Поды под капотом: нюансы архитектуры Kubernetes, которые стоит знать

Если вы когда-нибудь деплоили что-то в Kubernetes, значит, вы уже сталкивались с Подами. Обычно к ним относятся как к простой обёртке для контейнеров: запустить, проверить статус и забыть. Примерно как если бы вы использовали гоночную машину только для того, чтобы съездить в магазин за продуктами.

На деле, Поды - это не просто средство "что-то запускать". Под капотом у них скрывается масса фич: от паттернов и проб до политик и отладочных инструментов, которые могут как спасти вашу инфраструктуру, так и превратить её в кошмар, если что-то пойдёт не так.

В этой статье мы пройдёмся по настоящим возможностям Подов. Тут и сайдкары, и init-контейнеры, и эфемерные контейнеры, и тюнинг ресурсов - всё, что нужно, если вы хотите выйти за рамки базового использования Kubernetes. Хотите разобраться, почему ваш сервис флапает? Или выжать из кластера максимум? Или просто понять, как работают профи? Это всё сюда.

https://telegra.ph/Pody-pod-kapotom-nyuansy-arhitektury-Kubernetes-kotorye-stoit-znat-06-30

#ит_статьи #devops #kubernetes #pod

Открытый опрос для IT-специалистов

Прямо сейчас проходит большое исследование, где IT-архитекторы, DevOps и другие специалисты (независимо от стажа) могут поделиться обратной связью: о работодателях, о том, что для них важнее всего в работе, и кого они готовы порекомендовать, а кого нет. Также в качестве благодарности за уделённое время, можно поучаствовать в розыгрыше AirPods Max.
Вдруг, для кого-то это окажется полезным:

https://odna.co/poll/3WpVm7bvBJRLSnsAVRsGtG

#ит_заметки #devops

Иерархические пространства имён в Kubernetes

В Kubernetes Namespace буквально одна из ключевых вещей. С их помощью можно изолировать ресурсы, навести порядок в кластере, задать ограничения и прокинуть нужные политики.

Пока сервисов немного - жить можно и без них. Но как только в кластер приходит несколько команд, стейджинг и куча инфраструктуры - без namespace'ов начинается хаос.

https://telegra.ph/Ierarhicheskie-prostranstva-imyon-v-Kubernetes-07-03

#ит_статьи #devops #kubernetes #namespace #hnc

🐚 Полная шпаргалка по Bash: команды, синтаксис и фишки!

Привет, покорители терминалов!

Ты устал листать десятки страниц в поисках нужной Bash-команды? Тогда держи готовую шпаргалку, собранную специально для тебя!
🛠️ Все команды удобно структурированы: условия, циклы, массивы, функции, работа с файлами и процессами.

Что тебя ждёт:
- Основы синтаксиса Bash без воды
- Краткие примеры команд и скриптов
- Умные лайфхаки для оптимизации рутины
- Пояснения, когда что использовать на практике

Шпаргалка пригодится:
- Начинающим пользователям
- Системным администраторам
- DevOps инженерам
- Тем, кто хочет автоматизировать свои задачи в Linux

🌐 Источник:https://devhints.io/bash

📩 Завтра: Вопрос №33 из теста Linux Essentials Certification
Включи 🔔 чтобы не пропустить!
____________________

Дополнительный материал:
🧠 - 50 команд Linux
🧠 - Как быстро запомнить базовые команды Linux
🧠 - Управление процессами: Часть 1

#Linux_Mastery #linux #bash #devops #automation #cheatsheet

OpenBao: немного enterprise'ных возможностей при управлении секретами

Если до этого вы не слышали об openbao, то вот некоторые факты:
- OpenBao это форк от коммита hashicorp vault (8993802) между версиями 1.14.8 1.14.9, до смены лицензионной политики
- Проект получил статус участника CNCF
- Разработчики декларируют api-совместимость с vault и планируют её придерживаться
- Несмотря на пункт выше, проект будет иметь собственную дорожную карту и развиваться независимо от hashicorp vault
- Лицензируется по MPL 2.0
- И как все мы любим - доступен без регистрации и смс
- Продукт долгое время был доступен без UI т.к. оттуда вычищали весь enterpris'ный код vault, но в апреле завезли полноценный нескучный UI
- Без проблем работает с bank-vaults webhook и с небольшими костылями с vault-operator
- Сам продукт находится в статусе GA
- Поддерживает HA-mode, используя бэкенды raft и postgresql
- Из минусов: как и у многих проектов open-source, бывают проблемы с документацией. Однако процесс улучшения виден невооружённым взглядом

https://telegra.ph/OpenBao-nemnogo-enterprisenyh-vozmozhnostej-pri-upravlenii-sekretami-07-07

#ит_статьи #devops #openbao #vault #secrets

Nerdctl: CLI-инструмент для containerd, совместимый с Docker

nerdctl - это мощная утилита командной строки, созданная для работы с containerd.

Она даёт привычный Docker-подобный интерфейс с полной поддержкой таких функций, как Compose, rootless-режим, шифрование образов и не только.

https://telegra.ph/Nerdctl-CLI-instrument-sovmestimyj-s-Docker-dlya-containerd-07-08

#ит_заметки #devops #nerdctl #linux #docker #containerd

Пробуем Coroot — инструмент на базе eBPF для Kubernetes и не только

В этой статье мы посмотрим на Coroot - open source-инструмент, построенный на технологии eBPF. Он предназначен для использования в Kubernetes, средах с Docker/containerd и даже в неконтейнеризованных приложениях. Coroot собирает и анализирует телеметрию (метрики, логи, трейсы и профили), превращая её в понятную информацию, с помощью которой можно быстро находить и устранять проблемы в приложениях. Мы разберёмся, как установить и настроить Coroot в Kubernetes, что он вообще делает, и заодно посмотрим на его плюсы и минусы.

https://telegra.ph/Probuem-Coroot--instrument-na-baze-eBPF-dlya-Kubernetes-i-ne-tolko-07-31-2

#ит_статьи #devops #kubernetes #eBPF #coroot

Разница между Docker ENTRYPOINT и Kubernetes container spec COMMAND

Прежде чем углубляться в детали ENTRYPOINT и COMMAND, важно сначала разобраться, как вообще устроен запуск контейнеров. Независимо от того, запускаете ли вы контейнер напрямую через Docker или работаете с ним в составе Kubernetes, вся инициализация сводится к одному - запуску команды. Именно она и станет основным процессом, который будет выполняться внутри контейнера.

В случае с Docker эта команда определяет, чем будет заниматься контейнер после запуска. Это может быть веб-сервер, какой-то скрипт или фоновый процесс. Kubernetes, хотя и использует Docker (или другие рантаймы вроде containerd), добавляет поверх этого свою логику оркестрации - и иногда это немного меняет поведение контейнера, даже если он тот же самый.

Ключевыми точками конфигурации здесь являются ENTRYPOINT в Docker и command в Kubernetes. Оба параметра определяют, что будет запущено внутри контейнера, но контекст их применения и последствия отличаются.

https://telegra.ph/Raznica-mezhdu-Docker-ENTRYPOINT-i-Kubernetes-container-spec-COMMAND-08-04

#ит_статьи #devops #docker #kubernetes #entrypoint #spec_command

DNS-хаос, зомби-поды и майнеры в кластере: самые невероятные случаи при работе с Kubernetes

Kubernetes - мощный и сложный инструмент, работа с которым неизбежно порождает… инциденты. У каждого, кто всерьёз имел дело с оркестратором, найдётся в запасе история о бессонной ночи, потраченной на поиски причин загадочного сбоя. Часто виновником выступает DNS (на этот счёт даже существует поговорка: «It’s always DNS»). Впрочем, как выясняется, DNS виновата далеко не всегда. Иногда корень зла прячется в совершенно неожиданных местах: от слишком длинного названия деплоймента до коварного физического сбоя сетевой карты на master-узле.

Reddit - настоящий кладезь таких невероятных и в то же время поучительных историй. Мы взяли одну из веток, в которой инженеры делились своими «боевыми шрамами», и выборочно перевели самые любопытные и уникальные случаи.

https://telegra.ph/DNS-haos-zombi-pody-i-majnery-v-klastere-samye-neveroyatnye-sluchai-pri-rabote-s-Kubernetes-08-04

#ит_статьи #devops #kubernetes #reddit #cluster

Использование систем мониторинга с точки зрения безопасности

Системы мониторинга - это неотъемлемый кусок инфраструктуры, повышающий понимание того, что происходит с серверами, сетью и приложениями в продакшене. Но вместе с этим они часто получают доступ к чувствительным компонентам системы, что делает их привлекательной целью для атак. Ошибки в настройке, небезопасные интеграции или агенты с чрезмерными правами могут незаметно создать уязвимости. Начиная от утечек данных и заканчивая возможностью удалённого выполнения кода. В этой заметке разберём, какие риски связаны с развертыванием и эксплуатацией мониторинга в корпоративной среде.

https://telegra.ph/Ispolzovanie-sistem-monitoringa-s-tochki-zreniya-bezopasnosti-08-05

#ит_статьи #devops #monitoring #best_practice

Как связать Docker-контейнеры на разных хостах с помощью WireGuard

Допустим, вы хотите, чтобы ваши Docker-контейнеры могли общаться между собой, но они запущены на разных машинах. Может быть, эти машины вообще в разных облаках, или часть у вас локально, часть - в облаке. Самый банальный способ - пробросить порты наружу - быстро становится неудобным. Хуже того, если хосты доступны через интернет, вам нужно обеспечить безопасность каждой открытой точки входа: шифрование, авторизация, всё как положено.

А что если бы контейнеры на разных хостах могли напрямую общаться друг с другом, вообще без открытых портов? Используя свои внутренние Docker-IP, как будто все они работают на одной машине. Расскажу, как с помощью WireGuard и пары сетевых трюков можно такое реализовать.

https://telegra.ph/Kak-svyazat-Docker-kontejnery-na-raznyh-hostah-s-pomoshchyu-WireGuard-08-07

#ит_статьи #devops #docker #wireguard #network

Это вам не это

#ит_юмор #devops

Устали от классического хранилища в Kubernetes? Встречайте Longhorn

Когда мы работаем с Kubernetes, наши приложения масштабируются и перемещаются за секунды. Но есть одна фундаментальная проблема - постоянное хранилище. Как сделать так, чтобы критичные данные не потерялись из-за эфемерной природы контейнеров? Традиционные решения для хранения требуют сложной конфигурации, страдают от проблем с производительностью и, в целом, становятся настоящей головной болью для DevOps-команд.

Приложения, которым нужен доступ к сохранённым данным, требуют хранилища, которое будет высокодоступным, масштабируемым и простым в управлении. И тут на сцену выходит Longhorn. Longhorn - это облачно-нативное, распределённое блочное хранилище, созданное для упрощения постоянного хранения в Kubernetes. Это система хранения, такая же гибкая и устойчивая, как и контейнеризованные приложения. Longhorn без проблем интегрируется в среду Kubernetes и предлагает простоту, надёжность, автоматическую репликацию данных, создание снапшотов, возможности резервного копирования, самовосстановление и лёгкость в использовании.

https://telegra.ph/Ustali-ot-klassicheskogo-hranilishcha-v-Kubernetes-Vstrechajte-Longhorn-08-10

#ит_статьи #devops #kubernetes #block_storage #longhorn

Как включить функцию копирования и вставки в веб-консоли Proxmox без установки дополнительного софта в вашу VM

По умолчанию Proxmox использует noVNC. Это значит, что функция копирования и вставки в консоли браузера для ваших VM недоступна. Чтобы включить её, например, для Ubuntu VM, обычно нужны сторонние инструменты вроде TeamViewer или Anydesk. Но если не хочется ставить лишний софт, самый простой способ - переключить консоль браузера Proxmox на xterm.js, вместо использования SSH.
В заметке пошаговая инструкция, как это сделать.

https://telegra.ph/Kak-vklyuchit-funkciyu-kopirovaniya-i-vstavki-v-veb-konsoli-Proxmox-bez-ustanovki-dopolnitelnogo-softa-v-vashu-VM-08-12

#ит_заметки #devops #proxmox #xterm #serial_port

Шпаргалка по Ansible Vault: как прокачать управление конфигурациями с защитой данных

Ansible Vault - это крайне полезная фича в Ansible, которая позволяет шифровать и защищать чувствительные данные (пароли, API-ключи и т. д.), которые нужно хранить прямо в вашем проекте Ansible.
В этой статье разберём, как эффективно работать с Vault и сделать хранение секретов более надёжным, чем оно могло бы быть.

https://telegra.ph/SHpargalka-po-Ansible-Vault-kak-prokachat-upravlenie-konfiguraciyami-s-zashchitoj-dannyh-08-14

#ит_статьи #devops #linux #ansible #vault #secrets #cheatsheet

Защищаем свой Kubernetes-кластер с помощью Kong OIDC и Keycloak

По мере того как наш Kubernetes-кластер растёт, вопросы аутентификации и авторизации всё больше могут превращаться в насущную проблему. Чем больше мы добавляем дашбордов и UI-инструментов, тем больше у нас копится аккаунтов и паролей, которые так или иначе приходится держать под контролем.

Типичный способ решить это - подключить Single Sign-On, например, через Keycloak. Создаём realm, клиент и переводим все наши инструменты на OAuth2.0.
Звучит просто, да? Но на деле - не особо. Проблема в том, что далеко не все инструменты из коробки поддерживают аутентификацию по OAuth2.0. А что ещё хуже - некоторые вообще не имеют никакой аутентификации.

https://telegra.ph/Zashchishchaem-svoj-Kubernetes-klaster-s-pomoshchyu-Kong-OIDC-i-Keycloak-08-17

#ит_статьи #devops #kubernetes #kong #keycloak

Кластер Patroni с Ansible

В этом гайде я покажу, как собрать отказоустойчивый кластер PostgreSQL на реальных серверах (или виртуальных машинах) с Rocky Linux 9 и автоматизировать всё это дело с помощью Ansible, Patroni, Etcd и HAProxy. Если вы инженер баз данных, DevOps-специалист или бэкенд-разработчик и хотите разобраться в архитектуре и практической настройке HA-кластеров PostgreSQL, то этот материал для вас.

https://telegra.ph/Klaster-Patroni-s-Ansible-08-18

#ит_статьи #devops #linux #postgres #partoni #ansible #haproxy

Может ли Ansible управлять серверами Windows?

В эпоху, когда инфраструктура разрастается и охватывает одновременно Linux и Windows, инструменты автоматизации должны быть готовы справляться с этой сложностью. Ansible, мощный фреймворк для автоматизации без агентов, уже давно полюбился администраторам Linux. Но его возможности вовсе не ограничены миром Unix. Благодаря продуманной архитектуре и гибкому расширению Ansible предлагает не менее сильные механизмы для управления Windows-средой.

Мост между Linux-узлом управления и серверами Windows может показаться слишком смелым замыслом, но Ansible преодолевает его с простотой и изяществом.

https://telegra.ph/Mozhet-li-Ansible-upravlyat-serverami-Windows-08-21

#ит_статьи #devops #ansible #windows

Настройки таймаутов у NGINX Load Balancer

Почему эти таймауты важны.

Если ваш бэкенд (например, JBoss или Tomcat) отвечает слишком медленно, а proxy_read_timeout выставлен слишком маленьким, NGINX просто разорвёт соединение раньше времени, и вы получите ошибку 504 Gateway Timeout.

Если в конфигурации NGINX вы явно не задали значения таймаутов, будут использоваться дефолтные значения, которые зашиты в сам NGINX. В заметке приведены стандартные таймауты для основных параметров.

https://telegra.ph/Nastrojki-tajmautov-u-NGINX-Load-Balancer-08-21

#ит_статьи #devops #network #nginx #load_balancer #timeout

Почему масштабировать базу данных сложнее, чем сервер

Когда ваше приложение растёт, и всё больше людей начинает им пользоваться, нужно быть уверенным, что система выдержит дополнительную нагрузку.

Этот процесс называется масштабированием - сделать так, чтобы приложение продолжало работать плавно, даже когда им одновременно пользуются тысячи (или миллионы) людей.

Сначала масштабирование кажется простым.

Добавляете больше серверов - и всё становится быстрее.

Но через какое-то время начинаются задержки, сбои и падение производительности.

И причина тут вовсе не в серверах - а в базе данных.

Давайте разберёмся, почему масштабировать базу данных куда сложнее, чем сервер. Причём на простых примерах, которые будут понятны каждому.

https://telegra.ph/Pochemu-masshtabirovat-bazu-dannyh-slozhnee-chem-server-08-22

#ит_статьи #devops #server #databases #scalability #architecture