Флант | Специалисты по DevOps и Kubernetes

На кону финансовые данные клиентов, а странный и неуловимый баг в Cilium не даёт как следует настроить сетевую безопасность. Статья о том, почему любая «нерешаемая» проблема — это «пока недостаточно изученная» проблема. От случайных догадок — к системному исследованию и пул-реквесту с фиксом прямо в Linux.

Как встроить безопасность в разработку без лишней нагрузки на команды? Для этого важно смотреть не только на инструменты и инженерные практики, но и на организацию работы: кто за что отвечает, как команды взаимодействуют, где возникают зависимости и почему требования ИБ начинают конфликтовать с задачами продукта. 5 июня в 12:00 приглашаем на вебинар «История одного проекта: как встроить безопасность по командным топологиям». Покажем, как командные топологии помогают анализировать текущую модель поставки и выстраивать более понятное взаимодействие между продуктовыми, платформенными и ИБ-командами. На вебинаре разберём: — типы команд и форматы взаимодействия; — распределение зон ответственности; — переход от текущей модели к целевой; — пример проекта с рекомендациями и ожидаемыми результатами. Спикер: Василий Шмыр, техлид по практикам DevOps. → Зарегистрироваться

Проверил образ на входе и выдохнул? Зря… Максим Василенко покажет, как в Deckhouse Kubernetes Platform устроен end-to-end-контроль целостности контейнеров — от подписи образа в CI до runtime-проверки прямо внутри containerd v2. Узнаете, как выстроить цепочку доверия и защититься не только от подмены образов в реестре, но и от атак на уже запущенные рабочие нагрузки. Доклад «Контроль целостности в Kubernetes по-взрослому» слушайте на «БеКоне» 2 июня в 17:30. А после заглядывайте на наш стенд за мерчом :)

CI/CD-пайплайн не должен хранить секреты. В безопасной схеме он получает к ним доступ только на время выполнения конкретной задачи и в рамках своих прав. Но на практике GitLab CI/CD Variables нередко используют вместо хранилища секретов — со всеми вытекающими проблемами. В статье разбираем, с какими сложностями сталкиваются команды, строя безопасный пайплайн на Community-версиях GitLab и HashiCorp Vault, и как связка Deckhouse Code и Stronghold помогает разделить зоны ответственности и снизить риск компрометации всей системы.

Оптимизировать операторы k8s? Можно. А зачем? Объяснит Анатолий Чуриков, разработчик managed-сервисов в Deckhouse в своём докладе на Codefest. Толя разберет проблемы с которыми можно столкнуться, когда ваши операторы попадут в прод-окружения и начнут работать нестабильно из-за того, что вы не учли особенности работы с кэшем и информерами в controller-runtime. Выйдете с доклада с пониманием создания и обслуживания операторов. До встречи 30 мая в 14:00 (Зал №6).

9 апреля прошла наша ежегодная техническая конференция Deckhouse Conf. И первые видео уже в плейлистах! Начните с Главного доклада, где основатели компании рассказывают о трендах в ИТ и о том, что нового появилось в продуктах Deckhouse. Остальные доклады скоро тоже будут доступны — следите за обновлениями :) → YouTube → Rutube → ВК Видео

9 апреля прошла наша ежегодная техническая конференция Deckhouse Conf. И первые видео уже в плейлистах! Начните с Главного доклада, где основатели компании рассказывают о трендах в ИТ и о том, что нового появилось в продуктах Deckhouse. Остальные доклады скоро тоже будут доступны — следите за обновлениями :) → YouTube → Rutube → ВК Видео

Решили расслабиться, отвлечься от DevOps и Kubernetes и предложить вам почитать, как секвенировать свой геном на кухонном столе (похоже, расслабиться не получится). Внутри — пошаговый гайд (от мазка щеки до файла-генома aligned.bam) с разбором адаптивного семплирования и лайфхаками, как выжать максимум из одного прогона. Читайте, если хотите понять, как устроена DIY-геномика и с чего начать свой первый запуск.

Разобрали 7 неочевидных фич GitLab CE, которые могут сделать пайплайны чище, быстрее и чуть менее бесячими :) На карточках есть и про визуальный порядок в Jobs, и про защиту от параллельного запуска опасных задач, coverage и подсветку покрытия прямо в Merge Request, и про способы ускорить долгие проверки. Больше примеров — в статье на Хабре

Разобрали 7 неочевидных фич GitLab CE, которые могут сделать пайплайны чище, быстрее и чуть менее бесячими :) На карточках есть и про визуальный порядок в Jobs, и про защиту от параллельного запуска опасных задач, coverage и подсветку покрытия прямо в Merge Request, и про способы ускорить долгие проверки. Больше примеров — в статье на Хабре

Исследование состояния Cloud Native-технологий в России 2026 State of DevOps Russia, которое «Экспресс 42» проводил с 2020 года, выросло в нечто большее. Теперь исследование ведёт АОТ — Ассоциация облачно-ориентированных технологий, основанная «Флантом», Yandex Cloud и VK Cloud. Фокус этого года — синергия Cloud Native и ИИ: как команды встраивают нейросети в разработку, какие облачные практики реально работают, какой эффект от этого получают и насколько всё это безопасно. Опрос подробный: инструменты и практики Cloud Native, ИИ на разных этапах разработки, безопасность при работе с нейросетями. Намеренно не упрощали, потому что хотим точную картину, а не усреднённую. Если вы связаны с DevOps и разработкой — пройдите опрос. По результатам опубликуем открытый отчёт. Сможете сравнить свои практики с рынком, увидеть, где индустрия движется, и понять, насколько ваш стек и подходы соответствуют трендам. Пройти опрос →

Вышел Kubernetes 1.36, и он наконец-то перестанет заставлять нас страдать из-за рутинных мелочей. Теперь: STOPSIGNAL меняется в PodSpec, а не в Dockerfile; PVC сами пишут дату последнего использования (unusedSince); контроллеры не лезут в reconciliation, пока кеш не догонит реальность; логи узлов тянутся через kubectl, а не через ssh. Разобрали все 68 фич релиза на русском языке с примерами.

До чего может довести платформа и как управлять зоопарком кластеров? Ответим 24 апреля на DUMP 2026. Дмитрий Ковальков, архитектор инфраструктурных решений, расскажет, как обеспечить единство конфигураций и обновлений нескольких кластеров K8s. Бонус: открытый репозиторий для поднятия изолированного стенда с Deckhouse в Yandex Cloud. Павел Богданов, менеджер продукта, выступит с докладом о сложных последствиях разработки платформы, на которые поначалу закрывают глаза. Бонус: личный топ проблем и проверенных решений, накопленных за годы создания и эксплуатации платформ. Ждём вас на главной уральской!

Pod Security Standards не реализуют полноценную безопасность. Безопасность в Kubernetes во многих командах — это набор разрозненных договорённостей, где каждая команда трактует «безопасно» по-своему. PSS закрывают базовый минимум, но не проверяют источник образа, не требуют health-проверок, не ограничивают ресурсы и не запрещают latest-теги. 28 апреля в 12:00 на вебинаре Deckhouse Академии разберём, как выстроить полноценную модель безопасности пода средствами Deckhouse Kubernetes Platform. На вебинаре: где заканчиваются PSS и начинаются реальные риски; как SecurityPolicy и OperationPolicy в DKP закрывают то, что PSS оставляют открытым; как Gatekeeper превращает политики в версионируемый код, который можно проверить в CI/CD; разбор кейсов в консоли. Вебинар будет полезен DevOps-инженерам и специалистам по ИБ, которые работают с DKP или планируют это. А кто захочет разобраться глубже, сможет продолжить на курсе «Инструменты безопасности в Deckhouse Kubernetes Platform». Зарегистрироваться на вебинар →

Развивать платформу, которая ежедневно упрощает жизнь тысячам других инженеров? Умеем, практикуем и погружаем в нюансы на GolangConf 2026. Александр Синичкин, TPM в нашей команде, подготовил питч с инструкцией по сборке полноценного продукта из опенсорс-кусочков. Спойлер: контроллеры, операторы и инфраструктурную логику мы пишем с нуля. Погружение состоится 20 апреля в 15:50 в Зале 2. Вы приглашены!

Развивать платформу, которая ежедневно упрощает жизнь тысячам других инженеров? Умеем, практикуем и погружаем в нюансы на GolangConf 2026. Александр Синичкин, TPM в нашей команде, подготовил питч с инструкцией по сборке полноценного продукта из опенсорс-кусочков. Спойлер: контроллеры, операторы и инфраструктурную логику мы пишем с нуля. Погружение состоится 20 апреля в 15:50 в Зале 2. Вы приглашены!

24 апреля в 12:00 проведём вебинар «Современная инфраструктура по требованиям ФСТЭК России: контейнеризация, виртуализация и единое управление» Покажем, как выглядит инфраструктура, когда контейнеры и виртуальные машины работают под одним сертификатом ФСТЭК России. На вебинаре разберём: • как устроена сертификация DKP и DVP по ФСТЭК России; • что даёт сертифицированная DKP на практике, новые модули и возможности; • зачем нужна платформа виртуализации Deckhouse; • как закрыть требования ЗО КИИ комплексно — и по контейнерам, и по виртуализации, — даже если сейчас вы под них не подпадаете. В конце вебинара участников ждут бонусы, промокод на обучение и возможность получить бесплатный аудит. Зарегистрироваться →

Есть классический сценарий: поставили плагин, всё взлетело, выдохнули. А через месяц в кластере уже три мира: • продовый инференс, который не терпит сюрпризов; • обучение, требующее gang scheduling; • CI‑задачи, которым нужна «ровно пятая часть H100». И начинается магия: лейблы, nodeAffinity, перезапуски DaemonSet’ов и вопрос «А кто сегодня обновлял драйвер?». В статье разбираем, почему device plugin честно отработал свою эпоху, но уже не тянет современную AI‑инфраструктуру, и как DRA пытается навести порядок без «второго Kubernetes». Читайте, если тоже хотите управлять GPU, а не тушить пожары.

Выкатили под, а он падает в CrashLoopBackOff и висит там в ожидании Secret от другой системы? Проблема не в вашем коде. Проблема в том, что Helm и Kustomize просто не умеют описывать порядок. Они создают всё сразу и надеются, что «рано или поздно сработает». Новая статья о том, как избежать этого кошмара и описать оркестрацию как код. Спойлер: это работает.

Вы думаете, что ваш RBAC защищает Kubernetes? Статья показывает 5 прав, которые администраторы обычно выдают, не задумываясь, а хакеры используют для постоянного присутствия в кластере. Проверьте, не выдали ли вы их.