💻 Обновления и откаты в Kubernetes

Kubernetes делает обновления приложений безопасными благодаря механизму непрерывных обновлений (rolling updates). Это значит, что ваш сервис продолжает работать во время обновления — новые версии запускаются постепенно, а старые останавливаются только после успешного запуска новых.

Как обновить приложение

Обновите образ контейнера командой:

kubectl set image deployment/my-deployment nginx=nginx:1.21

Проверьте, как идёт обновление:

kubectl rollout status deployment my-deployment

Kubernetes хранит историю развёртываний. Откатиться к предыдущей версии очень просто:

kubectl rollout undo deployment my-deployment

🐸 Библиотека devops'a

#root@prompt

🖥 Tails 7.1: анонимность и безопасность

Вышла новая версия Tails 7.1 — дистрибутива Linux, созданного для максимальной приватности и анонимности в сети.

Tails (The Amnesic Incognito Live System) — это live-система, которая загружается с USB-флешки и не оставляет следов на компьютере. Весь трафик автоматически идёт через сеть Tor, а после завершения работы все данные стираются. Это как работать в режиме инкогнито, только на уровне всей операционной системы.

Что нового в версии 7.1

• Обновлён Tor Browser до последней версии

• Исправлены критические уязвимости в ядре Linux и системных компонентах

• Улучшена совместимость с современным железом, особенно с Wi-Fi адаптерами

➡️ Попробовать Tails

Чтобы быть гуру анонимности стоит нужно знать как работает система. Наш интенсив по архитектуре прокачивает эти знания со скидкой.

🐸 Библиотека devops'a

#пульс_индустрии

🖥 Как задеплоить Elasticsearch

Elasticsearch — движок для поиска и аналитики в реальном времени. Разбираемся, как быстро развернуть его для логов, метрик и мониторинга.

Быстрый старт с Docker Compose

Самый простой способ поднять Elasticsearch локально или в dev-окружении — Docker Compose:

version: '3.8'

services:
  elasticsearch:
    image: docker.elastic.co/elasticsearch/elasticsearch:8.11.0
    container_name: elasticsearch
    environment:
      - discovery.type=single-node
      - xpack.security.enabled=false
      - "ES_JAVA_OPTS=-Xms2g -Xmx2g"
    ports:
      - "9200:9200"
      - "9300:9300"
    volumes:
      - esdata:/usr/share/elasticsearch/data
    ulimits:
      memlock:
        soft: -1
        hard: -1

  kibana:
    image: docker.elastic.co/kibana/kibana:8.11.0
    container_name: kibana
    environment:
      - ELASTICSEARCH_HOSTS=http://elasticsearch:9200
    ports:
      - "5601:5601"
    depends_on:
      - elasticsearch

volumes:
  esdata:
    driver: local

Production-ready deployment

Для прода нужны дополнительные настройки, как минимум мультинодовый кластер:

services:
  es01:
    image: docker.elastic.co/elasticsearch/elasticsearch:8.11.0
    environment:
      - node.name=es01
      - cluster.name=prod-cluster
      - discovery.seed_hosts=es02,es03
      - cluster.initial_master_nodes=es01,es02,es03
      - xpack.security.enabled=true
      - "ES_JAVA_OPTS=-Xms4g -Xmx4g"
    volumes:
      - esdata01:/usr/share/elasticsearch/data

  es02:
    image: docker.elastic.co/elasticsearch/elasticsearch:8.11.0
    environment:
      - node.name=es02
      - cluster.name=prod-cluster
      - discovery.seed_hosts=es01,es03
      - cluster.initial_master_nodes=es01,es02,es03
      - xpack.security.enabled=true
    volumes:
      - esdata02:/usr/share/elasticsearch/data

  es03:
    image: docker.elastic.co/elasticsearch/elasticsearch:8.11.0
    environment:
      - node.name=es03
      - cluster.name=prod-cluster
      - discovery.seed_hosts=es01,es02
      - cluster.initial_master_nodes=es01,es02,es03
      - xpack.security.enabled=true
    volumes:
      - esdata03:/usr/share/elasticsearch/data

Частые проблемы и решения

Out of memory:

• Проверьте настройки heap: не более 50% RAM
• Используйте ulimit -l unlimited для memlock

Медленные запросы:

• Оптимизируйте маппинги индексов
• Используйте index lifecycle management
• Настройте правильное количество шардов

Проблемы с дисковым пространством:

• Включите ILM для автоматической ротации индексов
• Настройте retention policy для старых данных
• Используйте _forcemerge для оптимизации

🐸 Библиотека devops'a

#арсенал_инженера

📰 Релиз Linux Mint Debian Edition 7

Команда Linux Mint выпустила LMDE 7 с кодовым именем «Gigi». Linux Mint Debian Edition — это дистрибутив, который работает напрямую на базе Debian вместо Ubuntu.

LMDE создавался как страховка на случай, если с Ubuntu что-то случится. Это альтернативная ветка развития, которая показывает, что Linux Mint может существовать независимо от Ubuntu и сохранить привычный пользовательский опыт.

➡️ Попробовать дистрибутив

🐸 Библиотека devops'a

#пульс_индустрии

🐸 Библиотека devops'a

#пятничный_деплой

📎 Топ-вакансий для девопсов за неделю

Парт-тайм девопс на удалёнке

DevOps-инженер от 250 000 ₽

Middle / Senior Devops на Linux до 400 000 ₽

Бустер — Офис у вас дома.

➡️ Еще больше топовых вакансий — в нашем канале Devops Jobs

👨‍💻 AI-агенты меняют подход к анализу логов в DevOps

Приложение упало в продакшене. Вы открываете Kibana, ищете ошибки вручную, переключаетесь между сервисами. Уходит 30-40 минут, иногда больше.

Скрипты находят только то, что вы в них прописали. Elasticsearch и Splunk не умеют автоматически связывать события из разных сервисов. AI-агент анализирует логи сам, находит корреляции и объясняет: «Утечка памяти в payment-сервисе привела к каскадным падениям. Такое уже было 15 сентября».

Внутри — разбор шести компонентов AI-агента: роль, задачи, инструменты для запросов, память для паттернов, ограничители безопасности. Плюс пример, как агент находит проблему с индексом в базе за несколько минут вместо получаса.

➡️ Прочитать статью

🐸 Библиотека devops'a

#арсенал_инженера

⚡️ KubeGUI 1.8

KubeGUI получил обновления 1.8.0 и 1.8.1. Главная фишка — встроенная AI-интеграция, которая анализирует ошибки и предлагает решения прямо в приложении.

Когда pod падает или deployment не запускается, вы открываете логи, копируете ошибку, идёте в ChatGPT или документацию, пытаетесь понять что не так. KubeGUI теперь делает это за вас — увидел ошибку, нажал кнопку, получил рекомендацию по исправлению.

Остальные улучшения: встроенный YAML-редактор с подсветкой и валидацией, прямой доступ к shell в pod, просмотр логов из нескольких контейнеров одновременно, генератор примеров для Custom Resources на основе CRD.

➡️ Затестить обновлённый KubeGUI

🐸 Библиотека devops'a

#пульс_индустрии

🚨 Взлом SMS-агрегаторов: почему CI/CD под угрозой

В даркнете продают 3 ТБ данных якобы от двух крупных российских SMS-агрегаторов. Пока официально не подтверждено, но сам факт напоминает о критической точке отказа в архитектуре большинства продуктов.

Почему это должно волновать DevOps

• Supply Chain Attack в чистом виде

SMS-агрегаторы — это классический пример supply chain риска. Через них проходят одноразовые коды, PIN-коды и ссылки восстановления паролей для тысяч сервисов. Одна скомпрометированная точка — и валится безопасность всей цепочки.

• Ваши 2FA коды больше не ваши

Перехват 2FA-кодов и ссылок восстановления открывает путь к массовым захватам аккаунтов — от банков до корпоративных систем.

Что с этим делать

• Аудит зависимостей: составьте список всех внешних сервисов, через которые идёт критичная коммуникация.

• Мониторинг аномалий: настройте алерты на необычную активность в SMS/email каналах.

• Проверка API-ключей: убедитесь, что ключи доступа к агрегаторам не светятся в логах, Slack или документации.

• Многофакторность: используйте несколько каналов для критичных операций, напримеp, SMS + authenticator app + hardware token.

• Rate limiting: ограничьте количество запросов к SMS API и OTP-генерации.

• Zero Trust для внутряков: даже если сотрудник прошёл SMS-2FA, требуйте дополнительное подтверждение для критичных действий.

Главный урок: в supply chain нет мелочей. Каждая зависимость — потенциальный вектор атаки.

А можно просто пойти в Data Science и тогда защищать будете не вы, а вас. С нашим курсом математики для Data Science переход будет проще простого, ещё и со скидкой!

🐸 Библиотека devops'a

#разбор_полётов

0️⃣ Калькулятор для сравнения облака и собственной инфраструктуры

Когда нужно решить, где разворачивать инфраструктуру — в облаке или на своих серверах — начинается головная боль. Цифры нужны точные, но переменных слишком много: железо, электричество, зарплаты, лицензии, безопасность. Excel быстро превращается в хаос.

InfraWise — открытый инструмент, который считает полную стоимость владения (TCO) для облачной и on-premise инфраструктуры.

Он учитывает больше 80 параметров: от стоимости электроэнергии и GPU до затрат на compliance: SOC 2, HIPAA, GDPR и человеческие ресурсы.

Инструмент строит прогнозы на несколько лет вперед с учетом инфляции и роста нагрузки, показывает точку безубыточности, разделяет капитальные и операционные расходы, визуализирует данные интерактивными графиками и предлагает готовые пресеты для стартапов, средних компаний и энтерпрайза.

➡️ Посчитать затраты

С нашим курсом по Python не нужно считать затраты, потому что он со скидкой в 40% до конца октября!

🐸 Библиотека devops'a

#арсенал_инженера

🔄 Октябрьские релизы

Свежие версии решений для DevOps, Linux-дистрибутивов и инструментов разработки

— Bun 1.3

— Вышел Tino

— Tails 7.1

— Linux Mint Debian Edition 7

— KubeGUI 1.8

🐸 Библиотека devops'a

#дайджест_недели

🌐 Балансировка нагрузки в Nginx

Nginx предоставляет несколько алгоритмов распределения трафика между серверами. Каждый метод решает конкретные задачи и подходит для разных сценариев.

• Round Robin

Запросы поступают на серверы по очереди. Это стандартный метод, который не требует дополнительных директив.

upstream backend {
    server 192.168.1.101;
    server 192.168.1.102;
}

• Least Connections

Новый запрос направляется на сервер с наименьшим количеством активных подключений. Nginx автоматически отслеживает нагрузку.

upstream backend {
    least_conn;
    server 192.168.1.101;
    server 192.168.1.102;
}

• IP Hash

Запросы от одного IP-адреса всегда попадают на один и тот же backend-сервер. Обеспечивает сохранение сессий без дополнительной синхронизации.

upstream backend {
    ip_hash;
    server 192.168.1.101;
    server 192.168.1.102;
}

• Weight

Более производительные серверы получают больше запросов пропорционально указанному весу.

upstream backend {
    server 192.168.1.101 weight=3;
    server 192.168.1.102 weight=1;
}

Совет: методы можно комбинировать с параметрами max_fails и fail_timeout для автоматического исключения недоступных серверов из балансировки.

🐸 Библиотека devops'a

#root@prompt

⚡️ GNOME 49.1

Команда GNOME выпустила версию 49.1. Это обновление сосредоточено исключительно на исправлении багов и не включает новых функций.

Даже сами разработчики характеризуют его как скучное обновление.

➡️ Источник

Чтобы обновления не были скучными багфиксами можно пройти наш интенсив по архитектуре и шаблонам проектирования. До конца октября со скидкой!

🐸 Библиотека devops'a

#пульс_индустрии

💻 В России появится Ассоциация облачно-ориентированных технологий

Yandex Cloud, VK Cloud и «Флант» создадут Ассоциацию облачно-ориентированных технологий (АОТ) — независимую платформу, которая будет развивать Cloud-native подходы и Kubernetes в России.

Ассоциация займётся формированием стандартов, поддержкой open source и объединением инженерного сообщества. Среди приоритетов — развитие DevOps-практик и популяризация Kubernetes.

➡️ Источник

Познакомиться с проектом можно будет уже 4 декабря на конференции Kuber Conf by АОТ, где можно будет узнать о миссии АОТ, познакомиться с командой и подать заявку на вступление.

🐸 Библиотека devops'a

#пульс_индустрии #kubernetes