DevOps Star (Звезда Девопса)

Настройка CI/CD для самых маленьких разработчиков Считается, что построение CI/CD - задача для DevOps. Глобально это действительно так, особенно если речь идет о первоначальной настройке. Но часто с докручиванием отдельных этапов процесса сталкиваются и разработчики. Умение поправить что-то незначительное своими силами позволяет не тратить время на поход к коллегам (и ожидание их реакции), т.е. в целом повышает комфорт работы и дает понимание, почему все происходит именно так. Настроек для пайплайна Gitlab очень много. В этой статье, не вдаваясь в недра тюнинга, поговорим о том, как выглядит скрипт пайплайна, из каких блоков он состоит и что может содержать. https://habr.com/ru/companies/maxilect/articles/799177/ 👉 @devops_star

Собрал основные концепции Docker в одну диаграмму 👉 @devops_star

Что ты такое, dhclient? Сетевой стек Linux не прост даже на первый взгляд: приложение — в юзерспейсе, а всё, что после сокета, — в ядре операционки. И там тысяча реализаций TCP. Любое взаимодействие с сетью — системный вызов с переключением контекста в ядре. Чтобы лишний раз не дёргать ядро прерываниями, придумали DMA — Direct Memory Access. Это когда трафик пишется напрямую в память, откуда он считывается приложением в обход ядра. И это дало жизнь классу софта с режимом работы kernel bypass. Например, при DPDK (Intel Data Plane Development Kit) сетевая карта целиком передаётся в userspace, а ядро даже не подозревает о её существовании. Потом был BPF. А ещё потом усилиями Алексея Старовойтова и компании миру была показана eBPF — штука, умеющая делать прокол в ядро и инжектировать туда микроскопические виртуальные машины с кодом, которые могут в обход всего и вся взаимодействовать с системными событиями, и в том числе с трафиком. Супербыстро и оптимально (на фоне стандартного стека, конечно же). А это в свою очередь дало возможность использовать XDP для ускорения обработки трафика. Но даже помимо хаков работы с ядром есть такие штуки, как sk_buff, в которой хранятся метаданные всех миллионов протоколов (в большинстве случаев они вообще не нужны: тащим с собой легаси). Есть NAPI (New API), которая призвана уменьшить число прерываний. А 100500 вариантов разных tables? Iptables, arptables, ip6tables, ebtables, nftables… Если вам мало — ещё придумали SR-IOV. Там тоже уже упомянутый DMA, а ещё можно посплитить физическую карточку на несколько виртуальных и раздать их в разные виртуалки и приложения. Под ручку с DMA идёт и RDMA, когда мы пишем трафик напрямую в память, но не в свою, а в чужую на удалённой по сети машине. И в этих копаниях можно уйти безгранично далеко. Но сегодня мы всё же поговорим о вещах более приземлённых и повседневных, которые лишь приоткрывают вход в эту разветвлённую сеть кроличьих нор. Мы разберём одну любопытную задачку, на примере которой ужаснёмся (а кто-то ухмыльнётся деловито в усы) тому, как сложно может быть реализован такой простой протокол, как DHCP. https://habr.com/ru/companies/yandex/articles/774462/ 👉 @devops_star

Чем отличается StatefulSet от Deployment? Deployment — ресурс Kubernetes предназнваенный для развертывания приложения без сохранения состояния. При использовании PVC все реплики будут использовать один и тот же том, и ни один из них не будет иметь собственного состояния. StatefulSet — поддерживают состояние приложений за пределами жизненного цикла отдельных модулей pod, например для хранилища. Используется для приложений с отслеживанием состояния, каждая реплика модуля будет иметь собственное состояние и будет использовать свой собственный том. 👉 @devops_star

Threat Model Examples Ппроект, представляющий из себя коллекцию различных примеров моделей угроз. - Kubernetes - Docker - Container - Amazon S3 - Supply Chain - Cloud Computing - CI/CD Pipeline и другие https://github.com/TalEliyahu/Threat_Model_Examples 👉 @devops_star

Сколько раз вы слышали истории о том, как злоумышленники получали доступ к Kubernetes-кластерам через неправильно настроенные права доступа или незащищённые секреты? В эпоху, когда контейнеризация стала стандартом, безопасность K8s — это уже не опция, а жизненная необходимость для любой серьёзной инфраструктуры. 📅 9 сентября в 20:00 Денис Шишикин проведёт открытый вебинар «Обеспечение безопасности в Kubernetes» в рамках курса «DevOps Advanced». Это практическое занятие для тех, кто хочет защитить свои кластеры от типовых угроз и научиться применять проверенные практики безопасности. На вебинаре разберут конкретные инструменты и подходы — механизмы контроля доступа через RBAC, ограничение привилегий подов с помощью Pod Security Admission, безопасную работу с секретами через Sealed Secrets. Денис покажет, как сканировать манифесты и кластеры с помощью Trivy и kube-bench. Особенно полезно будет DevOps-инженерам, системным администраторам и всем, кто работает с Kubernetes в продакшне. Спикер объяснит, какие угрозы характерны для K8s-кластеров и как проводить базовый аудит безопасности ресурсов и конфигураций. 👉 Вебинар бесплатный, но регистрация обязательна — места ограничены: https://vk.cc/cPeCDo 🎁 Каждый участник вебинара получит бонус — скидку на полный курс. Главное — успеть записаться. Реклама. ООО «Отус онлайн‑образование», ОГРН 1177746618576

Что такое Docker? В чем отличие контейнера от образа? Docker — программное обеспечение для автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации. Образ — шаблон приложения, который содержит слои файловой системы в режиме "только-чтение". Контейнер — запущенный образ приложения, который кроме нижних слоев в режиме "только чтение" содержит верхний слой в режиме "чтение-запись". 👉 @devops_star

Профилирование: Flame Chart vs. Flame Graph Flame charts и Flame graphs - это методы визуализации данных профилирования. Для многих инженеров-программистов они являются первыми визуализациями, с которыми мы сталкиваемся, когда начинаем работать над производительностью. Если вы, как и я, являетесь инженером фронтенда, то, скорее всего, диаграмма Flame - это то, с чем вы знакомы больше всего. Хотя диаграммы Flame и графики Flame выглядят и звучат похоже, это не одно и то же. https://medium.com/performance-engineering-for-the-ordinary-barbie/profiling-flame-chart-vs-flame-graph-7b212ddf3a83 👉 @devops_star

🔥 Открытый урок «Архитектура развертывания GitLab: от тестовой среды до продакшна». 🗓 10 сентября в 20:00 МСК 🆓 Бесплатно. Урок в рамках старта курса «CI/CD на основе GitLab». 🎯 На вебинаре разберем: ✔️ Как выбрать способ развертывания GitLab: Omnibus, Docker, Kubernetes ✔️ Рекомендации по архитектуре для разных масштабов: от одиночного сервера до распределённой инсталляции ✔️ Сравнение плюсов и минусов подходов: простота, отказоустойчивость, масштабируемость ✔️ Типичные проблемы при развёртывании и как их избежать 👥 Кому будет интересно: - Начинающим DevOps-инженерам — вы получите базовое понимание архитектуры GitLab и научитесь разворачивать его под разные задачи - DevOps-практикам, которые уже используют GitLab и хотят повысить стабильность и отказоустойчивость - Инженерам по внедрению CI/CD, которым важно понять, как масштабировать GitLab в корпоративной среде 🎯 Что вы получите: - Понимание, как развернуть GitLab оптимально под свои задачи - Понимание, как правильно выбрать среду (Docker vs Kubernetes) для развёртывания - Практические советы по стабильности, резервированию и отказоустойчивости GitLab-инсталляций 🔗 Ссылка на регистрацию: https://vk.cc/cPbeO4 Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

Что такое Trunk-based development? Trunk-based Development (TBD) — модель ветвления, в которой разработчики совместно работают над кодом в одной ветви, называемой "стволом" (trunk). При этом другие ветви имеют короткий срок жизни благодаря использованию документированных методов. 👉 @devops_star

Архитектурные паттерны: Circuit-Breaker Что такое « Circuit Breaker»? В мире распределенных систем вероятность того, что компоненты выйдут из строя или перестанут реагировать на запросы, выше по сравнению с монолитными системами. Учитывая взаимозависимость микросервисов или модулей в распределенной системе, отказ одного компонента может привести к каскадным сбоям во всей системе, потенциально вызывая сбой или остановку всей системы. Поэтому устойчивость - способность системы справляться со сбоями и восстанавливаться после них - становится критически важной в распределенных средах. https://lab.scub.net/architecture-patterns-the-circuit-breaker-8f79280771f1 👉 @devops_star

🇷🇺 100% российская разработка INFRAX — платформа all-in-one для управления ИТ-инфраструктурой: ✅ Мониторинг инфраструктуры (ITOM) ✅ Удаленный доступ для сотрудников и привилегированных пользователей ✅ Обработка заявок пользователей (ServiceDesk) ✅ База знаний с разграничением доступа к категориям (публичные и закрытые) ✅ Автоматизация (скрипты и планировщик) ✅ Контроль привилегированных пользователей. Видеозапись сессий RDP/SSH/VNC. (PAM) ✅ Управление доступами. Доступ ко всем корпоративным сервисам через одну учетку (IAM) БЕСПЛАТНО до 100 пользователей! 🎁 👉 Попробовать INFRAX Реклама. ООО «АУДИТ-ТЕЛЕКОМ», ОГРН 1167746696776, erid: 2Vtzqv8Ag74

В Ansible роли есть директории vars и default. Что они содержат и чем отличаются? Ansible применяет порядок приоритета переменных. Ниже представлен список в порядке повышения приоритета. command line values (for example, -u my_user, these are not variables) role defaults (defined in role/defaults/main.yml) inventory file or script group vars inventory group_vars/all playbook group_vars/all inventory group_vars/* playbook group_vars/* inventory file or script host vars inventory host_vars/* playbook host_vars/* host facts / cached set_facts play vars play vars_prompt play vars_files role vars (определяемые в role/vars/main.yml) block vars (только для задач в block) task vars (только для задач) include_vars set_facts / registered vars role (и include_role) params include params extra vars (например, -e "user=my_user") (всегда приоритетнее) Соответственно, переменные в vars будут приорететнее, чем в defaults. 👉 @devops_star

Руководство по обнаружению сервисов с помощью Prometheus Operator - как использовать Pod Monitor, Service Monitor и Scrape Config. Prometheus Operator - это популярный инструмент для управления и развертывания Prometheus и связанных с ним компонентов мониторинга в Kubernetes. Чтобы создать эффективную стратегию мониторинга с его помощью, нам нужно знать основы, например, как обнаруживать сервисы. В настоящее время это можно сделать с помощью Pod Monitor, Service Monitor и новой функции Scrape Config CRD. https://medium.com/@helia.barroso/a-guide-to-service-discovery-with-prometheus-operator-how-to-use-pod-monitor-service-monitor-6a7e4e27b303 👉 @devops_star

Docker с 0 до 100%. Всё, что нужно знать. 00:00:00 Intro 00:01:35 Основы Docker. 00:19:30 Установка Docker в Linux и Windows. 00:25:40 Основные команды. 00:54:55 Управление портами: Port Mapping. 01:08:55 Переменные в Docker: Environment Variables. 01:20:20 Постоянные данные: Docker Volumes. 01:48:41 Сети в Docker. Network. 02:30:11 Создание своих контейнеров. Dockerfile. 03:40:59 Docker Compose. Применение. 04:32:28 Portainer – Web UI для управления Docker. источник 👉 @devops_star

Как работает докер🐳 👉 @devops_star

Как Grafanalib помогает управлять дашбордами в масштабе Для корпоративных организаций данные - это все, но когда им приходится вручную настраивать и переносить информационные панели между средами, данные вскоре превращаются в рутину. https://www.contino.io/insights/grafanalib 👉 @devops_star

В ветке develop есть коммит с изменениями, которые нужно перенести в ветку master. Как это сделать? Необходимо найти хеш этого коммита и выполнить следующую комманду в ветке, в которую нужно перенести коммит. git cherry-pick <commit_hash> 👉 @devops_star

Для чего нужна команда git commit --amend? commit --ammend используется для исправления сообщения последнего коммита. Также возможно использовать, чтобы добавить файлы в индекс (git add), после добавить файлы в коммит git commit --ammend. 👉 @devops_star

🇷🇺 100% российская разработка INFRAX — платформа all-in-one для управления ИТ-инфраструктурой: ✅ Мониторинг инфраструктуры (ITOM) ✅ Удаленный доступ для сотрудников и привилегированных пользователей ✅ Обработка заявок пользователей (ServiceDesk) ✅ База знаний с разграничением доступа к категориям (публичные и закрытые) ✅ Автоматизация (скрипты и планировщик) ✅ Контроль привилегированных пользователей. Видеозапись сессий RDP/SSH/VNC. (PAM) ✅ Управление доступами. Доступ ко всем корпоративным сервисам через одну учетку (IAM) БЕСПЛАТНО до 100 пользователей! 🎁 👉 Попробовать INFRAX Реклама. ООО «АУДИТ-ТЕЛЕКОМ», ОГРН 1167746696776, erid: 2Vtzqv8Ag74