Kubernetes – это  база, если вы про enterprise
Свежее совместное исследование TAdviser и команды контейнерной платформы «Штурвал» “State of Enterprise Kubernetes 2026” показало:

- 60% крупных компаний уже используют Kubernetes в продакшене, а еще 15% — планируют внедрение
- Российские контейнерные решения по распространению почти догоняют open-source (33% против 54%), иностранные продукты используют всего 10%
- 73% компаний разворачивают контейнерные платформы поверх существующей виртуализации. Стандартом де-факто остается VMware (62%)
- Главными барьерами внедрения остаются дефицит кадров и компетенций 

Kubernetes становится новым стандартом инфраструктуры, а не опцией, и вот почему:


- Сontainer-first перестал быть трендом и становится дефолтом в разработке
- Импортозамещение подталкивает пересобирать стек
- Бизнесу проще выкатывать обновления и масштабироваться 

Kubernetes не воспринимается как способ экономии. Это в первую очередь новая культура разработки и инструмент, ускоряющий вывод продуктов на рынок. И 51% опрошенных планирует расширять использование K8s-платформ в ближайшие 2-3 года. 

👉 DevOps Portal

Если вы работали с Kubernetes, то наверняка видели pod в статусе Pending и задавались вопросом, что сломалось. Ситуация частая, но не всегда понятно, как её дебажить.

В статье разбираются основные причины: нехватка ресурсов, проблемы с node selector’ами, биндингом PVC, taints и ресурсными квотами. Есть конкретные kubectl команды и примеры из реальной практики.

Бен Ример сделал удобный гайд – подойдёт и для обучения, и как шпаргалка при troubleshooting проблем с Kubernetes scheduling.

Читайте тут ✌️

👉 DevOps Portal

Эта статья объясняет, как эффективно обрабатывать миллионы событий eBPF в секунду, не прожигая CPU, используя трёхступенчатую funnel-архитектуру для фильтрации и агрегации

Читайте тут

👉 DevOps Portal

Сетевые основы 101: Как работает маршрутизация трафика

Знаете ли вы, что компьютеры могут обмениваться данными только с соседями (участниками одной подсети)? Но как тогда мы передаём пакеты через Интернет? Именно здесь вступает в игру маршрутизация.

Узнайте больше: https://labs.iximiuz.com/challenges/networking-configure-basic-routing

👉 DevOps Portal

Docker 101: как подтягивать образы из разных реестров

Формат имени образа (он же reference) у меня занял какое-то время, чтобы в нём разобраться, когда только начинал с Docker. Скорее всего потому, что в одном имени сразу зашито:

Registry
Repository
Tag и digest

Подробнее: https://labs.iximiuz.com/challenges/docker-pull-container-images

👉 DevOps Portal

Docker 101: docker save <image>

Если вы запускаете эту команду впервые, её вывод может слегка сбить с толку: вместо ожидаемых rootfs и конфигурационного файла, в tar-архиве вы увидите index-файл и набор непонятных blob-ов.

Этот формат называется OCI Image Layout — это стандартизированная структура каталогов на диске для хранения и передачи контейнерных образов. Но не пугайтесь – выглядит (и звучит) сложнее, чем есть на самом деле.

Как только вы поймёте, как это устроено, вы сможете легко в нём ориентироваться, а ваши навыки анализа образов выйдут на совершенно другой уровень.

Разберитесь, как распутать структуру OCI Image Layout, решив эту практичесую задачу:
https://labs.iximiuz.com/challenges/inspect-oci-image-layout

👉 DevOps Portal

Linux совет дня

Чтобы скопировать последние команды из терминала без номеров строк:

fc -ln

Чисто, удобно для копирования, читабельно

👉 DevOps Portal

Планирование GPU-ресурсов в Kubernetes сейчас становится важным навыком

Вот почему 👇

Большинство организаций либо экспериментируют, либо уже запускают ML-нагрузки в Kubernetes.

Как DevOps-инженеры, вы должны понимать, как настраивать и управлять GPU-ресурсами.

Вот простой гайд по настройке GPU-ноды с использованием NVIDIA GPU Operator.

К концу этой статьи у вас будет чёткое понимание:

- зачем нужен GPU Operator в Kubernetes
- как установить NVIDIA GPU Operator в Kubernetes-кластер
- как проверить, видит ли Kubernetes GPU
- как задеплоить реальную GPU-нагрузку, чтобы провалидировать весь стек

Если честно, всё не так сложно, как кажется, когда понимаешь базу.

Даже если у вас нет доступа к GPU, просто изучите материал, чтобы разобраться, как это работает.

Прочитать можно здесь: https://devopscube.com/setup-gpu-operator-kubernetes/

👉 DevOps Portal

Как установить приватный npm-пакет в Dockerfile, не засветив учётные данные

Недавние инциденты в цепочке поставок сделали этот заголовок двусмысленным, но я хотел поговорить про build-секреты и о том, как не зашить их случайно внутрь контейнерных образов:
https://labs.iximiuz.com/challenges/docker-build-using-secrets-private-npm-package

👉 DevOps Portal

CronJob Guardian отслеживает Kubernetes CronJob’ы с использованием механизма dead-man’s switch, ведёт SLA-мониторинг (успешность выполнения и регрессии по длительности), обеспечивает умные алерты через Slack / PagerDuty / webhook / email, а также предоставляет встроенный веб-дашборд с графиками и экспортом метрик.

https://github.com/iLLeniumStudios/cronjob-guardian

👉 DevOps Portal

Все мониторят поды, но никто не следит за этим критически важным компонентом.

Но как только кластер Kubernetes падает,

внезапно etcd становится самым важным элементом в твоём сетапе.

Это потому, что etcd — это мозг Kubernetes.

Каждый deployment, secret, configmap и node хранятся в etcd в виде данных.

Вот что многие неправильно понимают:

напрямую с etcd общается только API server.

Поэтому если с etcd возникают проблемы, кластер перестаёт принимать любые изменения. Ты не сможешь ни задеплоить, ни отскейлить, ни обновить ничего.

Даже сейчас многие инженеры допускают базовые ошибки при работе с etcd.

Они не делают регулярные бэкапы. Запускают etcd на одном диске с ОС. Или игнорируют проблемы с задержками в распределённых конфигурациях.

В продакшене etcd должен работать на быстрых SSD, изолированно от других нагрузок. Бэкапы должны быть автоматизированы.

Бэкап и восстановление etcd подробно разобраны в этом гайде

Прочитать можно здесь: https://devopscube.com/backup-etcd-restore-kubernetes/

👉 DevOps Portal

AWS DevOps Agent доступен!

31 марта 2026 года AWS DevOps Agent стал общедоступным

Он умеет:

→ Генерировать CI/CD пайплайны
→ Дебажить фейлы при деплое
→ Предлагать изменения в инфраструктуре
→ Анализировать логи и инциденты
→ Помогать с Terraform и CloudFormation
→ Рекомендовать оптимизацию затрат
→ Объяснять проблемы в архитектуре AWS

По сути, это как будто у тебя внутри AWS появился джуниор DevOps-инженер.

Источник: https://aws.amazon.com/devops-agent/

👉 DevOps Portal

Что значит засквошить образ контейнера? 🤔

Когда вы пишете Dockerfile для образа, важно следить, чтобы случайно не добавлять мусорные слои, которые содержат большую часть или даже все файлы, а затем удаляются на верхних слоях.

Однако иногда приходится работать с уже собранными образами, где нет возможности изменить Dockerfile. Такие образы могут содержать мусорные слои и даже случайно запечённые учётные данные, которые формально удалены на верхних слоях.

Сквошинг образа контейнера — это крайняя мера, позволяющая очистить мусор и удалить случайно добавленные файлы.

Практика: https://labs.iximiuz.com/challenges/squash-bloated-container-image

👉 DevOps Portal

Я большой фанат ArgoCD и использования его для управления приложениями в Kubernetes в рамках подхода GitOps. Если вы уже крутите ArgoCD, то ручное обновление тегов образов в репозитории после каждого CI-билда – это вроде бы мелочь, но со временем превращается в нудную рутину

ArgoCD Image Updater закрывает эту боль: он отслеживает ваш container registry и автоматически триггерит деплои.

Особенно актуален свежий релиз v1.1.1 – в нём появился подход на базе CRD, который нормально работает с multisource-приложениями в ArgoCD. Раньше, в версиях на аннотациях, такого не было. Это вполне практичное обновление для команд, использующих Helm-чарты с вынесенными values-репозиториями.

Alexy Pulivelil показывает полный сетап на EKS, включая подводные камни с write-back методами, лимитами registry и стратегиями обновления. Рекомендую посмотреть, если используете ArgoCD

https://alexypulivelil.medium.com/stop-manually-editing-gitops-files-argocd-image-updater-on-kubernetes-0aa44bc9abbf

👉 DevOps Portal

🚨 Обнаружена уязвимость высокой критичности CVE (CVE-2026-4342) в ingress-nginx.

Данная уязвимость позволяет внедрять конфигурацию и потенциально выполнять произвольный код во всех версиях ниже v1.13.9, v1.14.5 и v1.15.1.

Поскольку ingress-nginx переведён в статус EOL (End of Life), пользователям настоятельно рекомендуется как можно скорее обновиться и выполнить миграцию.

Подробности: https://github.com/kubernetes/kubernetes/issues/137893

👉 DevOps Portal

Почему pod’ы DaemonSet игнорируют cordon?

Когда вы выполняете kubectl cordon, Kubernetes помечает ноду таинтом:

node.kubernetes.io/unschedulable:NoSchedule.

Планировщик видит этот taint и перестаёт размещать на ноде новые podы.

Но если посмотреть на ваш logging agent или CNI plugin, запущенный как DaemonSet, он всё равно продолжает работать

Почему?

Потому что контроллер DaemonSet автоматически добавляет каждому pod toleration:

node.kubernetes.io/unschedulable:NoSchedule.

Благодаря этому podы DaemonSet игнорируют taint, выставленный cordon

И это сделано намеренно, потому что DaemonSet используются для критичных системных компонентов, таких как:

- сборщики логов
- агенты мониторинга
- CNI-плагины

Эти компоненты должны работать на каждой ноде, даже во время обслуживания.

Если они остановятся, вы потеряете наблюдаемость и сетевую связность на этих нодах.

Если хотите глубже разобраться в taints и tolerations, прочитайте следующий гайд:

Читать здесь: https://courses.devopscube.com/courses/certified-kubernetes-administrator-course/lectures/55659898

👉 DevOps Portal

Анатомия Helm-чарта

Helm-чарт — это по сути просто хорошо организованная директория, где у каждого файла есть чёткое назначение.

Вот ключевые файлы:

- 𝗰𝗵𝗮𝗿𝘁.𝘆𝗮𝗺𝗹 — содержит метаданные чарта: имя, версия, описание
- 𝗺𝗮𝗻𝗶𝗳𝗲𝘀𝘁𝘀 / 𝘁𝗲𝗺𝗽𝗹𝗮𝘁𝗲𝘀 — папка с шаблонами Kubernetes-манифестов без захардкоженных значений (по сути, аналог шаблонов в Ansible)
- 𝘃𝗮𝗹𝘂𝗲𝘀.𝘆𝗮𝗺𝗹 — содержит значения (например, имя образа, количество реплик), которые подставляются в шаблоны
- 𝗵𝗲𝗹𝗽𝗲𝗿𝘀.𝘁𝗽𝗹 — включает переиспользуемые блоки шаблонов, которые можно применять во всех темплейтах

Когда понимаешь структуру чарта, кастомизация и отладка становятся значительно проще.

Поэтому, когда используешь Helm-чарт из комьюнити, стоит потратить время на разбор его структуры.

Вот гайд, который поможет разобраться с Helm-чартами с нуля.

Читать здесь: https://devopscube.com/create-helm-chart/

👉 DevOps Portal

Возможна потеря пакетов… или утечка данных, точно не уверен

👉 DevOps Portal

Проброс портов: используйте эти команды kubectl, чтобы получить локальный доступ к сервису пода без его внешнего экспонирования

👉 DevOps Portal