🎙Пятничная подборка подкастов

В последнюю апрельскую пятницу предлагаем оставить все заботы и подключиться на волну DevOps FM.

⏺ Docker AI, what’s new with MCP, Agents, Sandboxes от DevOps and Docker Talk.
Брет Фишер прошелся по всем обновлениям в Docker за последние 8 месяцев: улучшения Desktop с ИИ-помощником Gordon, обновленные образы, а также Docker Sandboxes для запуска ИИ-агентов в изолированной среде. В выпуске Брет затронул функции Docker Model Runner и поддержку новых локальных LLM-решений, таких как NanoClaw.

⏺ It's all about Pentiums от Linux User Space.
Ден Саймонс и Лео Чавец окунулись в ностальгию о прошлом из-за исключении архитектуры 486 из ядра Linux. К счастью для них, самый первый Pentium (с MMX!) все еще доступен. Также, Ден и Лео поддержали изменения требований к оперативной памяти от Ubuntu (6 ГБ-> 4 ГБ) и поговорили о возможном снижении цен на RAM.

⏺ Cozystack Turns Bare Metal Into a Managed Services Platform от DevOps Paradox.
Андрей Квапил рассказал о развитии Cozystack, использовании платформы в финансовом секторе и внедрении ИИ. Кроме того, инженер поделился мнением о том, что Kubernetes должен стать стандартной, привычной платформой, такой же «скучной» как ядро Linux.

🔈 Желаем приятного прослушивания и выходных без инцидентов!

#девопс #пятничная_подборка #подкаст

Что нужно знать о Kubernetes v.1.36?

👩‍💻 Бодрый DevOps! На прошлой неделе, 22 апреля, вышел релиз стабильной ветки Kubernetes v.1.36, Haru. Делимся ключевыми изменениями и подборкой материалов.

Из стабильных (GA) изменений:
⏺ Поддержка user namespaces в подах (вывод из альфа v.1.25)
Больше не нужно подключать gVisor, Kata Containers, добавьте hostUsers: false в спецификацию пода
⏺ Улучшенная гранулярная авторизация Kubelet API для поддержания наименьших привилегий, KEP #2862
Для большинства кластеров обновление бесшовное.
⏺ Поддержка VolumeGroupSnapshot для восстановления в новые тома и корректной работы после падения, KEP #3476 
⏺ Динамическое обновление лимитов CSI, KEP #4876
kubelet задает лимиты ноды по результатам проверок или в ответ на отчеты об ошибках CSI, без рестарта компонента.
⏺ Поддержка API с внешними сервисами для подписи токенов ServiceAccount, KEP #740

При работе с системами Security Enhanced Linux (SELinux) могут возникнуть проблемы уже в v.1.37, SELinuxMount будет включена по умолчанию. Проведите аудит кластера, используйте сценарии от команды k8s.

📎Документация и разборы v.1.36:
• Весь CHANGELOG
• Особенности гранулярной авторизации Kubelet API
• Поддержка User Namespaces
• Сценарии при обновлении v.1.37 SELinux
• Обзор особенностей на Dev.to
• Практический разбор от MetalBear

Желаем продуктивной недели без падений!

#девопс #kubernetes #k8s #релиз

Дайджест в среду от DevOps FM

Погода шепчет, а мы вещаем. Что нового на этой неделе?

⏺Выпустили Fedora Linux 44

В релизе Anaconda больше не создает сетевые профили по умолчанию, ускорили загрузку OpenSSL, для облачных образов убрали отдельный раздел /boot, обновили версии пакетов Linux, MariaDB и повысили производительность сборок. Больше о новой версии – тут.

⏺Вышла серия отчётов по инцидентам, общей активности GitHub с прогнозами на 2026.

С развитием агентов репозиториев стало больше (20 млн), и риски при работе с данными возрасли. Команда отчиталась о недавних инцидентах. 23 апреля возникла проблема при слиянии нескольких PR через sqash . 27 апреля – в подсистеме Elasticsearch. Кластер оказался перегружен и перестал возвращать результаты поиска. Данные, операции Git и API не пострадали.

Подробности о прогнозах и обеспечению безопасности здесь.

⏺Команда Wiz подготовила подробный разбор CVE-2026-3854 в GitHub от 4 марта. Используя уязвимость в протоколе, пользователь получал удаленный доступ к коду и хранимым нодам. На корпоративном сервере злоумышленникам были доступны все репозитории и секреты. Примечательно, что уязвимость обнаружили с помощью ИИ, IDA MCP.

Из общих рекомендаций по безопасности:
• Проверяйте производственные бинарники на наличие тестового кода
• Валидируйте скрипты, чтобы избежать уязвимости обхода директория
• Не полагайтесь на delimiter-based протокол без проверок входных данных

Полный разбор – на Wiz.

⏺Шон Вэбб объявил о переносе Hardened BSD на Radical. Он уже встроил базовую поддержку загрузки архивов с исходным кодом в проект с инстанса radicle-httpd.

На момент публикации в Radical загружены три репозитория, Вэбб планирует постепенно перенести все, следующий на очереди secadm. Подробности о работе с Radical на портале.

⏺DataDog опубликовали результаты опроса State of AI Engineering. Оценили надежность моделей, работу с контекстом и рассчитали расходы. Всего выявили ключевых факта о состоянии ИИ-инженерии.

Из ключевого:
• Больше 70% компаний используют три и более моделей. На первом месте OpenAI с 63%, следом идут Google Gemini и Anthropic Claude с 20 и 23% соотвественно.
• Тех. долг LLM копится, пока компании внедряют новые модели «поверх» старых.
• Качество контекста – узкое горлышко LLM агентов
• 57% агентов – монолиты

Подробности найдете – здесь. А с разбором отчёта The State of AI в проектах CNCF можете ознакомиться в блоге.

#девпос #linux #github #новостная_подборка

Пятничное чтиво

🖖В майскую пятницу поговорим о языковых моделях. В подборке Джим Аллен Уоллес из Redis дает рекомендации по использованию ИИ-инструментов, а также практики по ускорению и оптимизации работы.

⏺ Когда использовать ИИ-агентов?
В статье автор разбирает, как устроен рабочий цикл ИИ и в каких случаях стоит опираться на шаблоны (workflows), а где модели следует работать автономно. От этого выбора напрямую зависят надежность, стоимость, задержки и то, как часто вам придется разбираться с ночными инцидентами.

На примере кейсов чаще всего работает гибрид, баланс детерминированности с гибкостью. Примеры и практики здесь.

⏺ Что скрывается за P99 latency: разбор 1% худших запросов
Показатели среднего времени ответа в норме, а пользователи все равно жалуются на задержки. Для тех, кто работает с LLM системами, пайплайнами RAG или ИИ-агентами, P99 latency – ключевой показатель эффективности. Автор объясняет, откуда берутся редкие, но особенно неприятные «хвостовые» задержки, как их измерить и улучшить. Все подробности – тут.

⏺ Подводные камни токенизации в LLM
Уоллес описывает, как устроена токенизация, и почему она так важна для ИИ-разработки. В статье по шагам разбирается, как текст превращается в токены и почему длина запроса влияет на нагрузку и цену. Внутри указаны практические способы сократить расход токенов: от более точной настройки промптов до семантического кэширования. Читаем здесь.

Желаем приятного чтения и хороших выходных!

#девопс #llm #redis #пятничное_чтиво

📝 Обучающие материалы по модульной платформе Kubernetes

Совсем недавно мы делились изменениями в релизе nxs-universal-chart v.3.0. В первой статье из серии обучающих Пётр, DevOps-инженер компании Никсис, рассказал о том, как развернуть полностью готовый Inference контур в Kubernetes на основе KServe и Istio Gateway.

Из первой части вы разберете:
• 5 слоев inference-контура и функции каждого компонента;
• полный values.yaml файл на примере ai-inference-mesh и всё, что под капотом;
• рекомендации по настройке полноценного мониторинга моделей и правил безопасности

Приятного чтения и продуктивной недели!

#Хабр #статья_Никсис #kubernetes

Примите участие в опросе: State of DevOps Russia Cloud Native-технологии в России 2026

🖖Срединедельный DevOps!

Приглашаем принять участие в State of DevOps Russia, которое проводили коллеги из «Экспресс 42». С этого года исследование перешло к АОТ, Ассоциации облачно-ориентированных технологий, основанной «Флантом», Yandex Cloud и VK Cloud.

Фокус 2026 года — синергия Cloud Native и ИИ:
• как команды встраивают нейросети в разработку
• какие облачные практики реально работают
• какой эффект от внедрения получают и насколько всё это безопасно

➡️Если тема DevOps вам не безразлична – пройдите опрос и расскажите, как используете облачные технологии в связке с ИИ.

По итогам подготовим подробный отчёт и поделимся результатами.

#партнёрский_пост

👀 Раскрываем тайны зависшего оркестратора Temporal UI

👩‍💻 Всех DevOps-ов и не только с пятницей! Подготовили для вас подборку полезных TUI для Kubernetes, Docker и etcd.

DockMate – ранее DockWatch, легковесный терминал, который позволяет отслеживать производительность в Docker и Podman Compose. Работает как альтернатива LazyDocker на языке Go. С его помощью можно получить полный контроль над работой в контейнерах, доступ к метрикам мониторинга и метаданным панели.

kubetui – интуитивный инструмент для отслеживания ресурсов Kubernetes в реальном времени. Даёт доступ к информации о подах и их логах в контейнере, настроенный мониторинг секретов и ConfigMap, отслеживание событий, упрощает работу с контекстом.

etcd-walker – приложение, которое позволяет работать с etcd хранилищем «ключ-значение» как с системой файлов. Создавайте, удаляйте, экспортируйте ключи и директории через единый интерфейс с поддержкой всех версий etcd, аутентификацией и TLS.

🤩 Кстати, напоминаем о полезном инструменте от нас:

🟡nxs-universal-chart v3.0.7 – модульная платформа для Kubernetes и платформенной поставки приложений, а о том как развернуть полностью готовый Inference контур рассказали на Хабре.

#девопс #tui #opensource

👩‍💻 Делимся подборкой материалов, которые помогут разобраться в DevOps и Linux!

• Основатели Missing Semester выкатили 9 лекций по работе с кодом, сосредоточились на терминале, в частности на bash и zsh, инструментах Unix-подобного окружения, особенностях Vim, структуризации логов и агентах в производственной среде. Все скрипты оставили на GitHub, а курс можно посмотреть здесь.

• На Medium DevOps Voice, инженер с 17-ти летним опытом, поделился дорожной картой DevOps&SRE 2026. Всего представлено 14 секций с практическими туториалами, разборами инцидентов и падений.
Из интересного:
➖100+ команд для DevOps-инженера
➖Postmortems в системах Linux
➖Шпаргалки по Docker, Kubernetes, Ansible и Terraform

• В списке расширений Docker обновления за 2026. Включили ИИ-инструменты для работы с образами, для построения моделей PyTorch, лабы с поддержкой MCP.

Продуктивного освоения! Делитесь вашими подборками в комментариях.

#девопс #linux #docker #kubernetes

⏺Ограничили доступ к GitHub

Срочное включение от DevOps FM! Сервис мониторинга OONI сообщил о снижении доступа к GitHub. В течение четырех дней, начиная с 5 мая, была зафиксирована 71 аномалия, за май – 73, что на 10 превышает количество проблем за апрель.

Что случилось?
• 5 мая пользователи Московской области столкнулись с проблемами с доступом к нескольким IP-адресам
• По данным сервиса detector404.ru пользователи не могли прогрузить сайт, получить доступ к репозиториям или запушить релизы. За 8 мая было зафиксировано 130 жалоб. За последние сутки – 13.

В чем причина сбоев?

По словам представителя RKS Global, команды по защите цифровых прав, проблема могла быть связана с блокировкой подсетей CDN, типа Fastly, или маскировкой через SNI под GitHub.

8 мая Роскомнадзор сообщил, что с их стороны блокировок не было:

В связи с появившимися сообщениями информируем, что доступ к ресурсам GitHub ведомством не ограничивается.

👀Что делать?

Команда SecurityLab подготовила подборку рекомендаций на случай официальной блокировки сервиса:

• Держать актуальные зеркала репо на GitLab, self-hosted GitLab, Gitea, Forgejo, Codeberg или внутреннем Git-сервере
• Подготовить сценарий сборки и релиза в GitLab CI, Jenkins, TeamCity, Woodpecker CI
• Хранить резервные копии проектов вне GitHub
• Проверить доступ к package registry и образам в контейнерах
• Продублировать документацию с GitHub

Полный список рекомендаций – здесь.

Upd. от 20 мая: Роскомнадзор провел проверку и отметил, что GitHub работает стабильно на территории РФ:

В связи с появляющимися сообщениями информируем, что доступ к ресурсам GitHub не ограничивается. Специалисты ЦМУ ССОП (ФГУП "ГРЧЦ") провели проверку и не фиксируют проблем с доступом и функционалом ресурсов GitHub, API работает без сбоев

👩‍💻 Как у вас обстоят дела с доступом к GitHub?

Новостной дайджест в DevOps FM!

Cобрали серию минорных релизов для обеспечения безопасности, а внизу – рекомендации от Cilium. Не забудьте обновиться :)

👩‍💻Спустя неделю после обнаружения CopyFail в ядре Linux нашли Dirty Frag. По сути, эта уязвимость относится к классу Dirty Pipe, обнаруженной в марте 2026, и позволяет непривилегированному пользователю получать права root.
➡️В этом репозитории подробно описали сценарии атаки, задействованные компоненты.

⏺ Из обновлений, Грег Кроа-Хартман сообщил о релизах ядер Linux с частичным исправлением Dirty Frag, Copy Fail 2. Также, можете использовать следующую команду для чистки модулей (не забудьте удалить после выпуска исправлений и обновиться до версии с патчем):

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"

⏺Вчера выпустили серию патч-релизов Kubernetes версий 1.33.12, 1.34.8, 1.35.5 и текущей 1.36.1, на Go v.1.26.2.
Устранили баги при работе с kubelet на ZFS при отсутствии плагина cadvisor, Kube-proxy с операциями в кластерах с 1000+ эндпоинтами, Kubeadm для ускорения работы балансировщика и дали рекомендации по назначению роли кластера, проверки статуса etcd.

Весь CHANGELOG и расширенный список улучшений в Kubernetes – тут.

⏺ В Grafana включили патчи по обеспечению безопасности до версии 13.0.1+security-01, которые закрывают проблемы с критическими уязвимостями.

⏺Зарелизили OpenZFS 2.4.2.
В новую версию включили поддержку Linux 7.0 и обеспечили совместимость с FreeBSD v.13.3+, 14.0+. Исправили баги с initramfs, добавили поддержку POSIX_FADV_DONTNEED, обновили процессы непрерывной интеграции (CI) и расширили лицензию SPDX.

Больше деталей об обновлении – здесь. Если вы всё ещё не перешли на ветку 2.4, OpenZFS v.2.3.7 уже доступна, ознакомиться можно тут.

⏺ В Debian поддержка воспроизводимых сборок стала обязательной.
Пол Геверс предоставил список обновлений, в котором указал обязательную сборку «бит-к-биту» для контроля качества и безопасности в цепочке поставок. Перенос новых и обновление текущих пакетов с регрессиями в testing запрещены. Теперь пользователи могут лично убедиться, что бинарные файлы собраны из исходных текстов и избежать компроментации.

⏺ GitLab принял решение сократить штат в пользу ИИ-агентов до 1 июня. Билл Стейплс в блоге GitLab пояснил, что «под раздачу» попадут до 30% команд из других стран для сокращения «операционного следа». Git перепроектируется для масштабирования в machine-scale инфраструктуре, изменения внесут в CI для обеспечения контроля и валидации агентов.

⏺ В блоге Cilium дали рекомендации по безопасности CI/CD в open-source проектах. Мейнтейнер Андре Мартинс проанализировал атаки на цепочку поставок за 12 месяцев и на примере проектов компании вывел несколько правил:
⁃ Контроль действий через двухэтапные проверки pull_request_target.
⁃ Не доверять изменяемым тегам в GitHub Actions и пиннить все действия и образы SHA.
⁃ Вендоринг зависимостей на Go для воспроизводимых сборок. CI проверяет, что между go.mod, go.sum и vendor/ нет расхождений.
⁃ Изоляция секретов и ограничение доступа к производственным кредам.

Вся таблица с рекомендациями – здесь.

#девпос #безопасность #linux #новостная_подборка

Какие сервисы хостинга для Git использовать?

📝Ограничения пользователей GitHub, волна сокращений и переход к ИИ-автоматизации в GitLab заставляют пользователей на Reddit-е искать альтернативные хостинговые сервисы. Что делать тем, кто не хочет переходить на собственные серверы?

mirrax
Codeberg, для проектов FOSS, но есть и другие провайдеры. Например, devxy или Servala.

bobaloooo
Gitea – лучший выбор

ninetofivedev
Bitbucket – просто мусор. Azure DevOps такой же.
Github, несмотря на все проблемы, всё ещё лучший. Gitlab неплох.
Если в вашей компании много инженеров недовольны, может, перейдете на собственную платформу для хостинга? Если руководству не всё равно, пускай организуют команду для управления собственной инфраструктуры системы управления версиями (VCS). А так, нет разницы платить $40/место GitHub или GitLab.

fumar
Перейти с GitHub-а на Azure DevOps? Хорошая шутка. Они превращаются в один проект.

Сразу несколько пользователей отметили, как GitHub снизил производительность после покупки Microsoft с 2018:

ninetofivedev
Решения Microsoft по структуре проекта и передачи доступов ужасные. Не пользуюсь ADO уже несколько лет, но вспоминаю с содроганием.

neoKushan
Не знаю, мне нравится AzDO, но с тех пор как его приобрел Microsoft, он будто заброшен.

sofixa11
По-моему, GitLab лучше. Он позволяет работать с организационной структурой, namespaces/папки (включая унаследованные права, секреты и тд). Пользовательский интерфейс лучше, не нужно использовать npm для управления миллионами зависимостей.

serverhorror
Gitlab, Launchpad.net, codeberg, BitBucket, sourcehut, GNU Savannah

👀 Из интересного, DevOps-инженер из Нидерландов рассказал о причинах перехода с GitHub на Forgejo, перечислил преимущества и неочевидные недостатки.

А тем временем из продуктов отечественной разработки выделяем GitVerse, SourceCraft, GitFlic. Не самые распространенные варианты, но всё же :)

Планируете ли вы переходить с GitHub? Каким сервисом пользуетесь?

#девопс #reddit

👩‍💻 Зачем Shopify отказались от Redis в пользу MySQL

Бодрый DevOps! Ранее мы разобрались в архитектуре модульного монолита, сегодня рассмотрим, как и зачем крупнейший сервис Shopify перешел на MySQL на этапе оформления заказов.

Нагрузки на Shopify всегда были высоки, особенно в Черную Пятницу. Прежде для резервирования и оформления товаров компания использовала Redis, но система сталкивалась с ограничениями консистентности между двумя БД. Тогда, инженеры Shopify решили перенести механизм резервирования целиком в MySQL.

В кейсе представили, как команда использовала:
⏺ SKIP LOCKED для совмещенных строк и ACID для обнаружения багов
⏺ составные первичные ключи для уменьшения числа блокировок
⏺ READ COMMITTED для борьбы с блокировкой промежутков
⏺ UNION ALL для сокращения времени обращений
⏺ а также собственную систему наблюдаемости для анализа соединений

Из интересного описали проблемы с пуллом соединений под нагрузкой в MySQL. Здесь можно узнать всё о переходе.

💻Что используете для высоконагруженных систем – Redis или MySQL?

#девопс #БД #MySQL #Redis

Приглашаем на конференцию по безопасности контейнеров и Kubernetes

Всем DevOps! 🖖 Уже в четвертый раз единственная в России конференция по безопасности контейнеров и Kubernetes собирает инженеров, чтобы обсудить правила безопасности K8S.

В меню «БеКона»:
⏺Ингредиенты — технологии: hardening кластеров, runtime-защита, политика как код, сканирование образов.
⏺Рецепты — люди и процессы: как выстроить культуру безопасности, общение между Dev, Sec и Ops-ами, внедрить «Нулевое доверие» в микросервисы.

На конференции вы сможете:
· Узнать, как защищать контейнерные среды в реальных условиях
· Понять, какие инструменты и подходы работают в 2026 году
· Поговорить с коллегами о наболевшем на Speaker Party
· Заработать баллы на геймификации и забрать мерч

На БеКон 2026 вас ждут лучшие практики, кейсы и инструменты для безопасности контейнеров.

🗓 2 июня 2026
📍 Москва, Лофт ГОЭЛРО

👀Подробнее о меню и билетах здесь.

#партнёрский_пост

Новостной дайджест в DevOps FM!

Можно бесконечно смотреть на три вещи: как горит огонь, течет вода и выходит свежая новостная подборка.

👩‍💻 GitHub отчитался об атаке на внутренние репозитории. В результате установки расширения VS Code на устройство сотрудника был запущен вредонос. Под угрозой оказались 3800 репозиториев сервиса. Подробности – здесь.

⏺ Май с гордостью носит звание месяца уязвимостей класса CopyFail. Аарон Исо из команды безопасности V12 обнаружил шестую по счету, PinTheft. Уязвимость возникла из-за ошибки в zerocopy double-free, двойного освобождения буфера. При сбое локальный пользователь может изменять, перезаписывать данные в страничном кэше.

Для устранения можете воспользоваться патчем, который приняли в ветку netdev 11 мая или отключить RDS:

rmmod rds_tcp rds
printf 'install rds /bin/false\ninstall rds_tcp /bin/false\n' > /etc/modprobe.d/pintheft.conf

PoC с принципом работы PinTheft – на GitHub.

⏺ Выпустили обновление nginx v.1.31.0 с устранением CVE-2026-42945. 13 мая на портале myP5 опубликовали рекомендации по обеспечению безопасности в версиях, начиная с 0.6.27. Эксплоит для уязвимости – здесь.

В nginx v.1.31.0 включили:
• Модуль ngx_http_tunnel_module для перенаправления на другой сервер через прокси
• Директивы least_time для балансировки нагрузки при передаче запроса и proxy_ssl_alpn для списка протоколов с расширением ALPN

Подробнее – тут.

➡️Сегодня зарелизили модуль nginx версии 0.9.9 с устранением критической уязвимости с эксплуатацией через запросы $http_*, $arg_*, $cookie_*.

⏺ Юбилейный релиз OpenBSD 7.9 выкатили с упором на архитектуру AMD64 (x86_64). В новой версии увеличили CPU процессора с 64 до 255 для поддержки серверов на Intel Xeon и AMD EPYC, внесли исправления в графический движок AMDGPU и обновили DRM до Linux v. 6.18.22. Внесли изменения и в сетевой стек со встроенным IPv6 SLAAC и отслеживанием source, state. Множественные фиксы и улучшения здесь.

⏺ Canonical представили монолитный Ubuntu Core 26, компактный дистрибутив без разбивки на deb-пакеты. Включили систему сборки на базе Chisel для работы с подмножеством snap-пакетов, сократили время на установку обновлений благодаря snap-delta. А также обеспечили совместимость Snapd REST API с OpenAPI, интеграцию с инструментами наблюдаемости на платформе Kubernetes. Теперь Ubuntu Core передает логи в Grafana, Loki и Prometheus.

⏺ Объявили о мажорном релизе Valkey c усилением безопасности, производительности и обновленной системой наблюдаемости. Изменения коснулись ограничений контроля доступа на уровне БД, движка Lua, I/O метрик, поддержки формата JSON.

Среди новых команд:
• HGETDEL читает и удаляет поля hash за одну операцию
• MSETEX задаёт несколько ключей с одним временем удаления, TTL
• CLUSTERSCAN выполняет единое сканирование ключей по всему кластеру и нодам

Подробности в блоге Valkey и на GitHub.

#девопс #безопасность #nginx #valkey #openbsd

Открыт Call for Papers для Никсис DevOps Lab 2026

Всем DevOps! Приглашаем спикеров на камерный митап Nixys DevOps Lab: ML in Production в Новосибирске.

👀 На закрытой встрече разберем, как выстраивать инфраструктуру ML-сервисов на практике от процессов сборки модели до автоматизации агентов – всё, что нужно знать DevOps-инженеру в 2026.

Если вы руководитель команды разработки и инфраструктуры, глава DevOps или развиваетесь в ML — приходите делиться кейсами про:
• инфраструктуру инференса
• безопасность ML-пайплайнов
• наблюдаемость моделей в производственной среде

➡️Отправляйте заявку с темой доклада

Хорошего отдыха и интересных событий!

#девопс #никсис #митап