13139
Присоединяйтесь к нашему каналу и погрузитесь в мир DevOps Сотрудничество, реклама: @devmangx Менеджер: @Spiral_Yuri РКН: https://clck.ru/3P8kFH
Если вы работаете в DevOps, то SLSA — это концепция безопасности, которую обязательно нужно знать.
Сегодня злоумышленники всё чаще атакуют CI/CD-пайплайны ещё до того, как код попадает в продакшен-кластеры.
Недавний компромисс цепочки поставок npm-пакетов TanStack в 2026 году – наглядный тому пример.
Когда ваш CI-пайплайн собирает контейнерный образ и публикует его в реестр,
как вы можете быть уверены, что этот образ действительно был собран именно из вашего исходного кода?
Для большинства команд доказать это невозможно.
Фреймворк SLSA создан именно для решения этой проблемы.
В этой статье разобрали:
- Что такое SLSA Provenance и уровни доверия
- Как внедрить SLSA в ваш CI/CD-пайплайн
- Как проверять Provenance в Kubernetes с помощью Admission Policies
- Три инцидента в цепочке поставок ПО, о которых должен знать каждый DevOps-инженер
Читайте здесь: https://newsletter.devopscube.com/p/slsa-explained
👉 DevOps Portal
В этом туториале вы узнаете, как настроить событийное trace-based тестирование в Kubernetes с помощью Tracetest и Testkube
https://tracetest.io/blog/event-driven-kubernetes-testing-with-testkube-and-tracetest
👉 DevOps Portal
DevOps-инструмент недели: SpecKit
Инструменты для AI-кодинга часто упускают то, что вам действительно нужно.
Spec Kit — это open-source тулкит от GitHub, который ставит требования к проекту на первое место.
Вместо того чтобы сразу переходить к генерации кода, он помогает AI-агентам следовать понятному процессу: определить спецификацию, составить план, декомпозировать работу на задачи и только потом приступать к реализации.
Что умеет Spec Kit
- Проводит агентов через структурированный workflow: Spec → Plan → Tasks → Implement
- Использует файл правил для определения проектных требований и ограничений, которым должен соответствовать каждый этап
- Выявляет пробелы и недостающие требования ещё до начала разработки
- Генерирует чек-листы требований для валидации результата
- Поддерживает более 30 AI-инструментов для разработки, включая Claude Code, Copilot, Cursor и Codex.
Начать можно здесь: https://github.com/github/spec-kit
👉 DevOps Portal
Gateway API vs Ingress Controller
Вот ключевое различие, которое важно понимать
В Kubernetes объект Ingress лишь описывает правила маршрутизации.
Фактическая обработка и маршрутизация трафика выполняется Ingress Controller, который одновременно выступает и контроллером, и прокси-сервером.
С Gateway API процесс выглядит почти так же.
Вы создаёте такие ресурсы, как Gateway и HTTPRoute, чтобы управлять маршрутизацией и потоком трафика.
Затем контроллер Gateway API (NGINX Gateway Fabric) преобразует эти конфигурации в реальные правила маршрутизации и необходимую сетевую инфраструктуру.
Но здесь есть важное отличие в архитектуре NGINX Gateway Fabric.
У него control plane и data plane разделены.
Когда вы создаёте ресурс Gateway, контроллер автоматически разворачивает выделенный pod с NGINX (data plane), который непосредственно обрабатывает входящий трафик.
В случае с Ingress сам контроллер одновременно выполняет роль прокси и обрабатывает трафик.
👉 DevOps Portal
Kubernetes NodeLocal DNSCache: как это работает
Когда речь заходит о производительности, в Kubernetes важен каждый DNS-запрос.
Без NodeLocal DNSCache поды отправляют DNS-запросы на Service IP kube-dns/CoreDNS.
Эти запросы проходят через kube-proxy, правила DNAT и conntrack, прежде чем попасть в CoreDNS.
В загруженных кластерах это может приводить к дополнительным задержкам и увеличивать нагрузку на таблицу conntrack.
NodeLocal DNSCache решает эту проблему, разворачивая локальный DNS-кеш на каждой ноде в виде DaemonSet.
В результате поды обращаются не напрямую к CoreDNS, а к локальному DNS-кешу на той же ноде.
Основные преимущества:
- Сокращает среднее время DNS-резолвинга, поскольку многие запросы обрабатываются локально из DNS-кеша.
- Снижает нагрузку на CoreDNS.
- Помогает избежать переполнения таблицы conntrack, так как соединения между подами и локальным DNS-кешем не создают записей в conntrack.
- DNS-запросы к внешним доменам могут форвардиться напрямую, без участия CoreDNS.
Примечание: NodeLocal DNSCache не включён в Kubernetes по умолчанию.
Для его использования необходимо вручную развернуть DaemonSet с NodeLocal DNSCache (за исключением некоторых managed-решений, например GKE Autopilot, где эта функциональность уже включена по умолчанию).
👉 DevOps Portal
Шпаргалка по SSH-туннелям
Забавный факт: с появлением ИИ-агентов и песочниц я стал пользоваться SSH даже чаще – это по-настоящему фундаментальная технология.
👉 DevOps Portal
DevOps-инструмент недели: AirLLM
Для локального запуска больших моделей вам не нужен мощный GPU.
AirLLM — это open-source инструмент, который позволяет запускать крупные модели на одной видеокарте, не загружая всю модель в VRAM целиком.
Он разбивает модель на слои и во время инференса подгружает их по одному.
Вот как это работает 👇
- При первом запуске AirLLM скачивает полную модель, разбивает её на отдельные шарды по слоям и сохраняет их на локальном диске.
- Когда вы отправляете запрос, модель начинает загружаться в VRAM послойно.
- Сначала из диска в VRAM видеокарты загружается первый слой, выполняется его обработка, затем память освобождается и загружается следующий слой.
- Этот процесс повторяется для каждого слоя. После обработки всех слоёв AirLLM возвращает ответ на ваш запрос.
Благодаря такому подходу даже GPU с 4 ГБ видеопамяти способен запускать модель размером 70B параметров.
Начать можно здесь: AirLLM GitHub Repository
👉 DevOps Portal
• Друзья, пришло время провести очередной конкурс. На этот раз мы разыгрываем бумажную версию книги "Компьютерные сети. Принципы, технологии, протоколы" - это новое (7-е) издание легендарного учебника для изучения сетевых технологий, которое поступит в продажу через неделю.
• К слову, книга содержит более 1100 страниц информации, а первое издание этой литературы появилось целых 25 лет назад... С того момента авторы постоянно актуализируют материал и выпускают новые издания.
• Итоги подведём 20 Июня в 10:00, при помощи бота, который рандомно выберет 10 победителей. Доставка для победителей бесплатная в зоне действия СДЭК. Удачи ❤
Для участия нужно:
1. Быть подписанным на наш канал: Infosec.
2. Подписаться на канал наших друзей: Мир Linux.
3. Нажать на кнопку «Участвовать»;
4. Ждать результат.
Бот может немного подвиснуть — не переживайте! В таком случае просто нажмите еще раз на кнопку «Участвовать».
#Конкурс
DevOps-инструмент недели: Dragonfly
Загрузка модели размером 130 ГБ на 200 GPU-нод создаёт около 26 ТБ сетевого трафика.
Но что если ноды будут скачивать данные друг у друга, а не напрямую из исходного источника?
Именно для этого нужен Dragonfly – опенорс система P2P-распространения файлов.
Первая нода, которая скачивает файл, становится локальным кэшем. К хранилищу моделей обращаются только один раз, а остальные ноды в кластере получают данные друг от друга.
Что умеет Dragonfly 👇
- Поддерживает прямую загрузку моделей из Hugging Face и ModelScope.
- Разбивает файлы на части и начинает раздачу по P2P ещё до завершения первого скачивания.
- Снижает нагрузку на источник с 26 ТБ до примерно 130 ГБ при развёртывании на 200 нодах.
- Поддерживает работу с приватными репозиториями через аутентификацию по токенам.
- Разворачивается в Kubernetes как DaemonSet.
GitHub-репозиторий: https://github.com/dragonflyoss/dragonfly
👉 DevOps Portal
Учимся на практике: как выбрать правильный Distroless Base Image 🤔
На этот раз тебе предстоит разобраться с контейнером, который ведёт себя некорректно. Приложение даже не может стартовать
Твоя задача – найти причину проблемы и устранить её. Возможно, для этого придётся пересобрать образ.
Лабораторная работа: https://labs.iximiuz.com/challenges/pick-the-right-distroless-base-image
👉 DevOps Portal
Лучший способ понять, как на самом деле работают серверы – написать несколько из них с нуля. Вот серия практических заданий, которые помогут вам освоить сокетное программирование на C, Python и Go:
- Напишите TCP-клиент для сервера телеметрии: https://labs.iximiuz.com/challenges/write-tcp-client-for-telemetry-server
- Напишите TCP-клиент для чат-сервера: https://labs.iximiuz.com/challenges/write-tcp-client-for-chat-server
- Реализуйте TCP echo-сервер с нуля: https://labs.iximiuz.com/challenges/write-tcp-echo-server
- Доработайте echo-сервер так, чтобы он работал как с TCP-сокетами, так и с Unix-сокетами: https://labs.iximiuz.com/challenges/write-stream-echo-server
Скормил Клоду весь свой проект на переписывание
Теперь что-то отвалилось.
Что именно он поменял, нафига поменял и как это откатить – вообще непонятно.
Ни истории коммитов. Ни блейма. Ни кнопки отменить.
Только вера, надежда и молитва 🙏
Этот опенсорсный ИИ-инструмент как раз решает такую боль.
По сути – гит для ИИ-агентов.
Каждое действие записывается, каждая строчка кода привязана к промпту, который её сгенерил. Скоро ещё и полный откат завезут.
Можно спокойно давать агенту доступ на запись и при этом видеть весь след изменений с re_gent:
http://github.com/regent-vcs/re_gent
👉 DevOps Portal
🔈 Новый VPS/VDS-сервис от упоротых инфраструктурщиков
Давно дружим с CORTEL, это ребята про enterprise решения для крупняка. Сейчас они запустили отдельный бренд для аренды VPS/VDS — Serverum.
Это сервис, где можно выбрать VPS, оплатить и сразу начать пользоваться. Подойдёт для dev/stage-сред, тестовых стендов, ботов, pet-проектов, небольших сервисов и других задач, где нужен сервер без лишней возни.
Внутри:
— собственная проприетарная платформа
— отечественные решения
— защищённая инфраструктура
— низкие цены
— живая поддержка от инженерной команды
Сейчас ребята запускают первых пользователей и собирают честную обратную связь от тех, кто реально работает с инфраструктурой.
Можно зайти, потыкать, взять VPS под задачу и написать фидбек.
👉 Serverum.ru
Admission Control
Каждый запуск команды kubectl apply проходит через Kubernetes API Server до того, как данные будут сохранены в etcd (и изменят состояние кластера).
Admission Control — это промежуточный слой обработки запросов, который может модифицировать, валидировать или отклонять запросы к API. Это удобный механизм для добавления недостающих значений по умолчанию, принудительного применения лимитов ресурсов, автоматической инъекции sidecar-контейнеров, блокировки некорректных конфигураций и даже полного запрета на запуск небезопасных рабочих нагрузок.
Подробно изучите работу Kubernetes Admission Control в этом практическом туториале от Márk Sági-Kazár:
Kubernetes Admission Control Tutorial
👉 DevOps Portal
Система может выглядеть полностью исправной, даже когда под капотом уже что-то идёт не так.
В этом руководстве автор показывает, как использовать Bash и Python для автоматизации DevOps-задач в реальных продакшн-сценариях.
Вы научитесь:
выявлять резкие скачки расходов в AWS;
трассировать и анализировать сервисные логи;
находить дрейф инфраструктуры;
проверять корректность ротации секретов;
автоматизировать откат канареечных релизов.
Зоопарк решений растёт, а команда — нет
Одни сервисы развёрнуты в облаке, другие — на своих серверах, а третьи – в изолированном контуре. Чем больше «зоопарк», тем сложнее управлять такой инфраструктурой. Вместо того, чтобы нанимать нового DevOps-инженера, можно автоматизировать рутинные операции.
30 июня на вебинаре мы представим сервис, который поможет автоматически управлять лоскутной инфраструктурой в режиме «одного окна».
Мы покажем, как с помощью MWS B2B Store:
1️⃣ Деплоить сервисы в VMware и K8s через Terraform as a Service
2️⃣ Автоматически «раскатывать» обновления в изолированные контуры
3️⃣ Контролировать, кто и как использует лицензии на серверное ПО
4️⃣ Управлять инстансами из разной инфраструктуры в едином окне
Вместо слайдов — живое демо. Вы сможете задать любые вопросы и разобрать ответы со спикерами.
⏰ 30 июня в 11:00
Будет полезно: CTO, директорам по инфраструктуре, DevOps-инженерам и тимлидам инфраструктурных команд.
Регистрируйтесь по ссылке
Ваш домен может стоить один рубль
Переносите и продлевайте домены в Selectel и платите за это всего по одному рублю. Бонусом получите бесплатный DNS-хостинг и SSL-сертификаты, а еще возможность развернуть полноценную IT-инфраструктуру проекта в одном окне браузера.
Успейте перенести и продлить домены в Selectel по рублю до 30.06 →
Реклама. АО "Селектел". erid:2W5zFJij77F
🔥VPS + ISPmanager со скидкой до 100% на Waicore
Запускаете сайты на VPS? Сейчас самое время попробовать ISPmanager практически бесплатно.
➕ Наши акции:
— 100% скидка на первый месяц лицензии ISPmanager при заказе VPS из категории «Веб-хостинг»
— Скидка 60% на лицензии ISPmanager при отдельной покупке
Также доступны:
🛡 SSL-сертификаты
🛡 BitNinja для защиты серверов от атак, спама и вредоносного ПО.
Получаете готовый VPS с установленной панелью управления и можете сразу приступать к работе с сайтами, почтой, базами данных и другими сервисами.
⚡️Акция действует месяц.
Подробнее на сайте WAICORE.
Pod Affinity vs Pod Anti-Affinity
В Kubernetes
Pod Affinity и Pod Anti-Affinity помогают контролировать, где будут запускаться ваши поды, в зависимости от расположения других подов.
Вот самый простой способ запомнить
Pod Affinity = держать поды вместе
Pod Anti-Affinity = разносить поды друг от друга
Когда использовать Pod Affinity?
Используйте, когда два пода должны находиться ближе друг к другу для лучшей производительности.
Например, под приложения и небольшой под кэша/базы данных, работающие на одной ноде, чтобы уменьшить количество сетевых переходов.
Используйте, когда нужна высокая доступность.
Например, несколько реплик backend-сервиса распределяются по разным нодам, чтобы отказ одной ноды не положил всё приложение.
Как правильно работать с резервным копированием в облаке?
25 июня приглашаем на бесплатный вебинар от MWS Cloud Platform всех, кто работает с облаками.
⚫️Развеем мифы, разберём лучшие современные подходы и инструменты.
⚫️Обсудим интеграцию в процессы, консистентность, точечное восстановление и безопасность. Поговорим о плюсах нативных облачных инструментов.
⚫️Проведём демо в MWS Cloud Platform и ответим на ваши вопросы.
Зарегистрируйтесь, чтобы не пропустить!
⏰ 25 июня в 14:00 (мск)
✅ Зарегистрироваться
Корректное завершение работы контейнеризированных приложений может быть не таким простым, как кажется
Разберитесь с типичными подводными камнями на практике:
- Слишком медленная последовательность остановки приложения: https://labs.iximiuz.com/challenges/docker-graceful-container-shutdown
- Потеря сигналов при их передаче процессам: https://labs.iximiuz.com/challenges/graceful-termination-for-nodejs-container
- Некорректно работающий entrypoint-скрипт: https://labs.iximiuz.com/challenges/graceful-termination-for-container-with-entrypoint
VPN и mTLS — это базовые и обязательные для понимания технологии для DevOps-инженеров.
Это руководство поможет вам на практике разобраться со следующими темами:
- VPN типа Client-to-Site
- Генерация клиентских и серверных сертификатов с помощью EasyRSA
- Взаимная TLS-аутентификация (mTLS)
Почему это важно изучить?
Практически в любой организации VPN используется для безопасного подключения к облачным ресурсам и внутренней инфраструктуре.
Лучший способ по-настоящему понять, как работают VPN и mTLS, — развернуть и настроить их самостоятельно.
Подробное руководство: https://devopscube.com/aws-client-vpn/
В рамках руководства в теоретическом формате также рассматриваются следующие темы:
- Аутентификация на основе SAML и Active Directory
- TCP vs UDP — различия и сценарии использования
👉 DevOps Portal
Как запускать Linux-демон при первом подключении к его API-сокету?
Одно из ключевых назначений systemd – запуск и управление долго работающими фоновыми процессами. Демоны регистрируются в systemd как service units и обычно стартуют во время загрузки системы.
Однако если сервис не нужен сразу после загрузки и предоставляет API через TCP-сокет или Unix-сокет, зачастую эффективнее запускать его только тогда, когда к нему подключается первый клиент. Такой механизм называется socket activation.
Изучите, как работает socket activation в systemd, выполнив следующие задания:
- Запустите сервис при первом подключении к его TCP-сокету:
https://labs.iximiuz.com/challenges/systemd-socket-activate-listen-stream-inet
- Запустите сервис при первом подключении к его Unix-сокету:
https://labs.iximiuz.com/challenges/systemd-socket-activate-listen-stream-unix
SRE тут? Нашли для вас подкаст, который вполне может пополнить ряд любимых.
Коллеги из Авито создали «В SREду на кухне», периодически собираются, зовут на запись гостей и обсуждают то, о чём не принято говорить в опенспейсе. Например, вот темы недавних выпусков:
— GitOps не волшебная таблетка;
— Зачем продукту бюджет ошибок;
— Роняем прод, чтобы стать сильнее: всё о Chaos Engineering;
— SRE больше не нужны. AI переписал правила.
Отвечая на вопрос «А при чём здесь комьюнити?» — все дополнительные инсайты, статьи и мысли на темы выпусков ребята выкладывают в канал «Avito SREда». И там уже собралась активная аудитория коллег-инженеров.
Компания, которая когда-то называла Linux "раковой опухолью", теперь сама поставляет его базовые инструменты пользователям Windows
Microsoft выпустила GNU Coreutils для Windows 😳ls, grep, cat, cp, find — те самые команды, которые уже более 50 лет лежат в основе Unix- и Linux-систем, теперь доступны в Windows нативно и поддерживаются самой Microsoft.
Для понимания контекста: GNU Coreutils — это набор базовых утилит, на которых строится работа любой Linux- или macOS-системы. Они используются для операций с файлами, обработки текста и написания shell-скриптов. По сути, это фундамент всей Unix-экосистемы. Каждый день на них выполняются десятки миллионов скриптов, пайплайнов и автоматизированных процессов.
И теперь Microsoft не только поставляет их для Windows, но и занимается их поддержкой.
И это не WSL. Вам не нужна Linux-подсистема, работающая в фоне. Эти инструменты запускаются напрямую в Windows и поддерживают те же флаги, тот же синтаксис и то же поведение, что и в Linux. Существующие скрипты работают без каких-либо изменений.
Цель Microsoft – сделать переход между Linux, macOS, WSL, контейнерами и Windows максимально бесшовным. Написал скрипт один раз – запускай где угодно.
В пакет входят uutils/coreutils (современная реализация GNU Coreutils на Rust), а также findutils и grep, собранные в единый multi-call бинарник. Все команды поддерживают стандартные ключи и параметры. Те же команды, те же пайплайны, никакой адаптации или переписывания не требуется.
Проект пока находится на стадии Preview, но направление развития уже совершенно очевидно 🤔
https://github.com/microsoft/coreutils
@linuxos_tg
Как автоматизировать работу с выделенными серверами без слез и костылей
Разбираемся на бесплатном вебинаре от Selectel. Присоединяйтесь, чтобы узнать, как работать с Terraform на выделенных серверах, чем подход Infrastructure as Code может быть полезен для бизнеса и как устроен Bare Metal Cloud в Selectel.
Все участники вебинара получат промокод на 3000 бонусов в панели Selectel.
📍 Онлайн
⏰ 16 июня в 12:00
Регистрируйтесь ➡️ https://slc.tl/6ifkd
Больше мероприятий для ИТ-специалистов в канале @selectel_events. Подписывайтесь!
Реклама. АО "Селектел". erid:2W5zFJAgHVb
DevOps-инструмент недели: Agentgateway
По мере того как AI-агенты становятся частью продакшн-систем, управление их подключениями к LLM, инструментам, API и MCP-серверам становится всё более сложной задачей.
Agentgateway решает эту проблему, выступая в роли централизованного шлюза для AI-агентов.
Вот что он умеет:
- Маршрутизирует трафик между агентами, инструментами, API и LLM.
- Предоставляет единую точку входа для MCP-серверов и взаимодействия между агентами.
- Добавляет аутентификацию, политики безопасности и ограничение скорости запросов (rate limiting).
- Обеспечивает прозрачность работы агентов: позволяет отслеживать запросы, сбои и использование ресурсов.
Можно рассматривать его как API Gateway для агентных AI-систем
GitHub-репозиторий: https://github.com/agentgateway/agentgateway
👉 DevOps Portal
Разберитесь, как на самом деле работают серверы, собрав с нуля небольшой TCP-сервер и клиент
По традиции – с большим количеством наглядных визуализаций, подробных объяснений и практических заданий:
https://labs.iximiuz.com/tutorials/how-servers-work-tcp-sockets
👉 DevOps Portal
На Stepik вышла программа «Фундамент DevOps»
Это комплексная программа из 4 практических курсов по ключевым технологиям современного DevOps: Linux, Git, Docker и Kubernetes.
Вы последовательно пройдёте путь от работы в Linux и Git до контейнеризации приложений и управления ими в Kubernetes.
Что вы изучите:
• уверенную работу в Linux и терминале
• Git и контроль версий в реальных проектах
• Docker и контейнеризацию приложений
• Kubernetes и оркестрацию контейнеров
• основы сетей, безопасности и хранения данных
• автоматизацию задач и диагностику инфраструктуры
... и многому другому
Что такое NOTES.txt в Helm Chart?
В этом руководстве вы узнаете:
- Что такое файл NOTES.txt в Helm.
- Как он работает и в каких сценариях используется.
- Как просматривать заметки до и после установки чарта.
- Пошаговый практический пример, демонстрирующий возможности NOTES.txt.
- Как отключить вывод заметок
Подробная статья: https://devopscube.com/helm-notes-txt-file/
👉 DevOps Portal