💻 Шпаргалка по экосистеме Kubernetes

Must-have для DevOps и SRE, а также для платформенных инженеров и архитекторов, которые хотят иметь под рукой полную картину экосистемы инструментов.

by: ByteByteGo
#полезное #красивое

🌏 DR-план работает только в тестах?

Средний простой критичных систем стоит 2 млн ₽.

Мы уже разбирали, как составить DR-план, но важно помнить: сам документ не гарантирует защиты.

⚠️ Его нужно проверять на практике.

🏓 Как проверять?

— Настольный тест — команда собирается и пошагово обсуждает действия при сбое: кто за что отвечает, какие процессы запускаются.

«Нам не хватало экспертизы в миграции и формализации. Коллеги из Cortel провели консультации, обучили сотрудников, подготовили документацию (DR-план, runbook и др.) и внедрили кластерное решение AlwaysOn»
— заместитель ИТ-директора крупного ритейлера в Сибирском ФО.

— Техническая симуляция — проверяется, поднимаются ли сервисы с резервных копий, работает ли репликация, насколько корректно идут переключения.

«Тестировали развёртывание резерва на разных площадках: основная ERP DBDAX не запустилась на HDD. Коллеги предложили перевести на SSD — заработало», — замдиректора по ИТ.

— Полное учение — моделируется аварийная ситуация, команда выполняет все шаги «вживую».

🏓 Как часто?

— Раз в год — полноценное тестирование с имитацией инцидента.

— После любых значимых изменений в инфраструктуре или бизнес-процессах.

— Для систем с высокой динамикой — дополнительно, раз в квартал или чаще.


🟢Эффективность DR-плана определяется не его наличием, а реальной применимостью.

«Мы рассматриваем Cortel как четвёртую линию — экспертизу. Обращаемся при любых внутренних сложностях и оперативно получаем практико-ориентированные советы, которые сразу внедряем», — замдиректора по ИТ.

#гайды

🖥 Горячие клавиши для управления процессами в Linux-терминале

Работа в Linux-терминале — это про скорость и эффективность, а горячие клавиши помогают мгновенно управлять процессами и сессиями.

⌨️ Подборка из 7 полезных комбинаций для прерывания и управления процессами.

Ctrl + C (SIGINT) — Прерывает выполнение текущего процесса, отправляя сигнал SIGINT. Например, если вы запустили tail -f или бесконечный цикл, Ctrl + C завершит его.

Ctrl + D (EOF) — Отправляет сигнал конца ввода (End of File). В контексте SSH-сессии или терминала закрывает текущую сессию, эквивалентно команде exit. Если ввести в пустой строке, завершает ввод для программ, ожидающих данные (например, cat > file.txt).

Ctrl + Z (SIGTSTP) — Приостанавливает выполнение процесса, отправляя сигнал SIGTSTP, и переводит его в фоновый режим. Чтобы вернуть процесс, используйте fg (в передний план) или bg (в фон). Пример: приостановите top и вернитесь к нему позже.

Ctrl + S (XOFF) — Приостанавливает вывод в терминал (например, для длинных логов). Полезно, чтобы временно "заморозить" поток данных.

Ctrl + Q (XON) — Возобновляет вывод, остановленный Ctrl + S. Если терминал "завис" после Ctrl + S, это спасение.

Ctrl + L — Полная очистка терминала (clear)

Ctrl + R — Поиск по истории команд

Горячие клавиши вроде Ctrl + C, Ctrl + Z и Ctrl + D — must-have для эффективной работы в терминале. Они экономят время и помогают управлять процессами без лишних команд

#заметкиИнженера

🖥 Командная строка Linux

Практическое руководство по работе в командной строке Linux для администраторов, программистов и опытных пользователей.

🔎 Рассматривается:
— работа в консоли и настройка системы,
— особенности файловой системы Linux,
— команды для работы с текстом, сетью и Интернетом,
— инструменты системного администратора,
— написание скриптов на bash и tcsh,
— перенаправление ввода-вывода, маски, псевдонимы и запуск программ.

Автор:
Д. Н. Колисниченко
Издательство: БХВ-Петербург, 2023

#книги

🔈 Сентябрьские изменения в 152-ФЗ: что нужно сделать

С 1 сентября вступают в силу новые правила обработки персональных данных.

➡️ Что именно меняется:

➡️ Согласие на обработку данных — отдельный документ.
Больше нельзя прятать согласие внутри договора или пользовательского соглашения. У человека должен быть отдельный текст, где ясно сказано, какие данные собираются и зачем.

➡️ Обезличивание по методам.
Простая замена имени на «Х» больше не работает. Теперь должна быть формальная процедура: метод описан во внутреннем документе, исходные и обезличенные массивы хранятся раздельно, доступ к ним ограничен.

➡️ Жёсткая локализация.
С июля уже действует запрет на сбор и обработку данных россиян через базы за рубежом. Сентябрь лишь усиливает требования. Даже сторонний сервис аналитики или CDN может стать нарушением, если он обрабатывает ПДн за пределами РФ.

➡️ Что делать

➡️ Провести аудит.
Составьте карту, где именно собираются, хранятся и передаются данные. Важно проверить сторонние сервисы: облака, CRM, платёжные системы, маркетинговые платформы.

➡️ Обновить формы согласия.
Все новые согласия — только отдельными документами. Старые действуют, но при следующем обновлении или переподписании используйте новый формат.

➡️ Утвердить порядок обезличивания.
Пропишите методику, назначьте ответственных, разделите хранение. Это должно быть отражено во внутренних актах.

➡️ Перепроверить инфраструктуру.
Убедитесь, что данные не уходят за границу: ни напрямую, ни через вспомогательные сервисы.

➡️ Подготовить ОРД.
Политики, инструкции, регламенты — всё должно быть оформлено и актуально. При проверке у компании должен быть «набор доказательств» соответствия.

⚠️ Эти изменения — не формальность.
Регуляторы теперь имеют понятные критерии, по которым будут проверять операторов. Компании, которые успеют подготовиться, смогут избежать не только штрафов, но и риска остановки процессов.

#ИТиЗАКОН

📍Трансграничная передача персональных данных в 2025: вопрос-ответ по ПДн

🔵 Что относится к трансграничной передаче?
🔵 Как быть компаниям, которые работают с иностранцами?
🔵 И о других конкретных кейсах

👉 Рассказала Вероника Нечаева

😎 Про речку, рыбалку и «идеальную точку»

Сидим на созвоне, ждём всех участников. Длинный проект с тяжёлой инфрой. ДИТ, только вышедший из отпуска, рассказывает историю, чтобы скоротать время…

Последняя пятница перед отпуском. Чувствую, что я уже медиум-рейр. Дедлайн поджимает, таски в джире горят, пайплайн крутится, билды в очереди, а я в огне.

Звонит друг: «Бросай свои комплюхтеры и поехали на рыбалку, место знаю хорошее!»

Вместо того чтобы закончить пораньше и послушать друга, я закрыл всё только к вечеру, и выехали мы после заката.

Ориентир был — «мостик с перилами и сразу вниз к воде». Пока искали, проехали несколько рек, где спокойно можно было бы остановиться, но друг упрямо тянулся к той самой «идеальной точке», и мы выбрали «бороться и искать».

Спустя пару часов, наконец-то мостик, перила, съезжаем на обочину, спускаемся вниз к воде. Перед нами — широкая гладь, тот берег даже фонарём не пробьёшь. Красота! Камышей нет, место и правда идеальное.

Закинули снасти, чуть перекусили, для храбрости… и незаметно отключились.

Проснулись на рассвете от гудков машин и криков. Смотрим вверх: водители сигналят и машут руками.
Собралась толпа, нас снимают и ржут в голос.

Мы оглядываемся, а у нас вместо реки — огромная лужа и бескрайнее поле люцерны, откуда торчат одинокие удочки…

Мы тогда собрались и уехали днём на «ту самую точку», но история как будто даже важнее улова.

Созвон прошёл, ДИТ поблагодарил всех и спросил, как у нас дела, и мы поделились последними новостями:

👀 Расширили проектный офис, чтобы курьёзные истории с рыбалкой возникали у вас чаще, чем истории с инфрой.
👀 Реализовали большой проект по миграции: перенесли мультисервисную инфраструктуру — дедики под БД и с GPU, огромный монолит в привате, и всё это — с отказоустойчивой, резервируемой сетевой связностью между ЦОДами клиента… Осенью расскажем подробно, как вы любите ❤️
👀 Каждому пользователю облака дали доступ к биллинговой системе с автоматизированными расчётами.
👀 Провели 4 полноценных ИБ-аудита по 152-ФЗ: в образовании, гостиничном комплексе, банке и производственной сфере.

Каждый месяц вас всё больше, и мы рады быть для вас полезными. Лето почти прошло, но самые интересные истории — впереди. Спасибо, что вы с нами 🩵

#ЛетоДосвидания

Этот день настал😘

Друзья, по уже сложившейся небольшой традиции, в пятницу дружески напоминаем вам о том, что если вы пользуетесь российскими облачными экосистемами — то практически выиграли нашу фирменную толстовку.

Тёплую, модную, объёмную, говорящую😎

А всего-то надо уделить 5 минут времени и коротко рассказать, где что отваливалось, чего не хватает, а что нравится в российских облаках👇

👉 Заполняю анкету и забираю толстовку

P.S. 3 толстовки 3 авторам самых подробных ответов
P.P.S. Первому автору-победителю напишем уже в понедельник!
P.P.P.S. Вдохновиться историями коллег можно в постах #подслушано

👉 Ну ладно, иду заполнять!

🎙️ За неделю

✉️ Искусственный интеллект станет главным направлением, проекты с ним будут получать поддержку государства в первую очередь.

✉️ DDoS-атаки на фармкомпании в России резко выросли: с начала августа их стало на 82 % больше.

✉️ Российские производители предложили усложнить госзакупки иностранной электроники.

✉️ Главная угроза электросетям — скачки энергопотребления от ИИ-систем, которые могут физически повредить инфраструктуру.

⚖️ Законы для ИТ и связи: что изменилось с 01.09.2025

👀 Персональные данные: отдельное согласие, обезличивание и передача в НСУД
Закон: 233-ФЗ (08.08.2024) , ПП №702 (22.05.2025) , №740 (28.05.2025 ), №961 (26.06.2025) , Приказ РКН №140 (19.06.2025).

Что изменилось:
📍Согласие на обработку ПДн теперь оформляется отдельным документом — нельзя прятать в договор или анкету.
📍По запросу Минцифры компании должны передавать обезличенные данные в гос­платформу (НСУД).
📍Данные нужно хранить раздельно: исходные и обезличенные. Требуются внутренние правила (локальные акты) по обезличиванию.

👀 Экстремизм и VPN: ответственность за умышленный поиск + запрет рекламы VPN
Закон: 281-ФЗ, 332-ФЗ (31.07.2025)

Что изменилось:
📍Появилась ответственность за умышленный поиск и доступ к экстремистским материалам (в т.ч. через VPN).
📍Рекламу VPN и сервисов обхода блокировок размещать нельзя.

👀 Абонентские номера и учётные записи: запрет длительной передачи третьим лицам
Закон: 281-ФЗ (31.07.2025); ПП №1050 (12.07.2025)

Что изменилось:
📍Нельзя надолго передавать свой номер (SIM) третьим лицам.
📍Нельзя передавать чужие логины/пароли без ведома владельца.
📍Краткая личная передача и передача близким/из перечня — допустима.

👀 Реклама на ресурсах нежелательных/заблокированных организаций — под запретом
Закон: 72-ФЗ (07.04.2025).

Что изменилось:
📍Запрещено размещать рекламу на сайтах/в приложениях нежелательных или экстремистских организаций, а также на ресурсах с ограниченным доступом в РФ.

👀 Предустановка ПО: MAX в перечне, RuStore обязателен (включая iOS/HyperOS)
Закон/акты: 194-ФЗ (07.07.2025); Распоряжение Правительства №2240-р (19.08.2025).

Что изменилось:
📍В перечень предустановки включили MAX (вместо VK Messenger).
📍RuStore обязателен на Android, HarmonyOS, iOS и HyperOS.
📍Нельзя ограничивать установку, использование и оплату приложений через RuStore. Иначе — товар считается с недостатком.

#ИТиЗАКОН

🎚 Управляемая деградация

Недавно, обсуждая оперативную устойчивость, зацепили тему управляемой деградации.

Наш инженер вспомнил, как на заре своей карьеры попал в такое “боевое крещение”:

«Мы пилили один интернет-сервис. Предпраздничные дни, нагрузка выросла в 4 раза и сервера начали гудеть, как старый трактор. Главный архитектор сказал: «Всё, режем жир». Выключили аналитику, убрали тяжёлые картинки, закрыли пару второстепенных API — и дожили до вечера без падения. Клиент платил, корзина работала, авторизация держалась. Остальное вернули позже — по плану.»

❕ Управляемая деградация это отличный инструмент, но в нем есть подводные камни и преимущества

➡️ Минусы

🔴Надо знать, что резать.
Если рубанёшь не то, то вместо мягкой посадки получится эпичный краш. Нужно заранее иметь «список жертвенных функций».

🔴Пользователь всё равно что-то заметит.
Да, он останется в системе, но может выказать недовольства. Особенно, если отключили то, к чему он привык.

🔴Соблазн оставить всё как есть.
Иногда после аварии всё чинить лень, и «режим урезанной функциональности» живёт годами. А это уже не управляемая деградация, а технический долг.

➡️ Плюсы

🟢Выживание.
Главное — система остаётся на ногах, даже если хромает. Это спасает репутацию и деньги ( SLI/SLO/SLA).

🟢Гибкость.
Можно быстро адаптироваться под нагрузку, экономить ресурсы и отложить катастрофу.

🟢Хороший тест для архитектуры.
Если можно отключить второстепенные части и сервис при этом не падает — значит, архитектура живая.

➡️ Как готовиться и действовать:

🟡 Шаг 1 — подготовка
— Задать пороги включения деградации: что именно и при каких метриках выключаем.
— Составить матрицу приоритетов A/B/C и согласовать список «жертвенных».
— Внедрить переключатели фич, лимитирование трафика, автоматические “отсекатели” и брокер очередей.
— Потренировать переключения на учениях.

🟡 Шаг 2 — Отключение
— Отключать по приоритетам: сначала C, затем B; A — неприкасаемые (авторизация, корзина, оплата).
— Решения фиксировать: кто, что, когда отключил и на какой срок.
— Коротко сообщить пользователю: статус-страница или баннер «часть функций временно недоступна».

🟡Шаг 3 — Возврат
— Определить критерии отката: возвращаем функциональность, когда метрики стабильно в зелёной зоне.
— Восстанавливать в обратном порядке: B → C, с мониторингом.
— Короткий разбор: что сработало, что улучшить; обновить пороги и список «жертвенных».

🤔 Когда может пригодиться:

Праздники, распродажи и прочие «дни хаоса», резкий хайп, аварии, экономия бюджета, учебные тревоги.

Управляемая деградация — как режим энергосбережения для сервиса и часть общей операционной устойчивости: вместе с DR-планом и регулярными учениями.

#гайды

⭐️ Загадка зависшего Temporal UI. Часть 1 — расследование

Развернули Temporal (оркестратор workflow) в Docker и подключили две PostgreSQL-базы (основная и visibility).

Всё шло гладко. Через какое-то время от разработчиков прилетел запрос: «UI Temporal отдаёт 200 ОК, но ничего не грузит. Страница открывается, но данные не появляются.»

📍Проверили:
— Нагрузка на ноды в норме
— CPU/память без пиков, диски не забиты
— Алерты молчат.

Пробовали масштабировать Temporal и облегчить «тяжёлые» воркфлоу — без эффекта.
Подключили детальный мониторинг БД — и словили сюрприз: задержка отдельных запросов доходила до ~8 минут.

Копнули глубже: очередь соединений росла, а PgBouncer упирался в лимиты пула.
Это и оказался корень проблемы.

📍Что такое PgBouncer
— это лёгкий прокси для PostgreSQL, который управляет пулом соединений. Он ограничивает число одновременных коннектов от приложений, чтобы не положить базу. Когда пул переполнен, новые запросы встают в очередь и ждут свободного «слота». В этот момент UI кажется «зависшим»: страница уже вернула 200 ОК, но данных нет — запросы стоят в очереди на соединение.

Простая метафора
Запросы — пассажиры на остановке.
Пул соединений — парк автобусов с фиксированным числом машин(например 50).
База — конечная точка пути.
Пока все автобусы заняты, новые пассажиры стоят в очереди. Чем длиннее очередь, тем дольше UI «ничего не показывает».

Как это выглядит в архитектуре:

[Приложение / Temporal UI] → запросы → [PgBouncer] → очередь → [PostgreSQL]

📍Как мы подтвердили узкое место
— На дашбордах выросло время ответа БД и число «висящих» запросов
— В PgBouncer cl_active упёрся в лимит пула, а cl_waiting начал расти

Во второй части разберем:
— Подробный разбор: max_client_conn, default_pool_size, reserve_pool_size
— Что это такое и как работает — на аналогии с «автопарком» и очередью
— Как подобрать значения под вашу нагрузку и ограничения Postgres.

#заметкиИнженера

💳 Broadcom закручивает гайки

Не будем лукавить, многие до сих пор держат прод на стеке VMware/Bitnami — и теперь это бьёт по воспроизводимости.

Bitnami закрывает бесплатный доступ к версиям образов: публично остаются лишь :latest, версионированные теги уводятся в docker.io/bitnamilegacy (без обновлений и поддержки), а поддерживаемые и безопасные образы доступны в платной линейке Bitnami Secure Images.

🔘 Какие есть альтернативы

Бесплатно:
Docker Official Images (Postgres, NGINX, Redis и т. д.), официальные чарты от вендоров и community-чарты от проектов: grafana/helm-charts, prometheus-community, ingress-nginx.

Безопасно:
Docker Hardened Images, Chainguard Images (distroless/Wolfi), Red Hat UBI + официальные образы приложений.

Самостоятельно:
Собрать образы и чарты из исходного кода и опубликовать их в приватный реестр.

🔘 Что сделать сейчас

— Временно переключить образы на docker.io/bitnamilegacy/<image>:<tag> под теми же тегами, чтобы сервисы не упали. Это только на период миграции: в bitnamilegacy не будет обновлений и патчей.

— Запретить :latest во всех деплоях и прикрепить версии по digest . Политики можно зафиксировать admission-контроллером/OPA.

— Поднять локальный pull-through cache/реестр, например Harbor, и прописать registry mirrors в containerd/docker и CI — это снизит риск сбоев из-за потери связи с основным реестром (например, при его недоступности или удалении).

— Заменить Bitnami-образы на аналоги из Docker Official Images или «закалённые» по одному сервису за раз (canary/rolling). Проверить несовместимости: переменные окружения, пути, права пользователя, probes.

— Обновить Helm-values: image.repository, image.tag (или digest). При миграции на другие чарты сохранить PVC/секреты и аккуратно пробросить совместимые ENV.

— Включить сканирование образов и SBOM в CI/CD (например, Trivy/Grype/Docker Scout), верификацию подписи Sigstore (cosign), и настроить автоматические обновления зависимостей через Renovate/Dependabot.

👍 Ещё один способ не зависеть от Bitnami и других поставщиков образов и чартов: Nexus Repository как приватный реестр и pull-through cache.
Мы сами его активно используем.

⭐️ Sonatype Nexus Repository — универсальный менеджер артефактов для команд разработки и DevOps.
Централизует хранение, проксирование и раздачу пакетов/образов, ускоряя сборки и упрощая CI/CD.

Поддерживаемые форматы: Maven, npm, PyPI, NuGet, Docker Registry (OCI-совместимые образы), Helm, Go Modules, Cargo, Conan, APT/Yum, Conda, Git LFS, Hugging Face и др.

✅ Основной функционал:
— Хостинг приватных и проксирование внешних репозиториев (Maven, npm, PyPI, NuGet, Docker и др.)
— Групповые репозитории: один URL для клиентов и пайплайнов
— Редакции: Community Edition (СЕ) и Professional (Pro)
— Кэш зависимостей; для изолированных прокси-кэш (CE) + Content Replication (Pro)
— Роли и права (RBAC), LDAP; SSO/SAML (Pro)
— Политики очистки, soft-квоты; blob-хранилища: файловая система (CE), S3 (CE), Azure/GCS (Pro)
— REST API и вебхуки для автоматизации
— Лёгкое подключение в Jenkins, GitHub Actions, GitLab CI/CD, Azure DevOps
— Высокая доступность и кластеризация (Pro)
— Публикация и раздача внутренних пакетов, образов и release-артефактов

👉 Git
#полезное

🤵 Секреты сильного спикера: выступление без волнения (часть 2) (часть1)

Даже идеально собранный материал не будет работать, если выступающий сбивается, говорит слишком быстро или монотонно.

🎧 Важна еще работа над собой

1️⃣ Снизьте волнение

Оно есть у всех - это нормальная реакция тела. Плюс в том, что адреналин мобилизует.

Что помогает:

🟢репетиция несколько раз в полный хронометраж;
🟢три глубоких вдоха и выдоха перед выходом;
🟢смещение внимания с себя на то, какую пользу получат слушатели.

✏️ Д.З.
Перед важной встречей или звонком попробуйте дыхательную разминку и отметьте, как меняется состояние.

2️⃣ Разогрейте голос и речевой аппарат

Это убирает зажимы и делает речь более уверенной и чёткой.

Что помогает:

🟢дыхание:
— вдох через нос, выдох ртом со звуком «ссс» или «шшш» как можно дольше;
— протяжные звуки «ааа», «ммм», «ууу»;

🟢артикуляционная гимнастика:
— вытяните губы «трубочкой», затем улыбнитесь максимально широко;
— покрутите языком по кругу за щёками, будто «разминаете» рот изнутри;
— сделайте несколько быстрых чередований: «па-па-па», «та-та-та», «ка-ка-ка»;

🟢скороговорки:

«То ли Толя — кореш Коли, то ли кореш Толи — Коля. Коли Коля — кореш Толи, то и Толя — кореш Коли»

«Откуда на просеке просо?
Просыпали просо здесь просто.
Про просо просянки прознали.
Без спроса все просо склевали.»

кто прочитал Просе́кко - вам пора отдохнуть 🥂

✏️ Д.З.
Выберите одну скороговорку и повторяйте её утром и вечером в течение недели.

3️⃣ Контролируйте темп и паузы

Волнение ускоряет речь. Чтобы не «срываться в бег», держите ритм.

Что помогает:

🟢сознательные паузы после ключевых мыслей;
🟢пробный прогон доклада в два раза медленнее, чем обычно;
🟢запись себя на диктофон, чтобы услышать ускорения и сбои.

✏️ Д.З.
запишите на диктофон/видео кусок доклада и послушайте. Отметьте места, где хочется добавить паузы.

4️⃣ Привыкайте к микрофону

Микрофон усиливает не только голос, но и ошибки: шёпот, дыхание, резкие движения.

Что помогает:

🟢проверить звук заранее, сказать несколько фраз;
🟢держать микрофон на одном расстоянии (5-7 см от губ);
🟢потренироваться заранее, хотя бы с диктофоном на телефоне, чтобы привыкнуть к своему голосу.

✏️ Д.З.
Сделайте запись с микрофоном или на телефон и послушайте. Сначала голос покажется чужим, но привыкание наступает быстро.

💎
Работа со своим состоянием — это про уверенность.
Каждое выступление делает вас сильнее.

В третьей части разберём, какие неожиданности могут ждать на сцене и как быть к этому готовым.


#MentalDebug

😨 всем теплых осенних выходных 🐾

🎙️ За неделю

✉️ Траты на ИТ-услуги в России в 2024г выросли на 23% до 883,3 млрд ₽ и продолжают расти в этом году. Быстрее всего это происходит в облаках и кибербезопасности — из-за импортозамещения, интереса к ИИ и желания экономить на «железе».

✉️ Ввод мощностей ЦОД в РФ просел: 3,7 тыс. стоек за I полугодие 2025 — втрое меньше, чем в I полугодии 2024.

✉️ Рынок ИБ вырастет к 2030 году для малого и среднего бизнеса в России с 15 до 35–37 млрд ₽: кибератак становится больше, регулирующие законы ужесточаются и цифровизация ускоряется.

✉️ Растет продажа доступов к ИТ-сетям российских компаний на теневых площадках: в 2025-м объявлений стало в 2,5–3 раза больше, средний чек около $500, и такие доступы чаще всего служат входом для атак-вымогателей или для кражи данных.

🔍 Периодическая таблица Кубернетиса

120 элементов k8s в одном месте.

#полезное #красивое