DevOps | Вопросы собесов

🤔 Как происходит секьюрити тест какой алгоритм под капотом? Security-тестирование – это процесс проверки системы на уязвимости, угрозы и риски атак. Оно помогает защитить данные и сервисы от хакеров. 🚩Сканеры уязвимостей (Nessus, OpenVAS) - Загружают базу известных уязвимостей (CVE). - Проверяют систему на наличие этих уязвимостей. - Используют сигнатурный анализ (по шаблонам) и эвристический анализ (поведенческий). 🚩SQL-инъекции (SQLmap, Burp Suite) - Автоматически подставляют вредоносные SQL-запросы (' OR 1=1 --). - Проверяют, есть ли доступ к базе данных. - Выполняют дамп данных, если нашли уязвимость.

SELECT * FROM users WHERE username = 'admin' --' AND password = 'password'

🚩Поиск XSS-уязвимостей (DOM-XSS, Stored-XSS, Reflected-XSS) - Вставляют вредоносный JavaScript-код в форму ввода. - Если скрипт исполняется в браузере – уязвимость найдена.

<script>alert('XSS!')</script>

🚩Подбор паролей (Brute Force, Dictionary Attack) - Пробуют тысячи вариантов паролей (rockyou.txt). - Используют John the Ripper, Hydra, Hashcat.

hydra -l admin -P passwords.txt 192.168.1.1 ssh

🚩Анализ трафика (MITM, Sniffing, Packet Analysis) Захватывают пакеты сети (tcpdump, Wireshark). Ищут передаваемые пароли, сессии, токены. Ставь 👍 и забирай 📚 Базу знаний

Быстрый старт в кибербез: с нуля до первой работы Ищешь перспективную профессию с быстрым ростом зарплаты? Кибербезопасность — востребованная сфера с острой нехваткой специалистов. Здесь реально выйти на доход от 70 000 уже за полгода. Даже без опыта и образования в ИТ. С чего начать и как построить карьеру, расскажут эксперты Солара на вебинаре 11 сентября в 19:00: ✅Какие профессии доступны новичкам без опыта и как быстро их освоить. ✅Как найти свою первую работу. ✅Какие ошибки допускают новички в начале пути. 👌Всем участникам подарим пошаговый план по саморазвитию и быстрому старту в кибербезопасность. Зарегистрироваться #реклама 16+ rt-solar.ru О рекламодателе

🤔 Что такое автоскалирование? Автоскалирование — это механизм, при котором Kubernetes автоматически увеличивает или уменьшает количество подов в зависимости от нагрузки (CPU, память, запросы и др.). Варианты: - Horizontal Pod Autoscaler (HPA) — масштабирует количество подов. - Vertical Pod Autoscaler (VPA) — меняет ресурсы пода. - Cluster Autoscaler — масштабирует сами узлы в облаке. Ставь 👍 если знал ответ, 🔥 если нет Забирай 📚 Базу знаний

📺 Уникальная база IT собеседований 456+ реальных собеседований на программиста, тестировщика, аналитика и прочие IT профы. Есть собесы от ведущих компаний: Сбер, Яндекс, ВТБ, Тинькофф, Озон, Wildberries и т.д. 🎯 Переходи по ссылке и присоединяйся к базе, чтобы прокачать свои шансы на успешное трудоустройство!

🤔 Для чего используются иниь контейнеры? Init-контейнеры (init containers) – это специальные контейнеры в поде, которые запускаются перед основным приложением. Они выполняют подготовительные задачи, а затем завершаются. 🚩Основные сценарии использования Init-контейнеров 🟠Подготовка окружения Создание директорий, загрузка конфигураций или файлов перед запуском основного контейнера. 🟠Ожидание зависимостей Проверка доступности БД, API или других сервисов перед запуском приложения. 🟠Миграции БД Выполнение migrations перед стартом веб-приложения. 🟠Проверка и валидация данных Убеждаемся, что все файлы и настройки корректны. 🚩Как работают Init-контейнеры? Запускаются последовательно (поочередно). Должны завершиться успешно, иначе весь под не стартует. Не перезапускаются после завершения. Не делят volume'ы с основным контейнером (могут передавать данные через shared volumes). 🚩Пример: Init-контейнер, проверяющий доступность БД

apiVersion: v1
kind: Pod
metadata:
  name: my-app
spec:
  containers:
  - name: main-app
    image: my-app:latest
    ports:
    - containerPort: 8080
  initContainers:
  - name: wait-for-db
    image: busybox
    command: ['sh', '-c', 'until nc -z db-service 5432; do echo waiting for DB; sleep 2; done;']

Ставь 👍 и забирай 📚 Базу знаний

Тариф, с которым хватит на всё 50 ГБ и безлимитные минуты за 390 ₽ в месяц, если перенесете номер в Т-Мобайл до 31 августа Узнать больше #реклама tbank.ru О рекламодателе

🤔 Что такое ключ в таблице? Ключ — это уникальный идентификатор строки в таблице БД. - Первичный ключ (PRIMARY KEY) — уникален, не NULL. - Используется для поиска, индексации и ссылок (внешних ключей). Пример: id клиента, номер счёта. Ставь 👍 если знал ответ, 🔥 если нет Забирай 📚 Базу знаний

🤔 Как определить опции запуска пайплайна при редактировании определенных ресурсов в гите? При работе с CI/CD (GitHub Actions, GitLab CI, Jenkins) часто нужно запускать пайплайн только при изменении определенных файлов. Это помогает оптимизировать сборку, экономить ресурсы и время. 🚩В GitHub Actions (on: push, paths) В GitHub Actions можно указать файлы, изменения в которых запустят пайплайн.

name: Infra Pipeline
on:
  push:
    paths:
      - 'infra/**'
      - 'k8s/**'
  pull_request:
    paths:
      - 'infra/**'
      - 'k8s/**'
jobs:
  deploy:
    runs-on: ubuntu-latest
    steps:
      - name: Checkout code
        uses: actions/checkout@v3
      - name: Deploy Infrastructure
        run: ./deploy.sh

🚩В GitLab CI/CD (only: changes) В GitLab можно настроить запуск пайплайна по изменению файлов с помощью only: changes.

stages:
  - deploy

terraform:
  stage: deploy
  script:
    - terraform apply -auto-approve
  only:
    changes:
      - terraform/**

🚩В Jenkins (when { changes }) В Jenkins Declarative Pipeline можно использовать when { changes } для проверки измененных файлов.

pipeline {
    agent any
    stages {
        stage('Deploy Ansible') {
            when { changes path: 'ansible/**' }
            steps {
                sh './deploy_ansible.sh'
            }
        }
        stage('Deploy Helm') {
            when { changes path: 'helm/**' }
            steps {
                sh './deploy_helm.sh'
            }
        }
    }
}

Ставь 👍 и забирай 📚 Базу знаний

Бесплатный курс по инфографике для WB и Ozon Научись создавать инфографику для карточек на маркетплейсах и работать в Figma! Студенты курса в среднем зарабатывают от 68 000 ₽ уже во время обучения💰 Этот курс для тебя, если ты: ✅ мечтаешь о новой профессии в digital, но не знаешь, с чего начать; ✅ чувствуешь, что хочешь большего — свободы, самореализации, творчества; ✅ полный новичок и хочешь систему, а не хаос; ✅ хочешь начать зарабатывать удалённо. Зарегистрироваться #реклама 16+ yudaevschool24.online О рекламодателе

Ура, друзья! Изиоффер переходит в публичное бета-тестирование! 🎉 Что нового: 🟢Анализ IT собеседований на основе 4500+ реальных интервью 🟢Вопросы из собеседований с вероятностью встречи 🟢Видео-примеры ответов на вопросы от Senior, Middle, Junior грейдов 🟢Пример лучшего ответа 🟢Задачи из собеседований 🟢Тестовые задания 🟢Примеры собеседований 🟢Фильтрация всего контента по грейдам, компаниям 🟢Тренажер подготовки к собеседованию на основе интервальных повторений и флеш карточек 🟡Тренажер "Реальное собеседование" с сценарием вопросов из реальных собеседований (скоро) 🟢Автоотклики на HeadHunter 🟢Закрытое сообщество easyoffer 💎 Акция в честь открытия для первых 500 покупателей: 🚀 Скидка 50% на PRO тариф на 1 год (15000₽ → 7500₽) 🔥 Акция уже стартовала! 👉 https://easyoffer.ru/pro

🤔 Что за сущность такая оператор и зачем нужна? Это концепция Kubernetes, позволяющая автоматизировать управление ресурсами через контроллеры. 1. Оператор управляет жизненным циклом сложных приложений, таких как базы данных или кластеры. 2. Используется для настройки, обновления и восстановления приложений в кластере. Ставь 👍 если знал ответ, 🔥 если нет Забирай 📚 Базу знаний

Знаете ли вы, что логические ошибки в веб-приложениях могут привести к утечкам данных и финансовым потерям? 💻На открытом уроке 14 августа в 20:00 МСК мы разберем, чем логические уязвимости отличаются от традиционных (SQLi, XSS) и почему они не видны обычным сканерам. Мы изучим реальные кейсы, где ошибки в бизнес-логике приводили к серьёзным последствиям, и расскажем о методах их выявления. ❗️Урок будет полезен разработчикам, security-аналитикам и pentest-инженерам, которые хотят научиться эффективно тестировать и защищать веб-приложения. 👉Посетите вебинар и получите скидку на полный курс «Пентест. Инструменты и методы проникновения в действии»: https://otus.pw/EdZ9/ Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

Методичка: как сделать онлайн-встречи эффективнее Надоело ждать коллег, которые постоянно забывают о встречах, а отсутствие повестки и потерянные договоренности мешают нормально работать? Команда МТС Линк собрала на 37 страницах полезные материалы, чек-листы и кейсы, которые помогают компаниям проводить эффективные совещания в онлайне с помощью сервиса Встречи. Из методички узнаете: - Как создать постоянную ссылку и подключаться на встречи в 2 клика, - Как делать заметки и работать с файлами, не переживая за качество связи и безопасность данных. - Как облегчает жизнь ИИ, который расшифровывает созвоны в текст и автоматически отправляет расшифровку на почту. Еще в методичке описаны 7 способов оценки текущей эффективности ваших онлайн-встреч. Получить гайд можно бесплатно на сайте. Скачать #реклама 16+ mts-link.ru О рекламодателе

🤔 Как бы построить выделение ресурсов, балансировку, нагрузку и всю масштабированность? Чтобы система работала стабильно и эффективно, нужно правильно распределять ресурсы, балансировать нагрузку и масштабировать сервисы. 🚩Основные компоненты Выделение ресурсов - CPU, RAM, диски, сеть Балансировка нагрузки равномерное распределение трафика Горизонтальное и вертикальное масштабирование Авто-масштабировани – динамическое добавление/удаление мощностей 🟠Выделение ресурсов (CPU, RAM, Диск, Сеть) В виртуализированных средах (Kubernetes, Docker, AWS, KVM, ESXi) выделение ресурсов настраивается через лимиты и квоты.

yaml  
apiVersion: v1  
kind: Pod  
metadata:  
  name: my-app  
spec:  
  containers:  
  - name: app  
    image: my-app:latest  
    resources:  
      requests:  
        cpu: "500m"   # Минимально 0.5 CPU  
        memory: "256Mi" # Минимально 256MB RAM  
      limits:  
        cpu: "1000m"  # Максимально 1 CPU  
        memory: "512Mi" # Максимально 512MB RAM  

🟠Балансировка нагрузки Балансировка уменьшает нагрузку на один сервер и равномерно распределяет запросы.

nginx  
upstream backend {  
  server app1:5000;  
  server app2:5000;  
}  
server {  
  listen 80;  
  location / {  
    proxy_pass http://backend;  
  }  
}  

Пример терраформа для AWS ALB

hcl  
resource "aws_lb" "example" {  
  name               = "my-load-balancer"  
  internal           = false  
  load_balancer_type = "application"  
  security_groups    = [aws_security_group.lb_sg.id]  
}  

🟠Масштабирование (Горизонтальное и Вертикальное) Горизонтальное масштабирование (добавление новых инстансов) Kubernetes Horizontal Pod Autoscaler (HPA)

yaml  
apiVersion: autoscaling/v2beta2  
kind: HorizontalPodAutoscaler  
metadata:  
  name: my-app-hpa  
spec:  
  scaleTargetRef:  
    apiVersion: apps/v1  
    kind: Deployment  
    name: my-app  
  minReplicas: 2  
  maxReplicas: 10  
  metrics:  
  - type: Resource  
    resource:  
      name: cpu  
      target:  
        type: Utilization  
        averageUtilization: 70  

🟠Авто-масштабирование (AWS/GCP/Kubernetes) AWS Auto Scaling Group

hcl  
resource "aws_autoscaling_group" "example" {  
  min_size             = 2  
  max_size             = 10  
  desired_capacity     = 2  
  launch_configuration = aws_launch_configuration.example.name  
}

Ставь 👍 и забирай 📚 Базу знаний

🛡Знаете ли вы, что до 90% уязвимостей в приложениях связаны не с кодом, а с людьми? На открытом уроке «Awareness в DevSecOps» разберём, как повысить осведомлённость разработчиков о своей роли в безопасности и предотвратить ошибки ещё на этапе проектирования. Вы узнаете, что такое PCS, почему бизнес «запретил безопасности запрещать» и как выстроить культуру безопасности в команде. Представьте, что каждый участник процесса разработки автоматически учитывает риски и умеет их снижать — скорость выпуска растёт, а количество инцидентов падает. ⚡️Посетите вебинар 13 августа в 20:00 МСК и получите персональную скидку на курс «Внедрение и работа в DevSecOps»: https://otus.pw/qMbes/ Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

Онлайн-магистратура с IT специальностями от Яндекса Совместно с ИТМО, МИФИ, МФТИ. Онлайн-магистратура с актуальными программами и гибким графиком обучения. Получите высокооплачиваемую IT профессию, официальный диплом и практические знания. Господдержка оплаты. Совмещение с работой! Подать заявку #реклама 16+ practicum.yandex.ru О рекламодателе

🤔 Назовите инструменты для развёрнутого окружения и настройки серверов. - Terraform — декларативное описание облачной инфраструктуры. - Ansible — настройка серверов через YAML-плейбуки. - Puppet / Chef — более старые конфигурационные менеджеры. - Docker + Compose / Kubernetes — управление приложениями. - Consul, Vault, Prometheus, Grafana — сервис-дискавери, секреты, мониторинг. Ставь 👍 если знал ответ, 🔥 если нет Забирай 📚 Базу знаний

🤔 Что касается безопасности где хранить переменные секреты? Хранение секретных переменных, таких как пароли, ключи API, токены доступа и прочие конфиденциальные данные, требует особого подхода для обеспечения безопасности. Ниже описаны рекомендуемые методы и инструменты для безопасного хранения секретных переменных в различных средах разработки и производства. 🟠Использование специализированных хранилищ секретов HashiCorp Vault: Это инструмент для управления секретами и защиты данных. Он позволяет централизованно хранить, доступ к которым строго контролируется, и динамически создавать секреты. Преимущества: Поддержка динамических секретов, интеграция с большинством сред и технологий, высокий уровень безопасности. AWS Secrets Manager и Azure Key Vault: Эти облачные сервисы предоставляют управляемые решения для безопасного хранения и управления доступом к секретным данным, включая автоматическое обновление секретов. Преимущества: Интеграция с облачными сервисами, упрощение ротации секретов, мониторинг и логирование доступа. 🟠Инкапсуляция секретов в среде выполнения Docker Secrets и Kubernetes Secrets: Предлагают встроенные механизмы для безопасного хранения секретов, которые используются контейнерами во время выполнения. Преимущества: Локальная интеграция с системами оркестрации контейнеров, базовое шифрование на диске и управление доступом. 🟠Секреты в контролируемом CI/CD Платформы CI/CD, такие как GitLab и GitHub, предоставляют возможности для безопасного хранения переменных среды и секретов, которые могут быть использованы в процессах автоматизации без разглашения. Преимущества: Простота использования, интеграция с процессами разработки, защита от внешнего доступа. 🟠Шифрование секретов Инструменты шифрования: Использование инструментов, таких как GnuPG (GPG), для шифрования секретов перед их сохранением в системах контроля версий или конфигурационных файлах. Преимущества: Высокий уровень безопасности, контроль доступа к секретам на уровне пользователя. Ставь 👍 и забирай 📚 Базу знаний

Дарим подписку на Яндекс Музыку Ответьте на 1 вопрос и Яндекс Музыка ваша для вас и 3-х ваших близких. Кинопоиск и Яндекс Книги тоже в подписке. Попробуйте бесплатно❤️ Попробовать #реклама 18+ music.yandex.ru О рекламодателе Реклама на Яндексе

🤔 Как собрать и запушить в реестр (registry)? 1. Сборка: docker build -t имя:тег . 2. Аутентификация (если нужно): docker login 3. Пуш: docker push имя:тег Перед пушем имя образа должно включать адрес реестра, если это не DockerHub. Ставь 👍 если знал ответ, 🔥 если нет Забирай 📚 Базу знаний