DevOps | Вопросы собесов

🤔 Как бы организовал хранение и доступ к секретам? В DevOps и Kubernetes важно безопасно хранить секретные данные (пароли, API-ключи, токены). Нельзя хранить их в коде, в Git, в .env файлах без шифрования. 🚩HashiCorp Vault (лучший вариант для масштабных проектов) Полностью управляемое решение для хранения и динамической ротации секретов. Шифрование с поддержкой KMS. API-доступ и интеграция с CI/CD. Как получить секрет через CLI?

vault kv put secret/db password="SuperSecret123"
vault kv get secret/db

Как использовать в Jenkins?

withVault([vaultSecrets: [[path: 'secret/db', secretValues: [['envVar': 'DB_PASS', 'vaultKey': 'password']]]]]) {
    sh 'echo $DB_PASS'  # Переменная доступна только внутри блока
}

🚩Kubernetes Secrets (если приложение в K8s) Интеграция с Kubernetes, управление через kubectl. Доступ через переменные окружения или монтирование в файл. Можно использовать Sealed Secrets или SOPS для шифрования. Как создать секрет?

kubectl create secret generic db-secret --from-literal=password='SuperSecret123'

Как использовать в Deployment?

env:
  - name: DB_PASS
    valueFrom:
      secretKeyRef:
        name: db-secret
        key: password

🚩AWS Secrets Manager / Azure Key Vault / GCP Secret Manager Интеграция с облачными сервисами (IAM, Lambda, RDS). Автоматическая ротация ключей. Как получить секрет в AWS?

aws secretsmanager get-secret-value --secret-id my-secret

Как подключить к Kubernetes? Используем External Secrets Operator:

apiVersion: external-secrets.io/v1beta1
kind: ExternalSecret
metadata:
  name: db-secret
spec:
  secretStoreRef:
    name: aws-secrets
    kind: SecretStore
  target:
    name: db-secret
  data:
  - secretKey: password
    remoteRef:
      key: my-db-password

🚩SOPS + GitOps (для хранения в Git, но зашифрованно) Позволяет хранить секреты в Git без утечек. Работает с KMS, PGP, age. Как зашифровать секрет?

sops --encrypt --age YOUR_PUBLIC_KEY secrets.yaml > secrets.enc.yaml

Как расшифровать?

sops --decrypt secrets.enc.yaml

Ставь 👍 и забирай 📚 Базу знаний

📘 На Stepik вышел курс — «DevOps-инженер: От основ до продакшена» Хотите автоматизировать деплой, управлять инфраструктурой как кодом и выстраивать надёжные CI/CD процессы? Этот курс — полный путь DevOps-инженера. • CI/CD: Jenkins, GitLab CI/CD, GitHub Actions, стратегии развёртывания (Blue-Green, Canary), rollback • Контейнеризация: Docker (образы, Compose, networking), Podman, оптимизация и безопасность контейнеров • Kubernetes: архитектура, Pods, Services, Deployments, Helm, RBAC, Service Mesh (Istio/Linkerd) • Infrastructure as Code: Terraform, Ansible (playbooks, vault), Packer, ArgoCD и Flux для GitOps • Облака: AWS (EC2, EKS, Lambda), GCP, Azure, Yandex Cloud, cost optimization• Мониторинг: Prometheus, Grafana, ELK Stack, Jaeger, OpenTelemetry, SLI/SLO/SLA • Безопасность: SAST/DAST, Vault, Zero Trust, Policy as Code, incident response • Продакшен практики: High Availability, Disaster Recovery, Chaos Engineering, on-call management 🎓 Сертификат — добавьте в резюме или LinkedIn 🚀 Скидка 25%, действует 48 часов 👉 Пройти курс на Stepik

Скидка 20% на аренду серверов с GPU NVIDIA! Современные ИИ-модели, графические рендеры и вычисления в науке требуют мощных GPU-решений. Мы предлагаем аренду облачных серверов с видеокартами NVIDIA Tesla и RTX. Вы можете выбрать готовую конфигурацию или собрать собственный сервер под нейросети, глубокое обучение, рендеринг или виртуальные рабочие места (VDI). Серверы размещаются в ЦОД уровня TIER III, обеспечивают SLA 99.982% и работают в режиме 24/7. Доступные модели GPU: - NVIDIA Tesla H200, B100, B200, A100, V100, P200, P300 - NVIDIA RTX 4090, 5090, A6000 Ada GPU-серверы Cloud4Y подходят для задач deep learning, big data-аналитики, 3D-рендеринга и проектирования. Они позволяют ускорить обучение моделей до 8 раз по сравнению с CPU-инфраструктурой и гарантируют стабильную работу даже при максимальной нагрузке. Попробовать #реклама 16+ cloud4y.ru О рекламодателе

📘 На Stepik вышел курс — «DevOps-инженер: От основ до продакшена» Хотите автоматизировать деплой, управлять инфраструктурой как кодом и выстраивать надёжные CI/CD процессы? Этот курс — полный путь DevOps-инженера. • CI/CD: Jenkins, GitLab CI/CD, GitHub Actions, стратегии развёртывания (Blue-Green, Canary), rollback • Контейнеризация: Docker (образы, Compose, networking), Podman, оптимизация и безопасность контейнеров • Kubernetes: архитектура, Pods, Services, Deployments, Helm, RBAC, Service Mesh (Istio/Linkerd) • Infrastructure as Code: Terraform, Ansible (playbooks, vault), Packer, ArgoCD и Flux для GitOps • Облака: AWS (EC2, EKS, Lambda), GCP, Azure, Yandex Cloud, cost optimization• Мониторинг: Prometheus, Grafana, ELK Stack, Jaeger, OpenTelemetry, SLI/SLO/SLA • Безопасность: SAST/DAST, Vault, Zero Trust, Policy as Code, incident response • Продакшен практики: High Availability, Disaster Recovery, Chaos Engineering, on-call management 🎓 Сертификат — добавьте в резюме или LinkedIn 🚀 Скидка 25%, действует 48 часов 👉 Пройти курс на Stepik

🤔 Что такое OpsWorks? AWS OpsWorks — это сервис управления конфигурациями, который: - Поддерживает Chef и Puppet. - Используется для автоматизации серверной инфраструктуры. - Позволяет управлять слоями, версиями, скриптами и зависимостями. Ставь 👍 если знал ответ, 🔥 если нет Забирай 📚 Базу знаний

🤔 По какой причине inode могут закончиться? Это структуры данных, которые хранят информацию о файлах и каталогах. Каждый файл или каталог на диске ассоциируется с одним inode, который содержит метаданные файла, такие как его размер, разрешения, временные метки, ссылки на блоки данных и т.д. Количество inode на файловой системе обычно определяется в момент её создания и не может быть изменено без переформатирования или значительных изменений в файловой системе. 🚩Причины исчерпания 🟠Большое количество мелких файлов Одной из наиболее частых причин исчерпания inode является наличие очень большого количества маленьких файлов на файловой системе. Поскольку каждый файл использует как минимум один inode, системы с большим количеством мелких файлов могут исчерпать доступные inode, даже если дисковое пространство по-прежнему доступно. 🟠Недостаточное количество выделенных inode При создании файловой системы, если количество выделенных inode было рассчитано неправильно (слишком мало для предполагаемого использования), это может привести к раннему их исчерпанию. Это особенно актуально для серверов или систем, где ожидается большое количество файлов. 🟠Особенности файловой системы Некоторые файловые системы, такие как Ext3 или Ext4, имеют фиксированное соотношение inode к объёму файловой системы, которое задаётся при их создании. Если создать файловую систему с недостаточным количеством inode для конкретного случая использования, то в дальнейшем это может стать проблемой. 🚩Решения проблемы исчерпания 🟠Проверка использования С помощью команды df -i можно проверить, сколько inode используется и сколько ещё доступно в вашей файловой системе. 🟠Очистка файловой системы Удаление ненужных или временных файлов может освободить inode. 🟠Изменение файловой системы Если возможно, можно увеличить количество inode путём изменения файловой системы или пересоздания файловой системы с более высоким количеством inode. Для файловых систем, таких как XFS или некоторые конфигурации Btrfs, можно динамически добавлять inode. 🟠Использование других файловых систем Переход на другую файловую систему, которая не имеет строгих ограничений на количество inode (например, Btrfs или ZFS), может быть решением для систем с большим количеством маленьких файлов. 🟠Архивирование Программы и процессы, которые создают большое количество мелких файлов, могут модифицироваться для хранения данных в формате архивов вместо отдельных файлов, что снижает потребление inode. Ставь 👍 и забирай 📚 Базу знаний

CRM, которая работает сама Вам не надо вести базу клиентов вручную. Битрикс24 сам заполняет карточки, напоминает, расшифровывает звонки, находит повторные сделки. Меньше рутины, больше прибыли. Есть бесплатный тариф. Попробовать #реклама 16+ bitrix24.ru О рекламодателе

🤔 Как работает NAT? NAT (Network Address Translation): - Преобразует внутренние IP-адреса в один внешний IP. - Позволяет многим устройствам пользоваться Интернетом через один адрес. - Типы: - SNAT — исходящий трафик (от локального к Интернету). - DNAT / Port forwarding — входящий трафик (от Интернета к устройству). - Обеспечивает безопасность и экономию IP-адресов. Ставь 👍 если знал ответ, 🔥 если нет Забирай 📚 Базу знаний

🤔 Чем DevOps отличается от Agile? Это два различных подхода в разработке и доставке программного обеспечения, которые имеют разные цели и методы, но могут взаимодополнять друг друга. Давайте рассмотрим основные различия и связи между ними. 🚩Agile Увеличение гибкости и адаптивности разработки программного обеспечения. 🟠Итеративная разработка Разработка проходит в коротких циклах (итерациях), что позволяет регулярно представлять работающее программное обеспечение. 🟠Непрерывная обратная связь Регулярные встречи (например, ежедневные стендапы, спринт-ревью) для получения обратной связи от команды и заинтересованных сторон. 🟠Кросс-функциональные команды Команды, состоящие из разработчиков, тестировщиков, аналитиков и других специалистов, работают вместе над проектом. 🟠Фокус на клиенте Постоянное взаимодействие с клиентами для уточнения требований и проверки соответствия продукта их ожиданиям. Фреймворки: Scrum, Kanban, XP (Extreme Programming). 🚩DevOps Увеличение скорости и качества доставки программного обеспечения через автоматизацию и улучшение сотрудничества между разработчиками и операционными командами. 🟠Непрерывная интеграция и доставка (CI/CD) Автоматизация сборки, тестирования и развертывания кода, чтобы изменения могли быстро и надежно попасть в рабочую среду. 🟠Инфраструктура как код (IaC) Использование кода для управления и автоматизации инфраструктуры, что делает процессы повторяемыми и предсказуемыми. 🟠Мониторинг и логирование Постоянное отслеживание состояния приложений и инфраструктуры для быстрого обнаружения и устранения проблем. 🟠Сотрудничество и обмен знаниями Улучшение взаимодействия между разработчиками и операционными инженерами через общие инструменты и процессы. Инструменты: Jenkins, Docker, Kubernetes, Ansible, Terraform, Prometheus, Grafana. 🚩Сравнение и различия 🟠Фокус Agile: Сфокусирован на процессе разработки и управлении проектами, улучшая гибкость и адаптивность команды разработки. DevOps: Сфокусирован на процессе доставки и эксплуатации, улучшая автоматизацию и сотрудничество между разработчиками и операционными командами. 🟠Команды Agile: Включает кросс-функциональные команды, которые работают вместе над созданием программного обеспечения. DevOps: Включает команды разработчиков и операций, которые совместно работают над автоматизацией и улучшением процессов развертывания и эксплуатации. 🟠Методы и инструменты Agile: Методы Scrum, Kanban и другие Agile-практики, которые улучшают процесс управления проектами. DevOps: Инструменты и практики для автоматизации развертывания, мониторинга и управления инфраструктурой. 🚩Связь между Agile и DevOps 🟠Agile Помогает улучшить процесс разработки, делая его более гибким и отзывчивым к изменениям. 🟠DevOps Дополняет Agile, автоматизируя развертывание и эксплуатацию программного обеспечения, что позволяет быстрее доставлять изменения пользователям. 🟠Agile команда Может использовать Scrum для управления спринтами и задачами. 🟠DevOps практики Могут быть использованы для автоматизации CI/CD пайплайнов, чтобы каждая итерация разработки могла быть быстро и надежно развернута на серверы. Ставь 👍 и забирай 📚 Базу знаний

🤔 Какие существуют типы Docker Runner? В GitLab существуют следующие типы Runner: - Shared Runner — общий для всех проектов; - Specific Runner — закреплён за конкретным проектом; - Group Runner — доступен для всех проектов в группе; Также Runner может быть Shell, Docker, Docker+Machine, Kubernetes и другие — по способу исполнения задач. Ставь 👍 если знал ответ, 🔥 если нет Забирай 📚 Базу знаний

🤔 Что такое маска подсетей, Зачем она нужна? Маска подсети (subnet mask) — это число, которое определяет, какая часть IP-адреса относится к сети, а какая — к хостам внутри этой сети. Пример: IP-адрес: 192.168.1.10 Маска подсети: 255.255.255.0 В двоичном виде

IP:    11000000.10101000.00000001.00001010  (192.168.1.10)
Маска: 11111111.11111111.11111111.00000000  (255.255.255.0)

🚩 Зачем нужна маска подсети? Разделять сеть на логические сегменты (разделение на подсети). Определять, находятся ли два устройства в одной сети или им нужен маршрутизатор. Экономить IP-адреса, разбивая сеть на нужное количество хостов. 🚩Как это работает? Если два устройства в одной подсети, они могут общаться напрямую. Если в разных — нужен маршрутизатор. 🚩CIDR-нотация Вместо маски 255.255.255.0 можно записать /24. Пример: 192.168.1.10/24 (означает, что первые 24 бита — это сеть). Ставь 👍 и забирай 📚 Базу знаний

🤔 Что такое сквош (squash)? Squash — это процесс объединения нескольких коммитов в один перед слиянием ветки. Применяется для: - очистки истории; - упрощения отката; - группировки связанных изменений; - подготовки "чистого" pull request'а. Ставь 👍 если знал ответ, 🔥 если нет Забирай 📚 Базу знаний

Добрый день пост для @easy_devops Кто идёт на Kuber Conf by AOT 4 декабря? Первая некоммерческая K8s-конференция в Москве — отличный повод встретиться и обсудить: 🟣 Как на самом деле работает CNI chaining в продакшене 🟣 Как безопасно развернуть Gatekeeper для k8s-in-k8s 🟣 Поддержку Kubernetes в Vitastor 🟣 Опыт построения Managed Kubernetes На ивенте будут топовые инженеры и архитекторы — будет о чём поговорить. Конференция проходит под эгидой Ассоциации облачно-ориентированных технологий (АОТ), которую создают Флант, VK Cloud и Yandex Cloud. Встречаемся? Программа и билеты: https://aot-kuberconf.ru/?utm_source=telegram&utm_medium=referral_cpc&utm_campaign=easy_devops Реклама Садовская.Е.О ИНН:9710066394 Erid:2VtzquzxkhN

🤔 В каком файле по дефолту будет хранится инормация об ОС, версии в линуксе? В Linux информация о версии дистрибутива и ядра хранится в нескольких файлах. 🟠Основной файл — `/etc/os-release` Этот файл есть во всех современных дистрибутивах (Debian, Ubuntu, RHEL, CentOS, Fedora).

cat /etc/os-release

Пример содержимого /etc/os-release

NAME="Ubuntu"
VERSION="22.04.3 LTS (Jammy Jellyfish)"
ID=ubuntu
PRETTY_NAME="Ubuntu 22.04.3 LTS"
VERSION_ID="22.04"
HOME_URL="https://www.ubuntu.com/"

🟠Альтернативный файл — `/etc/issue` Некоторые дистрибутивы используют /etc/issue.

cat /etc/issue

Вывод

Ubuntu 22.04.3 LTS \n \l

🟠Информация о ядре — `/proc/version` Этот файл содержит версию ядра и информацию о компиляции.

cat /proc/version

Вывод

Linux version 5.15.0-84-generic (buildd@lcy02-amd64-016) (gcc (Ubuntu 11.3.0-1ubuntu1~22.04) 11.3.0) #93-Ubuntu SMP

🟠Команды для проверки версии ОС Проверить версию через lsb_release

lsb_release -a

Вывод

Distributor ID: Ubuntu  
Description:    Ubuntu 22.04.3 LTS  
Release:        22.04  
Codename:       jammy  

Проверить ядро через uname

uname -r

Вывод

5.15.0-84-generic

Можно также вывести полную информацию:

uname -a

Ставь 👍 и забирай 📚 Базу знаний

Ты успеваешь всё и выглядишь безупречно! Ты всегда на бегу? Много дел? Но при этом хочешь выглядеть превосходно? DEWAL BEAUTY — твой верный помощник! Будь стильной вне зависимости от обстоятельств. ✨ Всё для твоей красоты: • Техника для красоты и здоровья • Макияжные принадлежности • Аксессуары для маникюра и педикюра • Расчёски для волос, зеркала и косметички Дарите себе не только красоту, но и радость от процесса! ❤️ Только с 20 по 30 ноября! Дарим скидку 20% по промокоду BEAUTY20 на Черную пятницу! Получить скидку #реклама dewalbeauty.ru О рекламодателе

🤔 Что такое маска подсетей и зачем она нужна? Маска подсети определяет, какая часть IP-адреса — это сеть, а какая — узел (host). Например, маска 255.255.255.0 говорит: первые 3 октета — сеть, последний — устройства в ней. Используется для разделения сети на подсети, маршрутизации и управления доступом. Ставь 👍 если знал ответ, 🔥 если нет Забирай 📚 Базу знаний

Монетизируйте свою экспертность с партнёркой МТС Линк Рекомендуйте сервисы МТС Линк коллегам, партнёрам, клиентам или подписчикам. Регистрируйтесь в ноябре и получайте от 10% с каждого чека. Реферальная программа МТС Линк подходит для: -экспертов и блогеров; -HRD и HRBP; -CTO, ИТ-директоров и системных интеграторов; -CEO, собственникам бизнеса и руководителям онлайн-школ; -директорам корпоративных университетов, тренерам и коучам; -CMO и digital-агентствам. Присоединиться легко: -вознаграждение за покупку любого из семи сервисов МТС Линк -достаточно 1 участника -только для ИП и юридических лиц -от вас - только рекомендации: в письмах или чатах, по личной ссылке или QR-коде, на мероприятиях. Создайте дополнительный заработок с реферальной программой МТС Линк. Прочтите кейсы и оставьте заявку на подключение - по ссылке. Подать заявку #реклама 16+ mts-link.ru О рекламодателе

🤔 Какие процессы убивает long killer? Это системный механизм в Astra Linux (и некоторых других дистрибутивах на базе Debian), который убивает "долгоиграющие" процессы, потребляющие слишком много ресурсов. Он предотвращает зависания системы и защищает от неэффективного использования вычислительных мощностей. 🚩Какие процессы убивает Long Killer? Long Killer анализирует процессы и завершает те, которые: Запущены от обычного пользователя (не root). Работают слишком долго (по умолчанию >10 минут). Потребляют много CPU (по умолчанию >90% CPU). Используют много памяти (если система близка к OOM – Out of Memory). Не имеют активности (зависли, например, ожидание ввода). Он не убивает root-процессы. Системные службы (например, sshd, systemd) остаются нетронутыми. Если процесс выполняется интерактивно (например, работа в vim или nano), он обычно не трогает его. 🚩Как проверить, что процесс убит Long Killer? Если подозреваете, что ваш процесс завершился из-за Long Killer, посмотрите логи

journalctl -u long-killer.service --no-pager | tail -n 20

Также можно проверить dmesg

dmesg | grep "killed by Long Killer"

🚩Как отключить или настроить Long Killer? Файл конфигурации находится здесь

/etc/long-killer.conf

Пример настроек

MAX_CPU_USAGE=90     # Максимальная загрузка CPU (%)
MAX_EXEC_TIME=600    # Максимальное время выполнения (секунды)
EXCLUDE_USERS=root   # Не убивать процессы от root

После изменения перезапустите сервис

systemctl restart long-killer.service

Чтобы полностью отключить Long Killer

systemctl stop long-killer.service
systemctl disable long-killer.service

🚩Как избежать убийства процессов? Запуск от root (если это безопасно):

sudo my_long_process

Снижение приоритета процесса (nice/renice)

nice -n 10 my_process
renice -n 10 -p <PID>

Использование nohup или screen для фоновых задач

nohup my_script.sh &

Ставь 👍 и забирай 📚 Базу знаний

Инсайдер — это не миф, а реальный источник угроз для любой компании. Ошибки сотрудников, скомпрометированные учётные записи или злонамеренные действия изнутри часто становятся причиной инцидентов, которые не ловит ни один firewall. На открытом уроке вы узнаете, как выявлять уязвимости и закрывать их до того, как ими воспользуются. Разберём реальные сценарии атак: злонамеренные, скомпрометированные и небрежные пользователи. Покажем, как безопасно имитировать инсайдерские атаки в инфраструктуре — от credential dumping и анализа путей в Active Directory до ролевых симуляций red team и grey-box подхода. После урока вы получите готовую структуру сценария для имитации инсайдерских угроз и чек-лист мер по детекции и снижению рисков. Мы обсудим метрики, подходы к анализу инцидентов и способы усилить технические и организационные меры — IAM, UBA/UEBA, DLP и политики доступа. Занятие будет полезно пентестерам, специалистам SOC, инженерам ИБ, архитекторам и тем, кто отвечает за контроль доступа и безопасность инфраструктуры. 24 ноября, 20:00 МСК. Открытый урок проходит в преддверии старта курса «Пентест. Инструменты и методы проникновения в действии». Регистрация открыта: https://otus.pw/zqdu/ Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

🤔 Task удаляет файл, при первом запуске он удален, что должно быть при втором? При втором запуске Ansible должен сообщить, что изменений нет, так как файл уже удален. Это подтверждает идемпотентность – задача не выполняется снова, если состояние соответствует ожидаемому. Ставь 👍 если знал ответ, 🔥 если нет Забирай 📚 Базу знаний