🐸Библиотека devops'a #развлекалово

🤨 «Сам решуу» или всё же поделиться задачей

Быстрая доставка, стабильность, автоматизация — ключевые принципы работы. Но возникает вопрос: нужно ли всё контролировать лично или делегировать задачи команде?

Иногда бывают ситуации, когда делегировать не хочется. Когда стоит вопрос о критической задаче, которая может повлиять на стабильность системы, на её доступность или безопасность, возникает соблазн всё сделать самостоятельно.

Но, с другой стороны, делегирование открывает массу возможностей для роста и оптимизации. Когда мы передаем часть задач команде, это позволяет сосредоточиться на более стратегических вещах.

Передавая задачи коллегам, мы даём им возможность развиваться, брать на себя ответственность, что в свою очередь способствует росту всей команды.

💬 Вопрос остаётся открытым: всё ли стоит делегировать, или есть задачи, которые должны оставаться под контролем только у нас?

🐸Библиотека devops'a #междусобойчик

📰 Новостной дайджест

Заканчиваем детокс и врываемся в обзор прошедшей недели.

— Single‑Instance Oracle Database на OpenShift

Red Hat представила результаты инженерной работы, направленной на поддержку БД от Oracle. Описана подробная reference‑архитектура и проверка работоспособности с акцентом на производительность, масштабируемость и поддержку live‑миграции.

— HashiCorp запустили Hold Your Own Key

Теперь организации могут управлять шифрованием Terraform-артефактов (state и plan файлов) собственным ключом, а не тем, что хранится в облаке. Это значит, что даже HashiCorp не имеет доступа к вашим секретам.

— Критические уязвимости, угрожающие AI-инфраструктуре

Анализ тысяч публичных MCP-серверов выявил систематические уязвимости: OAuth-компоненты с возможностью выполнения команд — в 43 % случаев, экспозиция ключей, незадокументированный доступ к файловой системе и сети, атаки типа tool‑poisoning и утечки секретов.

— Kubernetes v1.34

— Обновление Grafana

🐸Библиотека devops'a #свежак

Какой ресурс Kubernetes отвечает за управление доступом к сетевым службам внутри кластера?

👾 — Gateway
👍 — Ingress
🥰 — Service
⚡ — Pod

Библиотека задач по DevOps

⭐️ Топ-вакансий для девопсов за неделю

Senior DevOps (R&D) — офис (Москва)

DevOps-инженер — от 2 000 до 2 500 $, удалёнка.

DevOps/MLOps-инженер — 300 000 — 500 000 ₽, удалёнка.

Senior DevOps-инженер — от 250 000 до 350 000 ₽, удалёнка.

DevOps-инженер — от 200 000 ₽, удалёнка.

Бустер — Офис у вас дома.

➡️ Еще больше вакансий — в нашем канале Вакансии по DevOps & SRE

🛠 Шпаргалка по chmod

Команда chmod управляет правами на чтение, запись и выполнение файлов/папок. Разберёмся по-быстрому.

Чтобы накинуть прав нужно в команде chmod передать аргументы. Чаще всего это выглядит как 3 цифры.

Например:

chmod 754 file

Эти цифры складываются из прав, которые можно выдать. 4 — это право на чтение, 2 — на запись и 1 — на выполнение файла.

Цифры складываются и получается единая цифра, которая даёт различные права пользователю.

Но почему тогда их там три? Потому что права выдаются сразу для пользователя, группу пользователей и всех остальных.

Также права можно выдавать в символьном формате, тогда 4, 2 и 1 меняются на «r», «w», и «x», а порядок цифр меняют на буквы пользователей:

u — пользователь (владелец)
g — группа
o — остальные
a — все сразу.

Пример:

chmod u+x script.sh — дать владельцу право на выполнение.
chmod go-w file.txt — убрать право записи у группы и остальных.
chmod a=r config.cfg — только чтение для всех.

🐸Библиотека devops'a #буст

📦 Delivery Manager: что за профессия и какую роль она играет в разработке

Delivery Manager — это специалист, который становится важной частью процесса разработки в IT.

Он не просто организует работу, а отвечает за то, чтобы продукт был готов вовремя, с нужным качеством и в пределах бюджета.

В статье расскажем, как этот менеджер взаимодействует с командами, помогает избегать проблем на разных этапах разработки, чем его роль отличается от проектного менеджера и почему она так важна для компании.

➡️ Подробнее про Delivery Manager

🐸Библиотека devops'a

⚠️ Как настроить алерты для логов в Grafana

Loki — это система сбора и агрегации логов, которая отлично работает в связке с Grafana. С помощью Loki можно отслеживать ошибки в логах и настроить алерты, чтобы оперативно реагировать на возникающие проблемы.

Сделали пошаговое руководство по настройке мониторинга логов и алертов для ошибок.

1. Установка Loki и Promtail

• Запуск Loki с помощью Docker:

docker run -d \
  --name=loki \
  -p 3100:3100 \
  -v $(pwd)/loki-config.yml:/etc/loki/config.yaml \
  grafana/loki:2.3.0

• Пример конфига для Promtail:

server:
  http_listen_port: 3101
positions:
  filename: /tmp/positions.yaml
clients:
  - url: http://localhost:3100/loki/api/v1/push
scrape_configs:
  - job_name: system
    static_configs:
      - targets:
          - localhost
        labels:
          job: varlogs
          __path__: /var/log/*log

• Запуск Promtail в контейнере:

docker run -d \
  --name=promtail \
  -v /var/log:/var/log \
  -v $(pwd)/promtail-config.yml:/etc/promtail/promtail.yml \
  grafana/promtail:2.3.0

2. Подключение Loki к Grafana

• В Grafana перейдите в Configuration → Data Sources.
• Нажмите Add Data Source и выберите Loki.
• Укажите URL вашего Loki-сервера, например, http://localhost:3100.
• Нажмите Save & Test, чтобы убедиться в успешном подключении.

3. Создание дашборда и панелей с логами

• Перейдите в Dashboards → Create → New dashboard.
• Добавьте панель, выберите источник данных Loki и используйте LogQL для запросов к логам.

Пример запроса для поиска ошибок:

{job="varlogs"} |= "error"

• Отобразите логи и настроите фильтрацию по уровням логирования или по настроению.

4. Настройка алертов для логов

• Откройте панель с логами, перейдите в раздел Alert и выберите Create Alert.
• Настройте условия для активации алерта, например, если количество ошибок превышает порог:

count_over_time({job="varlogs"} |= "error" [5m]) > 5

• В разделе Notifications выберите канал для уведомлений (например, Slack или Email).

Теперь у вас будут отображаться ошибки сервера, для более тонкой настройки можно указать для Loki эндпоинт сервиса или специфичный файл с логами.

🐸Библиотека devops'a #буст

Планируете ввести SLI, SLO или SLA?

Сначала посмотрите это видео! В новом выпуске AviСast, подкаста Авито о насущных вопросах разработки, ребята обсудили опыт внедрения этих показателей и инциденты из практики:

📺Youtube
🔵 VK Видео
💻 Rutube

🐸Библиотека devops'a #развлекалово

👀 Ревью конфигов от нейросети

Маленькая ошибка в YAML-файле может стоить простоя, уязвимости или утерянных данных.

Когда нет времени или ресурсов разбираться вручную, этот промпт выручит:

Вы — эксперт по обзору конфигурационных файлов YAML с глубокими знаниями лучших практик, распространённых ошибок и уязвимостей безопасности. Ваша задача — внимательно проанализировать предоставленный YAML-файл и выдать детализированный отчёт, включающий: 1) выявленные синтаксические ошибки и несоответствия 2) антипаттерны и плохие практики 3) потенциальные уязвимости безопасности 4) рекомендации по улучшению структуры, читаемости и безопасности. Отвечайте структурированно, с примерами исправлений, где это возможно.

🐸Библиотека devops'a #буст

Открытые мастера в Kubernetes — потенциальный инцидент в продакшене.

В новой статье на Хабр разработчики сервиса
Managed Kubernetes из
MWS Cloud Platform ⬜️ рассказывают:

⏺️какие уязвимости с радостью используют хакеры при открытых control plane-нодах в твоём кластере;
⏺️какие требования к hosted control plane-решению предъявляет публичный облачный провайдер, предоставляющий k8s as-a-service;
⏺️о плюсах и минусах популярных open source-решений.

➡️ Читать статью

✈️ Разбор полётов

Недавний масштабный сбой в IT-инфраструктуре Аэрофлота — не просто технический инцидент, а пример системного провала. Давайте устроим компании postmortem.

Кратко: что случилось

• Аэрофлот на несколько часов остановил бронирования, регистрацию и доступ к сайту.

• Все системы зависели от централизованной IT-инфраструктуры, которая была выведена из строя.

• По симптомам — возможен сбой ЦОД, отказ кластеров, падение критических сервисов.

🛠 Что можно было сделать

1. Geo-распределённая отказоустойчивая архитектура

Active-active или хотя бы active-passive в двух независимых регионах, например, использование облаков с мультирегиональной поддержкой.

2. Резервные каналы связи и DNS Failover

Ротация DNS на резервную инфраструктуру — классическая страховка. Cloudflare Load Balancer, Route53, NS1 — дают гибкость при переключениях.

3. Холодный и горячий Disaster Recovery план

Тестируемый DR-сценарий с переключением в течение 15 минут. Как минимум – ежедневная проверка резервных копий и симуляции отказов.

4. Тестирование отказов хаосом

Периодическая случайная остановка нод или симуляция отказа БД.

5. Автоматизация развёртывания и восстановления

Возможность воссоздать инфраструктуру за час, а не за сутки вручную. GitOps с Terraform, Ansible, Pulumi, ArgoCD для восстановления конфигурации в любой момент.

Крупный бизнес без продуманной стратегии отказоустойчивости — это только вопрос времени, когда «всё упадёт».

💬 Что бы вы использовали для предотвращения такого инцидента? Или чем бы пользовались уже пост фактум для восстановления?

🐸Библиотека devops'a #междусобойчик

💻 Переиспользуем аргументы как ниндзя

Вместо того чтобы снова и снова руками набирать длинные пути или параметры из предыдущей команды, в bash/zsh можно просто вытащить их из истории.

Alt+. (или Esc + .) — вставить последний аргумент предыдущей команды.

$ ls /var/log/nginx
$ cd Alt+.   # подставит /var/log/nginx

!$ — то же самое, но внутри команды.

$ tar -xf archive.tar.gz /tmp/data
$ cd !$

!* — вставить все аргументы предыдущей команды.

$ cp file1.txt file2.txt /tmp
$ rm !*

^old^new — повтор предыдущей команды, заменив подстроку.

$ kubectl get pods
$ ^get^describe   # превратит в kubectl describe pods

Удобно в деплоях, когда команды повторяются с небольшими изменениями. Да и опечаток становится в разы меньше.

🐸Библиотека devops'a #буст

💰 Интеграция платежных систем на уровне банковской инфраструктуры

В продакшене банка всё сложнее, чем в любом хайлоаде: нельзя допустить даунтайм, задержка в 10 секунд уже критична, а под капотом — десятки микросервисов, API и очередей.

В статье — взгляд изнутри на интеграцию платёжных систем на уровне банковской инфраструктуры: как проектируют архитектуру, чтобы переводы шли 24/7 и как мониторят и алертят критические узлы.

➡️ Читать статью

🐸Библиотека devops'a

🐸Библиотека devops'a #развлекалово

📰 Главное за неделю

Собрали дайджест материалов от крупных компаний за эту неделю.

— Короткие SSH-сертификаты для Ansible

HashiCorp представил способ интеграции Vault и Red Hat Ansible Automation Platform (AAP), позволяющий заменить статические SSH‑ключи на динамические, подписанные сертификаты.

Теперь при запуске Ansible‑джоба AAP запрашивает у Vault SSH‑сертификат на лету — Vault аутентифицирует запрос, подписывает сгенерированную пару ключей и возвращает АAP короткоживущий сертификат

— Плагин c ИИ для управления кластерами k8s

Headlamp AI Assistant — это новый плагин для веб-интерфейса Headlamp, который привносит возможности общения с Kubernetes через естественный язык. Модель, работающая на базе LLM, способна отвечать на вопросы вроде «Какое состояние приложения?» или «Что здесь не так?»

— OpenShift Service Mesh 3.1

В новую версию добавлена полноценная поддержка dual‑stack кластеров (IPv4 + IPv6) на x86, а также реализована технологическая preview‑версия «ambient mode» — sidecar‑less архитектура на базе Ztunnel и Waypoint.

— Когда меньшая модель — лучший путь к эффективному ИИ

Docker представил подход Remocal + Minimum Viable Models (MVM), который объединяет локальную разработку с возможностью динамически масштабироваться в облако, когда требуется больше мощности.

🐸Библиотека devops'a #свежак

В GitOps-подходе с использованием ArgoCD и монорепозитория, какой сценарий наибольшим образом нарушает идемпотентность и предсказуемость деплоя?

👾 — Хранение всех манифестов в одной ветке и использование ArgoCD для автоматической синхронизации с HEAD
👍 —Разделение инфраструктурных и приложенческих манифестов по разным директориям в одном репозитории
🥰 — Прямое применение изменений в кластере через kubectl apply без фиксации в Git
⚡️ — Настройка ArgoCD на использование webhook-триггеров вместо периодической синхронизации

Библиотека задач по DevOps