📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#пятничный_деплой

😎 Обновления и новости недели

Собрали все релизы за неделю и щепотку материалов.

— man-pages 6.17

— Vim 9.2

— Linux заблокировали

— krep 2.0.0

— KDE Plasma 6.6

— Гендерный разрыв в зарплате

— Trayy 3.0

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#дайджест_недели

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#пятничный_деплой

💳 1000+ проверок безопасности IaC до того, как код ушёл в прод

Checkov — статический анализатор IaC и SCA-инструмент. Он читает файлы конфигурации и проверяет их по базе из более 1000 встроенных политик безопасности для AWS, Azure и GCP.

Checkov проверяет это на этапе сборки, до того как что-то уедет куда не надо.

SCA-сканирование: ищет CVE в open source пакетах и образах контейнеров.

Обнаружение секретов: находит AWS credentials, API-ключи и другие секреты в Userdata, переменных окружения и конфигах — через регулярки, ключевые слова и анализ энтропии.

Граф-based сканирование: понимает зависимости между ресурсами, не только отдельные блоки.

Вывод результатов: CLI, JSON, JUnit XML, SARIF, CSV, CycloneDX — выбирайте под свой CI.

➡️ Репозиторий

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#арсенал_инженера

📎 Мониторинг Kubernetes прямо из Python

Когда кластер растёт, следить за состоянием подов вручную через kubectl становится неудобно.

Минимальный скрипт для получения статуса всех подов во всех неймспейсах выглядит так:

from kubernetes import client, config

def check_kubernetes_status():
    config.load_kube_config()  # Загружаем конфиг из ~/.kube/config
    v1 = client.CoreV1Api()
    pods = v1.list_pod_for_all_namespaces(watch=False)

    for pod in pods.items:
        print(f"Pod: {pod.metadata.name}, Status: {pod.status.phase}")

if __name__ == "__main__":
    check_kubernetes_status()

config.load_kube_config() подхватывает конфиг из ~/.kube/config — тот же, что использует kubectl. Если скрипт запускается внутри кластера, замените на config.load_incluster_config().
list_pod_for_all_namespaces() возвращает все поды сразу. Хотите фильтровать по неймспейсу — используйте list_namespaced_pod(namespace="your-namespace").

Хорошая отправная точка для собственного инструмента мониторинга без лишних зависимостей.

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#арсенал_инженера

⚠️ Почему сервер тормозит под нагрузкой

Если во время бэкапа или тяжёлых запросов к БД сервер резко замедляется — скорее всего, дело в I/O wait. Процессы простаивают в ожидании диска, пока ресурс занят.

Как диагностировать:

iostat -x 1 5 — смотрим колонку %wa. Значение выше 20% — тревожный сигнал.

iotop — покажет конкретные процессы, которые грузят диск прямо сейчас.

strace -p PID — поможет выявить зацикленные системные вызовы у подозрительного процесса.

Как лечить:

Снизить агрессивность записи грязных страниц в памяти:

echo 1000 > /proc/sys/vm/dirty_expire_centisecs

Расставить приоритеты для процессов через ionice — например, понизить приоритет бэкапа, чтобы не мешал продакшну.

Если проблема системная — переход на SSD кардинально меняет ситуацию.

Оптимизировать сами приложения: лишние запросы к диску, неиндексированные таблицы, запись без буферизации — всё это бьёт по I/O.

Главное правило: сначала измерить, потом лечить. iostat и iotop дадут полную картину за пару минут.

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#арсенал_инженера

🐳 Локальный AI-агент без облака и утечек ключей

Docker Sandboxes — новый примитив в экосистеме Docker: изолированные микро-ВМ для запуска AI-агентов. Сеть проксируется, доступ к произвольным хостам блокируется, а API-ключи инжектируются через прокси — агент их вообще не видит и не может слить.

Запускаем OpenClaw на локальной модели через Docker Model Runner. Без API-ключей, без облака, полностью приватно.

Быстрый старт — буквально 2 команды:

# Тянем модель
docker model pull ai/gpt-oss:20B-UD-Q4_K_XL

# Создаём sandbox
docker sandbox create --name openclaw -t olegselajev241/openclaw-dmr:latest shell .
docker sandbox network proxy openclaw --allow-host localhost
docker sandbox run openclaw

# Внутри sandbox
~/start-openclaw.sh

Облачные модели тоже работают. Если в окружении хоста есть ANTHROPIC_API_KEY или OPENAI_API_KEY — прокси сам их подставит. Ключи внутрь sandbox не попадают.

➡️ Блог Docker

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#арсенал_инженера

👨‍💻 Своя таблица kubectl за 30 секунд

Стандартный kubectl get pods не показывает образы. kubectl get pods -o wide показывает, но вместе с кучей колонок, которые сейчас не нужны.

Есть способ лучше:

kubectl get pods -o custom-columns='NAME:.metadata.name,IMAGE:.spec.containers[*].image'

Флаг -o custom-columns позволяет собрать таблицу из любых полей манифеста. Формат простой: ЗАГОЛОВОК:jsonpath. Точка — это корень объекта, дальше обычный путь по структуре.

[*] в пути — итерация по всем контейнерам в поде, включая sidecar-ы. Если их несколько, образы выведутся через запятую в одной ячейке.

Можно расширить под себя — например, добавить namespace и статус:

kubectl get pods -A -o custom-columns='NAMESPACE:.metadata.namespace,NAME:.metadata.name,IMAGE:.spec.containers[*].image,STATUS:.status.phase'

Работает с любыми ресурсами, не только с подами. Те же кастомные колонки применимы к деплойментам, нодам, сервисам — везде, где есть YAML-манифест.

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#root_prompt

🧑‍💻 Генерация комплаенс-отчётов: аудит shell-доступа

Простой скрипт для аудита — кто из пользователей системы имеет доступ к bash. Полезно как отправная точка для комплаенс-проверок.

import subprocess

def check_security_policies():
    report = []

    # Безопаснее subprocess, чем os.popen
    result = subprocess.run(["cat", "/etc/passwd"], capture_output=True, text=True)
    users = result.stdout.strip().split("\n")

    for user in users:
        if "/bin/bash" in user:
            username = user.split(":")[0]
            report.append(f"User with shell access: {username}")

    with open("compliance_report.txt", "w") as f:
        f.write("\n".join(report))

    print(f"Compliance report generated. Found {len(report)} users with shell access.")

if __name__ == "__main__":
    check_security_policies()

Что делает скрипт: читает /etc/passwd и находит всех пользователей, у которых в качестве shell прописан /bin/bash. Результат пишет в файл.

Как улучшить: добавить проверку пустых паролей через /etc/shadow, сервисных аккаунтов с UID < 1000, или прикрутить вывод в JSON для интеграции с SIEM.

На реальных проектах для этого используют библиотеки типа pwd — она читает /etc/passwd нативно, без системных вызовов.

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#арсенал_инженера

🤩 Топ-вакансий для девопсов за неделю

Middle DevOps Engineer — удалённо

Senior devops engineer — гибрид в Москве

DevOps инженер — от 250 000 до 400 000 ₽ и удалёнка

➡️ Еще больше топовых вакансий — в нашем канале Devops Jobs

🐸Библиотека devops'a

#вакансия_недели

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#пятничный_деплой

🖇 Умный прокси для YAML

YAML используется везде — Docker Compose, GitHub Actions, Kubernetes, Ansible.

Редактор не знает, что именно вы пишете, поэтому не может подсказывать правильные поля и ругаться на ошибки. Обычно приходится вручную писать в начале каждого файла: # yaml-language-server: $schema=... и указывать схему.

Что делает yaml-schema-router: он смотрит на содержимое файла и папку, где он лежит, и сам понимает, что это, к примеру, docker-compose.yml, значит нужна схема для него. И автоматически говорит об этом редактору.

Результат: редактор начинает нормально подсказывать поля, подчёркивать ошибки и показывать документацию.

➡️ Репозиторий

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#арсенал_инженера

🏗 Terraform Enterprise 1.2

Что нового:

UI-driven import для brownfield-ресурсов

Раньше импорт неуправляемых ресурсов требовал скриптов, знания HCL и ручного маппинга ID.

Теперь визуальный интерфейс: находим EC2-инстансы по тегу Owner:Finance, выбираем нужные, импортируем в workspace без единой строки кода.

Explorer теперь GA в Terraform Enterprise

После бета-периода Explorer официально доступен в self-managed TFE. Это централизованный дашборд-система учёта: состояние воркспейсов, соответствие версий, дрифт.

Работает на отдельной БД — отчёты не влияют на производительность основного движка. Есть CSV-экспорт и публичный API для аудитов.

Два новых эндпоинта:

/api/v1/health/readiness — для load balancer, без аутентификации
/api/v1/diagnostics — детальный статус для troubleshooting

Изоляция деградировавшего нода теперь занимает секунды, а не минуты. Старые health check эндпоинты задепрекейчены.

Terraform Actions — поддержка сторонних инструментов из провайдеров — теперь полностью в TFE
Replace resource прямо из UI — починить упавшую VM, не выходя из дашборда.

Важно при апгрейде: убрали поддержку PostgreSQL 13.

➡️ Блог разработчиков

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#пульс_индустрии

🔒 Безопасность от написания манифеста до прода

Kubescape — это инструмент с открытым исходным кодом для комплексной безопасности кластеров, инкубационный проект CNCF.

Что умеет:

— Проверяет манифесты, Helm-чарты и живые кластеры на ошибки конфигурации и известные уязвимости

— Поддерживает CIS Benchmarks, NSA-CISA, MITRE ATT&CK, SOC 2 и другие фреймворки

— Проверяет наличие и корректность сетевых политик, помогает соблюдать принцип минимальных привилегий

— Мониторит активные кластеры и ловит подозрительную активность прямо в рантайме

— Работает с GitHub Actions, GitLab CI, VSCode, Lens — безопасность встраивается прямо в процесс разработки

Под капотом: Open Policy Agent для проверки политик, Grype для сканирования образов, eBPF через Inspektor Gadget для мониторинга ядра.

Попробовать:

curl -s https://raw.githubusercontent.com/kubescape/kubescape/master/install.sh | /bin/bash

➡️ Репозиторий

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#арсенал_инженера

🎩 Red Hat OpenShift 4.21

Red Hat продолжает расширять присутствие OpenShift в экосистеме Oracle. После поддержки Oracle Cloud Infrastructure в версии 4.20 — теперь черёд Oracle Database Appliance (ODA).

Oracle Database Appliance — это инженерная система для небольших и распределённых организаций: оптимизированное железо, встроенная автоматизация, высокая доступность через Oracle RAC.

Раньше контейнерные приложения и Oracle-базы жили на отдельном железе. Теперь OpenShift в ODA можно запустить на том же аплайансе рядом с базой данных:

— Контейнеры и БД находятся на одном железе и задержка минимальная

— Весь стек от Kubernetes до данных на одном устройстве

— ODA часто стоит в филиалах и региональных офисах, теперь туда приходит и enterprise Kubernetes

— CI/CD и cloud-native практики на железе, которому уже доверяют

➡️ Блог RedHat

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#пульс_индустрии

🤔 Вопрос на засыпку

Kubernetes-собеседование — и вот вам классический вопрос:

В чём отличие меток от аннотаций в Kubernetes?

Подсказка: оба механизма добавляют метаданные к объектам, но используются для принципиально разных целей.

Знаете ответ? ➡️ Проверьте себя

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#задача_со_звёздочкой

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#пятничный_деплой

🔒 Passkeys и шифрование данных

Всё больше компаний используют passkeys с расширением PRF (Pseudo-Random Function) не только для аутентификации, но и для шифрования пользовательских данных — переписки, файлов, крипто-кошельков, резервных копий.

В чём проблема

Проблема в том, что не все разработчики подписаны на наш канал по инфобезу.

На самом деле, когда аутентификация и шифрование совмещены в одном ключе — радиус поражения при его потере становится катастрофическим.

Представьте: пользователь включил зашифрованные резервные копии в мессенджере через passkey. Через несколько месяцев заходит в менеджер паролей, видит незнакомую запись и удаляет её. Никакого предупреждения, просто «Удалить passkey?».

Год спустя — новый телефон, попытка восстановить резервную копию. Passkey больше нет. Фотографий и остального тоже нет.

Apple Passwords, Google Password Manager и Bitwarden при удалении passkey никак не предупреждают, что вместе с ним будут безвозвратно уничтожены зашифрованные данные. Пользователь не может и не должен знать об этой связи.

У PRF в WebAuthn есть легитимные применения, например, разблокировка самого менеджера паролей, где есть механизмы восстановления. Но шифровать пользовательские данные напрямую опасно.

➡️ Оригинал

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#локализация