Как установить приватный npm-пакет в Dockerfile, не засветив учётные данные
Недавние инциденты в цепочке поставок сделали этот заголовок двусмысленным, но я хотел поговорить про build-секреты и о том, как не зашить их случайно внутрь контейнерных образов:
https://labs.iximiuz.com/challenges/docker-build-using-secrets-private-npm-package
👉 DevOps Portal
Недавние инциденты в цепочке поставок сделали этот заголовок двусмысленным, но я хотел поговорить про build-секреты и о том, как не зашить их случайно внутрь контейнерных образов:
https://labs.iximiuz.com/challenges/docker-build-using-secrets-private-npm-package
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5
CronJob Guardian отслеживает Kubernetes CronJob’ы с использованием механизма dead-man’s switch, ведёт SLA-мониторинг (успешность выполнения и регрессии по длительности), обеспечивает умные алерты через Slack / PagerDuty / webhook / email, а также предоставляет встроенный веб-дашборд с графиками и экспортом метрик.
https://github.com/iLLeniumStudios/cronjob-guardian
👉 DevOps Portal
https://github.com/iLLeniumStudios/cronjob-guardian
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5
Все мониторят поды, но никто не следит за этим критически важным компонентом.
Но как только кластер Kubernetes падает,
внезапно etcd становится самым важным элементом в твоём сетапе.
Это потому, что etcd — это мозг Kubernetes.
Каждый deployment, secret, configmap и node хранятся в etcd в виде данных.
Вот что многие неправильно понимают:
напрямую с etcd общается только API server.
Поэтому если с etcd возникают проблемы, кластер перестаёт принимать любые изменения. Ты не сможешь ни задеплоить, ни отскейлить, ни обновить ничего.
Даже сейчас многие инженеры допускают базовые ошибки при работе с etcd.
Они не делают регулярные бэкапы. Запускают etcd на одном диске с ОС. Или игнорируют проблемы с задержками в распределённых конфигурациях.
В продакшене etcd должен работать на быстрых SSD, изолированно от других нагрузок. Бэкапы должны быть автоматизированы.
Бэкап и восстановление etcd подробно разобраны в этом гайде
Прочитать можно здесь: https://devopscube.com/backup-etcd-restore-kubernetes/
👉 DevOps Portal
Но как только кластер Kubernetes падает,
внезапно etcd становится самым важным элементом в твоём сетапе.
Это потому, что etcd — это мозг Kubernetes.
Каждый deployment, secret, configmap и node хранятся в etcd в виде данных.
Вот что многие неправильно понимают:
напрямую с etcd общается только API server.
Поэтому если с etcd возникают проблемы, кластер перестаёт принимать любые изменения. Ты не сможешь ни задеплоить, ни отскейлить, ни обновить ничего.
Даже сейчас многие инженеры допускают базовые ошибки при работе с etcd.
Они не делают регулярные бэкапы. Запускают etcd на одном диске с ОС. Или игнорируют проблемы с задержками в распределённых конфигурациях.
В продакшене etcd должен работать на быстрых SSD, изолированно от других нагрузок. Бэкапы должны быть автоматизированы.
Бэкап и восстановление etcd подробно разобраны в этом гайде
Прочитать можно здесь: https://devopscube.com/backup-etcd-restore-kubernetes/
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2
AWS DevOps Agent доступен!
31 марта 2026 года AWS DevOps Agent стал общедоступным
Он умеет:
→ Генерировать CI/CD пайплайны
→ Дебажить фейлы при деплое
→ Предлагать изменения в инфраструктуре
→ Анализировать логи и инциденты
→ Помогать с Terraform и CloudFormation
→ Рекомендовать оптимизацию затрат
→ Объяснять проблемы в архитектуре AWS
По сути, это как будто у тебя внутри AWS появился джуниор DevOps-инженер.
Источник: https://aws.amazon.com/devops-agent/
👉 DevOps Portal
31 марта 2026 года AWS DevOps Agent стал общедоступным
Он умеет:
→ Генерировать CI/CD пайплайны
→ Дебажить фейлы при деплое
→ Предлагать изменения в инфраструктуре
→ Анализировать логи и инциденты
→ Помогать с Terraform и CloudFormation
→ Рекомендовать оптимизацию затрат
→ Объяснять проблемы в архитектуре AWS
По сути, это как будто у тебя внутри AWS появился джуниор DevOps-инженер.
Источник: https://aws.amazon.com/devops-agent/
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16❤2👀2
Что значит засквошить образ контейнера? 🤔
Когда вы пишете Dockerfile для образа, важно следить, чтобы случайно не добавлять мусорные слои, которые содержат большую часть или даже все файлы, а затем удаляются на верхних слоях.
Однако иногда приходится работать с уже собранными образами, где нет возможности изменить Dockerfile. Такие образы могут содержать мусорные слои и даже случайно запечённые учётные данные, которые формально удалены на верхних слоях.
Сквошинг образа контейнера — это крайняя мера, позволяющая очистить мусор и удалить случайно добавленные файлы.
Практика: https://labs.iximiuz.com/challenges/squash-bloated-container-image
👉 DevOps Portal
Когда вы пишете Dockerfile для образа, важно следить, чтобы случайно не добавлять мусорные слои, которые содержат большую часть или даже все файлы, а затем удаляются на верхних слоях.
Однако иногда приходится работать с уже собранными образами, где нет возможности изменить Dockerfile. Такие образы могут содержать мусорные слои и даже случайно запечённые учётные данные, которые формально удалены на верхних слоях.
Сквошинг образа контейнера — это крайняя мера, позволяющая очистить мусор и удалить случайно добавленные файлы.
Практика: https://labs.iximiuz.com/challenges/squash-bloated-container-image
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2❤1
Я большой фанат ArgoCD и использования его для управления приложениями в Kubernetes в рамках подхода GitOps. Если вы уже крутите ArgoCD, то ручное обновление тегов образов в репозитории после каждого CI-билда – это вроде бы мелочь, но со временем превращается в нудную рутину
ArgoCD Image Updater закрывает эту боль: он отслеживает ваш container registry и автоматически триггерит деплои.
Особенно актуален свежий релиз v1.1.1 – в нём появился подход на базе CRD, который нормально работает с multisource-приложениями в ArgoCD. Раньше, в версиях на аннотациях, такого не было. Это вполне практичное обновление для команд, использующих Helm-чарты с вынесенными values-репозиториями.
Alexy Pulivelil показывает полный сетап на EKS, включая подводные камни с write-back методами, лимитами registry и стратегиями обновления. Рекомендую посмотреть, если используете ArgoCD
https://alexypulivelil.medium.com/stop-manually-editing-gitops-files-argocd-image-updater-on-kubernetes-0aa44bc9abbf
👉 DevOps Portal
ArgoCD Image Updater закрывает эту боль: он отслеживает ваш container registry и автоматически триггерит деплои.
Особенно актуален свежий релиз v1.1.1 – в нём появился подход на базе CRD, который нормально работает с multisource-приложениями в ArgoCD. Раньше, в версиях на аннотациях, такого не было. Это вполне практичное обновление для команд, использующих Helm-чарты с вынесенными values-репозиториями.
Alexy Pulivelil показывает полный сетап на EKS, включая подводные камни с write-back методами, лимитами registry и стратегиями обновления. Рекомендую посмотреть, если используете ArgoCD
https://alexypulivelil.medium.com/stop-manually-editing-gitops-files-argocd-image-updater-on-kubernetes-0aa44bc9abbf
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10👍4
Данная уязвимость позволяет внедрять конфигурацию и потенциально выполнять произвольный код во всех версиях ниже v1.13.9, v1.14.5 и v1.15.1.
Поскольку ingress-nginx переведён в статус EOL (End of Life), пользователям настоятельно рекомендуется как можно скорее обновиться и выполнить миграцию.
Подробности: https://github.com/kubernetes/kubernetes/issues/137893
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👍3
Почему pod’ы DaemonSet игнорируют cordon?
Когда вы выполняете
Планировщик видит этот taint и перестаёт размещать на ноде новые podы.
Но если посмотреть на ваш logging agent или CNI plugin, запущенный как DaemonSet, он всё равно продолжает работать
Почему?
Потому что контроллер DaemonSet автоматически добавляет каждому pod toleration:
Благодаря этому podы DaemonSet игнорируют taint, выставленный cordon
И это сделано намеренно, потому что DaemonSet используются для критичных системных компонентов, таких как:
- сборщики логов
- агенты мониторинга
- CNI-плагины
Эти компоненты должны работать на каждой ноде, даже во время обслуживания.
Если они остановятся, вы потеряете наблюдаемость и сетевую связность на этих нодах.
Если хотите глубже разобраться в taints и tolerations, прочитайте следующий гайд:
Читать здесь: https://courses.devopscube.com/courses/certified-kubernetes-administrator-course/lectures/55659898
👉 DevOps Portal
Когда вы выполняете
kubectl cordon, Kubernetes помечает ноду таинтом:node.kubernetes.io/unschedulable:NoSchedule.
Планировщик видит этот taint и перестаёт размещать на ноде новые podы.
Но если посмотреть на ваш logging agent или CNI plugin, запущенный как DaemonSet, он всё равно продолжает работать
Почему?
Потому что контроллер DaemonSet автоматически добавляет каждому pod toleration:
node.kubernetes.io/unschedulable:NoSchedule.
Благодаря этому podы DaemonSet игнорируют taint, выставленный cordon
И это сделано намеренно, потому что DaemonSet используются для критичных системных компонентов, таких как:
- сборщики логов
- агенты мониторинга
- CNI-плагины
Эти компоненты должны работать на каждой ноде, даже во время обслуживания.
Если они остановятся, вы потеряете наблюдаемость и сетевую связность на этих нодах.
Если хотите глубже разобраться в taints и tolerations, прочитайте следующий гайд:
Читать здесь: https://courses.devopscube.com/courses/certified-kubernetes-administrator-course/lectures/55659898
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6❤3🔥3
Анатомия Helm-чарта
Helm-чарт — это по сути просто хорошо организованная директория, где у каждого файла есть чёткое назначение.
Вот ключевые файлы:
-
-
-
-
Когда понимаешь структуру чарта, кастомизация и отладка становятся значительно проще.
Поэтому, когда используешь Helm-чарт из комьюнити, стоит потратить время на разбор его структуры.
Вот гайд, который поможет разобраться с Helm-чартами с нуля.
Читать здесь: https://devopscube.com/create-helm-chart/
👉 DevOps Portal
Helm-чарт — это по сути просто хорошо организованная директория, где у каждого файла есть чёткое назначение.
Вот ключевые файлы:
-
𝗰𝗵𝗮𝗿𝘁.𝘆𝗮𝗺𝗹 — содержит метаданные чарта: имя, версия, описание-
𝗺𝗮𝗻𝗶𝗳𝗲𝘀𝘁𝘀 / 𝘁𝗲𝗺𝗽𝗹𝗮𝘁𝗲𝘀 — папка с шаблонами Kubernetes-манифестов без захардкоженных значений (по сути, аналог шаблонов в Ansible)-
𝘃𝗮𝗹𝘂𝗲𝘀.𝘆𝗮𝗺𝗹 — содержит значения (например, имя образа, количество реплик), которые подставляются в шаблоны-
𝗵𝗲𝗹𝗽𝗲𝗿𝘀.𝘁𝗽𝗹 — включает переиспользуемые блоки шаблонов, которые можно применять во всех темплейтахКогда понимаешь структуру чарта, кастомизация и отладка становятся значительно проще.
Поэтому, когда используешь Helm-чарт из комьюнити, стоит потратить время на разбор его структуры.
Вот гайд, который поможет разобраться с Helm-чартами с нуля.
Читать здесь: https://devopscube.com/create-helm-chart/
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4
Если ты CI инженер (Jenkins / Groovy) в 2ГИС, то именно ты:
— развиваешь внутреннюю CI/CD платформу
— Jenkins (scripted pipelines + library)
— Docker, Ansible, Git (LFS, submodules)
— автоматизируешь 50+ репозиториев
— в работе сложная, неунифицированная инфраструктура
Задачи:
— пайплайны сборки / тестов / доставки
— инструменты для Dev и QA
— автоматизация процессов разработки
— работа с инфраструктурой и сборочными нодами
Условия:
— удалёнка
— сильная инженерная команда
— влияние на процессы разработки
Подробнее о вакансии
Другие инженерные инсайты от 2ГИС → в Telegram-канале RnD
— развиваешь внутреннюю CI/CD платформу
— Jenkins (scripted pipelines + library)
— Docker, Ansible, Git (LFS, submodules)
— автоматизируешь 50+ репозиториев
— в работе сложная, неунифицированная инфраструктура
Задачи:
— пайплайны сборки / тестов / доставки
— инструменты для Dev и QA
— автоматизация процессов разработки
— работа с инфраструктурой и сборочными нодами
Условия:
— удалёнка
— сильная инженерная команда
— влияние на процессы разработки
Подробнее о вакансии
Другие инженерные инсайты от 2ГИС → в Telegram-канале RnD
❤1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁29🤔1
Проброс портов: используйте эти команды kubectl, чтобы получить локальный доступ к сервису пода без его внешнего экспонирования
👉 DevOps Portal
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
Как ускорить работу высокопроизводительных систем?
✅ Выжать максимум из облака
Как сократить задержки при работе с памятью до 50%? Как добиться изоляции выделенного железа в облаке без потери гибкости? Встретимся на бесплатном вебинаре Selectel, чтобы узнать ответы на вопросы и провести практикум по настройке облачной платформы.
Selectel добавил в сервис выделенные ядра, сеть 10 Гбит/с и виртуальные машины с хост, а еще увеличил лимиты ресурсов. Подключайтесь на вебинар, чтобы посмотреть, как перенести в новое облако высоконагруженные системы.
📍 Онлайн
⏰ 15 апреля в 12:00
Регистрация открыта ➡️ https://slc.tl/ro81b
Больше мероприятий для ИТ-специалистов в канале @selectel_events. Подписывайтесь!
Реклама. АО "Селектел". erid:2W5zFGLzxfs
✅ Выжать максимум из облака
Как сократить задержки при работе с памятью до 50%? Как добиться изоляции выделенного железа в облаке без потери гибкости? Встретимся на бесплатном вебинаре Selectel, чтобы узнать ответы на вопросы и провести практикум по настройке облачной платформы.
Selectel добавил в сервис выделенные ядра, сеть 10 Гбит/с и виртуальные машины с хост, а еще увеличил лимиты ресурсов. Подключайтесь на вебинар, чтобы посмотреть, как перенести в новое облако высоконагруженные системы.
📍 Онлайн
⏰ 15 апреля в 12:00
Регистрация открыта ➡️ https://slc.tl/ro81b
Больше мероприятий для ИТ-специалистов в канале @selectel_events. Подписывайтесь!
Реклама. АО "Селектел". erid:2W5zFGLzxfs
Little Snitch для Linux
https://obdev.at/products/littlesnitch-linux/index.html
Это приложение показывает все сетевые соединения и позволяет сразу блокировать нежелательный трафик прямо из интерфейса. Разработано той же командой, которая сделала версию для macOS / OS X.
👉 DevOps Portal
https://obdev.at/products/littlesnitch-linux/index.html
Это приложение показывает все сетевые соединения и позволяет сразу блокировать нежелательный трафик прямо из интерфейса. Разработано той же командой, которая сделала версию для macOS / OS X.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6❤2
Этот кейс описывает, как была переработана нестабильная инфраструктура на Kubernetes в production-ready платформу для ML-нагрузок с использованием GPU, что позволило увеличить частоту деплоев с одного раза в неделю до 10+ раз в день
Читайте тут
👉 DevOps Portal
Читайте тут
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2
Айтишники не рассказывают где учатся бесплатно и эффективно
Никому не говори об этом канале!!! В сфере онлайн образования появился новый гигант «TERMINAL» который разрушит индустрию платных курсов
Бесплатный доступ:
Обучение по всем направлениям: SQL, Python, Frontend, PHP, C++, Golang, GIT, Linux, Java, кибербезопасность и др.
Если ценишь знания подпишись: @Terminal_tg
Никому не говори об этом канале!!! В сфере онлайн образования появился новый гигант «TERMINAL» который разрушит индустрию платных курсов
Бесплатный доступ:
🔄 Практические курсы и задания🔄 Книги и статьи от профи🔄 Полезные инструменты и ресурсы🔄 IT-новости и инсайды
Обучение по всем направлениям: SQL, Python, Frontend, PHP, C++, Golang, GIT, Linux, Java, кибербезопасность и др.
Если ценишь знания подпишись: @Terminal_tg
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2❤1😁1
kube-bench проверяет соответствие
kube-hunter проверяет, насколько вы реально защищены.
Кластеры Kubernetes могут случайно засветить такие вещи, как API server, etcd или слабые настройки RBAC — и команда может этого даже не заметить.
kube-hunter помогает находить такие проблемы, ведя себя как реальный атакующий и прощупывая»кластер на уязвимости.
Вместо того чтобы просто анализировать конфигурации, он активно проверяет, к чему злоумышленник действительно может получить доступ или что может проэксплуатировать.
Он может запускаться:
- снаружи (как внешний атакующий),
- внутри кластера (в виде pod’а),
- или сканировать сеть, чтобы найти открытые сервисы.
Это делает его полезным для выявления реальных рисков — таких как открытые дашборды, публичные API endpoints или небезопасный доступ к etcd.
Инструменты вроде kube-bench и Trivy в основном проверяют конфигурации и известные уязвимости.
kube-hunter отличается тем, что моделирует реальные сценарии атак, а не просто проверяет соответствие требованиям.
Именно поэтому команды часто используют его на стадии pre-production, чтобы выявить практические проблемы с безопасностью до выхода в продакшн.
GitHub: kube-hunter
👉 DevOps Portal
kube-hunter проверяет, насколько вы реально защищены.
Кластеры Kubernetes могут случайно засветить такие вещи, как API server, etcd или слабые настройки RBAC — и команда может этого даже не заметить.
kube-hunter помогает находить такие проблемы, ведя себя как реальный атакующий и прощупывая»кластер на уязвимости.
Вместо того чтобы просто анализировать конфигурации, он активно проверяет, к чему злоумышленник действительно может получить доступ или что может проэксплуатировать.
Он может запускаться:
- снаружи (как внешний атакующий),
- внутри кластера (в виде pod’а),
- или сканировать сеть, чтобы найти открытые сервисы.
Это делает его полезным для выявления реальных рисков — таких как открытые дашборды, публичные API endpoints или небезопасный доступ к etcd.
Инструменты вроде kube-bench и Trivy в основном проверяют конфигурации и известные уязвимости.
kube-hunter отличается тем, что моделирует реальные сценарии атак, а не просто проверяет соответствие требованиям.
Именно поэтому команды часто используют его на стадии pre-production, чтобы выявить практические проблемы с безопасностью до выхода в продакшн.
GitHub: kube-hunter
Please open Telegram to view this post
VIEW IN TELEGRAM