Прочитай это – и ты больше никогда не забудешь разницу между CMD и ENTRYPOINT в Docker.

Ответ:

🔹 ENTRYPOINT → Думай об этом как об основной команде, которая всегда выполняется при старте контейнера.
🔹 CMD → Это аргументы по умолчанию для этой команды (их можно переопределить при запуске контейнера).

Пример на картинке

➡️ Когда контейнер запускается → он выполняет ping http://google.com
➡️ Если переопределить CMD → docker run myimage http://yahoo.com
тогда выполнится ping http://yahoo.com

Запомни:

- ENTRYPOINT = что запускать
- CMD = с какими аргументами

👉 DevOps Portal

Как работает контейнерный нетворкинг 🧐

Docker, Podman и Kubernetes (через CRI) под капотом используют очень похожую схему – виртуальную bridge-сеть.

Собрать bridge-сеть с нуля, используя только базовые Linux-утилиты (ip, nsenter, iptables) – отличный способ разобраться в теме на практике:
https://labs.iximiuz.com/tutorials/container-networking-from-scratch

👉 DevOps Portal

SBOM становится критически важным для DevOps-команд, управляющих современными CI/CD пайплайнами

Вот почему его стоит внедрить каждой команде

Помните уязвимость Log4j? Тогда компании в спешке пытались определить, какие приложения оказались затронуты.

При наличии SBOM (Software Bill of Materials) этот процесс проходит значительно быстрее.

SBOM предоставляет полный инвентарь всех программных компонентов, входящих в состав приложения.

Сюда входят прямые зависимости, транзитивные зависимости, системные библиотеки, сторонние пакеты, а также ключевые метаданные – лицензии и известные уязвимости.

Традиционные файлы зависимостей, такие как pom.xml или package.json, дают лишь поверхностное представление о составе проекта.

SBOM обеспечивает более глубокую прозрачность, трекинг безопасности и возможности комплаенса, которые стандартные manifest-файлы обеспечить не могут.

Вот подробный гайд по SBOM:
https://newsletter.devopscube.com/p/sbom-what-why

👉 DevOps Portal

Поды не "падают" на ноды случайным образом. kube-scheduler оценивает каждое размещение с учётом доступных ресурсов, ограничений и политик.

В следующем уроке курса "Kubernetes the Very Hard Way" подробно разбирается, как kube-scheduler работает изнутри

https://labs.iximiuz.com/courses/kubernetes-the-very-hard-way-0cbfd997/control-plane/kube-scheduler

👉 DevOps Portal

В этой статье объясняется, как предотвратить сбои системы, вызванные несбалансированным масштабированием в Kubernetes, используя KEDA с корректной настройкой триггеров и стратегий автоскейлинга

Читайте тут

👉 DevOps Portal

Изучите Kubernetes и подготовьтесь к сдаче экзамена Certified Kubernetes Administrator (CKA)

Этот курс разработан, чтобы дать глубокое практическое понимание администрирования K8s – от базовых концепций до продвинутого траблшутинга

https://youtu.be/l57xKN6OBhY?si=ye6hGpF2lezRyvgB

👉 DevOps Portal

Kubernetes за 60 секунд

👉 DevOps Portal

Вы когда-нибудь использовали curl для работы с Kubernetes API или смотрели, что именно сохраняется в etcd после выполнения kubectl apply?

Следующий урок в курсе «Kubernetes the Very Hard Way» разбирает, как kube-apiserver интегрируется в Kubernetes и как он работает под капотом:
https://labs.iximiuz.com/courses/kubernetes-the-very-hard-way-0cbfd997/control-plane/kube-apiserver#overview

👉 DevOps Portal

Быстрый совет по Linux

Во время редактирования файла в nano нажмите Ctrl + T, чтобы выполнить shell-команду, не выходя из редактора.

Nano выполнит команду и вставит её вывод в текущий файл – это удобно, когда нужно быстро добавить результат команды или сгенерированный текст прямо в процессе редактирования

👉 DevOps Portal

Одна из концепций Istio, которую стоит понимать: HBONE

HBONE расшифровывается как HTTP-Based Overlay Network Environment.

По сути, это механизм, с помощью которого Istio безопасно гоняет трафик внутри Kubernetes-кластера.

Вот что он делает:

HBONE создаёт защищённый туннель, по которому передаётся трафик между сервисными прокси.

До появления HBONE каждое соединение между workload’ами приводило к созданию отдельных соединений между их sidecar-прокси.

С HBONE множество соединений мультиплексируются через один общий защищённый туннель.

Как это работает?

HBONE объединяет три веб-стандарта:

• HTTP/2 — позволяет передавать несколько потоков в рамках одного TCP-соединения

• HTTP CONNECT — используется для построения туннеля поверх существующего соединения

• mTLS (mutual TLS) — шифрует туннель и обеспечивает взаимную аутентификацию сторон

Даже если вы напрямую не администрируете service mesh, как DevOps-инженеру вам важно понимать, как все эти компоненты состыкуются между собой.

Если вы работаете с service mesh, разберитесь в базовых принципах и понимайте, что именно происходит под капотом

Примечание: HBONE существует только внутри экосистемы Istio. Это не стандартный сетевой протокол, который можно встретить в спецификациях TCP/IP или HTTP

👉 DevOps Portal

Когда понимаешь, что DevOps/SRE – одна из немногих ролей, куда ИИ не сможет полностью проникнуть

👉 DevOps Portal

Это всегда DNS!

Независимо от того, дебажишь ли ты проблемы с DNS или просто хочешь узнать, где хостится твой любимый сайт, nslookup тебя выручит!

👉 DevOps Portal

Как использовать playground’ы iximiuz Labs в качестве удалённого Docker-контекста.

Пара команд – и ты можешь запускать контейнеры на удалённых VM через локальный docker CLI. Удобно, безопаснее и подходит даже для удалённой сборки образов.

https://labs.iximiuz.com/docs/playground-recipes/remote-docker-host#remote-docker-context

👉 DevOps Portal

Развертывание Rancher в кластере Kubernetes

- Начните с базового кластера Kubernetes.

- Установите cert-manager для управления SSL-сертификатами.

- Разверните Rancher с помощью Helm-чартов.

- Получите доступ к веб-интерфейсу и импортируйте дополнительные кластеры.

- Управляйте ворклоадами, RBAC и мониторингом во всех кластерах из единой консоли.

Подробное руководство: https://devopscube.com/setup-rancher-on-kubernetes-cluster/

👉 DevOps Portal

Супер простой Docker-челлендж: напишите Dockerfile и соберите образ для веб-сервиса на Node.js (Express).

Хороший способ начать контейнеризировать свои проекты:
https://labs.iximiuz.com/challenges/docker-write-simple-dockerfile

👉 DevOps Portal

😐 Устали деплоить в Kubernetes через kubectl и бесконечные CI-скрипты? Хотите, чтобы деплой был воспроизводимым, контролируемым и прозрачным?

ArgoCD — де-факто стандарт GitOps для Kubernetes, который используют в крупных компаниях.

🥹 Новый курс «ArgoCD: GitOps-деплой и автоматизация в Kubernetes» на Stepik!

В курсе:

- GitOps — что это и зачем он нужен.
- Установка и настройка ArgoCD.
- Application и App of Apps.
- GitOps-деплой приложений.
- ArgoCD Image Updater (автокоммиты новых образов).
- Notifications (Telegram).
- SOPS и шифрование секретов в Git.

Курс подойдёт, если у вас есть базовые знания Docker и Kubernetes, вы DevOps или просто хотите прокачать практический GitOps-навык, который точно встретится в работе!

👉 Открыть курс на Stepik

Глубокое погружение в Kubelet: разбираемся с причинами сбоев при старте Pod’ов

Подробный гайд по архитектуре kubelet, управлению жизненным циклом Pod’ов и системному траблшутингу проблем запуска контейнеров

https://issaouiadam.medium.com/the-kubelet-deep-dive-understanding-pod-startup-failures-155f94ba7433

👉 DevOps Portal

Финальный урок по control plane в Kubernetes the Very Hard Way, посвящённый kube-controller-manager, уже опубликован:

https://labs.iximiuz.com/courses/kubernetes-the-very-hard-way-0cbfd997/control-plane/kube-controller-manager

👉 DevOps Portal

Фаерволы ненавидят этот один трюк

Можно туннелировать TCP-пакеты, например SSH, прямо поверх обычных ICMP Echo Request и Echo Reply, что помогает незаметно обходить эти надоедливые фаерволы.

👉 DevOps Portal