Далее в эфире DevOps FM — традиционный срединедельный дайджест новостей и статей.
🟡 Вчера состоялся релиз Kubernetes 1.31. Тема этого выпуска — чествование энтузиазма и духа коллективного творчества, благодаря которым k8s живёт и развивается уже более 10 лет. Маскотом этой версии стал жизнерадостный песёль Элли.
Новый релиз включает 45 изменений. Например, реализовали поддержку нового официального бэкенда nftables для kube-proxy. Ещё добавили поддержку селекторов полей для кастомных ресурсов, новое поле
Kubernetes v1.31 доступен для скачивания на GitHub и официальном сайте.
⚫️ Джей Шмидт продолжает проводить различия между инструкциями Dockerfile. На этот раз он объяснил разницу между
• В большинстве случаев лучше выбирать
•
Если хочется больше деталей, то можете прочитать весь обзор в блоге Docker.
🟡 В своем блоге команда DigitalOcean поделилась опытом переноса продакш-кода в монорепозиторий. Статью можно читать и как интересный кейс, и как полезный гайд.
⚫️ На TheNewStack опубликовали 5 советов по работе с Infrastructure as Code (IaC). Один из них: используйте шаблон The DRY, чтобы изменения в модуле автоматически отражались везде, где используется этот модуль. Остальные 4 совета — здесь.
#devops #kubernetes #docker
🟡 Вчера состоялся релиз Kubernetes 1.31. Тема этого выпуска — чествование энтузиазма и духа коллективного творчества, благодаря которым k8s живёт и развивается уже более 10 лет. Маскотом этой версии стал жизнерадостный песёль Элли.
Новый релиз включает 45 изменений. Например, реализовали поддержку нового официального бэкенда nftables для kube-proxy. Ещё добавили поддержку селекторов полей для кастомных ресурсов, новое поле
unhealthyPodEvictionPolicy для указания действий с нездоровыми подами и два новых флага — --emulation-version и --min-compatibility-version. Kubernetes v1.31 доступен для скачивания на GitHub и официальном сайте.
⚫️ Джей Шмидт продолжает проводить различия между инструкциями Dockerfile. На этот раз он объяснил разницу между
ADD и COPY (к примеру, в их поведении при удаленных контекстах) и на примерах показал, когда и какую инструкцию нужно использовать. Если кратко: • В большинстве случаев лучше выбирать
COPY, так как она проста и довольно безопасна. Она переносит файлы и каталоги из вашего локального контекста в создаваемый вами образ Docker.•
ADD же рекомендуется использовать только тогда, когда вам необходим конкретно её функционал (например, возможность обработки URL-адресов).Если хочется больше деталей, то можете прочитать весь обзор в блоге Docker.
🟡 В своем блоге команда DigitalOcean поделилась опытом переноса продакш-кода в монорепозиторий. Статью можно читать и как интересный кейс, и как полезный гайд.
⚫️ На TheNewStack опубликовали 5 советов по работе с Infrastructure as Code (IaC). Один из них: используйте шаблон The DRY, чтобы изменения в модуле автоматически отражались везде, где используется этот модуль. Остальные 4 совета — здесь.
#devops #kubernetes #docker
1. Изолируйте etcd от кластера файерволом и зашифруйте.
2. По возможности храните секреты не в переменной среды, а в виде вольюмов и файлов. В качестве альтернативы можно использовать secretKeyRef, чтобы минимизировать риск атаки.
3. Отключите NET_ RAW в определении securityContext-пода. В руках злоумышленника NET_RAW может стать причиной широкого спектра сетевых атак внутри кластера.
4. Избегайте совместного использования IPC или сетевого пространства имен хоста, чтобы не открывать доступ к общей информации и не нарушать сетевую изоляцию.
5. Настройте каждый узел на ingress controller, установив его на приём соединений только от главного узла через указанный порт с помощью списка контроля доступа (ACL).
6. Заблокируйте SSH, чтобы ограничить доступ к ресурсам Kubernetes. Используйте
kubectl exec, чтобы получать доступ к контейнеру, не получая доступ к хосту.#devops #kubernetes #bestpractices
Please open Telegram to view this post
VIEW IN TELEGRAM
В своей новой серии статей Пётр, DevOps-инженер компании Nixys, поделится интересным кейсом. Он расскажет, как его команда настроила автоматическое развёртывание ванильного Kubernetes на Astra Linux через связку Kubespray и Helm.
Из первой части вы узнаете:
• какие особенности Astra Linux могут обернуться проблемами и как их решить;
• какие нюансы установки и работы с Kubespray нужно учесть в рамках этой задачи;
• как заставить Kubespray думать, что Astra Linux — это Debian.
#Хабр #статья_Nixys #kubernetes
Please open Telegram to view this post
VIEW IN TELEGRAM
1. Установите минимум и максимум для ресурсов. Без ограничений продакшен-кластеры и узлы могут выйти из строя.
2. Пользуйтесь преимуществами декларативных YAML-файлов. Замените императивные команды
kubectl (к примеру, kubectl run) на декларативные файлы YAML. Они позволяют хранить и версионировать все ваши объекты вместе с вашим кодом. Если что-то пойдет не так, вы сможете легко откатить развёртывания просто восстановив более ранний файл YAML. А ещё ваша команда сможет видеть текущий статус кластера и изменения, внесенные в него с течением времени.3. По возможности не используйте голые поды. В случае отказа узла они не будут автоматически перенесены в другой узел. Поэтому обязательно связывайте их с Deployments, ReplicaSets и Jobs.
4. Не забывайте маркировать объекты – контейнеры, сервисы, поды, сети и т. д. В метки вы можете занести информацию о владельце, версии, экземпляре, компоненте, проекте, команде, уровне конфиденциальности и др.
5. Сделайте пробы готовности независимыми. Они не должны быть зависимыми от:
• базы данных;
• миграции баз данных;
• API;
• сервисов сторонних производителей.
6. Установите Quality of Service (QoS) для ваших подов. Выбор класса QoS влияет на производительность приложения в кластере Kubernetes. Если правильно настроите QoS, то сможете эффективно распределять ресурсы и обеспечивать бесперебойную работу приложений.
7. Обязательно указывайте адекватные реквесты и лимиты ресурсов. Реквесты помогут правильно распределить ваши workloads по узлам. Лимиты помогут избежать проблем с узлами и другими workloads, выполняемыми на том же узле в случае утечек памяти или слишком большого потребления CPU.
#bestpractices #devops #kubernetes
Please open Telegram to view this post
VIEW IN TELEGRAM
Среда — маленькая пятница. Поэтому возьмите небольшой перерыв и почитайте материалы из нашего еженедельного дайджеста.
👩💻 Ubuntu исполнилось 20 лет!
В 2004 году Марк Шаттлворт собрал небольшую команду разработчиков Debian, с которыми основал компанию Canonical. Они решили создать свободный дистрибутив Linux, который бы был доступен не только техническим специалистам, но и обычным пользователям. Первый стабильный релиз, Ubuntu 4.10 (Breezy Badger), появился уже в октябре того года.
Ну что, убунтеры, у кого из вас сохранились диски?
⚫️ Джей Шмидт снова порадовал своей статьей об инструкциях Dockerfile. На этот раз он объяснил разницу между
• Выбирайте
• Используйте
Если хочется больше деталей, то можете прочитать весь обзор в блоге Docker.
🟡 На Learnk8s вышла большая статья о работе сети в Kubernetes с упором на сервисы, kube-proxy и балансировку нагрузки. Информативный текст для тех, кто только начинает погружаться в тему.
⚫️ DataDog обновили результаты собственного исследования о состоянии безопасности облачных сред в 2024 году. Один из выводов: большинство инцидентов в облаке вызваны скомпрометированными учетными данными.
🟡 В блоге Simple Thread вышел короткий туториал по заполнению базы данных Postgres в GitHub Actions без сохранения SQL в GitLFS.
#devops #ubuntu #kubernetes
В 2004 году Марк Шаттлворт собрал небольшую команду разработчиков Debian, с которыми основал компанию Canonical. Они решили создать свободный дистрибутив Linux, который бы был доступен не только техническим специалистам, но и обычным пользователям. Первый стабильный релиз, Ubuntu 4.10 (Breezy Badger), появился уже в октябре того года.
Ну что, убунтеры, у кого из вас сохранились диски?
⚫️ Джей Шмидт снова порадовал своей статьей об инструкциях Dockerfile. На этот раз он объяснил разницу между
ARG и ENV и на примерах показал, когда и какую инструкцию нужно использовать. Если кратко: • Выбирайте
ENV, чтобы задавать константы и постоянные переменные среды, которые будут доступны в контейнере во время его выполнения. • Используйте
ARG, если вам нужно задать переменные окружения, которые используются только при сборке образа.Если хочется больше деталей, то можете прочитать весь обзор в блоге Docker.
🟡 На Learnk8s вышла большая статья о работе сети в Kubernetes с упором на сервисы, kube-proxy и балансировку нагрузки. Информативный текст для тех, кто только начинает погружаться в тему.
⚫️ DataDog обновили результаты собственного исследования о состоянии безопасности облачных сред в 2024 году. Один из выводов: большинство инцидентов в облаке вызваны скомпрометированными учетными данными.
🟡 В блоге Simple Thread вышел короткий туториал по заполнению базы данных Postgres в GitHub Actions без сохранения SQL в GitLFS.
#devops #ubuntu #kubernetes
Please open Telegram to view this post
VIEW IN TELEGRAM
Всем DevOps! Еженедельная подборка новостей уже здесь.
⚫️ Анонсировали Kubernetes v1.32.
По плану выпуск будет состоять из 77 обновлений, из которых 40 — это новые фичи, 16 в beta-статусе и 21 будут признаны уже стабильными.
Что нового? Например, будет существенно пересмотрен подход к DRA: код, связанный с исходной реализацией, удалят, оставив KEP #4381 в качестве «новой» базовой функциональности. Ещё добавят поддержку корректного завершения работы узлов Windows в кластере и улучшат обработку конфликтов имен для ресурсов Kubernetes, созданных с помощью
Посмотреть все запланированные улучшения можно по этой ссылке.
Предварительная дата релиза — 11 декабря.
🟡 Опубликовали мажорный релиз containerd 2.0. Из крупных обновлений: добавили интеграцию с OpenTelemetry и поддержку плагинов для проверки образов, а ещё включили механизм NRI по умолчанию. Ознакомиться со всеми новыми функциями можно здесь, а тут — посмотреть, какие старые функции перестанут поддерживаться.
⚫️ Broadcom полностью отказались от платной модели подписки на VMware Workstation и VMware Fusion. Теперь гипервизор и программа виртуализации стали бесплатными и для коммерческого использования.
В компании пояснили, что клиенты, имеющие действующий коммерческий контракт, смогут напрямую обращаться в службу поддержки и использовать ресурсы с портала поддержки до истечения срока договора.
Редакция opennet отмечает, что Broadcom планирует перевести Linux-версии VMware Workstation на использование гипервизора KVM вместо собственного проприетарного кода виртуализации.
🟡 Вышел 10-й юбилейный отчёт Accelerate State of DevOps 2024 от DORA и Google Cloud. В исследовании приняло участие более 3000 специалистов из 104 стран.
Результаты показывают, что мировой IT-рынок демонстрирует устойчивый рост в области платформенной инженерии и ухудшение качества поставок ПО по сравнению с 2023 годом. Компании, которые внедряют передовые практики DevOps, релизятся в 46 раз чаще и сталкиваются со сбоями при развертывании в 7 раз реже, чем их конкуренты.
Скачать и изучить весь отчёт можно вот здесь.Если вдруг не получается — PDF в комментариях.
#devops #kubernetes #containerd #dora #VMware
⚫️ Анонсировали Kubernetes v1.32.
По плану выпуск будет состоять из 77 обновлений, из которых 40 — это новые фичи, 16 в beta-статусе и 21 будут признаны уже стабильными.
Что нового? Например, будет существенно пересмотрен подход к DRA: код, связанный с исходной реализацией, удалят, оставив KEP #4381 в качестве «новой» базовой функциональности. Ещё добавят поддержку корректного завершения работы узлов Windows в кластере и улучшат обработку конфликтов имен для ресурсов Kubernetes, созданных с помощью
generateName.Посмотреть все запланированные улучшения можно по этой ссылке.
Предварительная дата релиза — 11 декабря.
🟡 Опубликовали мажорный релиз containerd 2.0. Из крупных обновлений: добавили интеграцию с OpenTelemetry и поддержку плагинов для проверки образов, а ещё включили механизм NRI по умолчанию. Ознакомиться со всеми новыми функциями можно здесь, а тут — посмотреть, какие старые функции перестанут поддерживаться.
⚫️ Broadcom полностью отказались от платной модели подписки на VMware Workstation и VMware Fusion. Теперь гипервизор и программа виртуализации стали бесплатными и для коммерческого использования.
В компании пояснили, что клиенты, имеющие действующий коммерческий контракт, смогут напрямую обращаться в службу поддержки и использовать ресурсы с портала поддержки до истечения срока договора.
Редакция opennet отмечает, что Broadcom планирует перевести Linux-версии VMware Workstation на использование гипервизора KVM вместо собственного проприетарного кода виртуализации.
🟡 Вышел 10-й юбилейный отчёт Accelerate State of DevOps 2024 от DORA и Google Cloud. В исследовании приняло участие более 3000 специалистов из 104 стран.
Результаты показывают, что мировой IT-рынок демонстрирует устойчивый рост в области платформенной инженерии и ухудшение качества поставок ПО по сравнению с 2023 годом. Компании, которые внедряют передовые практики DevOps, релизятся в 46 раз чаще и сталкиваются со сбоями при развертывании в 7 раз реже, чем их конкуренты.
Скачать и изучить весь отчёт можно вот здесь.
#devops #kubernetes #containerd #dora #VMware
В последнюю среду этой осени публикуем небольшой дайджест новостей и статей.
⚫️ Манифест Twelve-Factor App от разработчиков Heroku теперь доступен как Open Source и опубликован на GitHub.
В FAQ ментейнеры подчеркивают, что главная задача — актуализировать рекомендации и примеры манифеста. Менять общую философию, концепцию и количество принципов не планируется.
🟡 Google Cloud обновили Kubernetes Engine: теперь GKE поддерживает кластеры до 65 000 узлов. Это значит, что разработчики смогут эффективно обучать и запускать ресурсоёмкие AI-модели с миллиардами параметров. В своём блоге они объяснили, как им удалось это сделать. Спойлер:они обновили инфраструктуру и перешли с etcd на Spanner .
⚫️ Андрей Квапил в блоге Kubernetes рассказал, как его команда реализовала собственный extension API server в Cozystack.
#devops #kubernetes #googlecloud #GKE #cozystack #twelvefactor
⚫️ Манифест Twelve-Factor App от разработчиков Heroku теперь доступен как Open Source и опубликован на GitHub.
В FAQ ментейнеры подчеркивают, что главная задача — актуализировать рекомендации и примеры манифеста. Менять общую философию, концепцию и количество принципов не планируется.
🟡 Google Cloud обновили Kubernetes Engine: теперь GKE поддерживает кластеры до 65 000 узлов. Это значит, что разработчики смогут эффективно обучать и запускать ресурсоёмкие AI-модели с миллиардами параметров. В своём блоге они объяснили, как им удалось это сделать. Спойлер:
⚫️ Андрей Квапил в блоге Kubernetes рассказал, как его команда реализовала собственный extension API server в Cozystack.
#devops #kubernetes #googlecloud #GKE #cozystack #twelvefactor
Пятничный chill out на DevOps FM!
📱 Знакомим вас с творчеством команды Honeypot. Ребята выпускают видео, документалки и подкасты для программистов, инженеров и сисадминов. Сегодня в центре нашего внимания — 2 фильма, которые, кстати, можно посмотреть на YouTube.
"Prometheus: The Documentary". Фильм рассказывает историю самого популярного инструмента мониторинга с открытым исходным кодом.
"Kubernetes: The Documentary". Документалка о создании главного оркестратора на мировом IT-рынке, который стал стандартом отрасли. Видео в двух частях:
• PART 1
• PART 2
Желаем приятного просмотра и спокойных выходных!
#devops #kubernetes #video
"Prometheus: The Documentary". Фильм рассказывает историю самого популярного инструмента мониторинга с открытым исходным кодом.
"Kubernetes: The Documentary". Документалка о создании главного оркестратора на мировом IT-рынке, который стал стандартом отрасли. Видео в двух частях:
• PART 1
• PART 2
Желаем приятного просмотра и спокойных выходных!
#devops #kubernetes #video
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Prometheus: The Documentary
Watch and witness the journey of open-source monitoring system, Prometheus. Before Kubernetes existed—even before Docker—the team at Soundcloud already knew their monitoring system deserved a complete, fundamental revamp. Of course, as with anything in development…
🖖 Всем DevOps!
Сейчас мы готовим видео, где будем обсуждать внедрение Kubernetes на физических серверах. Стремимся сделать его максимально полезным, потому хотим узнать, что вам было бы интересно послушать по этой теме.
Будем рады увидеть ваши вопросы либо в комментариях под этим постом, либо в этой гугл-форме. Вопросы могут быть любыми: от рентабельности решения до технических нюансов.
📆 Принимаем вопросы до пятницы. На те, что будут написаны позже, ответим текстом.
Большое спасибо! Всем хорошего дня.
#kubernetes #видео #ваши_вопросы
Сейчас мы готовим видео, где будем обсуждать внедрение Kubernetes на физических серверах. Стремимся сделать его максимально полезным, потому хотим узнать, что вам было бы интересно послушать по этой теме.
Будем рады увидеть ваши вопросы либо в комментариях под этим постом, либо в этой гугл-форме. Вопросы могут быть любыми: от рентабельности решения до технических нюансов.
📆 Принимаем вопросы до пятницы. На те, что будут написаны позже, ответим текстом.
Большое спасибо! Всем хорошего дня.
#kubernetes #видео #ваши_вопросы
Разворачиваем базовую подборку свежих релизов в эту среду.
🟡 Выпустили Kubernetes v1.32.
Тема версии 1.32 — «Пенелопа». Разработчики проводят аналогию с древнегреческой женой Одиссея не просто так: Пенелопа ткала в течение 10 лет, каждый вечер удаляя часть того, что сделала за день. Так и Kubernetes завершает свой 10-й юбилейный год с начала существования, постоянно создавая и совершенствуя одни функции и удаляя другие.
В релиз вошли 44 фичи. Из них 19 — это новые функции, 12 находятся в beta-статусе и 13 признаны стабильными. Из интересного:
• появилась новая строгая политика резервирования CPU. Опция
• добавили поддержку селекторов полей для кастомных ресурсов;
• внедрили поддержку изменения томов
Kubernetes v1.32 доступен для скачивания на GitHub и официальном сайте.
⚫️ Выпустили первый релиз-кандидат Golang 1.24
Сам релиз ожидается в феврале 2025, но некоторые вещи мы можем посмотреть уже сегодня. Например, добавлена новая
Подробнее почитать можно тут.
🟡 Состоялся релиз системного менеджера systemd 257.
Новое обновление принесло ряд значительных улучшений, хотя и включает некоторые несовместимые изменения. Вот некоторые из них:
• Переработана логика обработки ключа
• Изменили поведение команды
• Добавили новые функции
#devops #linux #релиз #kubernetes
🟡 Выпустили Kubernetes v1.32.
Тема версии 1.32 — «Пенелопа». Разработчики проводят аналогию с древнегреческой женой Одиссея не просто так: Пенелопа ткала в течение 10 лет, каждый вечер удаляя часть того, что сделала за день. Так и Kubernetes завершает свой 10-й юбилейный год с начала существования, постоянно создавая и совершенствуя одни функции и удаляя другие.
В релиз вошли 44 фичи. Из них 19 — это новые функции, 12 находятся в beta-статусе и 13 признаны стабильными. Из интересного:
• появилась новая строгая политика резервирования CPU. Опция
strict-cpu-reservation гарантирует, что процессоры, зарезервированные для системы, будут использоваться только ею;• добавили поддержку селекторов полей для кастомных ресурсов;
• внедрили поддержку изменения томов
emptyDir, хранящихся в оперативной памяти. Теперь их размер равен (или может быть уменьшен) объёму выделяемой поду памяти.Kubernetes v1.32 доступен для скачивания на GitHub и официальном сайте.
⚫️ Выпустили первый релиз-кандидат Golang 1.24
Сам релиз ожидается в феврале 2025, но некоторые вещи мы можем посмотреть уже сегодня. Например, добавлена новая
tool директива в go.mod, это устраняет необходимость в обходном пути добавления инструментов в качестве пустых импортов в файл с традиционным именем tools.go. Ещё улучшили производительность на 2–3% по всем направлениям и добавили cgo директивы, способствующие этому. Подробнее почитать можно тут.
🟡 Состоялся релиз системного менеджера systemd 257.
Новое обновление принесло ряд значительных улучшений, хотя и включает некоторые несовместимые изменения. Вот некоторые из них:
• Переработана логика обработки ключа
--purge компонента systemd-tmpfiles: теперь удалению подвержены только те пути, которые помечены флагом $. Это изменение снижает риск случайного удаления данных, но потребуется адаптировать существующие конфигурации с учетом нового поведения.• Изменили поведение команды
systemd-creds, которая теперь обрабатывает учётные данные в формате base64 при использовании cat, что соответствует работе параметра decrypt. • Добавили новые функции
DeferReactivation и RestartMode=debug. #devops #linux #релиз #kubernetes
В своем блоге Рори опубликовал разбор, где наглядно показал механизм работы и скрытые подводные камни. Как сервер Kubernetes API может выступать в качестве HTTP-прокси-сервера? Есть ли ограничения использования и лазейки для атак?
Узнаем все плюсы, минусы и советы по работе — тут.
#devops #kubernetes #безопасность
Please open Telegram to view this post
VIEW IN TELEGRAM
Где среда, там и новый дайджест интересных новостей и материалов за неделю.
🟡 Avito увеличила награду за найденные в своих продуктах критические уязвимости.
Компания планирует повысить безопасность своих сервисов, увеличивая затраты на кибербезопасность на 50% по сравнению с 2024 годом. Теперь выплата за найденную уязвимость может составить до 500 тысяч рублей.
Как участвовать — смотрим здесь.
⚫️ База данных DeepSeek с конфиденциальной информацией была в открытом доступе.
Исследователи команды Wiz обнаружили незащищенную базу данных DeepSeek, в которой не было необходимого ограничения к хранилищу логов. В БД с более чем миллионом записей можно было найти ключи доступа к API, настройки СУБД и другие данные, которые могли привести к атаке на всю инфраструктуру компании.
🟡 И ещё немного о безопасности: Якир Кадкода и Ассаф Мораг рассказали о проблемах, связанных с неправильной настройкой политик в Kubernetes. В частности, они затронули тему использования инструментов управления политиками, таких как OPA (Open Policy Agent) Gatekeeper.
Авторы показали, как кажущиеся безопасными политики могут обойти из-за незначительных ошибок в конфигурации.
Суммируем советы:
• Убедитесь, что ваши значения ограничений включают последний слэш
• Избегайте чрезмерно широких и общих политик при написании собственных политик Rego/regex или других правил. Их можно обойти.
• Сканируйте и проверяйте как выставлены значения ограничений для
#DepOps #безопасность #Kubernetes
🟡 Avito увеличила награду за найденные в своих продуктах критические уязвимости.
Компания планирует повысить безопасность своих сервисов, увеличивая затраты на кибербезопасность на 50% по сравнению с 2024 годом. Теперь выплата за найденную уязвимость может составить до 500 тысяч рублей.
Как участвовать — смотрим здесь.
⚫️ База данных DeepSeek с конфиденциальной информацией была в открытом доступе.
Исследователи команды Wiz обнаружили незащищенную базу данных DeepSeek, в которой не было необходимого ограничения к хранилищу логов. В БД с более чем миллионом записей можно было найти ключи доступа к API, настройки СУБД и другие данные, которые могли привести к атаке на всю инфраструктуру компании.
🟡 И ещё немного о безопасности: Якир Кадкода и Ассаф Мораг рассказали о проблемах, связанных с неправильной настройкой политик в Kubernetes. В частности, они затронули тему использования инструментов управления политиками, таких как OPA (Open Policy Agent) Gatekeeper.
Авторы показали, как кажущиеся безопасными политики могут обойти из-за незначительных ошибок в конфигурации.
Суммируем советы:
• Убедитесь, что ваши значения ограничений включают последний слэш
/. Это предотвращает обход через поддомены.• Избегайте чрезмерно широких и общих политик при написании собственных политик Rego/regex или других правил. Их можно обойти.
• Сканируйте и проверяйте как выставлены значения ограничений для
k8sallowedrepos. #DepOps #безопасность #Kubernetes
Всем DevOps! Деплоим дайджест новостей, статей и мнений.
⚫️ Разработчики SUSE и openSUSE думают над тем, чтобы прекратить поддержку загрузки на системах с BIOS. Причина проста: они считают BIOS устаревшим.
Если вы захотели поддержать или вразумить разработчиков — напишите комментарий в этом обсуждении или напрямую в issue #194. Обещают услышать всех.
🟡 Зарелизили Postfix 3.10. Новая версия поддерживает протокол TLS‑RPT и заголовок сообщений «TLS‑Required: no», с помощью которого SMTP‑клиент не проверяет сертификат сервера и может откатиться на соединение с передачей данных открытым текстом. Все изменения можно посмотреть в релиз ноутс.
⚫️ В блоге Kubernetes разобрали решение проблемы «курицы и яйца», которая может возникнуть при работе cloud-controller-manager.
🟡 А в блоге CNCF рассказали о трёх главных практиках защиты среды Kubernetes. Статья будет полезна тем, кто только начинает своё знакомство с этим оркестратором.
⚫️ Архитектор ПО Заурабх выпустил краткий обзор четырёх проблем в распределённых системах и показал, как их решить.
#средовый_дайджест #kubernetes #postfix #suse #devops
⚫️ Разработчики SUSE и openSUSE думают над тем, чтобы прекратить поддержку загрузки на системах с BIOS. Причина проста: они считают BIOS устаревшим.
Если вы захотели поддержать или вразумить разработчиков — напишите комментарий в этом обсуждении или напрямую в issue #194. Обещают услышать всех.
🟡 Зарелизили Postfix 3.10. Новая версия поддерживает протокол TLS‑RPT и заголовок сообщений «TLS‑Required: no», с помощью которого SMTP‑клиент не проверяет сертификат сервера и может откатиться на соединение с передачей данных открытым текстом. Все изменения можно посмотреть в релиз ноутс.
⚫️ В блоге Kubernetes разобрали решение проблемы «курицы и яйца», которая может возникнуть при работе cloud-controller-manager.
🟡 А в блоге CNCF рассказали о трёх главных практиках защиты среды Kubernetes. Статья будет полезна тем, кто только начинает своё знакомство с этим оркестратором.
⚫️ Архитектор ПО Заурабх выпустил краткий обзор четырёх проблем в распределённых системах и показал, как их решить.
#средовый_дайджест #kubernetes #postfix #suse #devops
Скоро выйдет Kubernetes v1.33 — релиз состоит из 63 улучшений и запланирован на 23 апреля 2025 года.
Команда разработчиков анонсировала ключевые изменения, включая удаление устаревших Endpoints API в пользу более производительного EndpointSlices API, добавление одно из самых старых предложений по улучшению
user namespaces, а также возможность изменения ресурсов пода без его перезапуска.Все изменения можно найти здесь.
Команда Kubernetes также пообещала в ближайшее время выпустить гайд по миграции с Endpoints API.
#DevOps #Kubernetes
Please open Telegram to view this post
VIEW IN TELEGRAM
Половина рабочей недели пройдена, поэтому предлагаем взять перерыв на легкий дайджест.
👩💻 Microsoft исполнилось 50 лет!
В 1975 году Билл Гейтс и Пол Аллен написали Altair BASIC — интерпретатор для микрокомпьютера Altair 8800. Это был первый продукт компании Micro-soft (тогда ещё с дефисом), который они создали за два месяца. Спустя полвека, Билл Гейтс выложил оригинальный исходник — 157 страниц доступных для загрузки в виде PDF-файла со сканом бумажных распечаток ассемблерного кода, который до сих пор вызывает у него гордость.
⚫️ В блоге Kubernetes вышла статья о kube-scheduler-simulator — симуляторе, помогающем понять внутреннюю механику планировщика Kubernetes.
В материале рассказывается, как с его помощью можно тестировать ограничения планирования, конфигурации планировщика и пользовательские плагины, проверяя все части решений детально. Инструмент отображает все этапы работы планировщика через annotations и визуализирует результат в web-интерфейсе. Полезно при работе с кастомными плагинами и сложными scheduling-правилами.
👩💻 Git исполнилось 20 лет! Интервью с создателем — Линусом Торвальдсом
Двадцать лет назад разработчики ядра Linux лишились доступа к BitKeeper, и не найдя достойной альтернативы, Линус Торвальдс за несколько дней создал Git — систему контроля версий, которая изменила подход к командной разработке ПО.
В честь юбилея GitHub и GitLab провели два интервью с Линусом об истории создания Git, его влиянии на индустрию, и возможном будущем. Интервью от GitLab можно прочитать в статье. Расшифровку интервью с GitHub читаем тут, а в течение недели ребята обещали выпустить и видео.
#devops #microsoft #kubernetes #git
В 1975 году Билл Гейтс и Пол Аллен написали Altair BASIC — интерпретатор для микрокомпьютера Altair 8800. Это был первый продукт компании Micro-soft (тогда ещё с дефисом), который они создали за два месяца. Спустя полвека, Билл Гейтс выложил оригинальный исходник — 157 страниц доступных для загрузки в виде PDF-файла со сканом бумажных распечаток ассемблерного кода, который до сих пор вызывает у него гордость.
⚫️ В блоге Kubernetes вышла статья о kube-scheduler-simulator — симуляторе, помогающем понять внутреннюю механику планировщика Kubernetes.
В материале рассказывается, как с его помощью можно тестировать ограничения планирования, конфигурации планировщика и пользовательские плагины, проверяя все части решений детально. Инструмент отображает все этапы работы планировщика через annotations и визуализирует результат в web-интерфейсе. Полезно при работе с кастомными плагинами и сложными scheduling-правилами.
Двадцать лет назад разработчики ядра Linux лишились доступа к BitKeeper, и не найдя достойной альтернативы, Линус Торвальдс за несколько дней создал Git — систему контроля версий, которая изменила подход к командной разработке ПО.
В честь юбилея GitHub и GitLab провели два интервью с Линусом об истории создания Git, его влиянии на индустрию, и возможном будущем. Интервью от GitLab можно прочитать в статье. Расшифровку интервью с GitHub читаем тут, а в течение недели ребята обещали выпустить и видео.
#devops #microsoft #kubernetes #git
Please open Telegram to view this post
VIEW IN TELEGRAM
Очередная среда, наши DevOps-чуваки. В честь этого подготовили дайджест новостей и релизов.
⚫️ Вышел дистрибутив Ubuntu 25.04
Что нового? Улучшили пользовательский опыт благодаря GNOME 48, обновленному установщику ОС и поддержке HDR. Внесли множество изменений в модуль безопасности AppArmor, а также обновили Linux 6.14 и NetworkManager 1.52. Изучить все детали вы можете по этой ссылке.
🟡 SSL.com выдавал поддельные SSL-сертификаты из-за ошибки в валидации доменов
В центр сертификации SSL.com обнаружили критическую уязвимость, которая позволяла злоумышленникам получать SSL-сертификаты на чужие домены.
Ошибка возникла в реализации системы проверки владения доменом через подтверждение по электронной почте (Email to DNS TXT Contact). SSL.com ошибочно считал, что домен из email-адреса, указанного в DNS TXT-записи, принадлежит заявителю. Это открывало возможность получить сертификаты на популярные домены, не имея над ними фактического контроля.
Центр сертификации подтвердил факт неправильной выдачи 11 сертификатов и уже отозвал их. Полный отчёт по инциденту обещают опубликовать до 2 мая.
⚫️ Oracle зарелизили Critical Patch Update. Было исправлено 378 уязвимостей в MySQL, Java SE, VirtualBox и в других продуктах компании. Примечательно, что 255 уязвимостей могут быть использованы удалённо без аутентификации, а почти 40 классифицированы как критические. Рекомендуем обновиться как можно скорее.
🟡 Команда Wiz.io опубликовала исследовательский брифинг по безопасности Model Context Protocol (MCP) — нового протокола, который связывает LLM-приложения с внешними источниками данных и инструментами.
⚫️ В блоге Kubernetes вышел обзор на многоконтейнерные поды и sidecar-паттерн. В статье разбирается, как sidecar-контейнеры помогают расширять функциональность приложений без изменения их кода, когда их стоит использовать, а когда — лучше отказаться. Также описаны четыре ключевых паттерна:
#devops #kubernetes #ssl #ubuntu
⚫️ Вышел дистрибутив Ubuntu 25.04
Что нового? Улучшили пользовательский опыт благодаря GNOME 48, обновленному установщику ОС и поддержке HDR. Внесли множество изменений в модуль безопасности AppArmor, а также обновили Linux 6.14 и NetworkManager 1.52. Изучить все детали вы можете по этой ссылке.
🟡 SSL.com выдавал поддельные SSL-сертификаты из-за ошибки в валидации доменов
В центр сертификации SSL.com обнаружили критическую уязвимость, которая позволяла злоумышленникам получать SSL-сертификаты на чужие домены.
Ошибка возникла в реализации системы проверки владения доменом через подтверждение по электронной почте (Email to DNS TXT Contact). SSL.com ошибочно считал, что домен из email-адреса, указанного в DNS TXT-записи, принадлежит заявителю. Это открывало возможность получить сертификаты на популярные домены, не имея над ними фактического контроля.
Центр сертификации подтвердил факт неправильной выдачи 11 сертификатов и уже отозвал их. Полный отчёт по инциденту обещают опубликовать до 2 мая.
⚫️ Oracle зарелизили Critical Patch Update. Было исправлено 378 уязвимостей в MySQL, Java SE, VirtualBox и в других продуктах компании. Примечательно, что 255 уязвимостей могут быть использованы удалённо без аутентификации, а почти 40 классифицированы как критические. Рекомендуем обновиться как можно скорее.
🟡 Команда Wiz.io опубликовала исследовательский брифинг по безопасности Model Context Protocol (MCP) — нового протокола, который связывает LLM-приложения с внешними источниками данных и инструментами.
⚫️ В блоге Kubernetes вышел обзор на многоконтейнерные поды и sidecar-паттерн. В статье разбирается, как sidecar-контейнеры помогают расширять функциональность приложений без изменения их кода, когда их стоит использовать, а когда — лучше отказаться. Также описаны четыре ключевых паттерна:
init, ambassador, configuration helper и adapter.#devops #kubernetes #ssl #ubuntu
📚Делимся подборкой тренажеров, которые помогут подготовиться к экзаменам по Kubernetes!
➖ Сертификации Kubernetes от CNCF — это экзамены, предназначенные для проверки ваших навыков управления, создания и настройки приложений в Kubernetes. Цель таких сертификаций — не просто оценить знания теории, но и проверить практические навыки.
Рассказываем о тренажерах для подготовки:
• CK-X — self-hosted симулятор экзамена с таймером, вопросами и тренировочными Kubernetes-кластерами.
Поддерживает Docker, Helm, и достаточно прост в установке. Выглядит как удалённый рабочий стол и отлично передаёт атмосферу настоящего теста. Есть так же исходник на GitHub.
• Лабораторные от KodeKloud. Бесплатные лабораторные в которых можно набить руку. Помимо куба также доступные кейсы по Linux, Terraform, Git и другим инструментам вот тут.
• Репозиторий со CKAD-упражнениями от CNCF. Структурированные задачки по различным темам с экзамена, отлично подходят для повторения тем и закрепления практики. Рекомендуется приступать после освоения теоретического материала.
• Симулятор экзамена killer.sh. Тренажер максимально приближен к настоящему экзамену. Доступны две полноценных попытки с 22 задачами на время. В конце вам автоматически рассчитают балл, а на неправильные решения можно будет получить разбор и советы.
Если вы уже сдавали сертификацию — расскажите, что было самым полезным в подготовке и делитесь советами в комментариях!
#devops #kubernetes #cncf
Рассказываем о тренажерах для подготовки:
• CK-X — self-hosted симулятор экзамена с таймером, вопросами и тренировочными Kubernetes-кластерами.
Поддерживает Docker, Helm, и достаточно прост в установке. Выглядит как удалённый рабочий стол и отлично передаёт атмосферу настоящего теста. Есть так же исходник на GitHub.
• Лабораторные от KodeKloud. Бесплатные лабораторные в которых можно набить руку. Помимо куба также доступные кейсы по Linux, Terraform, Git и другим инструментам вот тут.
• Репозиторий со CKAD-упражнениями от CNCF. Структурированные задачки по различным темам с экзамена, отлично подходят для повторения тем и закрепления практики. Рекомендуется приступать после освоения теоретического материала.
• Симулятор экзамена killer.sh. Тренажер максимально приближен к настоящему экзамену. Доступны две полноценных попытки с 22 задачами на время. В конце вам автоматически рассчитают балл, а на неправильные решения можно будет получить разбор и советы.
Если вы уже сдавали сертификацию — расскажите, что было самым полезным в подготовке и делитесь советами в комментариях!
#devops #kubernetes #cncf
Please open Telegram to view this post
VIEW IN TELEGRAM
Собрали для вас подборку новостей и релизов за прошедшую неделю.
🟡 Redis 8.0 и возвращение к open-source лицензии
В прошлом году Redis перешли на закрытые лицензии RSALv2 и SSPLv1 вместо BSD. Директор Redis Ltd заявил, что переход на проприетарные лицензии выполнил необходимую задачу — AWS и Google создали свой собственный форк. Теперь, помимо RSALv2 и SSPLv1, Redis будет распространяться под AGPLv3.
Что нового в версии 8.0?
• Внесли более 30 оптимизаций производительности для ускорения команд до 87% и повышения пропускной способности в два раза
• Добавлены 8 новых структур данных
• Новый механизм репликации, который снижает использование памяти и ускоряет синхронизацию
• Все модули из Redis Stack теперь доступны и в Redis Open Source
Все изменения можно посмотреть здесь, а обновиться — тут.
⚫️ Команда Wiz подготовила подробный разбор уязвимостей в GitHub Actions и собрала лучшие практики по защите CI/CD-процессов. Авторы разобрали недавние supply chain-атаки, включая кейс с
• Используйте только проверенные версии сторонних GitHub Actions — хеш-пиннинг обязателен.
• Выдавайте минимально необходимые права и аккуратно работайте с секретами — особенно с доступом к сторонним сервисам.
• Избегайте уязвимых триггеров вроде
Подробности читаем в статье.
🟡 В блоге Kubernetes вышла статья о выходе в GA функции предотвращения утечек
В материале рассказали, как
⚫️ На DEV вышла статья, в которой автор делится опытом автоматизации настройки окружения и управления конфигурационными файлами с помощью Ansible. Он объясняет, почему отказался от GNU Stow и как настроил систему так, чтобы развёртывание конфигурации на любом новом устройстве — будь то Linux или macOS — происходило в один клик.
#devops #redis #opensource #github #ansible #kubernetes
🟡 Redis 8.0 и возвращение к open-source лицензии
В прошлом году Redis перешли на закрытые лицензии RSALv2 и SSPLv1 вместо BSD. Директор Redis Ltd заявил, что переход на проприетарные лицензии выполнил необходимую задачу — AWS и Google создали свой собственный форк. Теперь, помимо RSALv2 и SSPLv1, Redis будет распространяться под AGPLv3.
Что нового в версии 8.0?
• Внесли более 30 оптимизаций производительности для ускорения команд до 87% и повышения пропускной способности в два раза
• Добавлены 8 новых структур данных
• Новый механизм репликации, который снижает использование памяти и ускоряет синхронизацию
• Все модули из Redis Stack теперь доступны и в Redis Open Source
Все изменения можно посмотреть здесь, а обновиться — тут.
⚫️ Команда Wiz подготовила подробный разбор уязвимостей в GitHub Actions и собрала лучшие практики по защите CI/CD-процессов. Авторы разобрали недавние supply chain-атаки, включая кейс с
tj-actions, и дали рекомендации по настройке безопасности. Если кратко:• Используйте только проверенные версии сторонних GitHub Actions — хеш-пиннинг обязателен.
• Выдавайте минимально необходимые права и аккуратно работайте с секретами — особенно с доступом к сторонним сервисам.
• Избегайте уязвимых триггеров вроде
pull_request_target .Подробности читаем в статье.
🟡 В блоге Kubernetes вышла статья о выходе в GA функции предотвращения утечек
PersistentVolume при удалении объектов в неправильном порядке.В материале рассказали, как
finalizer гарантирует корректное удаление томов, даже если PV удаляется раньше связанного PVC. Раньше в таких случаях хранилище оставалось висеть в инфраструктуре. ⚫️ На DEV вышла статья, в которой автор делится опытом автоматизации настройки окружения и управления конфигурационными файлами с помощью Ansible. Он объясняет, почему отказался от GNU Stow и как настроил систему так, чтобы развёртывание конфигурации на любом новом устройстве — будь то Linux или macOS — происходило в один клик.
#devops #redis #opensource #github #ansible #kubernetes
В эфире DevOps FM — срединедельный дайджест новостей и статей.
🟡 Вышел OpenSearch 3.0.
Новый релиз включает изменения для повышения производительности и масштабируемости. Например, добавили векторный движок, который применяется для работы с данными в ML и ускоряет векторный поиск. Ещё усовершенствовали работу с управлением данных, например pull-режим получения данных, поддержка gRPC, интеграция Apache Calcite и автоматическое определение типа индексов.
Все изменения можно посмотреть здесь.
⚫️ В Kubernetes 1.33 появилась новая функция, которая повышает безопасность при работе с приватными контейнерными образами. Теперь
В блоге Kubernetes подробно рассказали о проблеме, которую не могли решить более 10 лет, архитектуре решения и о том, как новая логика аутентификации работает под капотом.
🟡 GitHub обновил поиск по Issues — теперь он поддерживает вложенные запросы и логические операторы AND/OR.
Это улучшение позволяет более точно находить нужные задачи, комбинируя условия поиска. В статье рассказали, как команда реализовала эту функцию: от перехода на Abstract Syntax Tree и интеграции с Elasticsearch до тестирования на реальных нагрузках(до 2000 запросов в секунду) . Всё это — с сохранением обратной совместимости и стабильности интерфейсов.
⚫️ На Medium вышел обзор ключевых обновлений в репозитории Cloud Networking Config Solutions от Google Cloud. В статье перечислены новые шаблоны и улучшения для настройки сетевой инфраструктуры в GCP: от поддержки VPC как spoke в Network Connectivity Center до обновлений для Vertex AI Workbench, App Engine и AlloyDB.
#devops #kubernetes #cloud #github #opensearch
🟡 Вышел OpenSearch 3.0.
Новый релиз включает изменения для повышения производительности и масштабируемости. Например, добавили векторный движок, который применяется для работы с данными в ML и ускоряет векторный поиск. Ещё усовершенствовали работу с управлением данных, например pull-режим получения данных, поддержка gRPC, интеграция Apache Calcite и автоматическое определение типа индексов.
Все изменения можно посмотреть здесь.
⚫️ В Kubernetes 1.33 появилась новая функция, которая повышает безопасность при работе с приватными контейнерными образами. Теперь
kubelet проверяет, действительно ли под имеет доступ к уже загруженному образу, даже если он используется с политикой IfNotPresent. Это изменение помогает избежать несанкционированного использования приватных образов другими подами на той же ноде.В блоге Kubernetes подробно рассказали о проблеме, которую не могли решить более 10 лет, архитектуре решения и о том, как новая логика аутентификации работает под капотом.
🟡 GitHub обновил поиск по Issues — теперь он поддерживает вложенные запросы и логические операторы AND/OR.
Это улучшение позволяет более точно находить нужные задачи, комбинируя условия поиска. В статье рассказали, как команда реализовала эту функцию: от перехода на Abstract Syntax Tree и интеграции с Elasticsearch до тестирования на реальных нагрузках
⚫️ На Medium вышел обзор ключевых обновлений в репозитории Cloud Networking Config Solutions от Google Cloud. В статье перечислены новые шаблоны и улучшения для настройки сетевой инфраструктуры в GCP: от поддержки VPC как spoke в Network Connectivity Center до обновлений для Vertex AI Workbench, App Engine и AlloyDB.
#devops #kubernetes #cloud #github #opensearch
Публикуем еженедельный дайджест релизов и новостей.
⚫️ Зарелизили FreeBSD 14.3
В новой версии обновили LLVM, OpenSSH, OpenZFS и другие сторонние компоненты, добавлена поддержка параметров для привязки политик и выполнения
🟡 В блоге Kubernetes вышла статья о выходе Inference Extension для Gateway API — расширения, которое упрощает маршрутизацию трафика к LLM и другим AI/ML-моделям в Kubernetes.
В материале рассказали, как новое расширение учитывает особенности inference-нагрузок: продолжительность сессий, использование GPU и тип модели. Оно позволяет гибко направлять трафик на наименее загруженные поды, снижая задержки и повышая эффективность работы.
⚫️ На InfoQ вышел подробный гайд по использованию зеркалирования трафика для отладки и тестирования микросервисов. Авторы рассказали, как безопасно дублировать реальный трафик на теневые сервисы без влияния на пользователей — с помощью Istio, AWS VPC, eBPF и других инструментов. Если кратко:
• Зеркалирование позволяет ловить редкие баги, проводить регрессионные тесты и профилировать производительность в условиях, близких к боевым.
• Возможны разные уровни — L7 (через Istio и NGINX), L4 (через AWS VPC Mirroring), eBPF и DIY-решения.
Подробности и кейс с примерами читаем в статье.
#devops #freebsd #kubernetes #microservices
⚫️ Зарелизили FreeBSD 14.3
В новой версии обновили LLVM, OpenSSH, OpenZFS и другие сторонние компоненты, добавлена поддержка параметров для привязки политик и выполнения
sysctl к jail-окружениям, изменили логику обработки флага "-U". Все изменения можно посмотреть здесь. 🟡 В блоге Kubernetes вышла статья о выходе Inference Extension для Gateway API — расширения, которое упрощает маршрутизацию трафика к LLM и другим AI/ML-моделям в Kubernetes.
В материале рассказали, как новое расширение учитывает особенности inference-нагрузок: продолжительность сессий, использование GPU и тип модели. Оно позволяет гибко направлять трафик на наименее загруженные поды, снижая задержки и повышая эффективность работы.
⚫️ На InfoQ вышел подробный гайд по использованию зеркалирования трафика для отладки и тестирования микросервисов. Авторы рассказали, как безопасно дублировать реальный трафик на теневые сервисы без влияния на пользователей — с помощью Istio, AWS VPC, eBPF и других инструментов. Если кратко:
• Зеркалирование позволяет ловить редкие баги, проводить регрессионные тесты и профилировать производительность в условиях, близких к боевым.
• Возможны разные уровни — L7 (через Istio и NGINX), L4 (через AWS VPC Mirroring), eBPF и DIY-решения.
Подробности и кейс с примерами читаем в статье.
#devops #freebsd #kubernetes #microservices