DevOps FM

К сегодняшней среде подготовили для вас свежий дайджест интересных новостей и материалов за неделю. ⚫️ Let's Encrypt начала выдавать бесплатные TLS-сертификаты для IP-адресов Let's Encrypt анонсировали начало предоставления бесплатных сертификатов для IP-адресов. Срок действия сертификатов составит 6 дней и пока генерация происходит только в тестовом режиме. Для запроса сертификата требуется наличие в ACME-клиенте поддержки расширения протокола, реализующего профили, а также поддержки профиля shortlived. Полноценный доступ ожидается к концу 2025 года. 🟡 Зарелизили GNU Bash 5.3 Спустя почти три года разработки представлена новая версия одного из самых популярных Unix-оболочек. Обновление затронуло как функциональность самой оболочки, так и библиотеку Readline, которая используется для редактирования командной строки. Что нового: • Появился новый формат подстановки команд ${ command; } и ${|command;} • Добавлена переменная GLOBSORT — теперь можно управлять сортировкой файлов при автодополнении • Команды read, source, compgen получили новые опции. • Bash переведён на стандарт C23 — поддержка старых K&R C-компиляторов прекращена. Полный список изменений можно найти здесь. ⚫️ На официальном блоге Kubernetes вышел разбор проблем с отказами устройств в подах Авторы статьи делятся выводами из доклада на KubeCon NA и обсуждают, почему текущая модель отказоустойчивости Kubernetes не справляется с современными задачами. AI/ML-нагрузки предъявляют новые требования: устройства дорогие, сбои критичны, а переиспользование подов и девайсов должно быть максимально эффективным. В статье рассказывается о текущих решениях — от кастомных контроллеров до политик завершения работы подов, а также о том, какие доработки планируются в SIG Node: больше extension points, учёт деградации устройств, интеграция с DRA и многое другое. Чтобы прочитать статью — кликните сюда. 🟡 Манешвар, разработчик LiveAPI, опубликовал гайд по миграции AWS EC2-инстанса в Google Cloud с сохранением всех данных и конфигураций — от ОС до пользовательских файлов. В статье он подробно описывает каждый этап: создание AMI, экспорт в S3, импорт в GCP и запуск нового инстанса на базе полученного образа. #devops #kubernetes #bash #aws

Начинаем рабочую неделю с занимательной статьи от Шарона Брызинова. Удалили секрет из GitHub? Увы, он всё равно остаётся доступен. Даже после git reset --hard HEAD~1 с последующим git push --force коммиты не исчезают навсегда — GitHub хранит их в архиве и позволяет восстановить по хешу. Исследователь автоматизировал поиск таких «висячих» коммитов, использовав GitHub Event API, GH Archive и TruffleHog и нашёл тысячи ключей и токенов. Один из них открывал админ-доступ ко всем репозиториям Istio, что могло привести к масштабной supply chain-атаке, но уязвимость вовремя устранили. В статье — как Шарон он наткнулся на эту проблему, получил доступы к проектам Google, RedHat и других крупных корпораций и создал open-source проект для сканирования подобных утечек. #devops #github #security

В эту пятницу рассказываем про онлайн-сервисы для знакомства с Docker и Kubernetes 👩‍💻 Play with Docker — интерактивная площадка для изучения Docker. После авторизации вас перенаправит на облачный хост, где вы можете создавать инстансы Docker-кластера актуальной версии. Сессия длится 4 часа. Чтобы разобраться было проще, авторы сделали отдельные интерактивные инструкции. В них можно быстро освоить базовые команды Docker, работу с docker-compose, volumes, сетями и даже с Docker Swarm. 👩‍💻 Play with Kubernetes — аналогичная Play with Docker площадка для изучения Kubernetes. На сайте вам предоставляется доступ к виртуальной Linux-машине, где можно баловаться с кластерами и разбираться с основными концепциями оркестратора. Как и в случае с Docker, у Kubernetes есть собственный обучающий портал, где можно пошагово пройти сценарии развёртывания подов, сервисов, ingress, конфигов и прочих сущностей. Отличный способ разобраться в основах и попрактиковаться без настройки инфраструктуры. Команда DevOps FM желает приятных выходных. А тем, кто работает или дежурит – спокойных рабочих смен! #devops #docker #kubernetes

👩‍💻 Всем понедельничный DevOps! Подготовили для вас подборку полезных инструментов для Kubernetes. kro — фреймворк, который позволяет объединять множество Kubernetes-ресурсов в один пользовательский API. С помощью него можно создавать группировки ресурсов и скрывать всю инфраструктурную сложность за простым и понятным интерфейсом для разработчиков в CRD. popeye — сканер для кластеров, который на лету проверяет конфигурации и выдает предупреждения о потенциальных проблемах. Он помогает находить ошибки в манифестах, устаревшие ресурсы, несоответствие best practices и перекосы в выделении CPU/памяти. rancher — платформа управления Kubernetes-кластерами, которая обеспечивает централизованный контроль доступа, мониторинг, деплой приложений и автоматизацию операций через единый интерфейс. #devops #tools #opensource

⚙️ Маленькие CI/CD и большие результаты На Reddit подняли интересную тему о различных CI/CD процессах, задав вопрос: Какие небольшие, но полезные улучшения в CI/CD вы сделали? Собирали для вас несколько популярных ответов:

Для меня это было включение подсветки ошибок в журналах сборки. Эффект был колоссальным, потому что теперь разработчики могли легко сортировать журналы сборки. Коротко и ясно. Не поймите меня неправильно, у нас все еще есть сбои, но теперь очень просто найти 👍

Напишите как можно больше CI/CD-задач в виде отдельных скриптов, чтобы можно было запускать и тестировать их локально. Но не заходите слишком далеко: написание собственной CI/CD системы на скриптовом языке — не самое лучшая трата вашего времени. Чтобы скрипты было легко вызывать, добавьте несколько Makefiles в качестве обертки. Только эти две вещи сэкономят вам огромное количество времени.

Производительность CI/CD зависит от кэширования. В GitHub Actions есть кэш, который поддерживается Docker. Его использование значительно повышает производительность. В этом проекте есть ряд примеров использования кэширования для оптимизации производительности. Например, использование GitHub docker реестра для обмена образами между параллельными этапами, использование кэша GitHub для файлов и т. д. Вообще говоря, будет лучше, если вы сможете запускать CI/CD локально для дебага. Иначе вы застрянете в медленном цикле коммитов кода и ожидания сбоя CI. В этом проекте используется «контейнерная» сборка и тестирование, поэтому все, что возможно, делается в Docker. Так получается его более изолированно.

А какие CI/CD процессы посоветовали бы вы? #devops #reddit #cicd

🔐 Секреты в условиях мультиоблачной инфраструктуры. Не каждый работает с инфраструктурой, где чувствительные данные разбросаны между десятками микросервисов, облаками и кодовой базой. Тем интереснее узнать, как такие системы устроены и как в них обеспечивают безопасность. В Uber рассказали, как они создали централизованную платформу управлением секретами, которая изменила их подход к защите распределённых систем. Они объединили более 25 разрозненных хранилищ в отказоустойчивую систему на базе Vault, автоматизировали 20 000 ротаций в месяц и сократили дистрибуцию секретов на 90%. А ещё — разработали собственный протокол для обмена с внешними сервисами и движутся к модели secretless благодаря SPIRE. О том, как это удалось реализовать — в статье. #devops #security #infrastructure

📚 Пятничное чтиво на канале DevOps FM. В прошлом мы уже обсуждали зомби-ресурсы в облаке, теперь пришло время зомби-процессов — и не где-нибудь, а внутри Docker-контейнера с Go-приложением. Савас Вендова делится кейсом, в котором его сервер стабильно падал с ошибкой Redis Pub/Sub из-за проблем с утечкой памяти. Причиной были зомби: дочерние процессы Node.js не завершались корректно даже после os.Process.Kill() в Go. А поскольку приложение запускалось как PID 1 внутри Docker, оно не собирало съедающие ресурсы зомби-процессы. Проблему решили с помощью Tini — init-решения для контейнеров. Оно перехватывает SIGCHLD и корректно завершает все процессы. Подробный разбор кейса с примерами читаем здесь. Желаем всем, кто отдыхает, хороших выходных, а тем, кто дежурит — спокойных смен без серьёзных алертов и зомби! #devops #docker #go #zombieprocesses

🌐 HashiCorp опубликовали чеклист, который поможет выстроить грамотное управление секретами на каждом этапе зрелости компании: от первых шагов в облаке до масштабирования в мультиоблачной инфраструктуре.  В статье разбираются best-practices, которые помогают выстроить безопасную стратегию и упростить управление секретов. Вы узнаете, как и где безопасно хранить статические и динамические секреты, когда внедрять автоматизацию и что делать когда требуется масштабирование. Материал как для начинающих, так и для тех, кто уже работает с облачными инфраструктурами.  Какой из пунктов чеклиста вы бы добавили в инфраструктуру в первую очередь? #devops #bestpractices

Публикуем еженедельный дайджест релизов и новостей. ⚫️ Зарелизили FreeBSD 14.3 В новой версии обновили LLVM, OpenSSH, OpenZFS и другие сторонние компоненты, добавлена поддержка параметров для привязки политик и выполнения sysctl к jail-окружениям, изменили логику обработки флага "-U". Все изменения можно посмотреть здесь. 🟡 В блоге Kubernetes вышла статья о выходе Inference Extension для Gateway API — расширения, которое упрощает маршрутизацию трафика к LLM и другим AI/ML-моделям в Kubernetes. В материале рассказали, как новое расширение учитывает особенности inference-нагрузок: продолжительность сессий, использование GPU и тип модели. Оно позволяет гибко направлять трафик на наименее загруженные поды, снижая задержки и повышая эффективность работы. ⚫️ На InfoQ вышел подробный гайд по использованию зеркалирования трафика для отладки и тестирования микросервисов. Авторы рассказали, как безопасно дублировать реальный трафик на теневые сервисы без влияния на пользователей — с помощью Istio, AWS VPC, eBPF и других инструментов. Если кратко: • Зеркалирование позволяет ловить редкие баги, проводить регрессионные тесты и профилировать производительность в условиях, близких к боевым. • Возможны разные уровни — L7 (через Istio и NGINX), L4 (через AWS VPC Mirroring), eBPF и DIY-решения. Подробности и кейс с примерами читаем в статье. #devops #freebsd #kubernetes #microservices

👩‍💻 Всем DevOps! Сегодня делимся небольшой подборкой полезных репозиториев. ➖The Art of Command Line. Справочник по владению командной строкой с практическими советами, есть так же спецраздел для macOS и Windows. ➖Devops Exercises. Коллекция практических вопросов и задач по DevOps, Linux, CI/CD, сетевым основам, облачным технологиям и другим темам. ➖Awesome Sysadmin. Лаконичный и полезный гид по open-source инструментам для сисадминов. #devops #репозиторий

👩‍💻 В эту пятницу Kubernetes исполняется 11 лет — рассказываем, как всё начиналось. 6 июня 2014 года был сделан первый коммит Kubernetes. Работу над проектом начинали трое инженеров: Джо Беду, Брендон Бёрнс и Крэйг МаКлаки. Они хотели создать систему, которая упростит запуск контейнеризированных приложений и сделает это доступным не только гигантам, но и всему сообществу разработчиков. О Borg. В 2000-х годах существовал Borg — внутренняя система управления контейнерами в Google, названная в честь киберсуществ из Звездного пути. Она позволяла эффективно распределять нагрузку между серверами и автоматизировать работу с приложениями, позже эти идеи легли в основу Kubernetes. Однако Borg был доступен только инженерам Google, и это ограничивало его влияние на внешний рынок. В 2010-х появляется Docker, популяризируя новый облачный подход к работе с приложениями. Именно исходя из его ограничений в одну рабочую машину, создатели Kubernetes поставили цели для будущего проекта, а именно:

• Репликация для развертывания нескольких экземпляров приложения
• Балансировка нагрузки и обнаружение сервисов для маршрутизации трафика в эти реплицированные контейнеры
• Базовая проверка работоспособности и ремонт для обеспечения самовосстановления системы
• Планирование объединения большого количества машин в один пул и распределение работы между ними

Первый публичный анонс состоялся в июне 2014 года на DockerCon, а в 2015 году Kubernetes стал первым проектом новой организации CNCF, которая до сих пор курирует развитие ключевых инструментов cloud-native инфраструктур. О названии. Название выбрали говорящее: Kubernetes — в переводе с греческого «штурман», а символом проекта стал штурвал. Для тех, кто хочет погрузиться в историю глубже — советуем неплохую двухсерийную документалку от команды Honeypot: первая и вторая части.

Первая летняя подборка новостей и релизов уже в эфире DevOps FM! 🟡 Зарелизили VirtualBox 7.1.10 Oracle выпустили VirtualBox 7.1.10, в которой исправили некоторые ошибки и улучшили производительность. Из интересного: • Добавлена поддержка Linux 6.15. • Исправили проблемы с аварийным завершением VBoxManage на хостах Windows и завершением процесса VM Selector на базе Linux • Исправлена проблема, не позволявшая вставлять данные из буфера обмена в гостевую систему, доступ к которой осуществляется при помощи протокола RDP. ⚫️ В блоге Kubernetes вышла статья о том, как обеспечить корректный порядок запуска контейнеров в поде, когда основное приложение зависит от sidecar-контейнера. В материале рассматривается, почему даже при использовании нативных sidecar-контейнеров с restartPolicy: Always нельзя гарантировать, что sidecar будет полностью готов до старта основного приложения. Автор показывает, как решить эту проблему с помощью startupProbe, postStart-хуков и других механизмов Kubernetes, чтобы добиться нужной последовательности запуска. ⚫️ Линус Торвальдс распорядился заблокировать учётную запись лидера Ubuntu Security Team Кеса Кука, одного из главных сторонников Rust в ядре, заблокировали за подмену информации об авторстве коммитов. Поводом стал pull-запрос в Linux 6.16, в котором использовался git-репозиторий с фиктивными изменениями — ряд коммитов в нём значились от имени самого Торвальдса, хотя он к ним не имел отношения. Торвальдс расценил это как потенциально вредоносную активность и потребовал немедленной блокировки профиля Кука до выяснения обстоятельств. Кес объяснил инцидент неудачным восстановлением репозитория после сбоя SSD и ошибкой в использовании утилиты git-filter-repo в связке с b4 trailers. Позже автор утилиты b4 подтвердил, что подмена произошла без злого умысла и была следствием некорректного использования утилиты. Доступ Кука к инфраструктуре был восстановлен, а в b4 появится дополнительная проверка, предотвращающая подобные случаи в будущем. 🟡 На TheNewStack опубликовали результаты исследования от Google посвященное зрелости подхода платформенной инженерии и ее влияние на бизнес. Один из ключевых выводов — 65% времени разработчиков тратится на задачи, которые можно устранить с помощью платформенной инженерии — например, настройка инструментов, обновления, поддержка среды и т.д. Ознакомиться с остальными результатами можно здесь. #devops #linux #kubermetes #platformengineering

💻 Helm-чарты “из коробки” упрощают установку, но часто игнорируют безопасность: сервисы могут быть доступны извне без авторизации,что даёт злоумышленникам полный доступ к данным и управлению приложениями. В статье от Microsoft вы узнаете, как дефолтные конфигурации Helm-чартов для Apache Pinot, Meshery и Selenium приводили к инцидентам. Исследователи призывают проверять конфигурации, мониторить состояние кластеров и не полагаться на установки “по умолчанию”. #devops #helm #security

🎙 В эфире DevOps FM — пятничная подборка подкастов 1. Mastering Microservices от Stack Overflow Podcast. В гостях — Жё Джордж, бывший архитектор Uber и Netflix. Он вместе с ведущим обсуждает эволюцию микросервисной архитектуры, ключевую роль инструментов оркестрации, а также переход от open-source к управляемым сервисам. 2. KubeCon EU 2025 Special от Kubernetes Podcast. Всё самое интересное с KubeCon в Лондоне: платформенный инжиниринг, AI в Kubernetes, свежие апдейты по ядру и неожиданные кейсы вроде запуска Kubernetes на молочной ферме. Также — новости экосистемы, новые фичи в Kubernetes 1.33 и развитие Gateway API. 3. OpenTofu with Cory O’Daniel and Malcolm Matalka от Software Engineering Daily. В этом выпуске рассказывают, как изменение лицензии HashiCorp привело к созданию OpenTofu, делятся историей запуска проекта, обсуждают роль сообщества и объясняют, почему OpenTofu стал важным инструментом для IaC. Желаем приятного прослушивания! Тем, кто отдыхает — хороших выходных, а тем, кто работает — спокойных дежурных смен! #devops #подкаст

Всем DevOps! Деплоим средовую подборку новостей и статей. ⚫️ Обнаружена уязвимость в GitHub MCP-сервере, связанная с ИИ-агентами Команда Invariant Labs опубликовала исследование уязвимости, которая позволяет злоумышленнику через Issue заставить ИИ-агента слить данные из приватных репозиториев. В отчете продемонстрировано, как атака реализуется на практике и предложены инструменты для обнаружения и предотвращения. Рекомендуем ознакомиться тем, у кого есть ИИ-ассистенты в репозиториях. 🟡 В Grafana появилась поддержка импорта алертов в через UI. Теперь можно перенести алерты из Prometheus, Loki и Mimir в Grafana-managed alerts через UI и API. О ньюансах — в статье. ⚫️ Ракан Аль-Зага опубликовал статью о современных подходах к авторизации. Он объясняет, почему традиционные модели (RBAC, ABAC) не справляются с масштабом микросервисов и мультиоблачной архитектуры и предлагает иные решения: Policy-as-Code и Authorization-as-a-Service. 🟡 Шон Вэбб рассказал о прогрессе внедрения Rust в FreeBSD. Сейчас в отдельной ветке защищенных сборок FreeBSD уже можно собрать Rust-компоненты, при этом все зависимости лежат локально и собираются с пакетным менеджером Cargo. Поддержка библиотеки cdylib, нескольких программ в одном Makefile и прочие фичи — в планах. ⚫️ Крис Ричардсон выпустил вторую часть серии об аутентификации и авторизации в микросервисной архитектуре. На этот раз речь идёт об аутентификации — проверке личности пользователя. Крис объясняет, зачем микросервисам нужен отдельный IAM-сервис, как работают OAuth 2.0 и OpenID Connect, и как встроить всю эту механику в распределённую систему.

👩‍💻 Представлен релиз ядра Linux 6.15 В новой версии — почти 15 тысяч нововведений, пара из которых, кстати, оказалась спорной. Тем не менее большинство изменений затронули улучшения драйверов и обновление кода. Немного про основные фичи: в состав яда приняты драйвера Nova для GPU NVIDIA на Rust, во FUSE реализованы таймауты на выполнение запросов, для exFAT ускорили операции удаления файлов, а в Btrfs добавили возможность указания уровней сжатия zstd, обеспечивающих более высокую скорость работы. ✳️ Одним из спорных моментов стало внедрение подсистемы fwctl, предназначенной для стандартизации безопасного взаимодействия и изменения для io_uring. Некоторые разработчики, включая Линуса Торвальдса, выразили обеспокоенность по поводу прозрачности и соответствия этих изменений установленным процессам разработки ядра. Несмотря на споры, Линус Торвальдс отметил, что в финальном релизе «ничего особенно страшного нет» и выразил удовлетворение от проделанной работы. #devops #linux

☁️ Облачные концепции и их ньюансы Пользователь Reddit предложил поделиться cloud концепциями, на понимание которых ушло гораздо больше времени, чем ожидалось. Вот несколько интересных кейсов:

Для меня это был IAM на AWS. Сначала все казалось простым — просто дайте пользователям права, верно? Но когда я вник в роли, политики, привилегии... Это было похоже на падение в кроличью нору. Я сомневался в своих силах каждый раз, когда пытался устранить проблемы с доступом. Даже сейчас я перепроверяю каждую написанную политику по три раза 😅.

Думаю, для меня это была VPC на AWS. Это просто подсети... Ха-ха. Маршруты, шлюзы, частные и публичные подсети — все это похоже на попытку подключения центра обработки данных с помощью невидимых кабелей. Мне потребовалось слишком много времени, чтобы понять: что самая защищенная группа это та, которая ни с кем не соединена 😅.

Ценообразование

Oauth2/OpenID и смежные вопросы, они удивляют меня каждый день. На первый взгляд все просто, но когда у вас есть несколько приложений с разными требованиями, использующих разные сценарии — их настройка превращается в запутанную паутину. Добавьте сюда корпоративную IDP, и на пенсию вы будете выходить со словами «сейчас, еще кое-что доделаю». В нашей команде мы тратим 70% времени на различные темы аутентификации и авторизации. Это бесконечная яма.

Делитесь своими черными дырами в cloud-концепциях! Всем желаем весёлого чтения и хороших выходных! #devops #reddit #cloud

Дайджест в среду как хорошо настроенный мониторинг: всегда ловит самое важное. 🟡 Зарелизили Debian 12.11 В релиз вошло 81 исправление ошибок для различных пакетов и 45 обновлений безопасности. Обновили ядро Linux, новые опции монтирования для XFS, добавили поддержку новых устройств и режима восстановления системы. Все обновления можно посмотреть здесь. Напомним, что Debian 13 уже находится в стадии жесткой заморозки для тестирования и исправления проблем, релиз ожидается этим летом. ⚫️ У Docker появились Hardened Images — безопасные по умолчанию контейнеры, рассчитанные на продакшн. Образы минимальны, регулярно обновляются и поддерживают знакомые дистрибутивы вроде Debian. Поддерживается кастомизация, интеграция с CI/CD и инструментами безопасности. Подключение довольно простое, достаточно заменить базовый образ в Dockerfile. Больше информации в статье. 🟡 На Faun опубликовали статью о 5 CI/CD-практиках, которые помогают сократить деплой. Автор рассказывает, как команда отказалась от ручных проверок, сделала пайплайн stateless, добавила автоматические гейты между окружениями и настроила безопасное управление секретами. Всё это — с примерами конфигов и скриптов. ⚫️ Microsoft открыли исходный код WSL и запустили сайт wsl.dev для разработчиков. Теперь любой желающий может собрать WSL из исходников, предложить патчи и поучаствовать в развитии подсистемы. Код опубликован под MIT-лицензией. Также в открытый доступ выложили консольный редактор Edit на Rust. #devops #docker #microsoft #debian

Привет! В этот понедельник предлагаем освежить в памяти, как устроено сетевое взаимодействие. Лука Каваллин собрал в одном месте ключевые сетевые протоколы и кратко прошёлся по каждому. В обзоре — сравнение TCP и UDP, роль ICMP в диагностике, IGMP в мультикастах, а также краткие описания IP, ARP и DNS. Всё это — с акцентом на назначение, структуру и механику взаимодействия протоколов. Почитать и вспомнить детали можно здесь. ➕Какие особенности сетевого стека чаще всего всплывают у вас на практике? Расскажите в комментариях — возможно, получится хороший чеклист. #devops #network #protocols

Всем DevOps 🖐 Сейчас проводится ежегодное исследование состояния DevOps в России 2025. Своим мнением делятся более 4000 представителей индустрии: разработчики, тестировщики, администраторы, инженеры, техлиды и тимлиды, CIO, CTO. В центре внимания в этом году — Developer Experience: насколько опыт разработчиков влияет на эффективность команд и бизнеса. В отчете вы сможете узнать о: • Cloud-трансформации, ключевых трендах и инновациях в cloud • влиянии практик и инструментов на Developer Experience • инструментах и подходах в DevSecOps • влиянии ИИ в разработке ПО • профилях эффективности и бенчмарках индустрии ➡️ Важно мнение каждого респондента. Опрос можно пройти по ссылке. Участие анонимно. Все полученные данные будут использоваться в обобщенном виде и не будут передаваться сторонним компаниям. #партнерский_пост