❓ Вопрос с собеса

На собесах спрашивают про лимиты памяти в контейнерах, и знать про --memory хорошо, но нужно вспомнить про --memory-swap.

Вопрос:

Как работает memory-swap в Docker?

Ключевой момент: swap — это не дополнительная память, а ответ в канале с вопросами

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#задача_со_звёздочкой

🛠 Новый уровень контроля готовности узлов в k8s

В стандартном Kubernetes готовность узла определяется единственным бинарным условием. Это работает для простых случаев, но создает проблемы в прод-окружениях, где узлам требуется множество зависимостей перед запуском подов:

• Сетевые агенты и CNI-плагины
• Драйверы систем хранения (CSI)
• GPU-драйверы и специализированная прошивка
• Кастомные health-проверки и мониторинг агенты

Текущий механизм не позволяет гарантировать, что все эти компоненты работают корректно до того, как планировщик начнет размещать поды на узле.

Node Readiness Controller вводит декларативный механизм управления node taints на основе кастомных условий готовности. Контроллер работает с API NodeReadinessRule, который позволяет определить специфические требования для разных типов узлов.

Коротко о возможностях:

• Автоматическое управление node taints на основе кастомных условий

• Два режима: постоянный контроль или только при инициализации

• Интеграция с Node Problem Detector и кастомными health-check агентами

• Разные правила готовности для разных типов узлов: GPU, storage, standard

• Декларативная настройка через Kubernetes API

Контроллер предоставляет декларативный способ управления сложными многоэтапными процессами инициализации узлов с полной наблюдаемостью через стандартные Kubernetes API.

➡️ Блог разработчиков

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#пульс_индустрии

👨‍💻 Дебаг файрволла и фильтрация пакетов

➡️ Предыдущая часть

Маршрутизация настроена правильно, ping gateway работает, но связь всё равно не работает. Вероятно, виноват файрволл. Он может молча блокировать пакеты, не оставляя очевидных следов.

Linux может использовать несколько систем: iptables, nftables, firewalld.

iptables — классическая система:

iptables -L -n -v

Флаги:

-L — list, показывает правила
-n — numeric, не резолвит имена
-v — verbose, показывает счётчики пакетов

Вывод показывает три основные цепочки:

- INPUT — входящие пакеты
- OUTPUT — исходящие пакеты
- FORWARD — транзитные (для маршрутизатора)

Политика по умолчанию:

Chain INPUT (policy DROP)

Policy DROP — всё блокируется по умолчанию, разрешено только то, что явно указано в правилах выше. Безопасно, но легко сломать связность.

Policy ACCEPT — всё разрешено по умолчанию, блокируется только указанное. Менее безопасно, но проще в отладке.

iptables -L -n -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 1523 128K DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22

Смотрите на колонку pkts (packets). Если правило с DROP/REJECT показывает большое количество — оно активно блокирует трафик.

В примере выше: 1523 пакета на порт 22 (SSH) были отброшены.

Временное отключение файерволла:

iptables -F  # Очистить все правила
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

Если после этого всё заработало — проблема точно в правилах. Восстановите их и ищите конкретное блокирующее правило.

firewalld — современная альтернатива:

firewall-cmd --list-all

Показывает активную зону и все правила в ней. Firewalld работает с концепцией зон: public, internal, trusted, dmz и т.д.

Проверьте:

- Какая зона активна для вашего интерфейса
- Какие сервисы разрешены в этой зоне
- Какие порты открыты

Какие зоны активны и на каких интерфейсах:

firewall-cmd --get-active-zones

Добавление правил firewalld

Разрешить сервис (HTTP):

firewall-cmd --add-service=http --permanent
firewall-cmd --reload

Разрешить порт:

firewall-cmd --add-port=8080/tcp --permanent
firewall-cmd --reload

Флаг --permanent делает правило постоянным. Без него — только до перезагрузки firewalld.

Если правил много, найти виновника сложно. Добавьте логирование для отброшенных пакетов:

iptables:

iptables -I INPUT -j LOG --log-prefix "DROPPED: "

Теперь все отброшенные пакеты будут логироваться в /var/log/messages с префиксом "DROPPED:".

firewalld:

firewall-cmd --set-log-denied=all

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#арсенал_инженера

🆕 Прошла первая неделя февраля

Самые заметные материалы и новости этой недели.

— Bottles 61

— Хакеры атаковали Notepad++

— Linux From Scratch отказывается от SysVinit

— Диагностика сетевых проблем

— Terragrunt 1.0 RC1

— 9 способов найти заказы без бирж

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#дайджест_недели

🔄 Последний Linux 6-ой версии

Линус Торвальдс выпустил стабильный релиз Linux 6.19. Это последняя версия 6.x, следующий релиз будет 7.0. Ничего страшного не случилось, просто пофиксили баги.

Что починили и улучшили

• Улучшили драйверы ice и enetc

• Поправили микрофоны на Acer и HP ноутбуках.

• btrfs и ceph не крашатся из-за утечек памяти.

• nouveau и AMD display работают лучше

➡️ Источник

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#пульс_индустрии

📎 Просмотр файлов в терминале

Команда less помогает листать большие текстовые файлы в терминале, не загружая их целиком в память.

Запуск: less filename

Клавиши для движения

• Стрелка вниз/Enter/j – на строку вперёд

• Стрелка вверх/k – на строку назад

• Пробел/Page Down – страница вперед

• Page Up/b – страница назад.

• g – в начало, G – в конец.

Поиск: /текст для поиска вперед, ?текст для поиска назад. n – следующий, N – предыдущий.

Полезные флаги:

• -N – номера строк

• -s – сжимает пустые строки

• -i – поиск без учета регистра

• +F – следит за изменениями, как tail -f

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#арсенал_инженера

🛠 Дебажим DNS

➡️ Предыдущая часть

ping 8.8.8.8 работает, но ping google.com выдаёт "Name or service not known" — это проблема с DNS. Современные приложения используют доменные имена для всего, поэтому DNS критичен.

Файл /etc/resolv.conf:

cat /etc/resolv.conf

Содержит адреса DNS серверов:

nameserver 8.8.8.8
nameserver 8.8.4.4

Если файл пустой или содержит неправильные адреса — резолвинг не работает.

Проверьте доступность DNS сервера:

ping 8.8.8.8
nc -zv 8.8.8.8 53

Порт 53 — это DNS. Если порт закрыт или недоступен — сервер не может отвечать на DNS запросы.

dig — детальная DNS диагностика:

dig google.com

Показывает весь процесс разрешения имени:

• Какой DNS сервер ответил
• Сколько времени занял запрос
• Полученные A записи — IP адреса

Типичные ошибки в dig:

status: NXDOMAIN — домен не существует. Опечатка или домен удалён

status: SERVFAIL — DNS сервер столкнулся с ошибкой. Проблема на стороне DNS

status: REFUSED — сервер отказался обрабатывать запрос. ACL блокирует ваш IP

connection timed out — DNS сервер недоступен. Проверьте firewall

nslookup — альтернатива dig:

nslookup google.com

Проще, чем dig, но менее информативен. Полезен для быстрой проверки.

Проблемы с DNS в контейнерах

В Kubernetes и Docker DNS часто предоставляется внутренним сервисом.

Kubernetes:

• CoreDNS или kube-dns
• Проверьте: kubectl get pods -n kube-system | grep dns
• Логи: kubectl logs -n kube-system coredns-xxx

Docker:

• Встроенный DNS на 127.0.0.11
• Проблемы при неправильной конфигурации сети контейнера

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#арсенал_инженера

🌐 Браузер для маленького интернета

Вышел Offpunk 3.0 — терминальный браузер для Gemini/Gopher/Web с фокусом на офлайн-режим.

Философия: серфинг без отвлекающих факторов, кеширование всего, чтение без интернета.

Главные изменения в 3.0

➡️ Offpunk теперь говорит на нескольких языках:

• Испанский
• Галисийский
• Голландский
• Английский (по умолчанию)

➡️ Новая команда websearch с дефолтом на wiby.me. Wiby.me — это поисковик по старому вебу.

➡️ Социальные фичи

• Команда share — отправить страницу по email.

• Команда reply — написать автору страницы:

➡️ Теперь работают HTTP cookies через команду cookies. Для тех редких случаев, когда они действительно нужны.

🖇 Официальный сайт

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#пульс_индустрии

😁 Боб Патчкордли

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#пятничный_деплой

🛠 Автоматизация монтирования в Linux

В Linux и Unix-подобных системах файловые системы необходимо примонтировать, чтобы они стали доступны.

Команда mount подключает файловую систему с устройства к каталогу — точке монтирования.

Файл /etc/fstab — сердце автоматизации

Каждая строка файла описывает одну файловую систему с параметрами:

• Устройство: путь, UUID или метка (например, /dev/sdb1, UUID=xxxxxxxx)
• Точка монтирования: каталог назначения (/mnt/data, /home)
• Тип файловой системы: ext4, xfs, ntfs, nfs, cifs
• Опции: defaults, rw, ro, noauto, nofail и др.
• Dump: для утилиты резервного копирования (обычно 0 или 1)
• Pass: порядок проверки через fsck (0 — отключена, 1 — корневая ФС, 2 — остальные)

Пример:

UUID=a1b2c3d4-e5f6-7890 /mnt/backup ext4 defaults,nofail 0 2

Команда mount -a (mount all) монтирует все файловые системы из /etc/fstab, которые:

• Имеют опцию auto
• Ещё не смонтированы

Записи с опцией noauto пропускаются — они монтируются только вручную.

Зачем это нужно

Init-система запускает mount -a, автоматически монтируя все необходимые файловые системы: корневую, /home, /var, сетевые шары.

После правки /etc/fstab не нужно перезагружаться или монтировать всё вручную — достаточно одной команды.

Добавление нового раздела:

# Создаём точку монтирования
sudo mkdir /data

# Добавляем в /etc/fstab
/dev/sdc1 /data ext4 defaults 0 2

# Применяем изменения
sudo mount -a

# Проверяем
df -h /data

mount -a — избавляет от рутины и обеспечивает применение конфигурации монтирования.

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#root_prompt

👨‍💻 Дебажим доступность портов

➡️ Предыдущий пост

DNS работает, IP связность есть, но сервис всё равно недоступен? Проверяем конкретный порт.

netcat (nc) — универсальный тестер

nc -zv example.com 80

Флаги:
• -z — только проверка, без отправки данных
• -v — подробный вывод

Результаты:

Connection to example.com 80 port [tcp/http] succeeded! — порт открыт, сервис слушает

Connection refused — порт закрыт, сервис не запущен

Connection timed out — пакеты не доходят, firewall или сеть

Проверьте, слушает ли приложение:

ss -tulpn | grep :80

или старая версия:

netstat -tulpn | grep :80

Должны увидеть строку типа:

tcp   LISTEN  0.0.0.0:80    0.0.0.0:*    users:(("nginx",pid=1234))

0.0.0.0:80 означает слушает на всех интерфейсах. 127.0.0.1:80 — только локально и не доступен снаружи.

Если ничего нет — сервис не запущен или слушает на другом порту.

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#арсенал_инженера

📈 Топ-вакансий для девопсов за неделю

DevOps-инженер — Удалёнка

SRE/DevOps — от 4 000 до 7 000 $. Удалёнка

DevOps Engineer (Стриминг) — от 5 000 €. Переезд на Кипр

➡️ Еще больше топовых вакансий — в нашем канале Devops Jobs

🐸Библиотека devops'a

#вакансия_недели

🐳 Docker Hardened Images (DHI) теперь бесплатны

Docker объявил о бесплатном доступе к более 1000 образов, включая Alpine, Debian, базы данных и среды выполнения.

Это снижает линию безопасности: ниже этой линии уязвимости управляются Docker, выше — вашей командой. Когда сканер находит проблему в слое DHI, это не требует действий от вас. Всё, что выше базового образа, остаётся вашей зоной ответственности.

DHI защищает не только от CVE. Community-образы несут риски компрометации учётных записей, вредоносных инъекций через перезапись тегов. DHI создаются из контролируемого namespace с процессами проверки, что изолирует от целого класса атак.

➡️ Блог разработчиков

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#пульс_индустрии

👨‍💻 Интерактивное обучение DevOps

Наткнулись на KiilerCoda. Платформа работает по простому принципу: открываете сайт, выбираете сценарий обучения и получаете доступ к изолированному окружению с предустановленными инструментами.

Под капотом Killercoda использует контейнеризованные окружения с эфемерным выделением ресурсов.

Каждая сессия запускается в изолированном namespace со строгими сетевыми политиками, а после завершения работы окружение автоматически уничтожается.

Главное преимущество платформы — мгновенный запуск. От открытия сайта до выполнения первой команды проходят секунды, а не часы настройки.

➡️ Поучиться интерактивно

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#root_prompt

🧑‍💻 Дебажим логи

Интерфейсы UP, маршруты правильные, firewall настроен, но связь всё равно работает нестабильно или периодически пропадает. Время копаться в логах и системных сервисах.

➡️ Предыдущий пост

➡️ Системные логи: /var/log/messages

Главный системный лог содержит события от kernel и системных демонов, включая сетевую подсистему.

grep -i "network\|eth0\|link" /var/log/messages | tail -50

Что искать:
• link down / link up — интерфейс терял линк
• firmware — проблемы с firmware сетевой карты
• dropped — kernel отбрасывал пакеты
• OOM — Out of Memory, могло убить сетевые процессы

➡️ journalctl — современный способ

journalctl -n 100  # Последние 100 записей
journalctl -f      # Следить в реальном времени (как tail -f)
journalctl -p err  # Только ошибки

Фильтр по юниту (сервису):

journalctl -u NetworkManager -n 100
journalctl -u systemd-networkd -n 100

Фильтр по времени:

journalctl --since "10 minutes ago"
journalctl --since "2025-02-03 14:00" --until "2025-02-03 15:00"

➡️ NetworkManager и systemd-networkd

Современные Linux-дистрибутивы используют один из этих сервисов для управления сетью.

Проверка статуса:

systemctl status NetworkManager
systemctl status systemd-networkd

Ищите:
- Active: active (running) — всё ОК
- Active: failed — сервис упал
- Ошибки в выводе

Логи в реальном времени:

journalctl -u NetworkManager -f

Запустите эту команду, затем воспроизведите проблему — увидите, что происходит.

➡️ Перезапуск сетевых сервисов

На удалённом сервере это может разорвать SSH соединение!

Используйте screen или tmux перед перезапуском:

screen
systemctl restart NetworkManager

Если потеряли соединение, screen сохранит сессию. Переподключитесь и вернётесь в неё командой screen -r.

Альтернатива: at команда для отложенного восстановления сети:

echo "systemctl restart NetworkManager" | at now + 2 minutes

Если что-то пойдёт не так, через 2 минуты сеть автоматически перезапустится.

➡️ Мониторинг ресурсов

Иногда сетевые проблемы вызваны нехваткой ресурсов.

Проверка памяти:

free -h

Если своп активно используется — система испытывает нехватку RAM. Сетевые процессы могут тормозить или падать.

Проверка CPU:

top
htop

Высокая загрузка CPU может замедлять обработку пакетов.

Проверка дискового I/O:

iostat -x 1

Если диск перегружен, логирование замедляется, конфигурационные файлы читаются медленно.

Типичные находки в логах

NetworkManager: device disconnected
- Интерфейс потерял линк
- Проверьте физику (кабель, порт)

dhclient: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval X
- Не может получить IP от DHCP сервера
- DHCP сервер недоступен или перегружен

kernel: Out of memory: Killed process X (name)
- OOM killer убил процесс
- Возможно, убил NetworkManager или systemd-networkd

iptables: DROP IN=eth0 SRC=X.X.X.X
- Firewall блокирует пакеты
- Найдено блокирующее правило

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#арсенал_инженера

👀 Блокировки Telnet не было

4 января 2026 года было зафиксировано драматическое падение глобального Telnet-трафика — объём сессий упал на 65% за один час, затем на 83% за два часа.

Первоначальная гипотеза предполагала, что крупные провайдеры начали блокировать порт 23 в ответ на критическую уязвимость в GNU Inetutils telnetd, позволяющую получить root-доступ без аутентификации.

Компания Terrace Networks провела собственное расследование и пришла к противоположным выводам. Они провели Telnet-трассировки от якобы затронутых автономных систем к своим серверам и успешно достигли цели.

Terrace анализировала уникальные IP-адреса источников, а не общее количество сессий. Этот метод точнее, поскольку единичные масштабные сканирования, например, от ботов, перебирающих пароли Telnet, могут радикально исказить счётчики сессий.

Terrace предполагает, что первоначальные результаты могли быть артефактом измерений

Пока всё работает предлагаем побаловаться в живых telnet серверах.

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#разбор_полётов

🔄 Минималистичный дистрибутив стал еще современнее

Tiny Core Linux — это система, которая весит всего 11-16 МБ и загружается полностью в оперативную память. Дистрибутив получил версию 17.0.

Главное в обновлении — свежее ядро Linux 6.18.2 с улучшенной поддержкой нового оборудования. Обновились основные библиотеки: glibc 2.42, компилятор gcc 15.2.0 и утилиты для работы с дисками.

Из практичных изменений — скрипты теперь умеют работать с HTTPS-зеркалами, исправлены баги в обновлении расширений и резервном копировании настроек.

➡️ Анонс + ссылки на скачивание

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#пульс_индустрии