⚡️ Доклад с DevOpsDays Tashkent от Core 24/7

Для самых любознательных, как и обещали, целая куча материала с доклада "Ingress умер, да здравствует Gateway!" на DevOpsDays Tashkent от Байгашева Мираса.

Несмотря на относительно небольшой срок работы в DevOps, Мирас уже активно выступает на площадках CNCF Kazakhstan и Yandex Cloud и фокусируется на современных подходах, стабильности и улучшении инфраструктуры.

👈 Смотреть доклад Мираса

⚪️Разбор CVE-2025-1974 от Fortinet — мирового лидера решений и систем по кибербезопасности
⚪️Что предоставил Nginx в мире Gateway API? Контроллер Nginx Gateway Fabric
⚪️Пример создания HTTPRoute с автоматическими Reference Grant в виде Helm чарта
⚪️Официальный скрипт Kubernetes для миграции манифестов Ingress-nginx в формат Gateway
⚪️Официальный гайд Kubernetes по миграции с Ingress-nginx
⚪️Больше про Service Mesh через Gateway API — Project GAMMA
⚪️Официальные гайды по переносу аннотаций Ingress-nginx в формат Gateway API
⚪️Интеграция Gateway API и cert-manager
⚪️Inference Extension для балансировки ИИ трафика в Gateway API
⚪️Результаты сравнения базовых Service и Inference Extension ресурсов для ИИ трафика
⚪️Реальный пример использования Inference Extension с моделью llama
⚪️Самый навороченный контроллер Gateway API — AgentGateway
⚪️Какие контроллеры уже имплементированы для Gateway API
⚪️Как выбрать контроллер — бенчмарки всех доступных контроллеров

@DevOpsKaz 😛

🔥 А если взглянуть на SRE и любую «надежность» с другого угла?

Сегодня немного философии.

Есть такая модель Safety-II, которая в отличии от традиционного подхода (минимизация негативных факторов, приведших к сбою) предлагает сосредоточиться на развитии позитивных факторов — на повседневной работе, которая раз за разом предотвращает аварии. Вместо вопроса «Почему всё пошло не так?» можно спрашивать себя «Как сделать так, чтобы всё работало правильно?». В конце концов, мы измеряем доступность «девятками» (99,9% или 99,99%).

Эта идея кажется нам как инженерам настолько непривычной, что она буквально противоречит знаниям о том, как ломаются системы. В чем главная проблема?

Мы живем с установкой, что надежность — вещь пассивная: мол, по умолчанию система должна работать стабильно, а чтобы она сломалась, кто-то должен активно сделать что-то не так. Мы воспринимаем повседневную работу людей внутри системы как потенциальную угрозу для надежности.

Если рассматривать адаптивные действия сотрудников только в контексте инцидента и пытаться повысить надежность за счет их запрета, это будет похоже на попытку понять, как выиграть в лотерею, изучая поведение победителей. Существует гораздо больше проигравших, которые вели себя точно так же, просто мы на них не смотрим.

❗️ Приложили книгу Safety-I and Safety-II The Past and Future of Safety Management для тех, кто захочет глубже копнуть в эту тему.

Почему внедрить Safety-II сложно?

⚪️Компании попросту не привыкли изучать свою нормальную деятельность, чтобы ответить на вопрос: «Что у нас получается особенно хорошо и как масштабировать этот успех?»

⚪️Внимание внутри организации — ограниченный ресурс. Если все индикаторы «зеленые», это воспринимается как сигнал, что мы можем со спокойной душой переключить бюджет внимания на что-то другое.

⚪️В сфере технологий большая часть нашей работы фактически невидима: мы сидим один на один с компьютером.

Пока мы философствуем, специалисты по устойчивости ПО уже пытаются подтолкнуть индустрию в этом направлении, побуждая людей иначе взглянуть на то, какую пользу можно извлечь из анализа инцидентов, но впереди еще долгий путь.

@DevOpsKaz 😛

📅 Call for Papers на DevOpsDays Almaty 2026

Следующий DevOpsDays Almaty состоится в октябре 2026 (точная дата и место уточняются)

👈 Регистрируйтесь спикером, если хотите выступить с докладом

Какие доклады мы ждем:

⚪️Инструменты и платформы

Практика использования ОС, СУБД, CI/CD пайплайнов, контейнеризации, Kubernetes и оркестрации, систем мониторинга, логирования и observability-стека.

⚪️Безопасность и DevSecOps

Интеграция безопасности в процессы разработки, управление уязвимостями, защита инфраструктуры и данных, secure-by-design подходы.

⚪️Облака и инфраструктура

Переход в облако, мульти- и гибридные архитектуры, serverless-подходы, оптимизация затрат и производительности.

⚪️Практические кейсы

Реальные истории: что сработало, что нет, какие компромиссы пришлось принять и какие уроки вы извлекли.

⚪️Люди, процессы и культура

Построение эффективных команд, развитие DevOps-культуры, взаимодействие между разработкой, эксплуатацией и бизнесом.

⚪️Новые подходы и будущее DevOps

Тренды и эксперименты на практике, включая:
– применение AI и ML в инфраструктуре;
– использование агентов в продакшене (LLM-агенты, auto-remediation, AI-assisted ops);
– MCP-серверы и их роль в DevOps-пайплайнах;
– predictive autoscaling и адаптивные системы;
– log clustering, noise reduction и интеллектуальный анализ логов;
– автоматизация принятия решений и self-healing системы.

[Форма регистрации]

@DevOpsKaz 😛

⚡️ Прощай, .spec.externalIPs

В релизе Kubernetes v1.36 официально объявили старевшим (deprecated) поле .spec.externalIPs. Эта функция существовала с первых версий K8s. Исторически поле использовалось для ручной привязки внешних IP к сервису. Однако API Kubernetes не проверяет права владения IP-адресом, поэтому есть вероятность нарваться на атаку.

⚪️Вектор атаки: любой пользователь с правами на создание Service в любом Namespace может указать в externalIPs чужой IP (например, адрес внешнего DNS, шлюза или соседнего сервиса).

⚪️Результат: kube-proxy перехватит этот трафик внутри кластера, что позволяет провести атаку Man-in-the-Middle (MITM) или устроить DoS. Уязвимость признана архитектурной («исправление невозможно»), поэтому функционал полностью удаляют.

Таймлайн удаления:

— v1.36 (мы здесь): официальный deprecation. При отправке манифестов API возвращает предупреждения. Появился Feature Gate AllowServiceExternalIPs (пока true).
~ v1.40: Отключение по умолчанию. Флаг переводится в false. kube-proxy перестает обрабатывать externalIPs, если администратор не включит его принудительно.
~ v1.43: Полное удаление кода. Поддержка механизма полностью вырезается из kube-proxy.
~ v1.46: Финальная зачистка API-сервера.

На что мигрировать?

Если вы используете externalIPs, у вас есть 3 безопасные альтернативы:

⚪️для Bare-Metal: переход на Service.spec.type: LoadBalancer с использованием MetalLB или Kube-vip. Они выделяют IP строго из доверенных пулов с помощью ARP/BGP.
⚪️для L7/L4 трафика: использование Gateway API или классических Ingress-контроллеров. Доступ к публикации маршрутов здесь жестко разграничен через RBAC.
⚪️для простых задач: старый добрый Service.spec.type: NodePort (выделение портов строго контролируется кластером).

Проверить кластер на наличие уязвимых сервисов:

kubectl get svc -A -o jsonpath='{range .items[*]}{.metadata.namespace}{"/"}{.metadata.name}{"\t"}{.spec.externalIPs}{"\n"}{end}' | grep -v '\[\]'

@DevOpsKaz 😛

⚡️ Масштабное партнерство для ИТ-рынка Казахстана: Core 24/7 и Softprom объединяют усилия

Для казахстанского бизнеса растут требования к ИТ-инфраструктуре: высокая доступность, глубинная аналитика данных и жесткое соблюдение локального законодательства. Мы вместе с Softprom объединяем компетенции, чтобы предложить рынку РК новые технологические решения:

⚪️ Гибридные облачные архитектуры «под ключ»

Создаем бесшовные и отказоустойчивые связки: надежный локальный on-premise контур в Республике Казахстан + масштабируемые мощности публичного облака AWS.

⚪️ AI/ML-решения мирового уровня (с официальной поддержкой лидеров рынка)

Мы работаем в сфере ИИ с крупнейшими глобальными вендорами. Наше партнерство открывает бизнесу Казахстана доступ к технологиям от Google и Anthropic. Мы интегрируем продвинутые модели ИИ и машинного обучения в гибридные инфраструктуры, гарантируя главное — полное соблюдение требований регуляторов по локализации и хранению данных внутри страны.

⚪️ Готовые референс-архитектуры для РК

Мы не просто консультируем — мы формируем библиотеку типовых решений и лучших практик, адаптированных под специфику, законы и масштабы казахстанского бизнеса.

❗️ Что это даст бизнесу в Казахстане?

Гибкость и инновации ИИ-гигантов и AWS, сохраняя данные в периметре страны и под полным контролем. Скорость развертывания ИТ-проектов увеличивается, а риски комплаенса сводятся к нулю.

Делаем все, чтобы синергия Core 24/7 и Softprom стала мощным драйвером цифровой трансформации для финансового сектора, ритейла, логистики и enterprise-компаний Казахстана.

Следите за нашими анонсами. В будущем мы поделимся первыми совместными кейсами и готовыми архитектурными шаблонами.

@DevOpsKaz 😛

🔥 Выступите с докладом на Cloud Native Community Day — в Алматы 13 августа

Мы готовим новый митап на 100-150 человек — и ищем сильных инженеров, которые разбираются в технологиях CNCF и готовы выступить с докладом на основе своего реального опыта.

Нам интересны любые технологии CNCF:

⚪️ Kubernetes
⚪️ Service Mesh
⚪️ Observability
⚪️ Storage
⚪️ CI/CD
⚪️ безопасность
⚪️ сетевое взаимодействие и др.

👈 Подайте заявку как спикер

Какие доклады нам нужны:

⚪️ От инженеров, которые каждый день держат продакшн
⚪️ От инженеров, которые хотят поделиться реальным кейсом
⚪️ Как вы строили платформу и с чем столкнулись
⚪️ Как дебажили сложные инциденты
⚪️ Какие инструменты внедрили и как это убрало боль (или добавило новую)

​Что предлагаем спикерам:

⚪️ ​Официальный ивент CNCF — ваше выступление станет частью глобальной экосистемы
​⚪️ Аудитория: 100-150 инженеров (SRE, DevOps, Tech Leads)
​⚪️ Атмосфера: максимально теплая + фуршет, подарки и afterparty для нетворкинга

Чувствуете, что у вас есть история, которая спасет кому-то часы дебага?

👈 Подайте заявку как спикер

@DevOpsKaz 😛

🔥 Новости мира DevOps, которые вы могли пропустить

⚪️ Istio v1.30

Главный фокус последних обновлений Istio (включая релиз 1.30) — на глубокую стабилизацию бессидекарной архитектуры Ambient Mesh и упрощение эксплуатации. Разработчики добавили гайд по бесшовной миграции с классических сайдкаров, внедрили поддержку CIDR-диапазонов для внешних сервисов и добавили передачу исходной идентичности клиентов через шлюзы-вейпоинты (XFCC). Кроме того, в тестовом режиме появился компонент agentgateway, оптимизированный под сетевой трафик AI-агентов и MCP-инфраструктуры.

Istio получил полную нативную поддержку Helm v4 (включая Server-Side Apply), что устранило давние конфликты прав на вебхуках при апгрейдах. Для защиты управляющей панели istiod от OOM-киллов была интегрирована библиотека автоматического управления памятью (GOMEMLIMIT), а в прокси ztunnel добавлена поддержка списков отзыва сертификатов (CRL) для повышения безопасности.

⚪️ OpenBSD 7.9

Релиз с упором на архитектуру AMD64 (x86_64). Увеличили CPU процессора с 64 до 255 для поддержки серверов на Intel Xeon и AMD EPYC, исправили графический движок AMDGPU и обновили DRM до Linux v6.18.22. Поправили и сетевой стек со встроенным IPv6 SLAAC и отслеживанием source, state.

⚪️ Exam vouchers от Microsoft

Возможность бесплатно получить сертификации по Azure, AI, Security, Cloud и DevOps. На каждый аккаунт по 2 ваучера. Проходите учебный путь и набираете 80% practice assessment, за это приходит ваучер. AI-900, AI-103, AI-300(MLOps), SC-500 и другие. Дедлайн — 31 мая.

@DevOpsKaz 😛

🔥 Вакансия в CORE 24/7 — Middle DevOps-инженер

Алматы, офис
Требуемый опыт работы: 1-2 года
Полная занятость, полный день
Заработная плата: до 1 000 000 тг net
Контакты: Telegram @issaika

⚪️ Что нужно делать

• Поддерживать production так, чтобы бизнес мог быть спокоен
• Спасать клиентов в случае аварий: быстро, решительно, профессионально
• Выстраивать процессы CI/CD
• Переносить приложения клиента (на любом языке, фреймворке и технологии) в Kubernetes с помощью различных инструментов. Запускать и настраивать их
• Искать способы сделать более надежными и быстрыми базы данных, серверы очередей и прочий софт
• Разрушать стену между разработкой и системным администрированием; консультировать разработчиков клиента, вместе приходить к лучшим решениям и практикам

⚪️ С кем будете работать

• Со своей командой увлеченных профессионалов
• С тимлидом и ПМом, которые всегда помогут, обучат и направят
• Напрямую с клиентом, но в этом будут помогать тимлид и ПМ
• С внутренними командами, разрабатывающими инструменты, сервисы и технологии для упрощения работы

⚪️ Требования

• Отличные знания Linux-систем — ежедневная эксплуатация от 3 лет; опыт в DevOps — от 1 года
• Понимание того, как функционируют современные веб-приложения, и опыт их эксплуатации — от 3 лет
• Понимание веб-стека (HTTP, TCP/IP), устройства и работы сетей, базовые умения работы с iptables
• Понимание принципов работы СУБД, а также построения и эксплуатации распределенных систем
• Умение сформулировать алгоритм и уверенно писать скрипты
• Понимание того, что удалёнка — это серьёзная работа, а не оплачиваемый отдых

⚪️ Будет плюсом

• Опыт использования современных NoSQL-решений (особенно MongoDB и Redis)
• Опыт в Kubernetes
• Опыт настройки реляционных баз данных для отказоустойчивых/высоконагруженных систем
• Опыт разработчика
• Хорошие знания основ системы виртуализации KVM и контейнеров Docker
• Опыт работы с облачными платформами (Yandex clod, AWS, GCP, Azure и др)
• Знание Prometheus/Grafana
• Знание Elasticsearch (ELK)
• Знание RabbitMQ

Писать сюда:

👈 aissabekova@core247.io
👈 @issaika

@DevOpsKaz 😛

🔥 Конкурс совместно с Yandex Cloud Kazakhstan

Автоматизация — наше всё. И за одну идею автоматизации у вас есть шанс выиграть крутой походный набор.

💥 Призы: 3 набора с мерчем: рюкзак, чехол для ноутбука, облачный стикерпак и термос ☁️

Как участвовать:

⚪️ Подпишитесь на @DevOpsKaz и @yandexcloudkazakhstan
⚪️ Перейдите в конкурсный пост Yandex Cloud Kazakhstan по ссылке
⚪️ В комментариях под тем же постом ответьте на вопрос:

Какую рутинную задачу в IT / DevOps вы мечтаете полностью автоматизировать с помощью облаков и ИИ?

📅 Сроки:

Старт — 22 мая
Итоги — 29 мая (объявят в канале Yandex Cloud Kazakhstan)

Победителей объявят с помощью рандомайзера — из числа тех, кто ответит на вопрос.

@DevOpsKaz 😛