Vault-secrets-operator

Создавайте секреты Kubernetes из Vault для безопасного рабочего процесса на основе GitOps.

📌 Подробнее: https://github.com/ricoberger/vault-secrets-operator

MemOps 🤨

Так вот откуда одни отказы

MemOps 😃

В статье «Why Kubernetes policy enforcement happens too late—and what to do about it» автор замечает, что большинство инцидентов в Kubernetes рождаются не в коде приложений, а в мисконфигурациях — отсутствующих лимитах ресурсов, слишком широких security context, неверных RBAC. Инструменты вроде OPA, Kyverno и Conftest хорошо ловят такие проблемы, но обычно делают это слишком поздно: в CI/CD или на admission контроллере, когда разработчик уже переключил контекст.

Автор предлагает сместить фокус с того, что проверяет политика, на то, где и когда срабатывает проверка — он называет это enforcement locus. Самый недооценённый момент — review-time: браузерные движки policy-as-code (например, GuardOn) парсят YAML прямо в diff пул-реквеста и показывают нарушения инлайн-комментариями, без CI и доступа к кластеру. Это не замена admission контроллеру, а дополнительный слой defense-in-depth, который ловит проблемы там, где их дешевле всего исправить.

В перспективе автор видит AI-агентов на том же review-time слое: они смогут не просто флагать нарушение, а объяснять контекст, предлагать готовый патч YAML прямо в PR и отличать настоящие ошибки от осознанных исключений в dev-окружении.

📌 Подробнее: https://www.cncf.io/blog/2026/05/25/why-kubernetes-policy-enforcement-happens-too-late-and-what-to-do-about-it/

MemOps 🤨

MemOps 😃

Why Kubernetes Has No Login — And How We Solved It for AuditRadar

Когда мы приступили к созданию страницы «Входы в систему» ​​(Logins) для AuditRadar — инструмента для просмотра журналов аудита в реальном времени в средах OpenShift и Kubernetes, — мы столкнулись с проблемой, потребовавшей от нас глубокого понимания того, как на самом деле работает аутентификация на каждой из этих платформ.

📌 Подробнее: https://blog.audit-radar.com/why-kubernetes-has-no-login-and-how-we-solved-it-for-auditradar

MemOps 🤨

Опытный девопс чует

MemOps 😃

MemOps 😃

crossview — дашборд на основе React для управления и мониторинга ресурсов в Kubernetes.

📌 Подробнее: https://github.com/crossplane-contrib/crossview

MemOps 🤨

MemOps 😃

Как работают выделенные ядра в облачном сервере: от планировщика Linux до тестов производительности

📌 Подробнее: https://habr.com/ru/companies/selectel/articles/1037970/

MemOps 🤨

MemOps 😃

Ваш Kubernetes упал: найдёте root cause за 15 минут?

В этой статье разобран реальный сценарий отказа Kubernetes и дается возможность пройти путь дежурного инженера, который получает алерт «кластер мёртв» и должен за 15 минут найти первопричину.

📌 Подробнее: https://habr.com/ru/companies/otus/articles/1031260/

MemOps 🤨

MemOps 😃

Изучаем Ansible Inventory: основы и примеры использования

Перевели статью об основах Ansible inventory. В ней рассматривается базовая функциональность, управление переменными, комбинирование нескольких источников Inventory и варианты работы с динамическими Inventory. Статья будет полезна тем, кто изучает Ansible.

📌 Подробнее: https://spacelift.io/blog/ansible-inventory

MemOps 🤨

MemOps 😃

Building a Production-Grade HA Kubernetes Cluster on a Homelab with $0 in Cloud Costs

Как я превратил четыре узла Proxmox, несколько накопителей корпоративного класса (списанных с производства) и один свободный вечер в полностью автоматизированный HA-кластер k3s с использованием Rancher, Traefik и Ansible — и всё это на оборудовании, потребляющем меньше энергии, чем игровой ПК.

📌 Подробнее: https://thiago-marsal.medium.com/homelab-k3s-ha-cluster-a-complete-architecture-guide-6a60005b6e99

MemOps 🤨

MemOps 😃

Использование SNMP Trap/Inform сообщений в мониторинге сети

В этой статье я попробую рассказать о том, в каких случаях для выявления неисправностей в сети может быть полезно помимо опроса оборудования, принимать сообщения о наступившем событии от устройства.

SNMP протокол задумывался как универсальное средство мониторинга и управления сетевыми устройствами, и изначально позволял как опрашивать устройство (агент), так и отправлять устройством (агентом) событие на сервер.

Для этого существует два сообщения - Trap и Inform.
И если трапы еще худо-бедно используются то про inform многие даже не слышали.

Но давайте по порядку, что же вообще может дать прием трапов или информов такого, чего не может дать опрос?

📌 Подробнее: https://habr.com/ru/articles/1040354/

MemOps 🤨

🚫 ВНЕЗАПНО...«Войти через Google» теперь вне закона. За буржуйскую авторизацию выкатят конские штрафы.

Госдума в турборежиме приняла закон, который будет жестоко бить рублем за идеологически неверный логин. Отныне владельцы сайтов и приложух обязаны пускать юзеров исключительно через правильную авторизацию:

1. По РФ номеру мобильного телефона.
2. Через ЕСИА (Госуслуги).
3. Через ЕБС (Улыбаясь в камеру единой биометрической системе).
4. Через суверенные сервисы авторизации (VK ID, Yandex ID, Сбер ID).

В этот же пакет поправок изящно запихнули штрафы за рекомендательные алгоритмы. Если твой сайт подсовывает юзеру контент на основе его интересов (как лента в соцсетях или товары в маркетплейсе), но ты не вывесил на пол-экрана плашку-уведомление и не написал юридическую портянку с правилами работы этих алгоритмов, то лови еще один штраф. А если РКН приказал отключить рекомендации, а ты проигнорировал - минус 2,8 млн рублей из бюджета конторы 😰

Проблема заморского OAuth для товарища майора в том, что он не дает жесткой привязки токена к физической тушке. А вот авторизация по СМС, через Госуслуги или ВК превращает любой session_id в прозрачный цифровой след 👮‍♂️

Вэлком тотальный деанон... В новой парадигме каждый комментарий, каждый заказ на маркетплейсе и каждый лог авторизации будет детерминированно слинкован с СНИЛС и паспортными данными. Высшая форма деанонимизации на уровне базовой архитектуры веба 😶

Фронтендерам и бэкендерам прибавилась тонна работы 😭 по выпиливанию зарубежных SDK, миграции старых юзеров на новые методы входа и прикручиванию кнопок, типа "Войти через ВК".

Типичный 🥸 Сисадмин

MemOps 😃

Is it over for metrics?

Статья в блоге ClickHouse, где рассуждают о том, что метрики все больше уходят на второй план и перестают быть основой Observability. Они становятся производным представлением более богатых данных — логов и трейсов.

Хранить все данные в одном технологическом слое, как мне кажется, весьма здравая идея. Из этого слоя можно затем вычислять структурированные события (wide events) или метрики, если нужно.

📌 Подробнее: https://clickhouse.com/blog/is-it-over-for-metrics-in-observability

MemOps 🤨