Подробнее – тут и в GitHub Actions documentation. ⏺Что меняется с etcd при масштабировании в Kubernetes? Если вы годами разворачиваете кластеры Kubernetes и всё еще не задумались о etcd – статья от Learnkube для вас. В Kubernetes только API-сервер напрямую взаимодействует с etcd. Планировщик, менеджер контроллеров, kubelet, kubectl и ваши операторы взаимодействуют с Kubernetes через API-сервер. Так, etcd в статье назвали частным бэкэндом. Etcd предоставляет строгую согласованность (strong consistency) через Raft, но имеет ограничения в масштабируемости. Зачем мониторить размер БД, нагрузку watch и поведение API-сервера – тут. ⏺На портале DBI Service выкатили RAG-серию из двух статей. В первой части сосредоточились на версионировании эбмеддингов и событийно-ориентированной архитектуре. Вместо полной переиндексации эмбеддингов Адриан Обернессер рекомендует использовать событийно-ориентированный (event-driven) подход для ИИ workflow: обновляйте только то, что меняется. Так, вы экономите деньги и снижаете нагрузку. В статье рассматриваются PostgreSQL, pgvector, Apache Flink и Debezium – но подход применим к любому векторному стеку. Всего представлено 3 уровня практических решений, под задачи проектов разной сложности. Читайте здесь. Во второй части подборки Адриан Обернессер демонстрирует внедрение версионирования эмбедингов на примере реальной базы данных Википедии из репозитория pgvector_RAG_search_lab : 25 000 статей, триггеры, OpenAI API calls, реальные числа. Обязательно к прочтению для всех, кто хочет разобраться, как выглядят решения SKIP и EMBED на базе данных, как SELECT FOR UPDATE SKIP LOCKED работает c concurrent worker-ами и что интересного в отчёте об актуальности данных на практике. Рассмотреть – здесь. Весь код – в лабе. #devops #opensource #postgresql #новостнаяподборка

⚡ Как Netflix удерживает внимание миллионов с помощью кэша 🖖В этот понедельник поговорим о высоких нагрузках. В прошлом мы уже рассмотрели, как устроена архитектура стримингового сервиса. Ежедневно Netflix обслуживает сотни миллионов пользователей по всему миру, и скорость публикации напрямую влияет на удержание. Ключевым инструментом статье от NewsLetter назвали EVCache – распределённое in-memory хранилище. 💻EVCache используется для разных задач, каждая из которых напрямую влияет на производительность. Саураб Дашора в статье описал принцип работы look-aside cache для часто используемых данных. Например, рекомендации или история просмотров. Когда приложение запрашивает данные, то проверяет кэш, если данных там нет — обращается к БД. Так, при открытии домашней страницы Netflix рекомендации и миниатюры подгружаются почти моментально. Хранилище вмещает transient data, которая содержит информацию о текущей сессии. Данные о позиции видео, устройстве и действиях пользователя обновляются в реальном времени. Если вы ставите фильм на паузу на телефоне, то с легкостью возобновите просмотр на планшете или ноуте. Для некоторых задач EVCache работает как primary store. Например, персонализированные домашние страницы формируются ночью для каждого пользователя, а затем сохраняются в кэше. Больше о принципах работы – читайте тут. Именно использование EVCache позволяет Netflix поддерживать масштабируемость и предоставляет комфортный UX даже при огромной аудитории и высоких нагрузках. 👩‍💻 Подробнее о характеристиках и релизах – читайте на GitHub #архитектура #devops #кэширование

От пикселей до персонажа: ASCII-маскот в полёте В эту пятницу знакомимся с интересным проектом от команды GitHub 👩‍💻 GitHub Copilot CLI получил анимированный ASCII-баннер, который оживляет терминал и превращает запуск CLI в перформанс. Неочевидно, но анимация оказалась квестом: 3 секунды, 20 кадров и более 6 000 строк TypeScript. Зато! Маскот Copilot теперь красиво летает прямо в вашей консоли :) У терминалов нет канвы, цвета ANSI ведут себя по-разному, а экранные читалки воспринимают быстро меняющиеся символы как шум. Поэтому анимация сделана в формате opt-in, цвета применяются через семантические роли (eyes, goggles, border и т.д.), а рендеринг через Ink. И баннер работает на разных ОС, терминалах, поддерживает светлые и тёмные темы, не мешает работать с CLI. К тому же, архитектура позволяет легко добавлять новые анимации, а инструмент вдохновил на создание open-source проекта ASCII Motion. 📔Читаем, смотрим, тестируем и вдохновляемся инженерным мастерством команды GitHub! #devops #opensource

Срединедельная подборка новостей 🗣До весны осталось… два новостных дайджеста. Что запомнилось по итогам недели? ⏺Обновления Linux В Linux 7.0 ускорили обработку сетевых пакетов. Разработчики вручную встроили функцию timecounter_cyc2time(), т.к. компилятор не справлялся с этим автоматически. В тестах это дало +12% производительности UDP на 100ГБ сетевых картах. Такая оптимизация важна для новых сетевых протоколов, которые требуют точных отметок времени, например для Swift congestion control в TCP. Кроме того, улучшили работу подсистемы таймеров при переходе сервера в режим ожидания. Коммит – здесь, подробности – тут. ⏺Chrome 145 – обновления безопасности Google анонсировала стабильную версию браузера. Традиционно, усилили безопасность и обновили sandbox. Также добавили DBSC (Device Bound Session Credentials) для привязки сессий к конкретному устройству. Ввели разделение прав доступа для защиты от CSRF-атак, устранили 11 уязвимостей, в том числе критические – CVE-2026-2313 (CSS), CVE-2026-2314 (Codecs), CVE-2026-2315 (WebGPU). Обратите внимание, в новой версии нельзя откатить User-Agent Reduction. Для корпоративных пользователей Google поддерживает ветку Extended Stable с 8-недельным циклом обновлений. Релиз следующей версии – 10 марта. Подробнее – тут. ⏺Отчёт об инцидентах в GitHub GitHub опубликовали отчёт за январь 2026, где описали два крупных инцидента. 13 января на 46 минут проблема возникла у Copilot Chat и интеграции с IDE из-за ошибки конфигурации при обновлении модели GPT‑4.1, а через два дня увеличились задержки и тайм-ауты в сервисах репозиториев, API, Actions, уведомлениях и при авторизации при обновлении инфраструктуры БД. Инциденты от 9 февраля войдут в отчёт марта, а подробнее о решениях – здесь. ⏺В каких средах Kubernetes HPA менее эффективен? На InfoQ выкатили статью о проблемах autoscaling-а приложений для edge-инфраструктуры в Kubernetes. В ней автор поясняет, Horizontal Pod Autoscaler (HPA) не работает для сценариев с низкой латентностью и ограниченными ресурсами. HPA использует пропорциональную формулу и опирается на метрики типа CPU, что в edge-среде ведет к позднему масштабированию и росту числа подов. Модели не хватает гибкости при нестабильной нагрузке (IoT-шлюзы, игровые серверы). В качестве решения автор делится опытом использования Custom Pod Autoscaler (CPA), описывает архитектуру, логику на Python, интеграцию с системой метрик Prometheus, а также демонстрирует результаты нагрузочного тестирования. По сравнению с HPA алгоритм обеспечивает меньшую амплитуду колебаний числа реплик, стабильную латентность, снижение потребления CPU. Подробнее – тут. ⏺Оптимизация работы с дашбордами Fiveonefour Docs разобрали, как снизить нагрузку на базы OLTP и улучшить производительность дашбордов. В гайде автор описывает настройку CDC (Debezium, ClickPipes), репликацию данных и безопасный переход на ClickHouse без изменения логики. В статье также описан ИИ-workflow через MooseStack, где ассистенты (Claude Code, Cursor, Codex) работают с проверкой запросов и тестированием на локальном окружении, что ускоряет миграцию. Почитать – здесь, разобрать гайд – тут. #devops #kubernetes #linux #новостнаяподборка

🎤 Спикер #gamedevcityfest2026 Петр Рукин, технический руководитель, Nixys Тема выступления: "Build-ферма для геймдева: стратегический выбор между облаком и собственным железом на реальных цифрах" Петр — технический руководитель в Nixys, с более чем 5-летним опытом в DevOps и более 30 реализованными проектами для разных компаний и бизнесов. Он делится только реальным опытом, показывая настоящие сложности и подводные камни работы с инфраструктурой. В докладе Петр подробно разберёт: - когда облачные решения становятся дороже собственного железа (CapEx vs OpEx) и как считать TCO; - скрытые расходы на данные, API-запросы и трафик, которые съедают бюджет; - гибридные модели: как использовать облако для пиковых ночных билдов и нагрузочного тестирования, а основную разработку вести на on-premise; - автоматическое масштабирование и настройку scaling policies для ресурсоёмких задач; - практический чек-лист и архитектурный шаблон гибридной фермы, который даёт облачную гибкость без постоянных облачных счетов; - реальные метрики, бенчмарки и критерии выбора между облаком и собственным железом для обоснования перед финансовым директором или инвестором.