KazDevOps
6.63K subscribers
1.56K photos
27 videos
20 files
1.48K links
Канал о DevOps во всех проявлениях: K8s, CI/CD, HighLoad, AI/ML, Cloud, Linux
Возьмем на поддержку DevOps: https://core247.kz/
По рекламе @UlKonovalova
Download Telegram
🔥 Эмулятор Android как сервиса

Если вам нечем заняться в пятницу
Если нужна минималистичная среда с полноценным Android-эмулятором, к которому можно подключаться удалённо по сети...

docker-android — решение для CI-ферм, автотестов мобильных приложений и воспроизводимых сред разработки.

Чем полезен:

⚪️ Минимальный образ на Alpine с поддержкой KVM-аппаратного ускорения и Java Runtime Environment 11 на борту
⚪️ Каждый образ тегается под конкретный API level (halimqarroum/docker-android:api-33) — удобно гонять приложение против нескольких версий Android в одном пайплайне
⚪️ Конфигурируется через env как в docker-compose.yml, так и в манифестах Kubernetes, если гоняете ферму в кластере
⚪️ Подходит для своей локальной (или inside-VPC) фермы на bare-metal — KVM требует доступа к /dev/kvm, так что железо или nested virt обязательны
⚪️ Контейнер эфемерный: между прогонами не копится мусор, не остаётся хвостов от прошлых сессий — чистый старт по умолчанию

@DevOpsKaz 😛
Please open Telegram to view this post
VIEW IN TELEGRAM
82221
🔥 Запускаем наш продукт в бете — OpsMan AI

Первая публичная версия платформы, которая не просто показывает сколько вы тратите на облака и инфраструктуру, но и дает рекомендации по экономии. В цифрах — это до 30% ваших костов.

Подключаете за пару кликов свои сервисы и получаете весь функционал в одном окне. Больше не нужно прыгать между консолями провайдеров и таблицами, а потом долго выяснять как улучшить.

Что уже умеет OpsMan AI:

⚪️ Единый дашборд. Облака (Yandex Cloud, VK), Kubernetes-кластеры — потребление ресурсов, стоимость (USD / ₸ / ₽), рекомендации на одном экране.

⚪️ Анализ затрат. Динамика по дням, разбивка по сервисам и тегам, сравнение месяцев, подсветка текущих и оптимальных затрат — сразу видно потенциал оптимизации.

⚪️ Аномалии и рекомендации. Система сама находит скачки расходов, «зомби-ресурсы», диски без дела и ресурсы без лимитов. По каждой проблеме — конкретная рекомендация с суммой экономии.

⚪️ Группы аллокации. Конкретные ресурсы можно привязать к командам, проектам и отделам. Видно, кто сколько тратит, сколько ожидали и получили в итоге, какой прогноз на период.

⚪️ Бюджеты с алертами. Можно выставить бюджет на месяц/квартал/год и настроить ежедневные алерты при достижении определенного %. Сообщения придут в Telegram или на почту, чтобы избавить вас от неприятных сюрпризов.

⚪️ Отображение ресурсов. Kubernetes, облачные сущности, хосты — все ресурсы отображаются прямо в OpsMan AI.

⚪️ Прогноз расходов. На основе истории получаете план до конца месяца. Будет заранее понятно, уложитесь в бюджет или нет.

❗️ Это бета — и мы активно дорабатываем, добавляем функции и рады обратной связи. Мы даже группу для этого создали — там можно говорить честно и по существу.

Хотите подключить свою инфраструктуру и протестировать? Регистрируйтесь на платформе БЕСПЛАТНО
👈 https://console.opsman.ai/register


@DevOpsKaz 😛
Please open Telegram to view this post
VIEW IN TELEGRAM
72413933
KazDevOps pinned a photo
🔥 Конец эры VMware: строим open source private cloud в 2026

VMware после Broadcom заставил многие инфраструктурные команды заново считать TCO, риски вендор-лока и варианты развития частного облака.

В рамках Cloud Native Community Day 13 августа в Алматы мы проведем воркшоп, где и разберем, как перейти от классической виртуализации к cloud native private cloud: с виртуальными машинами, self-service для команд, managed-сервисами, сетями, хранилищем, мониторингом и API-first подходом.

Это не про замену одного продукта другим, а про понимание современной cloud native экосистемы: Kubernetes, KubeVirt, LINSTOR, Cilium, GitOps/API-подходы и платформенная модель управления инфраструктурой.


Cozystack будет использоваться как практический пример интегрированной платформы, на которой можно быстро собрать рабочий private cloud и показать миграционные сценарии руками.

Воркшоп проводит Тимур Тукаев, COO из Aenix (создатели Cozystack).

❗️ Регистрироваться на него нужно отдельно от CNCD.

Воркшоп рассчитан на инженеров уровня middle и выше:

⚪️DevOps / SRE инженеров
⚪️Системных и инфраструктурных инженеров
⚪️Инженеров виртуализации
⚪️Platform engineers
⚪️Технических лидов, которые оценивают альтернативы VMware
⚪️Команды, которые строят private cloud в Казахстане или планируют миграцию с VMware

Что вы получите на воркшопе:

⚪️Практическое понимание, как устроен cloud native private cloud
⚪️Карту соответствий между VMware-компонентами и cloud native стеком
⚪️Опыт миграции VM в KubeVirt-based среду
⚪️Понимание tenant-модели, self-service и managed-сервисов
⚪️Честный список рисков, ограничений и случаев, когда миграция не оправдана
⚪️Доступ к тестовому окружению на 1 месяц после воркшопа
⚪️Возможность выполнить домашнюю лабораторную работу и получить сертификат
⚪️Доступ в чат на 1 месяц после воркшопа для обратной связи по лабораторке и экспериментам

👈 Зарегаться на воркшоп

После воркшопа вы уйдете с ясной и практической картиной: как выглядит современный private cloud на базе cloud native подхода, какие компоненты нужны, где Cozystack помогает собрать их в единую платформу, и какие решения стоит принимать до начала реальной миграции.


@DevOpsKaz 😛
Please open Telegram to view this post
VIEW IN TELEGRAM
1632
⚡️ Постмортем: как взломали цепочку поставок TanStack через GitHub Actions (OIDC + Cache Poisoning)

11 мая 2026 года злоумышленники за 6 минут опубликовали 84 вредоносные версии 42 npm-пакетов семейства @tanstack/* (популярный набор библиотек для фронтенд-разработки) с легитимной подписью происхождения (SLSA provenance). При этом учетные данные мейнтейнеров не были украдены, а 2FA была включена.


Схема атаки:

⚪️ Pwn Request. Злоумышленник создал PR из форка. Воркфлоу bundle-size.yml использовал триггер pull_request_target. Сам по себе он безопасен (запускает код из ветки main), но внутри был шаг сборки бенчмарков, который явно подтягивал файлы из коммита форка. Это и позволило вредоносному коду выполниться в контексте базового репозитория без одобрения админов.

⚪️ Отравление кэша. Вредоносный скрипт записал отравленный кэш pnpm-store (1.1 ГБ) в общий репозиторий под ключом ветки main. Разграничение прав через permissions не сработало, так как экшен использовал внутренний токен раннера для записи, а не GITHUB_TOKEN. Затем злоумышленник сделал force-push пустышки, скрыв изменения в PR.

⚪️ Кража OIDC-токена из памяти. Когда мейнтейнер сделал штатный пуш в main, запустился легитимный релизный воркфлоу, который восстановил отравленный кэш. Вредоносный код активировался и извлек валидный OIDC-токен прямо из оперативной памяти процесса GitHub Actions Runner, после чего легитимно залил пакеты в npm.

Вредоносный код внедрялся через хук prepare (optionalDependencies) и выполнял:

⚪️ Сбор секретов. Сканировал .npmrc, сессии GitHub/gh CLI, ключи AWS (IMDS/Secrets Manager), GCP, Azure, конфиги Kubernetes, HashiCorp Vault, приватные SSH-ключи, файлы .env и сессии 1Password.

⚪️ Эксфильтрацию. Отправлял данные по HTTPS и скрытым DNS-каналам в сеть Session/Oxen.

⚪️ Червь-эффект. Запрашивал у npm другие пакеты, где скомпрометированный юзер был админом, и пытался заразить и их (пострадали некоторые пакеты Mistral AI, UiPath, Guardrails AI).

Если ваша команда пользуется TanStack:

⚪️Проверить lock-файлы на наличие зараженных версий (полный список в CVE-2026-45321 / GHSA-g7cv-rxg3-hmpx). Если пакеты ставились — считать раннеры/хосты скомпрометированными и провести полную ротацию всех секретов и ключей, к которым они имели доступ.

⚪️Блокировать хуки сборки. В CI/CD использовать флаг --ignore-scripts при установке зависимостей (например, pnpm install --ignore-scripts или npm ci --ignore-scripts).

⚪️Изолировать кэш. Недостаточно просто ограничить OIDC-токен веткой main (ведь атакующие дождались легитимного пуша). Необходимо строго разделять области видимости кэша. Кэш для релизных пайплайнов должен быть полностью изолирован от кэша, доступного для воркфлоу проверки PR (pull_request_target).

В GitHub Actions фиксировать сторонние экшены по SHA-хэшам коммитов, ограничить область действия OIDC конкретными защищенными ветками (refs/heads/main) и жестко изолировать триггер pull_request_target.

@DevOpsKaz 😛
Please open Telegram to view this post
VIEW IN TELEGRAM
1543
⚡️ 4 причины прийти на вебинар «Переезд в облако без простоев»

1 июля в 19:00 Core 24/7 и Yandex Cloud Kazakhstan расскажут о проблемах миграции и их решении на базе практических кейсов. Рассказываем, почему стоит смотреть:

1️⃣ Информация из первых уст. Это будет не пересказ статей, а практический опыт тех, кто переносил инфраструктуру банков, ритейла, стартапов, госсектора и холдингов. Спикеры — Александр Калинин, COO Core 24/7, и Ренат Бегайдар, Yandex Cloud.

2️⃣ Казахстанские кейсы. Разбираем переезд Biometric, Aurma и Sector Tree.

3️⃣ Бесплатный аудит DevOps по чек-листу. Каждый участник сможет пройти чек-лист DevOps-зрелости и получить рекомендации с первичного аудита инфраструктуры — увидите свои узкие места ещё до переезда.

4️⃣ Грант на миграцию от Yandex Cloud KZ. Участникам — вход в программу бесплатной миграции в Yandex Cloud KZ: грант на потребление облака до 60 дней или бесплатный технический перенос силами сертифицированного партнера Core 24/7.

Формат: онлайн, ~60 минут, бесплатно. Запись будет.

👈 Зарегистрироваться

Приглашайте руководителей, коллег и приходите сами 🫡

@DevOpsKaz 😛
Please open Telegram to view this post
VIEW IN TELEGRAM
17222
Forwarded from DevOpsDays Almaty 2026
📅 Станьте спикером на DevOpsDays Almaty 2026

DevOpsDays Almaty состоится 16 октября 2026 — и уже сейчас мы подготавливаем первых спикеров к ежегодной масштабной конференции. Встаньте в один ряд с лидерами мнений СНГ и расскажите о своем опыте — с докладом и выступлением мы поможем.

👈 Регистрируйтесь спикером

Ждем спикеров, которые готовы рассказать про:

⚪️ Инструменты и платформы
⚪️ Безопасность и DevSecOps
⚪️ Облака и инфраструктуру
⚪️ Практические кейсы
⚪️ Людей, процессы и культуру
⚪️ Новые подходы и будущее DevOps

Особенно интересны эксперименты на практике:

⚪️ применение AI и ML в инфраструктуре
⚪️ использование агентов в продакшене (LLM-агенты, auto-remediation, AI-assisted ops)
⚪️ MCP-серверы и их роль в DevOps-пайплайнах
⚪️ predictive autoscaling и адаптивные системы
⚪️ log clustering, noise reduction и интеллектуальный анализ логов
⚪️ автоматизация принятия решений и self-healing системы

👈 Подать доклад
Please open Telegram to view this post
VIEW IN TELEGRAM
14222
🔥 Как вырастить ML-инфраструктуру от коробки до гигантской платформы

Когда в компании появляется первый Data Scientist, ему обычно хватает одной мощной машинки или DevBox. Но что происходит, когда команда разрастается до сотен и тысяч инженеров, а модели начинают приносить бизнесу миллионы?


Хаос из разрозненных скриптов, проблемы с масштабированием, "зоопарк" технологий и бесконечная головная боль инженеров.

В новой статье на Хабре команда Авито делится своим опытом эволюции ML-платформы. Вы узнаете:

⚪️ С какими граблями сталкивается крупный бизнес при масштабировании ML
⚪️ Как пройти путь от локальной разработки до полноценной MLOps-экосистемы на 1000+ пользователей
⚪️ Как выстроить процессы так, чтобы инфраструктура помогала, а не мешала катить модели в прод

Практический гайд для тимлидов, MLOps-инженеров и всех, кто строит Big Data в больших масштабах.

👈  Читать статью

@DevOpsKaz 😛
Please open Telegram to view this post
VIEW IN TELEGRAM
152
🔥 Архитектурный выбор контроллеров в Kubernetes

Оркестрация жизненного цикла подов зависит от правильного выбора контроллера (Workload API). Ошибка на этапе проектирования может привести к нарушению консистентности данных, неэффективной утилизации ресурсов нод или деградации stateful-приложений.

⚪️ Deployment: оркестрация Stateless-нагрузок

Этот контроллер спроектирован для приложений без сохранения состояния, где любой под является эфемерным и взаимозаменяемым.

Поды не имеют постоянного сетевого или дискового состояния. Имена генерируются динамически на основе хэша шаблона и случайной строки.

При обновлении старые поды уничтожаются, а новые создаются с нуля. Порядок деплоя реплик не гарантируется.

Использование PersistentVolume ограничено. Как правило, все реплики делят один том в режиме ReadWriteMany (например, NFS), либо работают исключительно с ephemeral-хранилищами.


Использование: REST API, микросервисы, фронтенд, stateless-воркеры очередей.

⚪️ StatefulSet: управление Stateful-нагрузками

Для приложений, требующих идентичности, стабильного сетевого имени и персистентного хранилища для каждой отдельной реплики.

Каждый под получает предсказуемый индекс (от 0 до N-1), который сохраняется при пересоздании (db-0, db-1).

Требует обязательного объявления Headless Service. Это позволяет формировать уникальные DNS для каждого пода, что критично для сборки кластерных топологий.

Каждому индексу пода соответствует свой PersistentVolumeClaim (через volumeClaimTemplates). При пересоздании или переносе пода на другую ноду, к нему монтируется его родной том. PVC не удаляются автоматически ни при масштабировании вниз, ни при удалении StatefulSet — это защищает данные от случайной потери. Это поведение можно переопределить полем .spec.persistentVolumeClaimRetentionPolicy с параметрами whenScaled и whenDeleted (Retain/Delete) — полезно, чтобы не копить orphaned-тома и не платить за неиспользуемое хранилище после scale down.

Для развертывания по умолчанию используется политика OrderedReady. Для оптимизации времени деплоя доступна политика Parallel.


Использование: распределенные СУБД, брокеры сообщений, координаторы (etcd, ZooKeeper).

⚪️ DaemonSet: гарантированное покрытие нод

Гарантирует, что экземпляр пода будет запущен на всех (или на строго определенных через nodeSelector / affinity) узлах кластера.

Количество реплик не задается вручную, а динамически масштабируется вместе с размером кластера. При вводе новой ноды под разворачивается на ней автоматически.

Размещение подов DaemonSet делегируется штатному kube-scheduler — через автоматическое добавление NodeAffinity и tolerations к системным taints, а не рассчитывается напрямую контроллером DaemonSet.

Поддерживает RollingUpdate. Параметр maxUnavailable управляет доступностью агентов с самого начала (по умолчанию 1).


Использование: агенты мониторинга и метрик, сборщики логов, системные компоненты сети и проксирования (kube-proxy, CNI-плагины вроде Cilium или Calico).

🎯 Чек-лист для архитектурного выбора

⚪️Deployment: нужна горизонтальная масштабируемость, поды идентичны, состояние хранится во внешних хранилищах (S3, внешняя БД)
⚪️StatefulSet: нужна строгая идентичность подов, кворумные алгоритмы (Raft/Paxos), фиксация сетевых имен и индивидуальные диски для каждой реплики
⚪️DaemonSet: нужна сквозная инфраструктурная обвязка хостов (логи, метрики, безопасность, сеть), которая должна жить на самой ноде независимо от бизнес-логики

@DevOpsKaz 😛
Please open Telegram to view this post
VIEW IN TELEGRAM
1622
Forwarded from Rocket Tech
Финтех становится сложнее: растет число интеграций, появляются новые регуляторные требования, банки внедряют AI и открытые API.

Вместе с этим меняется и роль DevOps — от поддержки инфраструктуры к обеспечению стабильности цифровых сервисов.

Подготовили краткий обзор ключевых трендов, листайте карусель 👉🏻
1543
🔥 Вакансия DevSecOps/AppSec Lead в KASE

Ищут специалиста, который поможет выстроить полноценный SSDLC-процесс: от анализа требований и архитектуры до автоматизированных проверок безопасности в CI/CD, quality gates, ревью кода и внедрения современных инструментов AppSec. Также в задачи входит формирование AppSec-команды и ее встраивание в процессы разработки, ревью и сопровождения критичных изменений.

Основные задачи

• Выстроить процессы SSDLC.
• Внедрить SAST и DAST в пайплайн разработки. При необходимости рассмотреть более продвинутые подходы - IAST/RASP.
• Внедрить SCA, в том числе с использованием уже приобретенного модуля SonarQube.
• Обеспечить настройку инструментов: SonarQube, quality gates и других средств контроля качества и безопасности кода.
• Собрать команду AppSec-инженеров и встроить ее в процесс ревью.
• Внедрить AppSec-анализ на этапе формирования задач в рамках подхода shift left.
• Внедрить локальные LLM-модели в пайплайн разработки на практически применимом уровне.

 
Основные требования

• Опыт в AppSec, DevSecOps или Application Security от 3 лет.
• Понимание SSDLC и практик безопасной разработки.
• Опыт внедрения SAST, SCA, DAST, IAST или аналогичных инструментов.
• Практический опыт работы с SonarQube или другим стат анализатором, на уровне написания правил.
• Понимание CI/CD-пайплайнов GitLab CI.
• Опыт настройки quality gates, security gates и правил анализа кода.
• Понимание OWASP Top 10, ASVS, CWE, CVE и CVSS.
• Умение разбирать результаты сканеров и отличать реальные риски от false positive.
• Опыт взаимодействия с командами разработки.
• Умение писать понятные регламенты, чек-листы и инструкции.

 
Будет плюсом

• Опыт построения AppSec-команды с нуля.
• Опыт работы с локальными LLM: Ollama, vLLM, llama.cpp, Open WebUI, Code LLM, агентные инструменты.
• Понимание рисков LLM: prompt injection, утечки данных, supply chain risks, генерация небезопасного кода.
• Опыт внедрения RASP/IAST-решений.
• Опыт построения метрик AppSec и DevSecOps.


❗️ Отправляйте резюме на почту a.almassova@kase.kz с пометкой в теме DevSecOps или в Telegram @aselya_ao
Please open Telegram to view this post
VIEW IN TELEGRAM
18222
💻 Запись вебинара по миграции без простоев + лучшие условия для вас

Core 24/7 и Yandex Cloud провели вебинар, где рассказали, как мигрировать в облако без серьезного простоя, но и как сделать это бесплатно.

Уложились в 40 минут — и теперь можете смотреть в своем темпе, когда удобно. Никакой воды, только концентрированные советы.


👈 Смотреть запись

Оставим здесь и наши предложения — БЕЗ ПОДВОХА бесплатные:

1️⃣ Бесплатная миграция в Yandex Cloud

Технический перенос инфраструктуры в казахстанский дата-центр по всем канонам лучших практик возьмет на себя Core 24/7, а Yandex Cloud оплатит миграцию вместо вас. Миграция постепенная, с резервными копиями, на основе опыта 50+ переносов инфры казахстанского бизнеса. Подходит, если вы сейчас на своём железе, у хостинг-провайдера или в другом облаке.

👈 Мигрировать бесплатно

2️⃣ Бесплатный аудит зрелости DevOps процессов

Пройдите чек-лист и получите оценку зрелости вашей инфраструктуры — узкие места, риски и приоритеты (где проблема, что чинить и улучшать в первую очередь). Первичный аудит готовили Senior инженеры около месяца, и теперь он полностью автоматизирован. Без обязательств получите отчет за 10 минут.

👈 Пройти аудит

❗️ Предложения действуют до 1 августа.


@DevOpsKaz 😛
Please open Telegram to view this post
VIEW IN TELEGRAM
14222
Forwarded from TECHOZIMIZ
Как изменились зарплаты на казахстанском IT-рынке в 2026 году?🤑

2 июля команда People Consulting презентовала результаты третьего ежегодного исследования IT-рынка на основе данных ведущих казахстанских работодателей. Ресерч охватил 24 компании, 7300 сотрудников и 68 профессий.

Мы посетили презентацию в офисе Яндекса Казахстан и собрали ключевые выводы о том, у кого и насколько изменились доходы в IT-индустрии.

Спойлер: за год зарплаты в индустрии в среднем подросли на 18%. Особенно конкуренция развернулась за сеньоров и лидов, а также IT-архитекторов, AI-инженеров, ИБ-специалистов и DevOps-ов.

Расклад по индустриям

Вне зависимости от отрасли доходы везде плюс минус одинаковые. Небольшое отставание сократил телеком, а в разработке и финансах зарплаты строго по рынку. Хотя небольшой прирост/спад по отдельным позициям все же есть.

Зато в квазигосе и агропроме зарплаты айтишников пока ниже рынка. Особенно у тех. лидов/лидов (-20%), мидлов (-14%) и джунов (-16%).

В разрезе городов и ближайшего зарубежья оклады в целом сопоставимы.

Доходы растут не у всех

Особенно заметно зарплаты выросли у сеньоров среди php-разработчиков (+111%) – их стек не особо популярен, и таких спецов мало на рынке.

В том же топе DevOps-инженеры и ИБ-специалисты (+68%). Причем первые установили зарплатный рекорд – 4 млн. 760 тыс. тг., что вполне себе на уровне СTO.

В прошлом году многие направления, возглавлявшие топ, наоборот, не росли в доходах, так как спрос устаканился. Особенно спад ощутили Python-разработчики (-29%), UX/UI-дизайнеры (-3%). В том же списке Colvir, React, Android и 1С.

По зарплатам сеньорский анти-топ возглавили RTE (Release Train Engineer) и админы баз данных. В случае вторых могла повлиять автоматизация. За ними пятерку с
доходом до 600 тыс. тг. замыкает Help Desk и (неожиданно) data и бизнес-аналитики.

Что по бонусам

У джунов, мидлов и синьоров бонусы в среднем выросли на 25%. А в разрезе индустрий самые высокие надбавки – в финсекторе и прочих направлениях.

🗣В завершении презентации автор исследования и партнер People Consulting Александр Прокопенко поделился мнением о состоянии рынка и спросе на отдельных специалистов:

«Мы видим, что второй год подряд IT-рынок Казахстана становится более зрелым, отличие оплаты между секторами практически нивелируется. Рынок устаканился и резких скачков в зарплатах нет. Теперь на выбор работодателя будут влиять гибкие процессы в компании, интересные проекты и культура в команде, а не только условия по оплате.

Также ожидаем высокий спрос на должности, связанные с AI. Компании будут точечно платить узким специалистам большие деньги, но в перспективе двух-трех лет ИИ-компетенции большинства сотрудников покроют потребности бизнеса. В антитоп в ближайшие два года могут попасть направления в разработке, поддержке и инфраструктуре, где возможна автоматизация».


#обзор

Подписывайтесь на
Techozimiz и следите за развитием технологий вместе с нами! 🚀
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
17432