DevOps | Вопросы собесов

🤔 Какими средствами бэкапили виртуалки или куберовские сущности? Для виртуалок — Veeam, Bacula, Proxmox Backup Server, VMware tools. Для Kubernetes — Velero, Kasten K10, Restic, etcd backup. Также можно использовать kubectl get -o yaml для экспорта манифестов и pv snapshot-менеджеры. Ставь 👍 если знал ответ, 🔥 если нет Забирай 📚 Базу знаний

🤔 Как AWS работает с DevOps? AWS предоставляет облачные сервисы для автоматизации CI/CD, управления инфраструктурой, мониторинга и безопасности. 🚩CI/CD (Непрерывная интеграция и развертывание) AWS предлагает инструменты для автоматической сборки, тестирования и деплоя. AWS CodePipeline – автоматизация CI/CD-процессов AWS CodeBuild – сборка и тестирование кода AWS CodeDeploy – автоматический деплой в EC2, ECS, Lambda AWS CodeCommit – репозиторий Git в AWS Пример CI/CD-пайплайна в AWS CodePipeline 1. CodeCommit получает новый коммит 2. CodeBuild собирает и тестирует код 3. CodeDeploy разворачивает приложение на EC2 🚩Управление инфраструктурой (IaC) В DevOps важно автоматически создавать и управлять ресурсами AWS. Terraform – создает инфраструктуру по коду AWS CloudFormation – аналог Terraform от AWS AWS CDK (Cloud Development Kit) – IaC на Python/TypeScript

hcl  
resource "aws_instance" "web" {  
  ami           = "ami-123456"  
  instance_type = "t2.micro"  
}  

🚩Контейнеризация и оркестрация AWS поддерживает управление контейнерами и Kubernetes. Amazon ECS (Elastic Container Service) – контейнеры без Kubernetes Amazon EKS (Elastic Kubernetes Service) – управляемый Kubernetes AWS Fargate – запуск контейнеров без управления серверами Пример развертывания контейнера в AWS ECS: 1. Собираем Docker-образ 2. Загружаем его в Amazon ECR (Elastic Container Registry) 3. ECS автоматически масштабирует и управляет контейнерами 🚩Мониторинг и логирование Amazon CloudWatch – сбор метрик и логов AWS X-Ray – трассировка запросов в микросервисах AWS CloudTrail – аудит действий в AWS Пример мониторинга EC2 1. CloudWatch собирает метрики CPU, RAM 2. Настраиваем авто-масштабирование на основе этих метрик 3. CloudTrail записывает все изменения инфраструктуры 🚩Безопасность и управление доступом AWS IAM (Identity and Access Management) – контроль прав AWS Secrets Manager – управление паролями и API-ключами AWS KMS (Key Management Service) – шифрование данных

hcl  
resource "aws_iam_role" "s3_read" {  
  name = "s3-read-only"  
  assume_role_policy = jsonencode({  
    Statement = [{  
      Effect = "Allow"  
      Action = "s3:GetObject"  
      Resource = "arn:aws:s3:::my-bucket/*"  
    }]  
  })  
}

Ставь 👍 и забирай 📚 Базу знаний

Запустите рекламу в телеграм-каналах через Яндекс Директ Перфоманс-реклама в мессенджере продолжает работать: • Таргетинг по тематикам и регионам • Умный подбор каналов • Гибкие модели оплаты (CPC и CPV) Яндекс Директ знает, как привлечь целевую аудиторию 💰👌 Попробовать #реклама yandex.ru О рекламодателе

🤔 Почему плохо запускать контейнер от рута в Kubernetes? - Повышенный риск эксплойта и компрометации хоста; - Нарушение принципов наименьших привилегий; - Некоторые security policies запрещают root-контейнеры; - Контейнер может получить доступ к host namespace и ресурсам. Ставь 👍 если знал ответ, 🔥 если нет Забирай 📚 Базу знаний

Инженеры перебрали... Linux-кейсов 🤩 У K2 Cloud и K2Тех вышла запись митапа по Linux — pебята разобрали реальные инженерные кейсы из практики про поломанный SSH, обновление ядер, поломку сети в ВМ и балансировщики с одинаковыми конфигами, но разными результатами. А еще в конце дали специальный кейс для зрителей — можно решить его и забрать приз до 5 июня. Смотреть здесь

Аренда VPS/VDS-сервера. Виртуальные выделенные серверы в дата-центрах уровня Tier III — 7 готовых конфигураций от 200 ₽/мес. Преимущества аренды: - Выделенные ресурсы без переплаты; - KVM-виртуализация; - Быстрые NVMe SSD; - Соответствие 152-ФЗ, PCI DSS; - Бесплатная защита от DDoS; - Управление через панель, API и Terraform; - Техподдержка 24/7. Запустите сервер за несколько минут! Попробовать #реклама 16+ selectel.ru О рекламодателе

🤔 Какие есть методы REST? Основные методы REST: - GET — получение данных; - POST — создание ресурса; - PUT — полное обновление ресурса; - PATCH — частичное обновление; - DELETE — удаление; Также могут использоваться HEAD, OPTIONS, TRACE, но они не обязательны для каждого API. Ставь 👍 если знал ответ, 🔥 если нет Забирай 📚 Базу знаний

🤔 Где хранить приватный PGP ключ? Приватный PGP-ключ – это чувствительные данные, которые нельзя хранить в незащищенных местах. Потеря или компрометация ключа может привести к утечке зашифрованных данных. 🚩Лучшие способы хранения приватного PGP-ключа 🟠На аппаратном токене (YubiKey, Nitrokey, SmartCard) - Ключ никогда не покидает устройство. - Физическая защита от копирования. - Можно использовать для SSH, GPG, подписи кода. 🟠В защищенном хранилище (Bitwarden, 1Password, KeePassXC) - Хранилище зашифровано и требует пароль или биометрию. - Можно синхронизировать между устройствами без потери безопасности. - Экспортировать ключ в зашифрованный файл:

  gpg --export-secret-keys --armor > private-key.asc

🟠В зашифрованном виде на диске (LUKS, VeraCrypt, EncFS) - Физическая защита – даже если диск украдут, без пароля его не открыть. - Работает на Linux, Windows, MacOS. 1⃣Создать зашифрованный контейнер с LUKS (Linux):

   cryptsetup luksFormat /dev/sdX
   cryptsetup luksOpen /dev/sdX secure_disk
   mkfs.ext4 /dev/mapper/secure_disk

2⃣Хранить ключ внутри /mnt/secure_disk/private-key.asc. 🟠4. В HSM или облачном KMS (AWS KMS, HashiCorp Vault, Azure Key Vault) - Подходит для энтерпрайз-решений. - Аппаратное шифрование (HSM) делает взлом практически невозможным. - AWS KMS или Vault можно использовать для PGP.

vault kv put secret/pgp_key key="$(cat private-key.asc)"

Ставь 👍 и забирай 📚 Базу знаний

🤔 Как посмотреть, какие порты заняты? Утилиты: - ss -tuln — показать слушающие TCP/UDP-порты. - netstat -tuln — аналогично, но устарел в новых системах. - lsof -i :порт — посмотреть, какой процесс использует конкретный порт. - fuser -n tcp <порт> — быстро узнать PID, который слушает порт. Ставь 👍 если знал ответ, 🔥 если нет Забирай 📚 Базу знаний

🤔 Видим что места нет находим большой файл 5 Гб например удаляем его а пишет что места всё равно нет в чём причина? В Linux удаленный файл может оставаться в памяти, если он все еще используется запущенным процессом. Это происходит, потому что файл не удаляется физически, пока его дескриптор (file descriptor) открыт. Файл все еще используется процессом Файл удален, но все еще открыт (deleted в /proc) Файл удален, но был записан в смонтированный том 🚩Проверить, какие процессы держат удаленный файл (`lsof`) Команда

lsof | grep deleted

Вывод

nginx     1234  www-data   4w   REG  8,1  5G   /var/log/nginx/access.log (deleted)

Решение: Перезапустить процесс:

systemctl restart nginx

или

kill -HUP 1234  # Закрыть процесс (PID = 1234)

🚩Освободить место вручную (`/proc`) Если процесс нельзя перезапустить, можно освободить занятую память без перезапуска.

ls -l /proc/*/fd/ | grep deleted

Вывод

lrwx------ 1 root root 64 Feb 21 14:23 /proc/5678/fd/4 -> /var/log/nginx/access.log (deleted)

Очистить файл, не перезапуская процесс

> /proc/5678/fd/4

🚩Проверить монтирование (Docker, NFS, tmpfs) Если файл хранился в смонтированном томе, он может не удалиться сразу. Проверить монтированные диски:

df -h
mount | grep /var/log

Если файл был в Docker-контейнере, проверить объемы:

docker system df

Ставь 👍 и забирай 📚 Базу знаний

🤔 Как делали права доступа в GitHub для агента, который скачивал/разворачивал ECS? Используются: - GitHub Actions OIDC → IAM Role in AWS; - IAM Role for Service Account (IRSA); - IAM policies + ограниченные assume-role. Ставь 👍 если знал ответ, 🔥 если нет Забирай 📚 Базу знаний

🤔 Почему плохо запускать контейнер от рута? Запуск контейнеров от имени пользователя root (рута) в Docker является обычной практикой, но это может привести к серьезным проблемам безопасности. Вот основные причины, почему это считается плохой практикой: 🟠Повышение рисков безопасности: Эксплуатация уязвимостей: Если злоумышленник получает доступ к контейнеру, запущенному от имени root, он может легко использовать уязвимости контейнера для атаки на хост-систему. Злоумышленники: Контейнеры могут содержать уязвимые или злонамеренные коды, которые при запуске с привилегиями root могут получить доступ к чувствительной информации или вызвать сбои. 🟠Отсутствие изоляции: Гостевая изоляция: Контейнеры должны быть изолированы от хост-системы. Запуск контейнера от имени root нарушает эту изоляцию, так как root внутри контейнера — это также root на хосте. Повышенные привилегии: Контейнеры, запущенные от имени root, могут иметь доступ к системным ресурсам, что увеличивает риск нарушения безопасности. 🟠Нарушение принципа наименьших привилегий: Принцип наименьших привилегий: Этот принцип гласит, что процесс должен иметь только те привилегии, которые необходимы для выполнения его задач. Запуск контейнера от имени root нарушает этот принцип, предоставляя ему избыточные права. 🚩Примеры проблем 🟠Повышение привилегий: Если в контейнере, запущенном от имени root, найдена уязвимость, злоумышленник может использовать ее для выполнения команд с привилегиями root на хосте, что может привести к серьезным нарушениям безопасности. 🟠Доступ к файловой системе хоста: Контейнер, запущенный от имени root, может получить доступ к критически важным файлам хостовой системы, изменять их или удалять, что может привести к нарушению работы всей системы. 🚩Как избежать запуска контейнеров от рута Использование непривилегированных пользователей: В Dockerfile можно создать пользователя с ограниченными привилегиями и переключиться на него.

FROM ubuntu:20.04
RUN useradd -m myuser
USER myuser
CMD ["myapp"]     

Использование флага --user: При запуске контейнера можно использовать флаг --user, чтобы указать непривилегированного пользователя.

docker run --user 1000:1000 myapp

Использование механизмов безопасности Docker: Использование профилей seccomp для ограничения системных вызовов. Использование AppArmor или SELinux для ограничения доступа контейнеров к системным ресурсам. Ставь 👍 и забирай 📚 Базу знаний

Не грузится? Понимаем. Бесплатный мессенджер для вашей компании - Битрикс24. Личные и групповые чаты, видеозвонки, каналы и нейросеть. Всё привычно и удобно. Начните работать на бесплатном тарифе уже сейчас. Узнать больше #реклама 16+ bitrix24.ru О рекламодателе

Курсы по ИИ и Excel от Яндекс Практикума бесплатно Освойте ИИ и Excel для работы бесплатно. Яндекс Практикум дарит +2 курса бонусом к корпоративному обучению Один подарок хорошо, а два — ещё лучше. Начните усиливать сотрудников в Практикуме до 31 мая и получите бесплатно набор курсов для себя и команды! Заберёте навыки, которые пригодятся в ежедневных задачах: ⚡«Excel для работы». Освоите табличный редактор на уровне профи ⚡«Основы ИИ». Получите базу для уверенной работы с нейросетями Оставьте заявку, чтобы узнать подробнее. Акция только для юрлиц. Узнать больше #реклама 16+ practicum.yandex.ru О рекламодателе

Нужны актуальные вопросы с собеседований ? DevOps | Собеседования - твой незаменимый помощник в подготовке к собеседованиям. 🔊Обзоры собеседований c вилками на позиции: 🔵DevOps инженеров (Junior, Middle, Senior). 🔵С комментариями автора, как человека, который активно собеседует кандидатов. 🔊В ближайшее время: 🔵Записи реальных собеседований (не моки и открытые собеседования). 🔵Гайды и рекомендации по обходу частых ошибок при выступлении на техническом интервью. ➡️ Подписаться

Не грузится? Понимаем. Бесплатный мессенджер для вашей компании - Битрикс24. Личные и групповые чаты, видеозвонки, каналы и нейросеть. Всё привычно и удобно. Начните работать на бесплатном тарифе уже сейчас. Узнать больше #реклама 16+ bitrix24.ru О рекламодателе

Главный навык на ближайшие годы — ВАЙБ-КОДИНГ ИИ уже пишет код, чинит баги, генерирует тесты, документацию и помогает запускать продукты быстрее, чем это делали классические команды разработки. И это уже не "будущее когда-нибудь", а реальность, которая меняет рынок уже сегодня И те, кто научится вайбкодить сейчас, будут увереннее конкурировать на рынке и зарабатывать больше тех, кто по-прежнему делает всё вручную. Стартовать с нуля поможет канал Вайб-кодинг. Там ребята круглосуточно мониторят более 320 российских и зарубежных источников и публикуют только главное: релизы, инструменты, гайды, курсы и практические кейсы. Подписывайтесь, нас уже 30 тысяч: @vibecoding_tg

ИН:Ритейл 21 мая приглашаем всех, кто определяет стратегию развития и маркетинга бизнесов в ритейле, обсудить ситуацию на рынке в новых условиях, вызовы 2026 года и перспективы. Отдельный фокус — на технологиях и инструментах, которые помогают бизнесу отвечать на новые вызовы: как меняется эффективность привлечения, как растёт измеримость рекламных каналов и какую роль играют новые форматы в маркетинговом миксе. Встречаемся 21 мая в Москве. Для тех, кто не сможет приехать, организуем онлайн-трансляцию. Мероприятие бесплатное, нужно только зарегистрироваться. Зарегистрироваться #реклама yandex.ru О рекламодателе

📘 На платформе Mentorix вышел курс — «DevOps-инженер: от основ до продакшена» Если вы хотите не просто изучить инструменты, а понять, как собирается реальная DevOps-инфраструктура — этот курс даёт полный системный подход. 🔧 Что внутри: • Linux, администрирование и bash • Docker и Kubernetes (реальная оркестрация) • Terraform и Ansible (Infrastructure as Code) • CI/CD: GitLab CI, GitHub Actions, Jenkins • мониторинг и логирование: Prometheus, Grafana, ELK • безопасность, сети, балансировка нагрузки • облака (AWS/GCP/Azure) 📊 Формат: — 82 урока и 784 шага — 320 теорий, 325 тестов, 139 задач практических задач — практика в каждом блоке 💡 Важно: вы не просто изучаете инструменты — вы собираете end-to-end инфраструктуру, которую можно положить в портфолио и показывать на собеседованиях. 💰 скидка 40%, действует 24 часа 👉 Пройти курс

Яндекс Музыка до 360 дней бесплатно Яндекс Музыка для вас и 3-х ваших близких. Кинопоиск и Яндекс Книги тоже в подписке. Попробуйте бесплатно❤️ Слушать #реклама 18+ music.yandex.ru О рекламодателе