Вопросы с собеседования

df сообщает о наличии 20 Гб занятого пространства, подсчёт занятого файлами места при помощи du даёт результат в 20 Мб. При каких обстоятельствах может возникнуть описанная ситуация?

Когда файл удален т. к. файловый дескриптор «держит» его.

Ищем файл через:

lsof -a +L1 | grep var | grep httpd

При удалении файла, который в этот момент был «занят» процессом — его имя удаляется, но inode — остаётся в файловой системе до тех пор, пока не завершится процесс, который «держит» этот файл.

Соответственно, что бы «освободить» уже удалённые файлы — необходимо перезапустить процесс, который этот файл держит.

👉 @devops_star

Топ-10 распространенных проблем с линтингом Dockerfile

Мы добавили возможность линтинга Docker-файлов по требованию в Depot. В этом посте мы рассмотрим 10 наиболее распространенных проблем с линтингом Dockerfile, которые мы наблюдали в Depot.

https://depot.dev/blog/dockerfile-linting-issues

👉 @devops_star

Глубокое погружение в сетевые технологии Kubernetes

На вебинаре описывается сетевая модель Kubernetes (узлы, поды, сервисы), ее преобразование в сетевые конструкции Linux, интеграция с физической сетью и оркестровка виртуальных сетевых устройств, таких как маршрутизаторы, балансировщики нагрузки и NAT-шлюзы.

https://my.ipspace.net/bin/list?id=Kubernetes#INTRO

👉 @devops_star

Мониторинг черных ящиков и котов в мешке через eBPF

Привет! Меня зовут Петр Бобров, в QIWI я отвечаю за отказоустойчивость, расскажу немного историй про сторонних вендоров, у всех они разные. У нас есть карточный процессинг, потому что мы банк, у нас банковская лицензия, проводим много платежей. Еще можно черными ящиками считать и базы данных: кто знает, как там работает Oracle, кто знает, как работает Linux внутри? Думаю, очень немного людей разбирается в этом, как оно работает на низком уровне.

https://habr.com/ru/companies/qiwi/articles/738968/

👉 @devops_star

Как ускорить релизы и не утонуть в рутине

С ростом компании и числа цифровых продуктов разработка начинает буксовать. Без единого подхода к инфраструктуре скорость падает, а DevOps всё чаще тушат пожары вместо того, чтобы развивать процессы и автоматизацию.

22 октября в 12:00 мск Hilbert Team и Yandex Cloud расскажут,
как выстроить в облаке конвейер разработки, который помогает команде быстрее доставлять продукт — без лишних затрат и выделенной платформенной команды.

В программе:
✔️ Как взять из платформенной инженерии нужное, не строя «монстра»;
✔️ Как использовать облачные технологии для разработки, тестирования и вывода новых решений на рынок;
✔️ Архитектура цифрового конвейера, которая масштабируется без боли;
✔️ Кейсы российских компаний.

Кому будет полезно: руководителям команд разработки и DevOps-отделов, DevOps-инженерам, продактам, архитекторам и всем, кто отвечает за развитие цифровых продуктов.

22 октября, 12:00 мск
Регистрируйтесь на вебинар по ссылке

Kubernetes: контейнеры и «потерянные» сигналы SIGTERM

У нас есть API-сервис с Gunicorn в Kubernetes, который периодически возвращает 502, 503, 504 ошибки.

Я начал его отлаживать и обнаружил странную вещь: в логах не было сообщений о полученном SIGTERM, поэтому я сначала пошел разбираться с Kubernetes - почему он его не отправляет?

https://itnext.io/kubernetes-containers-and-the-lost-sigterm-signals-40007f35759a

👉 @devops_star

11 советов по повышению безопасности контейнеров 🔐

1 🔒 Используйте официальные образы

Для минимизации уязвимостей всегда используйте официальные, проверенные образы контейнеров из надежных источников. Проверяйте подписи образов, чтобы убедиться в их подлинности.

2 📦 Регулярно обновляйте образы

Поддерживайте образы контейнеров в актуальном состоянии с помощью последних исправлений и версий, чтобы устранить известные уязвимости. По возможности автоматизируйте обновления.

3 🔍 Сканирование образов на наличие уязвимостей

Используйте такие инструменты, как Clair, Trivy или Anchore, для проверки образов контейнеров на уязвимости перед развертыванием. Сделайте это частью вашего CI/CD pipeline.

4 📜 Следуйте принципу наименьших привилегий

Запускайте контейнеры с минимально необходимыми привилегиями. Избегайте запуска контейнеров от имени root и используйте пространства имен пользователей для разграничения привилегий.

5 🛠️ Используйте средства обеспечения безопасности на этапе выполнения

Используйте инструменты безопасности во время выполнения, такие как Falco или Sysdig Secure, для мониторинга и защиты запущенных контейнеров от угроз и аномалий.

6 🔐 Внедрите сегментацию сети

Изолируйте контейнерные сети, чтобы ограничить связь между контейнерами. Используйте инструменты вроде сетевых политик Kubernetes для обеспечения сегментации.

7 📋 Ограничение использования ресурсов

Ограничьте ресурсы (процессор, память), которые могут использовать контейнеры, чтобы предотвратить атаки на исчерпание ресурсов. Используйте квоты и лимиты ресурсов Kubernetes.

8 🛡️ Включение контекстов безопасности

Определите контексты безопасности в платформе оркестровки контейнеров для контроля доступа и разрешений. Используйте PodSecurityPolicies в Kubernetes.

9 🧩 Используйте решения для управления секретами

Безопасное управление и хранение конфиденциальных данных, таких как пароли и ключи API, с помощью таких инструментов, как HashiCorp Vault, AWS Secrets Manager или Kubernetes Secrets.

10 🌐 Регулярные аудиты и проверки на соответствие требованиям

Регулярно проводите аудиты безопасности и проверки на соответствие требованиям, чтобы обеспечить соблюдение политик и стандартов безопасности. Автоматизируйте аудиты с помощью таких инструментов, как kube-bench.

11 🔄 Постоянно обучайте свою команду

Постоянно информируйте свою команду о последних практиках и тенденциях в области безопасности. Регулярно проводите тренинги и делитесь ресурсами.

👉 @devops_star

Практическое руководство по Kubernetes: Сетевая политика 🛠️

Сетевые политики Kubernetes представляют собой надежный механизм контроля взаимодействия между подами и другими конечными точками сети. Они необходимы для обеспечения безопасности ваших приложений путем определения правил, определяющих, как поды могут взаимодействовать друг с другом и другими сетевыми ресурсами. В этом практическом руководстве мы рассмотрим основы и продемонстрируем, как реализовать сетевые политики на практическом примере, включающем фронтенд и бэкенд-приложения.

https://medium.com/@muppedaanvesh/a-hands-on-guide-to-kubernetes-network-policy-%EF%B8%8F-041bebe19a23

👉 @devops_star

Talos Linux & VirtualBox: готовим свой Kubernetes

Есть множество путей развернуть свой Kubernetes. Все они разные, выбор зависит от вашего бюджета, от того, какие задачи вы планируете решать, для каких нагрузок и что в конечном итоге вы планируете получить. В этой статье мы быстро пройдёмся по различным способам инсталляции, а затем попробуем развернуть свой K8s кластер на виртуальных машинах, воспользовавшись гипервизором второго типа (VirtualBox). Но это будет не условная Ubuntu, на которую мы будем ставить необходимые компоненты, а целая операционная система, разработанная специально для Kubernetes — Talos Linux!

https://habr.com/ru/articles/825682/

👉 @devops_star

Прокачай свои навыки Kubernetes

Kubernetes — это мощь. Но по-настоящему он раскрывается в руках тех, кто знает, как с ним обращаться.

Хотите уверенно управлять кластерами, настраивать сеть, разруливать инциденты и держать инфраструктуру под контролем? ➡️Тогда вам на курс «Kubernetes Мега» от Слёрма.

На обучении вы: 

👉 Освоите перенос продукта на Kubernetes
👉 Научитесь разворачивать отказоустойчивые кластеры
👉 Ускорите траблшутинг и будете решать инциденты как профи
👉 Повысите стабильность и безопасность инфраструктуры
👉 Настроите автоматическую ротацию сертификатов, автодеплой и защищённое хранение секретов

Это не просто курс. Это путь к 300к/наносек.

Старт — 27 октября, вы как раз успеваете!

Посмотрите программу и забронируйте место ➡️ по ссылке

Xeol

Cканер образов контейнеров, SBOM и файловых систем на проверку пакетов на end-of-life (EOL)

https://github.com/xeol-io/xeol

👉 @devops_star

Diun. Система оповещения о новых Docker контейнерах.

Diun следит за установленными контейнерами и сравнивает их версии с версиями на репозиториях.

00:00 | Intro
00:16 | Проблема обновления docker
00:36 | Diun
00:53 | Сравнение с Watchtower. Основные функции
01:27 | Особенности обновления с Watchtower
03:02 | Проблема с образами image в Watchtower
04:21 | Diun обзор
04:56 | Diun системы уведомлений и провайдеры
06:15 | Diun. docker compose. Установка
08:21 | Расширенные параметры. Настройка diun.
11:00 | Запуск diun. Тест
12:03 | Crontab.guru - сервис настройски времени crontab (Scheduler)
12:30 | Тест diun. Уповещения в логе
13:34 | Настройка уведомлений в diun. Подключение к gotify
16:27 | Как обновить docker контейнер вручную.
17:13 | Преимущество diun уведомлений
18:12 | Gotify установка. docker compose.
18:34 | Спасибо

источник

👉 @devops_star

Канал про Kubernetes без ванильной теории. Только хардкор из бигтеха, опыт, набитый на реальных продах, щепотка IT-юмора и, конечно, мой кот Маркус — у него чуйка на баги.

Я — Виталий Лихачев, SRE в крупном голландском тревелтехе. 

У себя на канале делюсь:
 🫸 Мясом по Kubernetes: как оно на самом деле работает (и фейлится) в больших конторах.
🫸 Боевыми лайфхаками и граблями, собранными в энтерпрайзных траншеях.
🫸 Регулярными вебинарами и прямыми эфирами — живое общение, ответы на каверзные вопросы.

Если K8s для тебя – это не просто набор букв, а ежедневная задача (и боль, разумеется), то welcome, обсудим конфиги и не только.

➡️Канал «Kubernetes и кот Лихачева»

Sealos

Облачная операционная система, предназначенная для управления облачными приложениями.
Это готовый к продакшену дистрибутив Kubernetes, который представляет собой универсальное решение для публичных и частных облаков.

https://github.com/labring/sealos

👉 @devops_star

Checkov

Предотвратите неправильную конфигурацию облака и найдите уязвимости во время сборки в инфраструктуре как коде, образах контейнеров и пакетах с открытым исходным кодом с помощью Checkov от Bridgecrew.

https://github.com/bridgecrewio/checkov

👉 @devops_star

Итоги State of DevOps Russia 2025 
 
На вебинаре 31 октября «Экспресс 42» представит результаты «Исследования состояния DevOps в России 2025» — анализа индустрии, основанного на опросе более 4000 специалистов. Ежегодно «Экспресс 42» вместе с партнёрами выявляет технологические тренды и оценивает их влияние на эффективность разработки. 
 
В этом году эксперты исследовали Developer Experience, информационную безопасность, ИИ- и DevOps-инструменты, Kubernetes, внутренние платформы для разработки.
 
Вы узнаете: 
* какие инструменты сейчас популярны;
* какие характеристики Developer Experience отличают высокоэффективные команды;
* для каких задач используют ИИ-инструменты;
* как внедряют ИБ в процесс разработки;
* какие цели развития у внутренних платформ для разработки;
* какие изменения произошли на рынке труда за год.
 
Ждём вас на вебинаре!
 
Онлайн | 31 октября в 12:00

Зарегистрироваться

Расскажите о ключевом различии между виртуализацией и контейнеризацией

Виртуализация позволяет запустить несколько операционных систем на одном физическом сервере. Контейнеризация работает на одной и той же операционной системе, в которой приложения упакованы в контейнеры и запускаются на одном сервере/виртуальной машине.

Где хранятся тома Docker?

Тома, создаваемые и управляемые Docker (у не-Docker процессов к ним нет доступа), хранятся в файловой системе сервера Docker по пути /var/lib/docker/volumes/. Тома — наиболее эффективный способ сохранения данных в Docker.

Расскажите кратко о жизненном цикле контейнера Docker

Жизненный цикл контейнера:
Создание контейнера
Работа контейнера
Приостановка контейнера
Возобновление работы контейнера
Запуск контейнера
Остановка контейнера
Перезапуск контейнера
Принудительная остановка контейнера
Удаление контейнера

👉 @devops_star

👉 @devops_star

Программа сообщает о том, что не может найти свой конфиг. Каким образом можно узнать, где она пытается его найти?

line-buffered опция которая выведет результат как только найдет

strace -f — отслеживание дочерних процессов

strace -f l ftp sitename | & grep --line-buffered open | grep /home/user

Либо в самой программе, если удастся найти параметры

/usr/sbin/mysqld --verbose --help | grep -A 1 «Default options»

👉 @devops_star

Продвинутые сетевые функции Kubernetes

Kubernetes, ставший де-факто стандартом для оркестрации контейнеров, значительно упрощает развертывание, масштабирование и управление контейнеризированными приложениями. Однако, по мере роста и усложнения инфраструктуры, требования к сетевым возможностям также увеличиваются. В современных распределенных системах, где различные микросервисы взаимодействуют друг с другом, критически важно обеспечить безопасность, производительность и надежность сетевых коммуникаций. Здесь на помощь приходят продвинутые сетевые функции Kubernetes, такие как:

Network Policies
Service Mesh
Ingress Controllers
Функции для масштабирования и оптимизации сети
Функции поддержки высокодоступных и отказоустойчивых архитектур
Механизмы оптимизации и балансировки нагрузки
Функции для диагностики сетевых проблем

https://habr.com/ru/companies/amvera/articles/833464/

👉 @devops_star