Библиотека девопса | DevOps, SRE, Sysadmin

📝 Линтер для SQL SQL в командах часто выглядит как зоопарк. Один пишет select, другой SELECT, третий вообще не ставит пробелы вокруг операторов. На код-ревью половина комментариев о стиле, а не о логике. SQLFluff решает именно эту проблему. SQLFluff — открытый линтер и форматтер для SQL. Он находит проблемы в коде и сообщает о них автоматически, чтобы код-ревью касалось функциональности, а не оформления. Умеет не только находить ошибки, но и исправлять большинство из них сам. Инструмент создавался с прицелом на ELT-задачи, поддерживает Jinja-шаблоны и dbt. Работает без подключения к базе данных — парсит SQL и ловит синтаксические проблемы ещё до того, как код дойдёт до БД. Установка через pip:

pip install sqlfluff

Чтобы исправить файл автоматически:

sqlfluff fix test.sql --dialect ansi

Все правила гибко настраиваются через файл .sqlfluff в корне проекта. Можно отключить конкретные правила, задать свой стиль отступов, указать диалект по умолчанию. Файл .sqlfluffignore работает как .gitignore. SQLFluff хорошо вписывается в CI/CD — на GitHub есть готовые шаблоны Actions для типовых сценариев. ➡️ Сайт проекта 📍 Навигация: Вакансии • Задачи • Собесы 🐸 Библиотека devops'a #арсенал_инженера

📍 Навигация: Вакансии • Задачи • Собесы 🐸 Библиотека devops'a #пятничный_деплой

📍 Навигация: Вакансии • Задачи • Собесы 🐸 Библиотека devops'a #пя

Самый востребованный навык в ИТ в 2026-м — навык создания ИИ-агентов Мы полностью переработали курс «Разработка AI-агентов» под реалии 2026 года. Никакой долгой теории — с самого начала пишем код. Обучать и делиться набитыми шишками будут эксперты-практики из Газпромбанка, Альфа-Банка и других бигтехов. В программе: — архитектура автономных систем с тестированием, ReAct-циклами и контролем токенов; — практическая работа с актуальными фреймворками LangGraph, AutoGen, MCP и CrewAI; — настройка продвинутого RAG для парсинга документов и точного поиска; — внедрение решений с учётом действующего законодательства (152-ФЗ); — дипломная работа, за основу которой можно взять свой рабочий проект или задачу, которую предложим мы. Эксперты поделятся инсайтами из реального продакшна — тем, о чём вам никогда не расскажет ни одна нейросеть.

Запись первого открытого вебинара, на котором мы вместе с руководителем AI-направления в Альфа-Банке Полиной Полуниной пилили агента в прямом эфире.

Ах да, чуть не забыли! Дарим промокод AGENTSWEB на скидку 10 000 рублей и два курса сверху при покупке до 15 марта 🎁 → Стать AI-инженером

🗣 Материалы и обновления недели Надеемся все пережили пятницу 13е. — Прочитать диск без дисковода — Найм по знакомству — curl 8.19.0 — Ботнет KadNap — kitty 0.46.0 📍 Навигация: Вакансии • Задачи • Собесы 🐸 Библиотека devops'a #дайджест_недели

💡 Linux против FreeBSD Когда сервис обрабатывает 15 000 запросов в секунду, а p99 всё равно ведёт себя странно, код тут ни при чём. Проблема может быть в ОС. Разберём, чем Linux и FreeBSD отличаются на уровне ядра и где каждый из них реально быстрее. • Шедулеры Linux с версии 6.6 использует EEVDF вместо старого CFS. Он учитывает дедлайны задач и снижает джиттер для чувствительных к задержке сервисов. FreeBSD использует ULE. Хорош для интерактивных задач и NUMA-балансировки, держит процессы ближе к их CPU-кешу. • I/O: io_uring против kqueue Это главное различие для серверных нагрузок. io_uring, появившийся в Linux 5.1, использует общие кольцевые буферы между userspace и ядром. Меньше системных вызовов, меньше смены контекста, батчевая отправка запросов. FreeBSD использует kqueue. Технически хорошее решение, которое в своё время повлияло на дизайн io_uring. Но батчами отправлять запросы не умеет. • Кого куда назначить Linux выигрывает на I/O-тяжёлых API при высокой конкурентности. io_uring здесь не просто деталь, а архитектурное преимущество. Go, Rust и большинство современных рантаймов используют его автоматически на Linux. FreeBSD лучше там, где много системных вызовов, важна предсказуемость аллокатора и нужен сетевой стек с минимальными задержками. Netflix держит FreeBSD на CDN-эджах именно из-за этого. 📍 Навигация: Вакансии • Задачи • Собесы 🐸 Библиотека devops'a #арсенал_инженера

🔄 SQLite закрывает баг, который мог портить данные в режиме WAL Вышла версия SQLite 3.51.3. Это патч-релиз с одним важным исправлением: баг, который в редких случаях мог повредить базу данных при работе в режиме Write-Ahead Logging. Баг получил название «WAL-reset bug». Он проявлялся только при нескольких одновременных подключениях к одному файлу из разных потоков или процессов, когда они параллельно писали данные или создавали контрольные точки. По сути это состояние гонки с очень узким временным окном. В боевых условиях воспроизвести его так и не удалось, а проверить исправление пришлось через специально написанную тестовую логику, намеренно создающую нужное состояние. Что именно происходило: одна контрольная точка завершалась, сразу запускалась вторая, и в этот момент другое соединение сбрасывало WAL-файл и записывало новые данные в его начало. Вторая контрольная точка не замечала этого сброса и выставляла неверное значение в заголовке WAL-индекса. В итоге при следующей контрольной точке часть транзакций просто пропускалась и не попадала в основной файл базы. База оказывалась повреждена. ➡️ Источник 📍 Навигация: Вакансии • Задачи • Собесы 🐸 Библиотека devops'a #пульс_индустрии

⭐️ Доступ к базе данных в кластере без публичного IP База данных в Kubernetes не торчит наружу — это правильно. Но иногда нужно подключиться к ней локально: посмотреть данные, прогнать миграцию, отладить запрос. kubectl port-forward пробрасывает порт сервиса прямо на вашу машину:

kubectl port-forward svc/<service-name> 5432:5432 --address 0.0.0.0

Флаг --address 0.0.0.0 здесь ключевой. Без него проброшенный порт доступен только с localhost — то есть только с вашей машины. С ним — со всех устройств в локальной сети. Полезно, когда нужно дать временный доступ коллеге или подключиться с другого девайса. 📍 Навигация: Вакансии • Задачи • Собесы 🐸 Библиотека devops'a #root_prompt

📎 Управление Docker через systemd На собесе спрашивают про управление сервисами через systemd — и это то, с чем сталкиваешься на каждом Linux-сервере. Большинство знает start и stop. Но на практике этого мало: нужно понимать как добавить сервис в автозагрузку, как посмотреть логи именно этого сервиса, и как поменять параметры его запуска не трогая системные файлы руками. ➡️ Проверить себя 📍 Навигация: Вакансии • Задачи • Собесы 🐸 Библиотека devops'a #задача_со_звёздочкой

🐈 kitty 0.46.0: терминал научился работать с мышью Основная тема релиза, судя по названию «Mousing», — улучшенная работа с мышью и тачпадом. Что изменилось Скролл в буфере прокрутки теперь происходит попиксельно, а не построчно. На Linux появилась поддержка инерционной прокрутки для тачпадов и тачскринов. На X11 заработали события высокоточного скролла от современных тачпадов. Теперь можно перетаскивать вкладки в панели вкладок, менять их порядок, перемещать в другое окно kitty или отцеплять в отдельное окно. Появилась возможность изменять размер сплитов мышью, перетаскивая границы окон. Работает во всех режимах раскладки. Чувствительность настраивается через параметр window_drag_tolerance. Добавлена командная палитра, через которую можно просматривать и запускать все действия, в том числе без привязки к горячим клавишам. Из других изменений: shift+клик теперь расширяет текущее выделение вместо того, чтобы начинать новое; двойной клик по вкладке переименовывает её; в раскладках со сплитами появились новые действия для максимизации окна. ➡️ Источник 📍 Навигация: Вакансии • Задачи • Собесы 🐸 Библиотека devops'a #пульс_индустрии

🤨 Ваш роутер может работать на хакеров Исследователи Black Lotus Labs опубликовали отчёт о новом ботнете KadNap. Разбираем, что произошло и что делать. С августа 2025 года тихо растёт ботнет из 14 000+ заражённых роутеров, преимущественно Asus. Заражённые устройства продаются как прокси-сервис под названием Doppelganger — анонимайзер для криминальных операций: брутфорс, целевые атаки, обход геофильтров. Особенность малвари — она прячет C2-серверы в P2P-сети Kademlia DHT (та самая, что под BitTorrent). Трафик к командным серверам растворяется в легитимном торрент-шуме. Классические блокировки по IP и ASN не работают. Цепочка заражения проста: • cron-задача каждый час тянет скрипт с сервера атакующих • скрипт скачивает ELF-файл kad и запускает его • малварь закрывает SSH (порт 22) через iptables, чтобы никто не вылечил • роутер уходит в ботнет и начинает проксировать чужой грязный трафик 🛠 Что делать прямо сейчас 1. Проверить роутеры на периметре Посмотреть, есть ли в /jffs/ файл .asusrouter или процесс kad. На управляемых устройствах — через SNMP/Zabbix/Netbox. Если устройства не мониторятся вообще — это уже проблема. 2. Проверить трафик к BitTorrent-трекерам Если корпоративный роутер или edge-устройство ломится на публичные DHT-ноды (порт 6881/UDP и смежные) — это красный флаг. В нормальной инфраструктуре такого быть не должно. 3. Заблокировать IoC Black Lotus Labs выложили индикаторы компрометации на GitHub: github.com/blacklotuslabs/IOCs/blob/main/KadNap_IOCs.txt Добавить в WAF, EDR, firewall-правила. Lumen уже заблокировал инфраструктуру на своём backbone — но у вас своя. 4. Закрыть управление роутерами от интернета Веб-морда и SSH роутера не должны торчать наружу. Если торчат — закрыть немедленно. Управление только через VPN или выделенный out-of-band канал. 5. Сменить дефолтные пароли и обновить прошивку Звучит банально, но именно так KadNap и попадает на устройства. Asus выпускает обновления прошивок — проверить, стоит ли актуальная. 6. Перезагрузить заражённое устройство Малварь живёт в /tmp и /jffs. Перезагрузка не лечит полностью , потому что cron-задача восстановит, но даёт окно для диагностики и смены учёток до повторного заражения. 7. Устройства EOL — на замену Если роутер снят с поддержки производителем — патчей не будет. Эксплуатировать такое в 2026 году это не технический долг, это открытая дверь. Ваш роутер в ботнете — это не только ваша проблема. С вашего IP брутфорсят чужие VPN, атакуют банки, обходят 2FA. Репутация вашего IP падает, вас блокируют сервисы, а следователи в какой-то момент могут постучаться с вопросами. 60% жертв KadNap — США. Но география ботнета расширяется. 📍 Навигация: Вакансии • Задачи • Собесы 🐸 Библиотека devops'a #разбор_полётов

🔄 curl 8.19.0: что изменилось За два с небольшим месяца разработки накопилось 538 коммитов. Это 273-й релиз утилиты и библиотеки. В этом обновлении закрыли четыре CVE. Среди них некорректное повторное использование соединения HTTP Negotiate, утечка токенов при редиректе через netrc, проблема с прокси-соединениями при наличии учётных данных и use-after-free в SMB. Примечательно, что программу bug bounty закрыли ещё до релиза, но баги находить от этого не перестали. Из заметных изменений: появилась начальная поддержка MQTTS, в --limit-rate и --max-filesize теперь можно передавать дробные значения, а в Windows curl можно собрать с нативным хранилищем сертификатов CA. Минимальная поддерживаемая версия Windows теперь Vista. Поддержку OpenSSL-QUIC убрали совсем. В следующих версиях планируют сделать опциональными NTLM и SMB, удалить RTMP и TLS-SRP. ➡️ Источник 📍 Навигация: Вакансии • Задачи • Собесы 🐸 Библиотека devops'a #пульс_индустрии

📍 Навигация: Вакансии • Задачи • Собесы 🐸 Библиотека devops'a #пятничный_деплой

✨ Топ-вакансий для девопсов за неделю DevOps/SRE инженер — от 270 000 ₽, гибрид в Москве. DevSecOps инженер — удалёнка. Senior DevOps/SRE — 2 500 - 3 000$, удалёнка. ➡️ Еще больше топовых вакансий — в нашем канале Devops Jobs 🐸Библиотека devops'a #вакансия_недели

🖇 Как убедиться, что после миграции ничего не сломалось Финальный пост цикла о миграции с Ingress-NGINX. Предыдущие посты описывали конкретные ловушки. Этот — о том, как проверить результат и снизить риск сбоев при переключении трафика. Инвентаризация. Выгрузите все Ingress-ресурсы и составьте список уникальных аннотаций. Это покажет полный объём конфигурации, которую нужно перенести, и места, где автоматический перевод невозможен. Теневое тестирование. Gateway API поддерживает зеркалирование трафика через фильтр RequestMirror. Реальный трафик продолжает идти через Ingress-NGINX, а его копия параллельно обрабатывается новым Gateway. Можно сравнивать ответы и выявлять расхождения без риска для продакшена. Утилита ingress2gateway. Инструмент от сообщества Kubernetes конвертирует Ingress-ресурсы в HTTPRoute и показывает места, где автоматический перевод невозможен. Хорошая отправная точка, но не финальный результат. Проверка приоритетов маршрутов. В Gateway API более специфичный путь имеет больший приоритет. В Ingress-NGINX логика другая. Если есть пересекающиеся маршруты, порядок их срабатывания после миграции может измениться незаметно. Начните с одного маршрута, протестируйте его в тени, убедитесь в корректности — и только потом двигайтесь дальше. Чем больше у вас тестов, описывающих реальное поведение маршрутов, тем безопаснее переход. 📍 Навигация: Вакансии • Задачи • Собесы 🐸 Библиотека devops'a #арсенал_инженера

👨‍💻 Podman умеет обновлять и откатывать контейнеры Watchtower закрылся. Те, кто держал Docker-контейнеры актуальными через этот инструмент, оказались перед вопросом: что теперь? Автообновление образов — базовая операционная потребность, и Docker её так и не решили нативно. Всегда нужен был сторонний инструмент. Podman подошёл к этому иначе: обновления и откаты встроены в платформу, никаких демонов-мониторов, никаких внешних утилит. Основа механизма — команда podman auto-update. Она проверяет контейнеры с нужным лейблом и обновляет их, если в реестре появился новый образ. Чтобы контейнер участвовал в автообновлениях, ему нужен лейбл io.containers.autoupdate. Значение registry сравнивает дайджесты образов с реестром, local проверяет локально собранные образы. Лейбл задаётся при создании контейнера:

podman run -d --name my-service \
  --label "io.containers.autoupdate=registry" \
  docker.io/library/nginx:latest

В Quadlet-файле достаточно одной строки в секции [Container]:

AutoUpdate=registry

Само обновление запускается через systemd-таймер. Включается он одной командой:

systemctl --user enable --now podman-auto-update.timer

Пример конфига для обновлений каждый понедельник в 3:30 ночи:

[Timer]
OnCalendar=Mon *-*-* 03:30:00
RandomizedDelaySec=30m

Перед тем как писать выражение для OnCalendar, стоит проверить его через systemd-analyze calendar — он сразу покажет следующее время срабатывания и не даст ошибиться с форматом. Podman не угадывает проблемы заранее, он реагирует. Последовательность такая: тянет новый образ, перезапускает сервис, смотрит, запустился ли контейнер. Не запустился — возвращает предыдущий образ. Для этого нужно три условия: • контейнер управляется через systemd • флаг --rollback включён • systemd может понять, что контейнер сломан. Самый надёжный способ это обеспечить — health check с sdnotify. Контейнер сам сигналит systemd о готовности. Если сигнал не пришёл за отведённое время, systemd фиксирует сбой и Podman откатывается. 📍 Навигация: Вакансии • Задачи • Собесы 🐸 Библиотека devops'a #root_prompt

🔗 Найм по знакомству — это не блат Это когда действующий сотрудник ставит свою репутацию за кандидата. Компании такое любят: быстрее, дешевле, надёжнее. За удачную рекомендацию платят от нескольких тысяч до 80 000 ₽. Для соискателя это тоже выгодно — меньше этапов, больше контекста о команде заранее и выше шанс на оффер. ➡️ Как устроиться по рекомендации и где искать реферальные программы 📍 Навигация: Вакансии • Задачи • Собесы 🐸 Библиотека devops'a

⏳ Часовая готовность: создаём ИИ-агента в прямом эфире В 19:00 МСК в рамках нашего курса «Разработка AI-агентов» стартует вебинар «ИИ-агенты в продакшене: от хайпа к деньгам». Спикер — Полина Полунина, руководитель AI-направления в Альфа-Банке. Будет live-демо работающего агента, реальные метрики из корпоративной среды и честный разбор архитектурных граблей — без воды и «успешного успеха». Всем зрителям эфира дадим эксклюзивный промокод AGENTS на скидку 10 000 ₽ на любой тариф курса. 👉 Занять место на вебинаре

☝️ Уже сегодня: ИИ-агенты в продакшене — инженерный подход к интеграции LLM Индустрия активно обсуждает потенциал нейросетей, способных автоматизировать бизнес-процессы и заменить целые отделы. Однако реальное внедрение агентов в production вскрывает серьёзные проблемы: разработчикам приходится бороться с непредсказуемыми галлюцинациями моделей, нестабильными API и сложной интеграцией в существующую архитектуру. Сегодня в 19:00 МСК в рамках нашего курса «Разработка AI-агентов» мы проведём открытый вебинар «ИИ-агенты в продакшене: от хайпа к деньгам». Спикер — Полина Полунина, руководитель AI-направления в Альфа-Банке. Будем говорить о нейросетях с позиции жёсткой инженерии. Разберём три реальных кейса из сурового банковского энтерпрайза, напишем и запустим агента прямо в эфире, честно обсудим грабли, на которые наступает бизнес при интеграции LLM. Тем, кто придёт на эфир, дадим промокод AGENTS на скидку 10 000 ₽ на любой тариф курса. 👉 Занять место на вебинаре