MemOps 😃

Millau — ingress-прокси с самонастройкой для Docker Swarm

Стыдно признаться, я практикую Swarm в 2025 году. Его легко объяснять, быстро готовить и просто использовать. Это инструмент старта в мир контейнеров, когда большой Kubernetes избыточен. Но путь развития Docker оказался не самым прямым. Со временем стало не хватать минимального динамического прокси для Swarm. Такого, который можно запустить один раз, чтобы он сам настраивал маршрутизацию трафика к микросервисам - и забыть. Так появился Millau - ingress-прокси и балансировщик на лейблах. Сейчас он обслуживает собственный сайт и ещё несколько проектов.

📌 Подробнее: https://habr.com/ru/articles/912666/

MemOps 🤨

MemOps 😃

Релиз Linux 6.15

25 мая 2025 года Линус Торвальдс представил первый стабильный релиз ядра Linux 6.15.

Итак, релиз был отложен на пару часов из-за сообщения об ошибке в последнюю минуту, в результате чего одна новая функция была отключена, но версия 6.15 уже доступна.

За исключением этой последней суеты, на прошлой неделе все выглядело довольно спокойно. Различные случайные мелкие исправления повсюду, с драйверами, как обычно. Но у нас есть некоторые исправления bcachefs, сетевые фиксы и некоторые исправления mm. Ничего особенно страшного не было.

И это, очевидно, означает, что окно слияния (merge window) откроется завтра, как обычно, и я вижу, что разработчики уже проявляют активность и отправили мне свои pull request.

Завтра в США День поминовения, но, как и в USPS, «ни снег, ни дождь, ни жара, ни мрак ночи» - ни этот день - не останавливают окно слияния. [На самом деле, вспоминая ледяной шторм прошлой зимой, иногда снег действительно останавливает окно слияния. Но только временно].

В любом случае, пожалуйста, продолжайте тестирование, Линус

Новая версия ядра Linux содержит большое количество изменений, обновлений и доработок, а также исправлений по ранее обнаруженным багам (Linux 6.14 changelog). В код проекта добавлена поддержка нового оборудования (Rockchip RK3528, RK3562, Allwinner A523/T527, Qualcomm IPQ9574 NSS, Raydium RM67200 DSI panel, Visionox RM692E5 display panel, Apple Summit display panel, Apple touch bar, Silicon Labs Si7210 Hall-effect sensor, Broadcom APDS9160, Analog Device AD4851, AD4030, AD7191, ADIS16550, Texas Instruments ADS7128, ADS7138, Dyna Image AL3000a, Apple Z2 touchscreen), а также новые процессоры и решения от AMD, Intel, nVidia и PowerPC.

В Linux 6.15 также появилось больше возможностей по работе с Rust для сборки ядра с использованием только стабильных функций этого языка программирования.

Значительные изменения в версии 6.15 включают в себя более интеллектуальное назначение идентификатора таймера (smarter timer-ID assignment) для повышения надёжности операций контрольной точки/восстановления, возможность считывать информацию о состоянии из pidfd после того, как рассматриваемый процесс был собран, специальное значение pidfd PIDFD_SELF, вложенные монтирования с сопоставлением идентификаторов (nested ID‑mapped mounts), приём zero‑copy network‑data через io_uring, возможность считывать события epoll через io_uring, устойчивые очереди спин‑блокировок для программ BPF, улучшения для guard‑page, позволяющие размещать страницы в областях памяти с файловой поддержкой и обнаруживать их присутствие в пространстве пользователя, некогда спорную подсистему fwctl, опциональное запечатывание некоторых системных сопоставлений (sealing of some system mappings) — невозможность изменения определённых сопоставлений в адресном пространстве процесса, запечатывая их от несанкционированного доступа.

Linux / Линукс 🥸

MemOps 😃

Внедрение крупного open-source проекта only office server с портированием на astra linux

Итак для безопасности применяем 2 системы: система контейнеризации docker, работающая на основе встроенных в ядро linux механизмов изоляции и МКЦ в ОС astra linux. С docker все стандартно, а вот с запуском docker на пониженном уровне целостности пришлось повозиться. Включаем запуск командой sudo astra-docker-isolation enable, запускаем любой образ и получаем ошибку запуска docker. Путем анализа логов удалось обнаружить, что не удается пробросить порт, так как docker не имеет на это прав. После долгих поисков найдено решение написать политику разрешения доступа к firewalld для процесса docker.

📌 Подробнее: https://habr.com/ru/articles/913100/

MemOps 🤨

MemOps 😃

Когда Kubernetes и Go не очень хорошо работают вместе

Go не знает об ограничениях, установленных для его контейнера, что приводит к некоторым проблемам, которые нелегко отследить. Это история о том, как я наткнулся на одну из них.

📌 Подробнее: https://lalatron.hashnode.dev/when-kubernetes-and-go-dont-work-well-together

MemOps 🤨

MemOps 😃

Эффективное использование GPU в Kubernetes: Настройка и использование Volcano Scheduler + Volcano vGPU Device Plugin

В этой статье автор расскажет, как можно разделить GPU на vGPU в кластере Kubernetes с поддержкой жесткой изоляции, используя Volcano и Volcano vGPU Device Plugin.

📌 Подробнее: https://habr.com/ru/articles/913374/

MemOps 🤨

MemOps 😃

Почему многие думают что DevOps-мудаки

Я думаю каждый сотрудник IT-компании, где есть эта выделенная роль, особенно проектный менеджер, сталкивался с этим: есть отдельный мир конфигураций и скриптов, где изолирована коммуникация и технический тикет основное средство общения. Обычно CTO ставит их под свой колпак, изолируя от остальных команд и создавая эффект “касты избранных”. Простые запросы превращаются в бесконечные уточнения, а работа стоит в ожидании“благословения”. Я уверен, ты догадался о ком я

📌 Подробнее: https://habr.com/ru/articles/913406/

MemOps 🤨

Скрытые языки: как инженеры передают информацию внутри команды, избегая документации

Технические команды часто избегают лишней документации, но информация всё равно каким-то образом передаётся, сохраняется и развивается. В этой статье — попытка разобрать скрытые механизмы общения внутри инженерных команд: как выстраиваются негласные соглашения, каким образом рождаются "внутренние диалекты" и зачем вообще всё это, если есть JIRA, Confluence и куча других инструментов. Много примеров, блоков кода на разных языках и немного личного опыта.

📌 Подробнее: https://habr.com/ru/articles/913672/

MemOps 🤨

MemOps 😃

Awesome Docker Compose — ваш центр поиска и развертывания более 700 популярных приложений с самостоятельным размещением без усилий

Docker Compose, бесплатный инструмент с открытым исходным кодом, упрощает процесс, автоматически обрабатывая зависимости и службы, позволяя вам устанавливать любимые приложения без обычных хлопот.

📌 Подробнее: https://awesome-docker-compose.com/

MemOps 🤨

MemOps 😃

MemOps 😃

S3 в мире Kubernetes: как объектное хранилище сделать частью контейнеров (подоход от команды Deckhouse)

Статья рассказывает о том, как облачное объектное хранилище S3 можно интегрировать с Kubernetes с помощью решений от Deckhouse и файловой системы GeeseFS. Автор объясняет, зачем вообще подключать S3 как том для контейнерных приложений, какие задачи это решает и почему для этого выбран именно GeeseFS. А ещё честно указывает на подводные камни — ограничения по скорости, отсутствие привычных файловых атрибутов, особенности кэширования и диагностику.

📌 Подробнее: https://habr.com/ru/companies/flant/articles/910938/

MemOps 🤨

MemOps 😃

Как я перестал страдать и полюбил CoreDNS: три истории

Эта статья построена на базе трех реальных историй:
— управление DNS из git;
— собственный nip.io;
— как и зачем писать плагины для CoreDNS.

📌 Подробнее: https://habr.com/ru/companies/chislitellab/articles/913946/

MemOps 🤨