🔥 Разбираемся в eBPF

eBPF (extended Berkeley Packet Filter) — экосистема, с помощью которой мы можем модифицировать поведение ядра Linux без переписывания самого ядра. Например, изменить логику работы сетевого стека, добавить фильтрацию на уровне пакетов, перехватывать системные вызовы и т.п. Все это делается через eBPF-программы, которые загружаются в ядро динамически. Любая eBPF-программа — это всегда две программы.

⚪️ Часть Kernel space (код на C)

- Исполняется прямо в ядре Linux с большой скоростью
- Есть жесткие ограничения на внешние библиотеки, на длину функции и циклы. Верификатор строго проверяет код перед загрузкой
- Позволяет прикрепить хуки к системным вызовам ядра

⚪️ User space (Go, Python, Rust)

- Обычная программа без ограничений
- Может вызывать Kubernetes API, открывать сокеты, писать в файлы
- Общается с kernel-частью через специальные примитивы для коммуникации

⚪️ Примитивы для коммуникации:

- Глобальные переменные — например, счетчик пакетов, который kernel обновляет, а userspace читает
- Хэшмапы (BPF maps) — словари для передачи данных
- Ring buffers — очереди для уведомлений: получили пакет → отправили событие в userspace

eBPF дает нам возможность менять низкоуровневое поведение системы и реагировать на события с помощью верхнеуровневого языка.

@DevOpsKaz 😛

🔥 Масштабирование Terraform для множества команд

Когда Terraform становится занозой: хаос в коде, конфликты, дублирование, медленные ревью, риски безопасности и низкая скорость доставки... Чтобы платформенная команда могла управлять стандартами, а разработчики работали быстро и безопасно, команда построила нативный фреймворк для масштабирования Terraform без внешних инструментов.

Проблемы, которые они решали:

⚪️ Разные команды используют разные версии Terraform, providers и модулей
⚪️ Нет единого стандарта именования, тегов, backend иremote state
⚪️ Дублирование модулей и boilerplate-кода
⚪️ Ручные ревью и долгие проверки безопасности
⚪️ Отсутствие контроля за тем, кто и что деплоит в прод

Решение, которое помогло — Native Terraform Framework:

⚪️ Единый корневой root-модуль

Один общий Terraform-модуль, который все команды используют как базовый. Внутри — жестко прописанные правила.

⚪️ Модули как пакеты

Все модули лежат в одном моно-репозитории (или в отдельных, но с единым реестром). Каждая команда просто вызывает нужные модули. Обновление версии обновляет всех.

⚪️ OPA / Rego для политики

Вместо ручных ревью используют Open Policy Agent (OPA) + Conftest / Terraform Plan Policy.

⚪️ Self-service для разработчиков

Платформенная команда предоставляет готовые модули и политики. Разработчики не пишут сырой Terraform, а используют только утвержденные модули и следуют политикам. Это снижает ошибки и ускоряет доставку.

⚪️ GitOps-подход через GitHub Actions / GitLab CI

Главное — заставить всех использовать один и тот же источник истины (модули и политики), а не писать Terraform с нуля.

@DevOpsKaz 😛

🔥 Gateway API Benchmarks

Ingress NGINX доживает последний месяц, многие переезжают на Gateway API. Как и Ingress, он поставляется с несколькими реализациями API. Эти реализации устроены совершенно по-разному. И для тех, кто хочет основывать выбор на реальных результатах, создали репозиторий gateway-api-bench.

Этот набор тестов для оценки реализации Kubernetes Gateway API поможет сравнить реальное поведение разных реализаций (Cilium, Istio, Envoy, Traefik, Kong и т.п.) в сценариях, которые не покрыты официальными тестами.

Тесты проверят:

⚪️ Прикрепление и распространение маршрутов
⚪️ Масштабирование
⚪️ Обработку изменений
⚪️ Производительность трафика

gateway-api-bench даст объективные данные о сильных и слабых сторонах контроллеров.

@DevOpsKaz 😛

🔥 State of the Software Supply Chain 2026

Предлагаем вашему вниманию ежегодный отчёт Sonatype, который анализирует тенденции в цепочках поставок ПО. Отчёт основан на данных о 9,8 трлн загрузок из репозиториев, анализе вредоносного ПО, уязвимостей, роли ИИ и регуляторных требований.

⚪️ Рост и нагрузка на open source инфраструктуру

В 2025 году четыре крупнейших реестра (Maven Central, PyPI, npm, NuGet) обслужили 9,8 трлн запросов. Основной объем трафика — «синтетический»: транзитивные зависимости, повторные загрузки в CI/CD из-за холодных кэшей и эфемерных раннеров, спам-публикации. Появление ИИ-артефактов (моделей весом в гигабайты) многократно усиливает нагрузку на инфраструктуру, которая изначально не была рассчитана на такие объемы.

⚪️ Эволюция атак на цепочки поставок

2025 год закрепил переход к индустриализации вредоносного ПО. Sonatype зафиксировала более 1,2 млн вредоносных пакетов с 2019 года, а в 2025 — 454 648 . Атаки стали стратегическими: кампания Shai-Hulud (500+ пакетов) продемонстрировала первую попытку саморепликации, а кампания IndonesianFoods создала колоссальный шум, выпуская пакеты каждые 7 секунд для обхода систем обнаружения. ИИ-агенты увеличивают риск, так как могут автоматически устанавливать зависимости с плохой репутацией, пытаясь исправить ошибки сборки.

⚪️ Неудачи в управлении уязвимостями

Управление ломается на трёх уровнях: Data Layer, Consumption Layer (даже после фиксов уязвимые версии продолжают массово загружаться), Ecosystem Layer. ИИ все это дело усугубляет: генерирует уязвимый код и ускоряет потребление рискованных зависимостей.

Рекомендация: переход к Lifecycle Management. Вместо того, чтобы просто «тушить пожары» по CVE, стоит внедрять блокировку на уровне репозитория (Firewall) и автоматическое обновление компонентов, пока они не стали EOL (End of Life).

⚪️ ИИ-агенты: галлюцинации и стратегии обновления

Использование ИИ ускоряет разработку, но без «приземления» (grounding) на реальные данные создает критические риски для цепочки поставок. Массовые галлюцинации версий: 27,76% рекомендаций по обновлению зависимостей от ведущих LLM содержат несуществующие версии. Это более 10 000 фантомных релизов, которые никогда не будут в реальном репозитории.

В 345 случаях следование советам ИИ приводило к ухудшению защищенности (рекомендации вредоносных пакетов или версий с известными уязвимостями).

Удивительно, что стратегия Sonatype Non-Breaking Changes (NBC) показала даже лучший прирост безопасности (+298%), чем просто переход на последнюю версию.

Что важного можно взять на заметку:

⚪️ AI Grounding: запретить ИИ-агентам прямую установку пакетов без сверки с «живыми» реестрами и политиками безопасности
⚪️ Гигиена инфраструктуры: внедрить локальное проксирование для снижения нагрузки на общественные реестры
⚪️ SBOM as Code: генерировать CycloneDX или SPDX не после, а во время сборки для автоматической аттестации

@DevOpsKaz 😛

🔥 Новости мира DevOps, которые вы могли пропустить

⚪️GitLab, v18.9

Крупный релиз с улучшением безопасности, производительности CI/CD и удобства работы с большими проектами. Из интересного: Job artifacts теперь могут быть до 10 ГБ (было 5 ГБ), новый тип job: manual с автоматическим завершением по таймауту, новый дашборд для мониторинга storage usage по группам/проектам.

⚪️ Longhorn, v1.11.0

Распределённое хранилище для Kubernetes перевёло V2 Data Engine в Technical Preview. Из других улучшений запомнилось: алгоритм выбора дисков для реплик с учётом баланса, активный мониторинг здоровья дисков нод, поддержка RWOP (ReadWriteOncePod) в Kubernetes и allowedTopologies в StorageClass.

⚪️ Argo CD, v3.3.0

Ввели PreDelete hooks, автоматическое обновление OIDC-токенов, поддержку имён ресурсов в clusterResourceWhitelist, shallow cloning для репозиториев, поддержку KEDA. Также добавили поддержку HTTPRoute в Gateway API, настройку иконок/цветов для кластеров и многое другое.

⚪️ Cilium, v1.19.0

Релиз со множеством новых фич: многоуровневые совпадения поддоменов в DNS-политиках, поддержка протоколов VRRP и IGMP в правилах host firewall, строгие режимы шифрования для IPsec и WireGuard, регистрация namespace в Ztunnel, поддержка GRPCRoute в GAMMA, TLS/mTLS для метрик Prometheus, автоматическая установка CRD для Multi-Cluster Services.

⚪️ KEDA, v2.19.0

Релиз добавил новый Kubernetes Resource Scaler, поддержку аутентификации на основе файлов для ClusterTriggerAuthentication и другие улучшения.

⚪️ Karpenter, v1.9.0

Автоскейлер нод для Kubernetes представил операторы Gte и Lte для requirements, метрику стоимости NodePool и логирование пайплайна consolidation.

@DevOpsKaz 😛

👀 LLM генерит «красивый код», но потом все разваливается

...появляются дубли, стиль разъезжается, растёт число заглушек, а отладка становится очень дорогой. Как снизить хаос в кодовой базе и сделать результат более предсказуемым и контролируемым?

LLM бывают полезны, но им нужны четкие процессы и контекст-менеджмент, иначе они становятся головной болью.

Выход — разложить контекст по чатам внутри проекта и запрашивать проверяемые артефакты:

⚪️ архитектуру обсуждать отдельно и не смешивать с реализацией
⚪️ план работ фиксировать в одном месте и не корректировать в каждом диалоге заново
⚪️ реализовывать код по этапам в отдельных чатах
⚪️ для документации / DevOps / security выделять отдельные контуры

👉 Подробнее о том, как организовать проект (промпты прилагаются)

@DevOpsKaz 😛

🔥 Промокоды и скидки от Linux Foundation

В репозитории вы найдете промокоды для сертификации, курсов, программ повышения квалификации, программ для ИТ-специалистов.

Полезно DevOps-специалистам, разработчикам и всем, кто готовится к сертификациям Linux Foundation (в первую очередь CKA, CKAD, CKS, KCNA, KCSA и другие Kubernetes-сертификаты) — сможете экономить на обучении и экзаменах.

Репозиторий агрегирует скидки на:

⚪️ Индивидуальные сертификации
⚪️ Бандлы (например, Kubestronaut: CKA + CKAD + CKS)
⚪️ Курсы, SkillCreds, IT Professional Programs
⚪️ Периодические акции (Lunar New Year, Cyber Monday, KubeCon и т.д.)

Забирайте себе в закладки и делитесь с коллегами 🫡

@DevOpsKaz 😛

🔥 GitHub Runner Scale Set Client: кастомное масштабирование self-hosted раннеров без Kubernetes

В начале месяца GitHub представил автономный модуль — Runner Scale Set Client. Если вдруг пропустили, объясняем, чем он полезен.

Он позволяет строить кастомные решения для автомасштабирования self-hosted раннеров на любой инфраструктуре (VM, Bare Metal) без Kubernetes и более тяжелого Actions Runner Controller.

Runner Scale Set Client берет на себя все взаимодействия с API GitHub по протоколу Scale Set, оставляя инженерам только подготовку среды исполнения. Также добавлена поддержка агентных воркфлоу для GitHub Copilot.

Многие локальные проекты в Казахстане используют выделенные серверы или облачные виртуалки, где K8s избыточен. Этот клиент — хороший способ сделать масштабирование CI-фермы с минимальными расходами.

@DevOpsKaz 😛

🔥 Принципы дзен DevOps

Многие знают о The Zen of Python — неформальной философии языка Python в виде 19 коротких принципов, которые описывают, каким должен быть хороший код и как вообще проектировался сам язык. Можно ли что-то позаимствовать для DevOps? Оказывается, что да.

Большая часть этих принципов применима к современному DevOps почти без изменений. Другие требуют пересмотра. «Дзен DevOps» — это результат личного опыта, разговоров и наблюдений за многие годы:

⚪️ инфраструктуры, которые легко поддерживать
⚪️ инфраструктуры, которые даже с современными инструментами оставались сложными и хрупкими
⚪️ десятки докладов на конференциях и прочитанных статей
⚪️ множество неформальных обсуждений практик с коллегами

Предлагаем расшифровку идей и размышлений одного энтузиаста.

👉 Читайте в новой статье

@DevOpsKaz 😛

🔥 Новости мира DevOps, которые вы могли пропустить

На этой неделе 2 больших апдейта.

⚪️ Grafana 12.4

Серьезный релиз с упором на улучшение работы с большими данными, AI-интеграцию и удобство администрирования. Основные изменения касаются производительности, визуализации и новых возможностей для команд.

Например, Grafana AI Assistant теперь встраивается в редактор дашбордов: генерирует запросы PromQL/LogQL по текстовому описанию, предлагает оптимальные панели. А также новые режимы отображения на Stat panel и поддержка RBAC на уровне дашбордов.

Кому важно обновиться:

- Командам с большими дашбордами (>100 панелей) — заметное ускорение.
- Тем, кто хочет AI-помощника в дашбордах.
- Организациям с жёсткими требованиями к аудиту и RBAC.

⚪️ Flux v2.8.0

Самый популярный GitOps-инструмент для Kubernetes получил апдейт безопасности, производительности и удобства работы с большими кластерами.

Ключевые изменения:

- Image Automation Controller теперь умеет автоматически обновлять образы по семантическому версионированию (semver) с учётом allow/deny-листов. Это решает проблему drift в production.
- Source Controller получил поддержку artifact provenance (SLSA Level 3) и встроенную проверку подписей

Самое важное для продакшена:

- Если используете Image Update Automation
- Если важна supply chain security
- Если много Helm-чартов

@DevOpsKaz 😛

🔥 IT PRO

Профессиональная информация в IT быстро устаревает, поэтому так важно держать руку на пульсе: новые инструменты, подходы к разработке, инфраструктурные решения. Но поиск качественных источников отнимает время, которое лучше потратить на задачи.

Папка IT PRO создана, чтобы закрыть этот вопрос. Внутри: каналы от практиков из IT, DevOps, QA, системного администрирования и не только. Только нужный контент от людей, которые реально работают в индустрии.

Добавьте папку, и у вас будет постоянный доступ к актуальной технической информации без необходимости вручную искать и фильтровать каналы.

👉🏻 Добавить папку

И не забывайте ставить реакции, чтобы мы понимали, какой контент вам заходит, а какой — нет.

@DevOpsKaz 😛