💥 Коллеги из KazDevOps разыгрывают бесплатную консультацию по DevOps-вопросам с топами компании Core 24/7.
👉 3 победителя смогут задать вопросы техлиду и узнать, почему то или иное решение не работает, как настроить процесс эффективнее и от чего стоит отказаться.
Условия конкурса:
🤝 Делитесь с коллегами и ожидайте звонка
#devops #devsecops #cloud #kubernetes #docker #terraform #giltab
@DevOpsKaz
👉 3 победителя смогут задать вопросы техлиду и узнать, почему то или иное решение не работает, как настроить процесс эффективнее и от чего стоит отказаться.
Условия конкурса:
• Быть подписчиком KazDevOps• Рассказать о своей ситуации вкратце под аналогичным постом в канале KazDevOps — 1-2 предложения о проблеме, задаче или амбициях, связанных с DevOps• Дождаться розыгрыша — победителей объявят 10 августа: проверят условия выше и рандомом определят 3 человек, которые представляют свой бизнес или работают в компании🤝 Делитесь с коллегами и ожидайте звонка
#devops #devsecops #cloud #kubernetes #docker #terraform #giltab
@DevOpsKaz
🖖 Всем DevOps! У вас когда-нибудь воскресали зомби?
🧟 Ресурсы-зомби (zombie resources) — это компоненты облачной инфраструктуры, которые существуют и работают бесцельно.
Они могут возникнуть из-за:
- сбоев в сценариях,
- неэффективно настроенных балансировщиков нагрузки,
- ошибок в базах данных SQL,
- ручной настройки (разработчик или сисадмин может, например, создать временный сервер для теста и забыть удалить уже ненужное хранилище).
Простаивающие ресурсы опасны по двум причинам. Во-первых, с компании взимается плата за ресурсы, которые она больше не использует. Во-вторых, эти зомби расширяют ту зону инфраструктуры, которую могут использовать злоумышленники.
🗑 Как снизить риски?
1) Сделайте ваши среды максимально наглядными. Визуализация потребления облачных ресурсов будет максимально понятной в виде диаграмм.
2) Присвойте теги ресурсам. Они должны быть ясными и понятными. Будет здорово, если в дополнение вы будете указывать название проекта и дату развёртывания;
3) Обеспечьте безопасность dev-среды. Важно очищать остатки ресурсов после завершения работы;
4) Проводите регулярные аудиты.
👩💻 В поисках зомби вам может помочь cAdvisor — инструмент, который анализирует использование контейнерами ресурсов.
#Docker #Ресурсы #Облако
Они могут возникнуть из-за:
- сбоев в сценариях,
- неэффективно настроенных балансировщиков нагрузки,
- ошибок в базах данных SQL,
- ручной настройки (разработчик или сисадмин может, например, создать временный сервер для теста и забыть удалить уже ненужное хранилище).
Простаивающие ресурсы опасны по двум причинам. Во-первых, с компании взимается плата за ресурсы, которые она больше не использует. Во-вторых, эти зомби расширяют ту зону инфраструктуры, которую могут использовать злоумышленники.
1) Сделайте ваши среды максимально наглядными. Визуализация потребления облачных ресурсов будет максимально понятной в виде диаграмм.
2) Присвойте теги ресурсам. Они должны быть ясными и понятными. Будет здорово, если в дополнение вы будете указывать название проекта и дату развёртывания;
3) Обеспечьте безопасность dev-среды. Важно очищать остатки ресурсов после завершения работы;
4) Проводите регулярные аудиты.
#Docker #Ресурсы #Облако
Please open Telegram to view this post
VIEW IN TELEGRAM
Упс! Мы превратили средовую жабу в подборку релизов и статей за прошедшую неделю.
🟡 Выкатили релиз ядра Linux 6.10. Новая версия включает более 14 тысяч исправлений от 1989 разработчиков.
Что интересного? К примеру, внедрили начальный вариант NTSYNC — драйвера синхронизации Windows NT, прекратили поддержку старых CPU Alpha и добавили системный вызов
Ещё Linux обзавёлся собственным BSoD, который реализовали через компоненты DRM Panic. Вы можете протестировать эту новую опцию с помощью маршрутаА в комментариях к этому посту мы показали, как выглядит синий экран смерти по-линуксовски.
Посмотреть все обновления вы сможете по этой ссылке. А по этой — скачать новую версию.
⚫️ В блоге Docker Джей Шмидт объяснил, в чём разница между инструкциями
🟡 CIS обновили бенчмарки для Kubernetes, NGINX, OpenShift и многих других. Посмотреть новые показатели можно здесь.
⚫️ Архитектор ПО Саурабх Дашора рассказал и показал, как Reddit обслуживает 100 тыс. запросов метаданных в секунду. Спойлер: помогает им в этом единое хранилище метаданных мультимедиа. Из статьи вы узнаете о нюансах разработки такого хранилища и о том, как команда Reddit решила проблемы при миграции и масштабировании.
#DevOps #Linux #Docker
🟡 Выкатили релиз ядра Linux 6.10. Новая версия включает более 14 тысяч исправлений от 1989 разработчиков.
Что интересного? К примеру, внедрили начальный вариант NTSYNC — драйвера синхронизации Windows NT, прекратили поддержку старых CPU Alpha и добавили системный вызов
mseal(), позволяющий процессам выставлять блокировку на изменение определённых частей своего адресного пространства.Ещё Linux обзавёлся собственным BSoD, который реализовали через компоненты DRM Panic. Вы можете протестировать эту новую опцию с помощью маршрута
echo c > /proc/sysrq-trigger. Посмотреть все обновления вы сможете по этой ссылке. А по этой — скачать новую версию.
⚫️ В блоге Docker Джей Шмидт объяснил, в чём разница между инструкциями
RUN, CMD и ENTRYPOINT. В статье вы найдёте наглядные примеры использования этих инструкций в режимах shell и exec. Чтобы начать читать — кликните сюда. 🟡 CIS обновили бенчмарки для Kubernetes, NGINX, OpenShift и многих других. Посмотреть новые показатели можно здесь.
⚫️ Архитектор ПО Саурабх Дашора рассказал и показал, как Reddit обслуживает 100 тыс. запросов метаданных в секунду. Спойлер: помогает им в этом единое хранилище метаданных мультимедиа. Из статьи вы узнаете о нюансах разработки такого хранилища и о том, как команда Reddit решила проблемы при миграции и масштабировании.
#DevOps #Linux #Docker
Please open Telegram to view this post
VIEW IN TELEGRAM
Далее в эфире DevOps FM — традиционный срединедельный дайджест новостей и статей.
🟡 Вчера состоялся релиз Kubernetes 1.31. Тема этого выпуска — чествование энтузиазма и духа коллективного творчества, благодаря которым k8s живёт и развивается уже более 10 лет. Маскотом этой версии стал жизнерадостный песёль Элли.
Новый релиз включает 45 изменений. Например, реализовали поддержку нового официального бэкенда nftables для kube-proxy. Ещё добавили поддержку селекторов полей для кастомных ресурсов, новое поле
Kubernetes v1.31 доступен для скачивания на GitHub и официальном сайте.
⚫️ Джей Шмидт продолжает проводить различия между инструкциями Dockerfile. На этот раз он объяснил разницу между
• В большинстве случаев лучше выбирать
•
Если хочется больше деталей, то можете прочитать весь обзор в блоге Docker.
🟡 В своем блоге команда DigitalOcean поделилась опытом переноса продакш-кода в монорепозиторий. Статью можно читать и как интересный кейс, и как полезный гайд.
⚫️ На TheNewStack опубликовали 5 советов по работе с Infrastructure as Code (IaC). Один из них: используйте шаблон The DRY, чтобы изменения в модуле автоматически отражались везде, где используется этот модуль. Остальные 4 совета — здесь.
#devops #kubernetes #docker
🟡 Вчера состоялся релиз Kubernetes 1.31. Тема этого выпуска — чествование энтузиазма и духа коллективного творчества, благодаря которым k8s живёт и развивается уже более 10 лет. Маскотом этой версии стал жизнерадостный песёль Элли.
Новый релиз включает 45 изменений. Например, реализовали поддержку нового официального бэкенда nftables для kube-proxy. Ещё добавили поддержку селекторов полей для кастомных ресурсов, новое поле
unhealthyPodEvictionPolicy для указания действий с нездоровыми подами и два новых флага — --emulation-version и --min-compatibility-version. Kubernetes v1.31 доступен для скачивания на GitHub и официальном сайте.
⚫️ Джей Шмидт продолжает проводить различия между инструкциями Dockerfile. На этот раз он объяснил разницу между
ADD и COPY (к примеру, в их поведении при удаленных контекстах) и на примерах показал, когда и какую инструкцию нужно использовать. Если кратко: • В большинстве случаев лучше выбирать
COPY, так как она проста и довольно безопасна. Она переносит файлы и каталоги из вашего локального контекста в создаваемый вами образ Docker.•
ADD же рекомендуется использовать только тогда, когда вам необходим конкретно её функционал (например, возможность обработки URL-адресов).Если хочется больше деталей, то можете прочитать весь обзор в блоге Docker.
🟡 В своем блоге команда DigitalOcean поделилась опытом переноса продакш-кода в монорепозиторий. Статью можно читать и как интересный кейс, и как полезный гайд.
⚫️ На TheNewStack опубликовали 5 советов по работе с Infrastructure as Code (IaC). Один из них: используйте шаблон The DRY, чтобы изменения в модуле автоматически отражались везде, где используется этот модуль. Остальные 4 совета — здесь.
#devops #kubernetes #docker
1. Очищайте промежуточные файлы и удаляйте зависимости сборок после того, как они станут не нужны.
RUN apt-get update && apt-get install -y \
build-essential \
&& apt-get clean && rm -rf /var/lib/apt/lists/*
2. Используйте файл
.dockerignore. С его помощью вы сможете уменьшить размер контейнера, ускорить сборку и предотвратить утечку секретов. 3. При выполнении инструкции
RUN всегда объединяйте команды apt-get update и apt-get install с помощью &&.4. Старайтесь избегать ненужных
COPY. Они замедляют процесс сборки и увеличивают размер образа. Вы можете скопировать несколько файлов с помощью массивов, например: COPY [
"config.json",
"index.js",
"package.json"
] /usr/src/app/
#bestpractices #docker
Please open Telegram to view this post
VIEW IN TELEGRAM
На Blacksmith вышло понятное руководство по многоэтапным сборкам Docker. В статье вы найдете рекомендации по подбору базового образа для каждого этапа сборки и оптимизации порядка этапов.
#docker #dockerfile #bestpractices
Please open Telegram to view this post
VIEW IN TELEGRAM
Жабы закончились. Остался дайджест интересных новостей за последнюю неделю.
🟡 Вышел релиз OpenSSH 9.9. Из обновлений: теперь во время компиляции ключи DSA отключены по умолчанию, а в ssh, sshd и ssh-agent добавлена защита от оседания закрытых ключей в core-файлах, которая работает в Linux, OpenBSD и FreeBSD. Ещё добавили поддержку нового постквантового стандарта криптографии от NIST (Национального института стандартов и технологий США). Посмотреть все изменения можно по ссылке.
⚫️ У OpenSearch нашли проблему в совместимости с Google Chrome v.129 : при развертывании панели Discover вместо значений отображается красная маска. Будьте аккуратны. Временное решение проблемы – здесь.
🟡 Команда Docker приглашает разработчиков принять участие в уже традиционном опросе Docker State of Application Development, на результаты которого она будет ориентироваться при дальнейшей разработке продуктов. Опрос займет 20-30 минут, дедлайн — 20 ноября. Кстати, среди участников проведут розыгрыш макбука, игровых приставок и не только.
⚫️ Yandex Cloud объявил о запуске нескольких новых сервисов:
- Yandex BareMetal (аренда выделенных физических серверов);
- Security Deck (сервис для комплексного управления безопасностью компаний в облаке);
- Serverless Integrations (сервис для более быстрой разработки продуктов в облаке).
🟡 На Medium рассказали о сложностях и проблемах согласованности данных.
#devops #opensearch #openssh #docker #yandex
🟡 Вышел релиз OpenSSH 9.9. Из обновлений: теперь во время компиляции ключи DSA отключены по умолчанию, а в ssh, sshd и ssh-agent добавлена защита от оседания закрытых ключей в core-файлах, которая работает в Linux, OpenBSD и FreeBSD. Ещё добавили поддержку нового постквантового стандарта криптографии от NIST (Национального института стандартов и технологий США). Посмотреть все изменения можно по ссылке.
⚫️ У OpenSearch нашли проблему в совместимости с Google Chrome v.129 : при развертывании панели Discover вместо значений отображается красная маска. Будьте аккуратны. Временное решение проблемы – здесь.
🟡 Команда Docker приглашает разработчиков принять участие в уже традиционном опросе Docker State of Application Development, на результаты которого она будет ориентироваться при дальнейшей разработке продуктов. Опрос займет 20-30 минут, дедлайн — 20 ноября. Кстати, среди участников проведут розыгрыш макбука, игровых приставок и не только.
⚫️ Yandex Cloud объявил о запуске нескольких новых сервисов:
- Yandex BareMetal (аренда выделенных физических серверов);
- Security Deck (сервис для комплексного управления безопасностью компаний в облаке);
- Serverless Integrations (сервис для более быстрой разработки продуктов в облаке).
🟡 На Medium рассказали о сложностях и проблемах согласованности данных.
#devops #opensearch #openssh #docker #yandex
1) Сегментируйте сети. Используйте методы сетевой изоляции (настройте
iptables правила). Сегментация сети позволит вам изолировать контейнеры, контролировать доступы и защищать конфиденциальные рабочие нагрузки. Даже если контейнер будет скомпрометирован, действия злоумышленника будут ограничены только этим контейнером; вся остальная система будет под защитой.2) Избегайте перекрытия подсетей в сети Docker, чтобы предотвратить проблемы с подключением. Вы можете проверить текущую конфигурацию сети через команду
docker network inspect. 3) Используйте DNS для обнаружения сервисов. Внутренний DNS Docker преобразует имена контейнеров в IP-адреса в одной сети, что значительно упрощает обнаружение сервисов.
4) Обезопасьте связь. Используйте зашифрованные overlay-сети для конфиденциальных приложений, особенно при работе на нескольких докер-хостах.
#devops #docker #bestpractices
Please open Telegram to view this post
VIEW IN TELEGRAM
Docker объявили об изменениях после обратной связи от сообщества. Команда Docker пересмотрела свои планы, чтобы улучшить поддержку экосистемы и опыт пользователей.
Смотрим на изменения:
1. Оплата за скачивание образов отменена
Docker отказались от планов по введению платы для всех пользователей. Объяснили это желанием укрепить платформу и предоставить разработчикам возможность создавать, делиться и внедрять инновации без ненужных барьеров.
2. Обновление лимитов на скачивание
Теперь для неаутентифицированных пользователей будет доступно 10 pull-запросов в час. Аутентифицированным пользователям увеличили лимит с 40 до 100 запросов в час. Для пользователей с подпиской ограничений не планируется.
3. Отсрочка платы за хранение
Планы по введению платы за хранение данных на Docker Hub отложены на неопределённый срок. Вместо этого Docker сосредоточится на создании инструментов для управления хранилищем. О любых изменениях в политике будет объявлено за 6 месяцев.
Изменения вступают в силу с 1 апреля этого года.
#DevOps #Docker #DockerHub
Please open Telegram to view this post
VIEW IN TELEGRAM
Олды помнят, что контейнерами пользовались еще задолго до того как это стало мейнстримом, но как говорится — не все то золото, что блестит.
Создателем Docker считается Соломон Хайкс — основатель компании dotCloud, которая занималась предоставлением PaaS. Внутри dotCloud использовалась технология контейнеризации для изоляции приложений и их зависимостей, именно здесь команда разработала инструмент, который позже стал Docker.
13 марта 2013 года на конференции PyCon в Калифорнии состоялся первый публичный анонс, этот день принято считать днем рождения Docker. Хайкс выступил с презентацией технологии, продемонстрировав ее способность упрощать контейнеризацию и развертывание приложений.
На начальных этапах Docker представил версию контейнеров, в основе которых лежали технологии LXC (Linux Containers), а затем заменил это собственной библиотекой
libcontainer. Теперь же, архитектура Docker состоит из Docker engine, containerd, containerd-shim и runC.Так просто? Не совсем. После презентации в Калифорнии, пока команда "допиливала" углы, Docker слили на Hacker News. Посыпались как вопросы, так и восторженные отзывы. Но уже через пару недель компания выпустила свой продукт с лицензией Apache 2.0.
Всего за год Docker скачали более 1 млн. раз, dotCloud отказались от своего названия и PaaS услуг, сосредоточившись на набирающем популярность решении, а многие крупные компании, включая Amazon, Google и Microsoft, начали предлагать встроенную поддержку Docker.
#DevOps #Docker
Please open Telegram to view this post
VIEW IN TELEGRAM
Дайджест в среду как хорошо настроенный мониторинг: всегда ловит самое важное.
🟡 Зарелизили Debian 12.11
В релиз вошло 81 исправление ошибок для различных пакетов и 45 обновлений безопасности. Обновили ядро Linux, новые опции монтирования для XFS, добавили поддержку новых устройств и режима восстановления системы. Все обновления можно посмотреть здесь.
Напомним, что Debian 13 уже находится в стадии жесткой заморозки для тестирования и исправления проблем, релиз ожидается этим летом.
⚫️ У Docker появились Hardened Images — безопасные по умолчанию контейнеры, рассчитанные на продакшн. Образы минимальны, регулярно обновляются и поддерживают знакомые дистрибутивы вроде Debian. Поддерживается кастомизация, интеграция с CI/CD и инструментами безопасности. Подключение довольно простое, достаточно заменить базовый образ в Dockerfile.
Больше информации в статье.
🟡 На Faun опубликовали статью о 5 CI/CD-практиках, которые помогают сократить деплой. Автор рассказывает, как команда отказалась от ручных проверок, сделала пайплайн stateless, добавила автоматические гейты между окружениями и настроила безопасное управление секретами. Всё это — с примерами конфигов и скриптов.
⚫️ Microsoft открыли исходный код WSL и запустили сайт wsl.dev для разработчиков. Теперь любой желающий может собрать WSL из исходников, предложить патчи и поучаствовать в развитии подсистемы. Код опубликован под MIT-лицензией. Также в открытый доступ выложили консольный редактор Edit на Rust.
#devops #docker #microsoft #debian
🟡 Зарелизили Debian 12.11
В релиз вошло 81 исправление ошибок для различных пакетов и 45 обновлений безопасности. Обновили ядро Linux, новые опции монтирования для XFS, добавили поддержку новых устройств и режима восстановления системы. Все обновления можно посмотреть здесь.
Напомним, что Debian 13 уже находится в стадии жесткой заморозки для тестирования и исправления проблем, релиз ожидается этим летом.
⚫️ У Docker появились Hardened Images — безопасные по умолчанию контейнеры, рассчитанные на продакшн. Образы минимальны, регулярно обновляются и поддерживают знакомые дистрибутивы вроде Debian. Поддерживается кастомизация, интеграция с CI/CD и инструментами безопасности. Подключение довольно простое, достаточно заменить базовый образ в Dockerfile.
Больше информации в статье.
🟡 На Faun опубликовали статью о 5 CI/CD-практиках, которые помогают сократить деплой. Автор рассказывает, как команда отказалась от ручных проверок, сделала пайплайн stateless, добавила автоматические гейты между окружениями и настроила безопасное управление секретами. Всё это — с примерами конфигов и скриптов.
⚫️ Microsoft открыли исходный код WSL и запустили сайт wsl.dev для разработчиков. Теперь любой желающий может собрать WSL из исходников, предложить патчи и поучаствовать в развитии подсистемы. Код опубликован под MIT-лицензией. Также в открытый доступ выложили консольный редактор Edit на Rust.
#devops #docker #microsoft #debian