🐳 Docker Desktop 4.44

Docker продолжает развивать свою платформу. С новым обновлением с помощью усовершенствованного Docker Model Runner можно не только запускать модели AI, но и анализировать запросы и ответы в процессе их инференса.

Для пользователей Mac теперь используется Apple Virtualization по умолчанию для виртуализации, что повышает общую производительность системы.

В Docker Desktop CLI появилась команда для удобного управления Kubernetes, а интерфейс стал более удобным для поиска нужных настроек.

➡️ Блог разработчиков

🐸Библиотека devops'a

#свежак

🗞 Дайджест новостей

Собрали для вас немного сигналов из всего информационного шума

— Встроенная поддержка ACME убирает Certbot из NGINX

NGINX анонсировал превью‑версию модуля ngx_http_acme_module, который обеспечивает нативную поддержку протокола ACME (Automated Certificate Management Environment) непосредственно в конфигурации сервера.

— HashiCorp Vault и OpenShift Virtualization избавляют от «Secret Zero»

HashiCorp предлагает заменить «Secret Zero» на использование нативной аутентификации Kubernetes: виртуальные машины в OpenShift Virtualization получают доверенную идентичность через сервисные аккаунты Kubernetes и Vault Agent

— Как стать Delivery Manager

— Как обеспечить бесперебойную работу платежных систем

— Docker Desktop 4.44

🐸Библиотека devops'a

#свежак

В продакшн-среде у вас есть несколько микросервисов, упакованных в Docker-контейнеры. При обновлении одного из сервисов вы замечаете, что контейнеры начинают потреблять больше ресурсов и иногда «падать». Какой подход будет наиболее правильным для диагностики и устранения проблемы?

👾 — Увеличить лимиты CPU и RAM для контейнера в docker run или в docker-compose.yml, не меняя код
👍 — Использовать docker logs и инструменты вроде docker stats, а также подключить мониторинг (Prometheus/Grafana) для анализа нагрузки
🥰 — Пересобрать образ с ключом --no-cache, чтобы убедиться, что не используется устаревший слой
⚡️ — Настроить restart: always в docker-compose, чтобы контейнер автоматически перезапускался при падении

Библиотека задач по DevOps

🦆 Топ-вакансий для девопсов за неделю

DevOps-инженер — от 200 000 ₽, гибрид (Санкт-Петербург)

DevOps инженер (middle/middle+) — удалёнка

DevOps — от 6 000 €, офис (Ульм)

DevOps Engineer — от 300 000 ₽, удалёнка

DevOps/SRE инженер — от 300 000 ₽, удалёнка

Бустер — Офис у вас дома.

➡️ Еще больше вакансий — в нашем канале Вакансии по DevOps & SRE

🌀 Шпаргалка по циклам в Bash

Чтобы не держать в голове всю синтаксическую магию, собрали удобные примеры: for, while, until, диапазоны, чтение файлов и даже управление потоком с break и continue.

Цикл for в Bash:

for i in /etc/*; do
  echo $i
done

# То же самое (альтернативный синтаксис), также работает с другими видами циклов
for i in /etc/*
do
  echo $i
done

Цикл for, как в C:

for ((i = 0; i < 100; i++)); do
  echo $i
done

# альтернативный синтаксис
for ((i = 0; i < 100; i++))
do
  echo $i
done

Цикл for с диапазонами:

for i in {1..10}; do
  echo "Number: $i"
done

# С шагом
# ⇒ {НАЧАЛО..КОНЕЦ..ШАГ}
for i in {5..50..5}; do
  echo "Number: $i"
done

Цикл while в Bash:

# увеличение значения
i=1
while [[ $i -lt 4 ]]; do
  echo "Number: $i"
  ((i++))
done

# уменьшение значения
i=3
while [[ $i -gt 0 ]]; do
  echo "Number: $i"
  ((i--))
done

Цикл while true:

# длинная форма while true
while true; do
  # TODO
  # TODO
done

# или короткая запись
while :; do
  # TODO
  # TODO
done

Чтение файлов:

# использование пайпов
cat file.txt | while read line
do
  echo $line
done

# ИЛИ использование перенаправления ввода
while read line; do
  echo $line
done < "/path/to/txt/file"

Оператор continue:

# команда seq может использоваться для генерации диапазонов
for number in $(seq 1 3); do
  if [[ $number == 2 ]]; then
    continue
  fi
  echo "$number"
done

Оператор break:

for number in $(seq 1 3); do
  if [[ $number == 2 ]]; then
    # Пропустить оставшуюся часть цикла или выйти из цикла
    break
  fi
  # Здесь выведется только 1
  echo "$number"
done

Цикл until:

# увеличение значения
count=0
until [ $count -gt 10 ]; do
  echo "$count"
  ((count++))
done

# уменьшение значения
count=10
until [ $count -eq 0 ]; do
  echo "$count"
  ((count--))
done

Код готов к копипасте. Берите и используйте.

🐸Библиотека devops'a

#буст

👻 Гибридные вакансии и фантомный рост

Вакансии пестрят шестизначными цифрами, но у большинства специалистов ощущение будто деньги обесцениваются быстрее, чем приходят. Работодатели требуют гибридных навыков, а компенсации часто не дотягивают до ожиданий.

Почему статистика расходится с реальностью и что ждёт рынок в ближайшие годы — разбираем в статье.

🐸Библиотека devops'a

🔒 Как закрыть базовые дыры: CORS и Security Headers

Заголовки безопасности и CORS — дешёвая страховка: 15 минут работ, минус XSS, кликджекинг и утечки. Ни магии, ни «серой» криптографии — только дисциплина.

1. Строгие заголовки безопасности — базовый минимум

Идея: запретить всё, разрешить необходимое. Это резко сужает поверхность атаки.

• CSP — главный щит от XSS. Старт: запрет скриптов извне и инлайна.

• HSTS — принудительный HTTPS. Не включайте preload, пока не уверены во всех поддоменах.

• X-Content-Type-Options: nosniff — браузер не «угадывает» типы.

• Referrer-Policy: strict-origin-when-cross-origin — не светим полный URL.

• Permissions-Policy — режем ненужные API.

• frame-ancestors (в CSP) — современная альтернатива X-Frame-Options.

Рекомендованный набор:

Content-Security-Policy: default-src 'self'; script-src 'self'; style-src 'self'; img-src 'self' data:; object-src 'none'; base-uri 'self'; frame-ancestors 'none'
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: geolocation=(), camera=(), microphone=()

2. CORS без «*»

Принцип: доверяем только своим фронтам. Никаких универсальных разрешений.

• Access-Control-Allow-Origin — точный домен (https://proglib.io/), не *.

• Allow-Credentials: true — только при точном Origin (иначе браузер заблокирует).

• Allow-Methods / Allow-Headers — перечислите реально используемые.

• Max-Age — кэш preflight (например, 600 сек).

• Vary: Origin — правильное кеширование на прокси.

Шаблон ответа сервера:

Access-Control-Allow-Origin: https://app.example.com
Access-Control-Allow-Credentials: true
Access-Control-Allow-Methods: GET,POST,PUT,DELETE
Access-Control-Allow-Headers: Content-Type, Authorization
Access-Control-Max-Age: 600
Vary: Origin

Этот минимум даёт мгновенный прирост безопасности без рефакторинга.

🐸Библиотека devops'a

#буст

👨‍💻 Штатный SRE бесплатно

Когда «горит», а времени и ресурса ноль — используйте промпт ниже. Он за минуты выдаст гипотезы, точные проверки и безопасные фиксы.

Промпт:

Ты — дежурный SRE на on‑call. Я дам исходные данные ниже; составь максимально конкретный пошаговый план (не более 10 шагов). Для каждого шага обязательно укажи: гипотезу, точные проверки с командами и пример ожидаемого вывода или паттерна в логах, какие метрики/пороги проверять, критерии завершения шага, безопасный фикс (точные команды и изменения конфига если нужно), команду для отката, уровень риска (низкий/средний/высокий) и примерное время выполнения. В конце дай краткий итог и шаблон инцидентного отчёта.

Заполни следующие поля вместо <> перед выполнением:
- Симптомы: <что наблюдаем — метрики, ошибки, поведение сервиса>
- Сервис/имя Pod/Deployment/VM: <имя сервиса или ресурс>
- Среда: <K8s/VMs> (укажи версию k8s/OS, namespace, количество нод)
- Время начала и SEV: <время, SEV1/2/3>
- Лог-кусок: <фрагмент лога — несколько строк>
- Доступы/ограничения: <можно ли рестартить поды/вносить изменения, maintenance window, контактные лица>

Требования к выходу (формат):
1) Нумерованный список шагов (1..N up to 10). Для каждого шага поля: {гипотеза; проверки: команды и ожидаемый вывод; метрики/логи и пороги; критерии завершения; безопасный фикс (команды/patch) ; команда отката; риск; время}
2) Если даётся kubectl-команда — используй явные флаги (namespace, -o json/yaml, --field-selector) и безопасные опции (например --dry-run=client для изменений) там, где применимо.
3) Метрики указывай конкретно: metric_name (источник, e.g. Prometheus) и порог (например error_rate > 5% за 5m).
4) Включи дополнительные рекомендованные команды для диагностики сети/IO/сторонних зависимостей (curl, ss, top, iostat) по необходимости.
5) В конце — краткое резюме с рекомендуемым порядком действий после инцидента (postmortem checklist).

🐸Библиотека devops'a

#буст

💻 Что нового в Git 2.51

Reftable по умолчанию для хранения ссылок (ветки/теги): более атомарные операции и компактность на крупных репозиториях.

Новый вариант представления stash: записи стэша формируются как последовательность коммитов (упрощает перенос/анализ истории).

Оптимизации хранилища: ускорения вокруг multi-pack index (MIDX), более компактные pack-файлы, появились удобные сценарии импорта/экспорта stash.

➡️ Подробнее в git.kernel

🐸Библиотека devops'a

#свежак