Пятничное чтиво от DevOps FM

💬 Неделя подходит к концу, а смельчаки-инженеры вовсю готовятся к развертыванию (ни пуха!). Сегодня обсудим вечную дилемму – железо или облако? Внизу вынесли популярные мнения пользователей Reddit, а весь тред оставили – здесь.

BuffaloJealous2958
Многие из тех, кто вырос на железе, скучают по ощущениям от настройки. Раньше ты мог встроить серверы, затюнить Linux руками, знать как и где протекают рабочие процессы. В облаке ощущение, что предоставляешь управляемые услуги и пытаешься не сжечь весь бюджет компании за месяц.
Облако никуда не денется, но и on-prem решения тоже. Всё меняется, от действий регуляторов до развития гибридных решений.

CaptainPonahawai

Ещё важно смотреть на масштаб и текущие цели компании. По личному опыту, на работе всё в облаке, тк нет ни ресурсов, ни времени для поддержания железа.

AlterTableUsernames

Да вы, сэр, зрите в корень. В Европе сейчас растущий спрос на личные облака, железо и в принципе уход с аренды.

rvm1975

Глобально нет никакой разницы между EC2 и VMware/Proxmox VM. Практически те же компоненты, типа хранилищ и тд. Разница лишь в цене за ошибку и ведению FinOps.

red_00

Облако дает доступ к управляемым услугам. Так, в работе я сосредотачиваюсь на архитектуре, безопасности и не думаю о поддержке.

👀Вопрос остается открытым: что выбрать? Если хотите узнать чуть больше – смотрите запись выступления тех. руководителя НИКСИС | NIXYS Петра Рукина.

Хороших выходных и спокойных смен!

#devops #облако #железо #reddit

Провалы в памяти Kubernetes: 90 секунд задержки

👩‍💻 Начинаем понедельник с разбора. На портале Dzone Шамшера Хан объясняет, с чем связана задержка в отчётности Kubernetes. Причины оставили ниже, подробности о решениях на примере лабы – в статье.

Задержка в отчетности возникает из-за трёх факторов:
• быстрое удаление событий и метрик
• отсутствие информации об объекте или конфиге в момент сбоя,
• данные из разных систем (метрики, события, логи) не связаны по времени.

Хан приводит 3 предела, в которые упирается диагностика: запрос состояния системы в конкретный момент (состояние пода в 22:32), единый контекст для сравнения метрик и сохранение истории действий контроллеров.

👩‍💻 Примеры на практике – в kubernetes-diagnostic-primitives repo.

Из очевидных плюсов – Kubernetes быстро восстанавливается, минус – не сохраняет причины падения. Важно фиксировать «следы инцидента», иначе картина сбоя будет неполной и приведет к повторным ошибкам.

Продуктивной недели без инцидентов!

#девопс #k8s

Новостной дайджест

👀Срединедельный DevOps! Подготовили для вас ключевые обновления за первую неделю апреля: релизы, изменения в безопасности и инфраструктуре, а также туториалы для работы с контейнерами и сетями.

⏺ Jenkins опубликовали отчет SIG, в котором рассказали о прекращении поддержки Java 17. В планах объявили о запуске LTS-ветки 2.555. Релиз кандидат был выпущен 1 апреля, а финальная версия с интеграцией Spring Security 7 и Spring Framework 7 запланирована на 15 апреля. Подробнее – здесь.

⏺ Вышел релиз OpenSSH версии 10.3 2 апреля. В обновлении сделали упор на безопасность: в ssh(1) исправили уязвимость, из-за которой имя пользователя из командной строки могло привести к выполнению shell-команд, в sshd(8) исправили ошибку сопоставления principals, которая могла приводить к некорректной аутентификации. Из нового, ввели поддержку IANA для SSH-агентов, добавили расширения query. Подробнее – тут.

⏺ С релизом Docker Desktop 4.68.0 от 7 апреля Gordon сохраняет контекст при переключении между сессиями и учитывает предпочтения. Также обновили компоненты Docker Agent v1.39.0 и Docker Model v1.1.28. Об улучшениях – здесь.

⏺ В Cozystack v1.2.0 добавили встроенную поддержку OpenSearch, пиринг VPC для соединения с частной сетью без отправки трафика через публичные endpoint-ы, систему SchedulingClass для улучшенного контроля. Также, добавили поддержку кластерного режима в VictoriaLogs, улучшили хранение и восстановление снепшотов с LINSTOR. В патч-релизе v1.2.1 исключили риски случайного удаления пакетов, вернули корректные лимиты CPU. Подробнее – тут.

⏺ Представили новую версию nginx 1.29.8, в которую включили директиву max_headers для ограничения количества HTTP-заголовков, обеспечили совместимость с OpenSSL 4.0, а также исправили обработку HTTP 103 Early Hints и ряд багов. Все изменения – здесь.

⏺ В ядре Linux 7.0-rc1 упала производительность после изменения sched. На системах архитектуры arm64 отметили задержку пропускной способности в PostgreSQL. Причина кроется в изменении модели preemption (PREEMPT_LAZY) в планировщике, из-за чего 55% времени CPU уходит на «прокрутку» в (s_lock()). О проблеме – тут, а решениях – здесь.

⏺ На портале iximiuz.labs вышли туториалы по наблюдаемости и развертыванию. Теодор Джеймс Подобник представил пошаговый план по перенаправлению трафика на под с использованием eBPF. Ускоритель eBPF решает проблему сниженной пропускной способности и задержки при использовании Envoy-прокси. Инструкция и детали – тут. А Паша Сведерски и Антон Овчинников пошагово объяснили, как из директория ~/app с готовыми файлами Docker и yaml выполнить uc deploy и «докеризировать» Django с использованием Uncloud. Туториал оставили – здесь.

#релизы #jenkins #openssh #новостная_подборка

Итоги розыгрыша DevOps FM!

🎉Наступила пятница, а значит, самое время поздравить победителей розыгрыша:

1. Анастасия (@Ana_O_M)
2. Maksim (@mmalchuk)
3. Feodor (@feodor_serg)

Ура, теперь вы обладатели удобной фирменной футболки 🎙DevOps FM! Просим заглянуть в личные сообщения, где администратор оставил все подробности по получению.

Благодарим каждого за участие! Впереди вас ждут победы в новых конкурсах на канале, полезные подборки, свежие новостные дайджесты и разборы.

Желаем выходных без багов и спокойствия в рабочие смены!

✔️Проверить результаты

💻 История про GitOps, платформы и Kubernetes

Всем DevOps! Сегодня делимся обзором на kubara, фреймворка для построения платформы Kubernetes на GitOps. Артём Лайко в статье портала Medium рассказывает, как kubara помогает платформенным командам уйти от разрозненных Helm-чартов, Terraform-модулей и повторяющихся решений к единой структуре.

В статье kubara представлен как:
• единый бинарник CLI на Go
• фреймворк для платформы Bootstrap
• основа для hub-and-spoke мультикластерной архитектуры
• инструмент, который позволяет поднять рабочую платформу за ~30 минут

Особое внимание уделили формату:
Инструменты, дашборды, операторы и менеджеры (Argo CD, Kyverno, Prometheus, Grafana, Loki, Traefik) собираются в единый цикл GitOps для декларативного управления. С помощью kubara можно строить стек под платформу и требования вашей команды.

👩‍💻 Обзор kubara – тут, документация здесь и репо.

Желаем вам вдохновения и ровных Application-синков! 👍

#devops #kubernetes #gitops

Новости в DevOps FM

🔔В эту среду – только свежие релизы и лучшие практики.

I suspect it's a lot of AI tool use that will keep finding corner cases for us for a while.

⏺Спустя 2 месяца разработки, 12 апреля, Линус Торвальдс представил релиз новой ветки ядра Linux 7.0.

В изменениях вывели Rust из статуса «экспериментального», улучшили обработку ошибок ввода-вывода файлов и статический анализ Clang и io_uring, ввели функции мониторинга в XFS , а также ускорили запуск контейнеров за счет флагов для open_tree(2). Подробнее об изменениях – тут.

Патчи для Linux 7.1 также частично сгенерированы LLM, в частности Claude. Джефф Лэйтон отметил, что изменениях в поле inode->i_ino на 32-битных системах могут возникнуть сложности. В частности, struct inode может увеличиться на 4 байта. В текущей версии Урош Бизьяк устранил memory clobbers.

🟡Зарелизили nxs-universal-chart v3.0.7. Вместо привычного пакетного менеджера вас ждет модульная платформа для Kubernetes и платформенной поставки приложений.

Одно из ключевых изменений – переход на dependency-модель nuc-* sub-charts, которая упрощает развертывание. Внедрили проверку по schema.json и систему автоматической проверки. Рендеринг сделали детерминированным, чтобы минимизировать шум в diff’ах. С обновлением nxs-universal-chart и связанные nuc-* модули поставляются в OCI-формате, что упрощает работу с зависимостями. За подробностями изменений – на ArtifactHub, а релиз – уже на GitHub.

⏺В новую версию библиотеки OpenSSL 4.0 добавили API для ECH для улучшения шифрования, функцию хеширования cSHAKE, в TLS 1.2 поддержку обмена ключами FFDHE. Также удалили устаревшие опции и утилиты. Следующий релиз ожидается в октябре 2026, а поддержка текущей версии продлится до 14 мая 2027. Список изменений – здесь.

🟡 Опубликовали релизы стабильной ветки Nginx 1.30.0 и форка FreeNginx 1.30.0. В новой версии добавили поддержку протокола MPTCP, улучшили шифрование TLS-сеансов за счет расширения ECH (Encrypted ClientHello), включили директиву early_hints. Подрбности о релизе – тут.

⏺В блоге GitLab опубликовали лучшие практики по безопасности. В обзоре описали атаки в цепочке поставок в период с 19 по 31 марта 2026: компроментации в Trivy, Checkmarx KICS, LiteLLM и клиенте HHTP (axios).

В статье привели 3 проблемы, которыми воспользовалась Team PCP:
• недостаток проверки инструментов внутри конвееров
• отсуствие валидации пакетов, как следствие, ошибки в конфигурациях
• древо зависимостей

Подробнее о кейсах и практиках – здесь.

#релизы #новостная_подборка #nxsuniversalchart

👩‍💻 День рождения GitHub!

В прошлую пятницу, 10 апреля, GitHub исполнилось 18 лет со дня официального запуска!

Проект возник спустя 2 года после первого коммита Линуса Торвальдса в Git. В сообществе инициатива стала большим шагом в развитии open-source. Система улучшала совместную работу, но возникали сложности с установкой инструмента и хранением. Тогда Том Престон и Крис Уонстрот приступили к работе над «Википедией для программистов».

👀Как всё начиналось?

It all started with a domain, a cheap slice from Slicehost, and some stock art

Идея пришла в октябре 2007, после митапа Ruby в Сан-Франциско. В местном баре разработчики обсудили, в каком месте они могут делиться кодом и смотреть историю гитов. Так родилась идея хаба, общей библиотеки. Работали над проектом на выходных, Том занимался дизайном страниц и фичей, а Крис – внедрением.

После запуска бета-тестирования пользователи отправляли запросы на приватные репозитории, настало время масштабироваться. Пи Джей Хайта присоединился к работе над стартапом, и втроем с Уонстротом и Престоном они основали GitHub, известный нам сегодня.

Для желающих погрузиться в историю:
⏺ подробный разбор от God Of Programming
⏺ интервью Тома Перстона и Криса Уонстрота
⏺ очерк о том, как Том отказался от работы в Microsoft ради GitHub-а

#девопс #github

Обновляем кластеры Kubernetes: лучшие практики

Всем DevOps! 🖖Подготовили пошаговые инструкции по обновлению к релизу Kubernetes v1.36, запланированному на 22 апреля.

В статье TechOps-инженер перечислил лучшие практики, которые помогают избежать случайных ошибок и лишнего дебага. Вы узнаете, какие компоненты обновлять в первую очередь и почему, что изучить подробнее, где тестировать и как откатываться.

Перед установкой v1.36 проверьте:
1. Текущую версию кластера, подов и kubeadm: не «прыгайте» с v1.34 до v1.36, одна минорная версия за раз
2. Бэкапы etcd, чтобы при сбое обновлений не потерять данные
3. Настройки политики соответствия для kubelet

👀Читаем, сверяемся и делимся своей подборкой лучших практик в комментариях!

#девопс #kubernetes #лучшие_практики

Новостной дайджест в DevOps FM

🔔 Осталась всего одна среда до майских праздников. А из других хороших новостей – свежие обновления этой недели.

⏺Зарелизили VirtualBox 7.2.8. Oracle выкатили выпуск стабильной ветки 7.2 для повышения устойчивости и безопасности.
Из интересного:
• Добавлена поддержка Linux 6.19 и 7.0
• Устранена проблема с некорректной работой FreeBSD 16.0 с устройствами, подключенными к LSI контроллеру SAS
• Исправления в VMM, Guru Meditation при некорректной инструкции hypercall
• Улучшения работы с доступом к внутреннему DNS серверу

Подробности оставили здесь

⏺На портале проекта FreeBSD разместили список уязвимостей от 21 апреля 2026. CVE-2026-6386 эксплуатировала порядок обработки страниц размера 1 ГБ при работе с ключами pkru. В результате, пользователь без привилегий мог вносить изменения в содержимое памяти. Вторая проблема возникла при использовании TIOCNOTTY. В сессии терминала сохранялись данные для доступа к freed memory. Подробности об CVE-2026-5398 – здесь, а инструкции по перезапуску системы и патчи к CVE-2026-6386 тут.

⏺ 19 апреля опубликовали результаты выборов на пост в Debian. В опросе участвовало 432 разработчика, из них 347 уникальных, что составило 33% от общего числа. По итогам голосования в 2026 году проект курирует Шрути Чандран, разработчица из Индии. С 2016 она поддерживает около 200 пакетов с библиотеками на ruby, javascript и go. В предвыборной кампании Чандран упомянула о сложностях позиции и нежелании разработчиков баллотироваться:

Since 2020, I have had the “hectic life of a DPL and the burnout that follows” conversation with some of the previous DPLs

Из-за сложных административных процессов лидер Debian обещала организовать комитет из 1-2 ассистентов, улучшить работу по циклу принятия решений. Из прочих изменений – предустановка Debian на устройства, обсуждение о регистрации организации.

⏺Зарелизили Git 2.54. В обновлении добавили историю гитов и новые режимы, так в git replay можно настроить откат и удаление пустых коммитов. Расширили поддержку хуков, теперь их можно задавать в конфиге, запускать несколько обработчиков для одного события, а также представили улучшения для SASL. С релиза v2.53 улучшили обработку HTTP 429, исправили проблемы с apply , fetch , fsck , rebase . Все детали в заметках.

⏺ В Arch Linux представили воспроизводимую сборку образов Docker «бит-к-биту». Сборка представлена под тегом repro в Docker Hub, перед использованием вручную инцииализируйте keyring. В обновлениях дистрибутива сборка rootFS стала детерминированной, использовали ранее применяемый подход к образам WSL. Подробности обновления – тут и на GitLab.

⏺ Пока мы ждем июньский релиз Linux 7.1 Линус Торвальдс включил в состав набор патчей для NTFS. Работу вели в течение последних 4-х лет, с момента отчета Кари Алгиландера в 2022, и ориентировались на полноценную запись в файловую систему, поддержку подходов iomap, folio и отказа от buffer_head. В обновлении сосредоточились на стабильной работе, драйвер xfstests прошел 326 теста (в ntfs3 – 273). О прочих фичах читайте тут.

Желаем продуктивной недели и спокойных дежурных смен!

#девопс #git #linux #freebsd

🎙Пятничная подборка подкастов

В последнюю апрельскую пятницу предлагаем оставить все заботы и подключиться на волну DevOps FM.

⏺ Docker AI, what’s new with MCP, Agents, Sandboxes от DevOps and Docker Talk.
Брет Фишер прошелся по всем обновлениям в Docker за последние 8 месяцев: улучшения Desktop с ИИ-помощником Gordon, обновленные образы, а также Docker Sandboxes для запуска ИИ-агентов в изолированной среде. В выпуске Брет затронул функции Docker Model Runner и поддержку новых локальных LLM-решений, таких как NanoClaw.

⏺ It's all about Pentiums от Linux User Space.
Ден Саймонс и Лео Чавец окунулись в ностальгию о прошлом из-за исключении архитектуры 486 из ядра Linux. К счастью для них, самый первый Pentium (с MMX!) все еще доступен. Также, Ден и Лео поддержали изменения требований к оперативной памяти от Ubuntu (6 ГБ-> 4 ГБ) и поговорили о возможном снижении цен на RAM.

⏺ Cozystack Turns Bare Metal Into a Managed Services Platform от DevOps Paradox.
Андрей Квапил рассказал о развитии Cozystack, использовании платформы в финансовом секторе и внедрении ИИ. Кроме того, инженер поделился мнением о том, что Kubernetes должен стать стандартной, привычной платформой, такой же «скучной» как ядро Linux.

🔈 Желаем приятного прослушивания и выходных без инцидентов!

#девопс #пятничная_подборка #подкаст

Что нужно знать о Kubernetes v.1.36?

👩‍💻 Бодрый DevOps! На прошлой неделе, 22 апреля, вышел релиз стабильной ветки Kubernetes v.1.36, Haru. Делимся ключевыми изменениями и подборкой материалов.

Из стабильных (GA) изменений:
⏺ Поддержка user namespaces в подах (вывод из альфа v.1.25)
Больше не нужно подключать gVisor, Kata Containers, добавьте hostUsers: false в спецификацию пода
⏺ Улучшенная гранулярная авторизация Kubelet API для поддержания наименьших привилегий, KEP #2862
Для большинства кластеров обновление бесшовное.
⏺ Поддержка VolumeGroupSnapshot для восстановления в новые тома и корректной работы после падения, KEP #3476 
⏺ Динамическое обновление лимитов CSI, KEP #4876
kubelet задает лимиты ноды по результатам проверок или в ответ на отчеты об ошибках CSI, без рестарта компонента.
⏺ Поддержка API с внешними сервисами для подписи токенов ServiceAccount, KEP #740

При работе с системами Security Enhanced Linux (SELinux) могут возникнуть проблемы уже в v.1.37, SELinuxMount будет включена по умолчанию. Проведите аудит кластера, используйте сценарии от команды k8s.

📎Документация и разборы v.1.36:
• Весь CHANGELOG
• Особенности гранулярной авторизации Kubelet API
• Поддержка User Namespaces
• Сценарии при обновлении v.1.37 SELinux
• Обзор особенностей на Dev.to
• Практический разбор от MetalBear

Желаем продуктивной недели без падений!

#девопс #kubernetes #k8s #релиз

Дайджест в среду от DevOps FM

Погода шепчет, а мы вещаем. Что нового на этой неделе?

⏺Выпустили Fedora Linux 44

В релизе Anaconda больше не создает сетевые профили по умолчанию, ускорили загрузку OpenSSL, для облачных образов убрали отдельный раздел /boot, обновили версии пакетов Linux, MariaDB и повысили производительность сборок. Больше о новой версии – тут.

⏺Вышла серия отчётов по инцидентам, общей активности GitHub с прогнозами на 2026.

С развитием агентов репозиториев стало больше (20 млн), и риски при работе с данными возрасли. Команда отчиталась о недавних инцидентах. 23 апреля возникла проблема при слиянии нескольких PR через sqash . 27 апреля – в подсистеме Elasticsearch. Кластер оказался перегружен и перестал возвращать результаты поиска. Данные, операции Git и API не пострадали.

Подробности о прогнозах и обеспечению безопасности здесь.

⏺Команда Wiz подготовила подробный разбор CVE-2026-3854 в GitHub от 4 марта. Используя уязвимость в протоколе, пользователь получал удаленный доступ к коду и хранимым нодам. На корпоративном сервере злоумышленникам были доступны все репозитории и секреты. Примечательно, что уязвимость обнаружили с помощью ИИ, IDA MCP.

Из общих рекомендаций по безопасности:
• Проверяйте производственные бинарники на наличие тестового кода
• Валидируйте скрипты, чтобы избежать уязвимости обхода директория
• Не полагайтесь на delimiter-based протокол без проверок входных данных

Полный разбор – на Wiz.

⏺Шон Вэбб объявил о переносе Hardened BSD на Radical. Он уже встроил базовую поддержку загрузки архивов с исходным кодом в проект с инстанса radicle-httpd.

На момент публикации в Radical загружены три репозитория, Вэбб планирует постепенно перенести все, следующий на очереди secadm. Подробности о работе с Radical на портале.

⏺DataDog опубликовали результаты опроса State of AI Engineering. Оценили надежность моделей, работу с контекстом и рассчитали расходы. Всего выявили ключевых факта о состоянии ИИ-инженерии.

Из ключевого:
• Больше 70% компаний используют три и более моделей. На первом месте OpenAI с 63%, следом идут Google Gemini и Anthropic Claude с 20 и 23% соотвественно.
• Тех. долг LLM копится, пока компании внедряют новые модели «поверх» старых.
• Качество контекста – узкое горлышко LLM агентов
• 57% агентов – монолиты

Подробности найдете – здесь. А с разбором отчёта The State of AI в проектах CNCF можете ознакомиться в блоге.

#девпос #linux #github #новостная_подборка

Пятничное чтиво

🖖В майскую пятницу поговорим о языковых моделях. В подборке Джим Аллен Уоллес из Redis дает рекомендации по использованию ИИ-инструментов, а также практики по ускорению и оптимизации работы.

⏺ Когда использовать ИИ-агентов?
В статье автор разбирает, как устроен рабочий цикл ИИ и в каких случаях стоит опираться на шаблоны (workflows), а где модели следует работать автономно. От этого выбора напрямую зависят надежность, стоимость, задержки и то, как часто вам придется разбираться с ночными инцидентами.

На примере кейсов чаще всего работает гибрид, баланс детерминированности с гибкостью. Примеры и практики здесь.

⏺ Что скрывается за P99 latency: разбор 1% худших запросов
Показатели среднего времени ответа в норме, а пользователи все равно жалуются на задержки. Для тех, кто работает с LLM системами, пайплайнами RAG или ИИ-агентами, P99 latency – ключевой показатель эффективности. Автор объясняет, откуда берутся редкие, но особенно неприятные «хвостовые» задержки, как их измерить и улучшить. Все подробности – тут.

⏺ Подводные камни токенизации в LLM
Уоллес описывает, как устроена токенизация, и почему она так важна для ИИ-разработки. В статье по шагам разбирается, как текст превращается в токены и почему длина запроса влияет на нагрузку и цену. Внутри указаны практические способы сократить расход токенов: от более точной настройки промптов до семантического кэширования. Читаем здесь.

Желаем приятного чтения и хороших выходных!

#девопс #llm #redis #пятничное_чтиво

📝 Обучающие материалы по модульной платформе Kubernetes

Совсем недавно мы делились изменениями в релизе nxs-universal-chart v.3.0. В первой статье из серии обучающих Пётр, DevOps-инженер компании Никсис, рассказал о том, как развернуть полностью готовый Inference контур в Kubernetes на основе KServe и Istio Gateway.

Из первой части вы разберете:
• 5 слоев inference-контура и функции каждого компонента;
• полный values.yaml файл на примере ai-inference-mesh и всё, что под капотом;
• рекомендации по настройке полноценного мониторинга моделей и правил безопасности

Приятного чтения и продуктивной недели!

#Хабр #статья_Никсис #kubernetes