Сегодня наш коллега и ведущий backend-разработчик Александр Прохоров выступил с докладом на Kuber Conf в Сколково. Это конференция про K8s, контейнерную разработку и концепцию Cloud Native.
В своем выступлении Александр рассказал об опыте интеграции Gatekeeper в Managed Kubernetes. Дело в том, что в недавнем обновлении Cloud Containers мы реализовали подход «K8s-in-K8s». Теперь мы можем встраивать плоскость управления кластерами в другие кластеры, чтобы оптимизировать запросы и построить дополнительный слой защиты.
Эта архитектурная особенность помогает Getakeeper контролировать кластер клиента и обеспечивает соответствие политикам безопасности.
Почему внедрение Gatekeeper так важно:
🔷 обеспечивает единую точку применения политик на уровне кластера клиента;
🔷 может проводить аудит ресурсов, блокировать деплои с небезопасными манифестаим;
🔷 умеет принудительно добавлять label’ы (через mutating webhook, если настроен).
У нас уже готова хабрастатья с более подробным рассказом об этой интеграции, поэтому залетайте и оставляйте комментарии, а мы на все ответим.
В своем выступлении Александр рассказал об опыте интеграции Gatekeeper в Managed Kubernetes. Дело в том, что в недавнем обновлении Cloud Containers мы реализовали подход «K8s-in-K8s». Теперь мы можем встраивать плоскость управления кластерами в другие кластеры, чтобы оптимизировать запросы и построить дополнительный слой защиты.
Эта архитектурная особенность помогает Getakeeper контролировать кластер клиента и обеспечивает соответствие политикам безопасности.
Почему внедрение Gatekeeper так важно:
🔷 обеспечивает единую точку применения политик на уровне кластера клиента;
🔷 может проводить аудит ресурсов, блокировать деплои с небезопасными манифестаим;
🔷 умеет принудительно добавлять label’ы (через mutating webhook, если настроен).
У нас уже готова хабрастатья с более подробным рассказом об этой интеграции, поэтому залетайте и оставляйте комментарии, а мы на все ответим.
❤6
Шерлок Холмс бы гордился 🕵️♂️
Конференция Kuber Conf by AOT завершилась, но есть еще кое-что, что мы должны вам рассказать 🎉
Десятки инженеров участвовали в спасательной операции Kubernetes 911 на стенде VK Cloud и пытались восстановить веб-приложение, которое «сломал джун».
⚙️ Участники разобрались с:
• призрачными подами в Pending
• жаждой ресурсов при нехватке CPU
• пропавшим ingress-контроллером
• заблудившейся PostgreSQL
Игра стала хитом: очередь к стенду не кончалась весь день! А среди тех, кто решил все проблемы отвалившегося приложения, мы разыграли 30 000 бонусных рублей на инфраструктуру VK Cloud.
✨ И сегодня готовы объявить победителя — Ильдар из «Альфастрахования»! ✨
Мы свяжемся сегодня с вами, чтобы рассказать, как получить бонусы.
Спасибо всем, кто пришел играть, отлаживать и просто говорить о Kubernetes.
Благодарим комьюнити за прошедший Kuber Conf. Будем рады видеть вас снова!
Конференция Kuber Conf by AOT завершилась, но есть еще кое-что, что мы должны вам рассказать 🎉
Десятки инженеров участвовали в спасательной операции Kubernetes 911 на стенде VK Cloud и пытались восстановить веб-приложение, которое «сломал джун».
⚙️ Участники разобрались с:
• призрачными подами в Pending
• жаждой ресурсов при нехватке CPU
• пропавшим ingress-контроллером
• заблудившейся PostgreSQL
Игра стала хитом: очередь к стенду не кончалась весь день! А среди тех, кто решил все проблемы отвалившегося приложения, мы разыграли 30 000 бонусных рублей на инфраструктуру VK Cloud.
Мы свяжемся сегодня с вами, чтобы рассказать, как получить бонусы.
Спасибо всем, кто пришел играть, отлаживать и просто говорить о Kubernetes.
Благодарим комьюнити за прошедший Kuber Conf. Будем рады видеть вас снова!
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6👏6🔥3
Представим, что у кластера есть своя поликлиника. Исследуем несколько типичных диагнозов деплоя и поймем, что с ними делать.
🩺 Карта пациента: Pod
📌 Диагноз: OOMKilled (out of memory)
Симптомы: контейнер завершается с ошибкой OOM.
Причина: процесс превысил доступный лимит памяти, и система принудительно остановила контейнер.
Терапия: через kubectl describe pod проверить requests/limits и фактическое потребление. Увеличить лимиты памяти или оптимизировать приложение.
📌 Диагноз: CrashLoopBackOff
Симптомы: под запускается, падает, снова запускается — и так по кругу.
Причина: приложение внутри контейнера завершается сбоем сразу после старта.
Терапия: смотреть kubectl logs, проверить команду запуска (entrypoint/command), переменные окружения, зависимости и доступность внешних сервисов.
📌 Диагноз: ImagePullBackOff / ErrImagePull
Симптомы: Kubernetes не может загрузить образ контейнера.
Причина: опечатка в имени образа, неверный тег или отсутствие доступа к registry.
Терапия: сверить поле image: в YAML, проверить наличие образа в реестре, настроить imagePullSecrets, если используется приватный registry.
➜ Если узнали свою «болячку» — жмите реакцию, палата №K8s вас понимает 😉
🩺 Карта пациента: Pod
📌 Диагноз: OOMKilled (out of memory)
Симптомы: контейнер завершается с ошибкой OOM.
Причина: процесс превысил доступный лимит памяти, и система принудительно остановила контейнер.
Терапия: через kubectl describe pod проверить requests/limits и фактическое потребление. Увеличить лимиты памяти или оптимизировать приложение.
📌 Диагноз: CrashLoopBackOff
Симптомы: под запускается, падает, снова запускается — и так по кругу.
Причина: приложение внутри контейнера завершается сбоем сразу после старта.
Терапия: смотреть kubectl logs, проверить команду запуска (entrypoint/command), переменные окружения, зависимости и доступность внешних сервисов.
📌 Диагноз: ImagePullBackOff / ErrImagePull
Симптомы: Kubernetes не может загрузить образ контейнера.
Причина: опечатка в имени образа, неверный тег или отсутствие доступа к registry.
Терапия: сверить поле image: в YAML, проверить наличие образа в реестре, настроить imagePullSecrets, если используется приватный registry.
➜ Если узнали свою «болячку» — жмите реакцию, палата №K8s вас понимает 😉
❤5🤣2🔥1👏1🐳1🌚1
— 78 лет назад: 16 декабря 1946 года Кристиан Диор открыл свой дом моды в Париже. Тогда будущее моды определяли силуэты, ткани и подиумы.
— Сегодня: под капотом индустрии моды стоит облачная инфраструктура 👗⚙️
Фэшн вышел в онлайн и стал глобальным ритейлом. Миллионы пользователей, сезонные распродажи, пиковые нагрузки — узнаете симптомы? Да-да, это работенка для любимого нами Kubernetes!
🧤 Один из показательных кейсов — ThredUp, американская компания, управляющая онлайн-платформой для перепродажи подержанной одежды, обуви и аксессуаров. Команда маркетплейса использует Kubernetes для масштабирования, стабильных релизов и работы под всплесками трафика во время распродаж и кампаний.
В списке «модных» вакансий знакомые нам навыки:
🌏 В мире — Farfetch. Глобальный fashion-маркетплейс класса люкс ищет инженеров, которые умеют работать с Kubernetes, облачной инфраструктурой и масштабируемыми платформами.
🇷🇺 В России — Melon Fashion Group (ZARINA, Befree, LOVE REPUBLIC, SELA и IDOL). В требованиях Junior DevOps-инженера — компетенции в размещении приложений на платформах публикации on-premise kubernetes и k8s cloud managed service, опыт настройки сбора логов инфраструктурных сервисов.
Забавно, но обе вакансии на момент публикации этого поста уже в архиве. Чувствуем, что по причине того, что успешно закрыты.
➜ Ожидаем новую ветку развития DevOps вместе с зимне-весенней коллекцией Dior? 👕💅
— Сегодня: под капотом индустрии моды стоит облачная инфраструктура 👗⚙️
Фэшн вышел в онлайн и стал глобальным ритейлом. Миллионы пользователей, сезонные распродажи, пиковые нагрузки — узнаете симптомы? Да-да, это работенка для любимого нами Kubernetes!
🧤 Один из показательных кейсов — ThredUp, американская компания, управляющая онлайн-платформой для перепродажи подержанной одежды, обуви и аксессуаров. Команда маркетплейса использует Kubernetes для масштабирования, стабильных релизов и работы под всплесками трафика во время распродаж и кампаний.
В списке «модных» вакансий знакомые нам навыки:
🌏 В мире — Farfetch. Глобальный fashion-маркетплейс класса люкс ищет инженеров, которые умеют работать с Kubernetes, облачной инфраструктурой и масштабируемыми платформами.
🇷🇺 В России — Melon Fashion Group (ZARINA, Befree, LOVE REPUBLIC, SELA и IDOL). В требованиях Junior DevOps-инженера — компетенции в размещении приложений на платформах публикации on-premise kubernetes и k8s cloud managed service, опыт настройки сбора логов инфраструктурных сервисов.
Забавно, но обе вакансии на момент публикации этого поста уже в архиве. Чувствуем, что по причине того, что успешно закрыты.
➜ Ожидаем новую ветку развития DevOps вместе с зимне-весенней коллекцией Dior? 👕💅
🔥3🤡2❤1👏1
Shadow Data: устраняем побочки повседневной работы в облаке
Самопроизвольные бэкапы, тестовые и dev-среды, забытые бакеты и временные файлы — в облаке такие данные возникают незаметно и живут дольше, чем планировалось, вне поля зрения ИБ и compliance-команд.
Дмитрий Куколев, руководитель SOC VK, разобрал практичный сценарий: как за час найти и геолоцировать Shadow Data даже в крупной облачной инфраструктуре, без ручного обхода ресурсов.
Что внутри:
• где чаще всего остаются теневые данные
• как собрать реальный облачный периметр
• чем автоматически сканировать инфраструктуру на ПДн
• как проверить геолокацию данных
• типовые ошибки
Shadow Data исчезают после появления постоянной видимости. Автоматический мониторинг, интеграция с SIEM и реагирование через SOC и playbook превращают контроль ПДн из источника сюрпризов в рутинную задачу.
➜ Читайте статью на Хабре
Самопроизвольные бэкапы, тестовые и dev-среды, забытые бакеты и временные файлы — в облаке такие данные возникают незаметно и живут дольше, чем планировалось, вне поля зрения ИБ и compliance-команд.
Дмитрий Куколев, руководитель SOC VK, разобрал практичный сценарий: как за час найти и геолоцировать Shadow Data даже в крупной облачной инфраструктуре, без ручного обхода ресурсов.
Что внутри:
• где чаще всего остаются теневые данные
• как собрать реальный облачный периметр
• чем автоматически сканировать инфраструктуру на ПДн
• как проверить геолокацию данных
• типовые ошибки
Shadow Data исчезают после появления постоянной видимости. Автоматический мониторинг, интеграция с SIEM и реагирование через SOC и playbook превращают контроль ПДн из источника сюрпризов в рутинную задачу.
➜ Читайте статью на Хабре
🔥3❤2👍1
Продолжаем прием в нашей импровизированной поликлинике кластера. Исследуем несколько типичных диагнозов деплоя и поймем, что с ними делать.
🩺 Карта пациента: Pod
📌 Диагноз: Exit Code 1/125
Симптомы: под стартует и сразу падает.
Причина:
• код 1 — приложение запустилось и завершилось с общей ошибкой
• код 125 — контейнер не дошел даже до запуска приложения
Терапия:
• посмотреть kubectl logs <имя пода>
• проверить entrypoint, переменные окружения и зависимости
• попробовать запустить образ локально через docker run, чтобы воспроизвести ошибку
📌 Диагноз: Init / Waiting
Симптомы: под долго висит в состоянии Init или Waiting.
Причина: init-контейнеры или основной контейнер не могут корректно завершить запуск.
Терапия:
• выполнить kubectl describe pod <имя пода> и посмотреть события
• убедиться, что init-контейнеры завершаются успешно
• проверить имена образов, томов и стартовые скрипты
📌 Диагноз: Pending
Симптомы: Под в состоянии Pending еще не запущен.
Причина: нехватка CPU или памяти, проблемы с доступом к тому.
Терапия:
• посмотреть причину через kubectl describe pod <имя пода>
• проверить доступные ресурсы кластера
• убедиться, что storage volumes и node selectors указаны корректно
➜ Читайте диагнозы прошлого приема в публикации
🩺 Карта пациента: Pod
📌 Диагноз: Exit Code 1/125
Симптомы: под стартует и сразу падает.
Причина:
• код 1 — приложение запустилось и завершилось с общей ошибкой
• код 125 — контейнер не дошел даже до запуска приложения
Терапия:
• посмотреть kubectl logs <имя пода>
• проверить entrypoint, переменные окружения и зависимости
• попробовать запустить образ локально через docker run, чтобы воспроизвести ошибку
📌 Диагноз: Init / Waiting
Симптомы: под долго висит в состоянии Init или Waiting.
Причина: init-контейнеры или основной контейнер не могут корректно завершить запуск.
Терапия:
• выполнить kubectl describe pod <имя пода> и посмотреть события
• убедиться, что init-контейнеры завершаются успешно
• проверить имена образов, томов и стартовые скрипты
📌 Диагноз: Pending
Симптомы: Под в состоянии Pending еще не запущен.
Причина: нехватка CPU или памяти, проблемы с доступом к тому.
Терапия:
• посмотреть причину через kubectl describe pod <имя пода>
• проверить доступные ресурсы кластера
• убедиться, что storage volumes и node selectors указаны корректно
➜ Читайте диагнозы прошлого приема в публикации
👍2❤1🔥1
🎄 В преддверии Нового года мы посмотрели статистику канала и собрали посты, которые вы сохраняли чаще всего в 2025 году.
Делимся списком на случай, если захочется разобраться в теме или просто почитать что-то полезное на праздниках.
→ Бесплатно прокачать Kubernetes? Есть варианты
→ Восстановление подов Kubernetes в случае ошибки
→ Что спрашивают на собеседованиях DevOps-инженеров по Kubernetes
→ Kubernetes и YAML: как не потеряться в своей же инфраструктуре
→ Кошмар 2025 года — runtime-угрозы в Kubernetes
→ А вы уже разговариваете с кластерами как с человеком?
→ Как автоматизировать хранение конфигураций кластеров Kubernetes
→ Практические статьи с Хабра про эксплуатацию и инциденты
→ Советы по RBAC: принцип наименьших привилегий в Kubernetes
→ Смотрите доклады VK Cloud Conf 2025 в записи
Спасибо, что читаете, сохраняете и возвращаетесь к материалам нашего канала. Мы рады вместе с вами развивать российское сообщество Kubernetes.
С наступающим Новым годом ❄️
Делимся списком на случай, если захочется разобраться в теме или просто почитать что-то полезное на праздниках.
→ Бесплатно прокачать Kubernetes? Есть варианты
→ Восстановление подов Kubernetes в случае ошибки
→ Что спрашивают на собеседованиях DevOps-инженеров по Kubernetes
→ Kubernetes и YAML: как не потеряться в своей же инфраструктуре
→ Кошмар 2025 года — runtime-угрозы в Kubernetes
→ А вы уже разговариваете с кластерами как с человеком?
→ Как автоматизировать хранение конфигураций кластеров Kubernetes
→ Практические статьи с Хабра про эксплуатацию и инциденты
→ Советы по RBAC: принцип наименьших привилегий в Kubernetes
→ Смотрите доклады VK Cloud Conf 2025 в записи
Спасибо, что читаете, сохраняете и возвращаетесь к материалам нашего канала. Мы рады вместе с вами развивать российское сообщество Kubernetes.
С наступающим Новым годом ❄️
🔥4🍾3❤2
🎄 Праздники — отличное время для апдейтов собственного списка сериалов и фильмов.
Мы собрали подборку проектов, которые точно зайдут тем, кто живет Kubernetes, DevOps и инфраструктурой даже под мандарины.
❄️ Сохраняйте, делитесь и выбирайте, что включить первым.
Мы собрали подборку проектов, которые точно зайдут тем, кто живет Kubernetes, DevOps и инфраструктурой даже под мандарины.
❄️ Сохраняйте, делитесь и выбирайте, что включить первым.
🔥5❤2🥰2
Перенос кластера Kubernetes на другие IP-адреса — редкая, но вполне реальная задача
В инфраструктуре бывают моменты, когда кластеру требуется сменить сетевое окружение: меняется VLAN, перестраивается сеть, обновляется платформа. При этом пересборка Kubernetes с нуля или миграция приложений на новый кластер может быть затруднена из-за настроек, интеграций или просто рисков для продакшена.
На Хабре вышла статья, в которой подробно разобран перенос существующего Kubernetes-кластера на другие IP-адреса.
Автор честно отмечает: материал для тех, кто хочет разобраться, как кластер реально устроен внутри.
Это практический разбор, который помогает лучше понять внутреннюю механику Kubernetes и причины, по которым некоторые изменения нельзя сделать поверхностно.
➜ Читайте статью на Хабре
В инфраструктуре бывают моменты, когда кластеру требуется сменить сетевое окружение: меняется VLAN, перестраивается сеть, обновляется платформа. При этом пересборка Kubernetes с нуля или миграция приложений на новый кластер может быть затруднена из-за настроек, интеграций или просто рисков для продакшена.
На Хабре вышла статья, в которой подробно разобран перенос существующего Kubernetes-кластера на другие IP-адреса.
Автор честно отмечает: материал для тех, кто хочет разобраться, как кластер реально устроен внутри.
Это практический разбор, который помогает лучше понять внутреннюю механику Kubernetes и причины, по которым некоторые изменения нельзя сделать поверхностно.
➜ Читайте статью на Хабре
❤4🔥2🥰2
Индикатор зрелости технологии: о ней перестают спорить и начинают использовать как стандарт
С Kubernetes в России сейчас именно так. Разговор давно сместился от выявления потребности к более приземленным вопросам — как эксплуатировать, как обновлять, как обеспечивать безопасность и вписывать решение в существующий ИТ-ландшафт.
В этом контексте сервис Managed Kubernetes на платформе VK Cloud занимает лидирующую позицию на рынке среди крупнейших поставщиков платформ Kubernetes по версии CNews Analytics.
Kubernetes становится инфраструктурной базой с ожиданиями по предсказуемости, совместимости с российским стеком, встроенной безопасности и понятным операционным контуром. Заказчикам нужна не просто оркестрация контейнеров, а платформа, которую можно стабильно эксплуатировать в продакшене.
➜ Смотрите полный рейтинг CNews Analytics и ставьте огонечки 🔥, если разделяете наши теплые чувства к российскому Kubernetes
С Kubernetes в России сейчас именно так. Разговор давно сместился от выявления потребности к более приземленным вопросам — как эксплуатировать, как обновлять, как обеспечивать безопасность и вписывать решение в существующий ИТ-ландшафт.
В этом контексте сервис Managed Kubernetes на платформе VK Cloud занимает лидирующую позицию на рынке среди крупнейших поставщиков платформ Kubernetes по версии CNews Analytics.
Kubernetes становится инфраструктурной базой с ожиданиями по предсказуемости, совместимости с российским стеком, встроенной безопасности и понятным операционным контуром. Заказчикам нужна не просто оркестрация контейнеров, а платформа, которую можно стабильно эксплуатировать в продакшене.
➜ Смотрите полный рейтинг CNews Analytics и ставьте огонечки 🔥, если разделяете наши теплые чувства к российскому Kubernetes
❤1👍1🔥1
Junior DevOps — редкая роль, где от тебя ждут больше, чем ты успел выучить.
☝️ На Хабре вышла статья, которая описывает это ощущение. Автор объясняет, кто такой DevOps и почему вокруг этой роли так много завышенных ожиданий.
В статье затрагиваются вопросы, с которыми джуны сталкиваются почти сразу:
• почему DevOps — это не «админ + Kubernetes + боль»
• чем DevOps отличается от SRE, Platform, Cloud Engineer и DevSecOps на практике
• какой стек действительно ожидают от junior, а что обычно оказывается лишь пунктом wishlist’а работадателя
• где заканчивается нормальная ответственность и начинается зона риска
• какие ошибки джуны совершают чаще всего и почему они закономерны
Основной фокус статьи — мышление и процессы. Автор пишет про умение читать логи, понимание уязвимости системы, работу с инцидентами и попытки фиксить все в одиночку.
Если вы только начинаете путь в DevOps или чувствуете, что от вас ждут слишком много, материал точно для вас.
🔥3❤2👎1👏1
Как мы обеспечиваем полную прозрачность действий в Managed Kubernetes
Чтобы не играть в детективов каждый раз, когда с кластером Kubernetes происходит что-то непонятное, мы интегрировали в Managed Kubernetes сервис автоматизации сбора событий — Cloud Audit. Теперь вам не придется тратить время на поиск причин, почему изменилась роль в RBAC, исчез под или произошел инцидент.
Cloud Audit самостоятельно собирает данные в один журнал, обеспечивает прозрачность управления кластерами и ускорят расследование инцидентов.
Как это помогает в работе:
• все события в kube-apiserver (создание и удаление подов, изменения RBAC, доступ к секретам и другие операции) автоматически доставляются в единую систему Cloud Audit
• сбор и отправка событий Kubernetes API включены по умолчанию
Больше не нужно тратить ресурсы и разворачивать собственные системы аудита. Cloud Audit сразу готов к использованию в Managed Kubernetes и доступен бесплатно для всех пользователей с версией 1.33.
➜ Читайте подробннее
Чтобы не играть в детективов каждый раз, когда с кластером Kubernetes происходит что-то непонятное, мы интегрировали в Managed Kubernetes сервис автоматизации сбора событий — Cloud Audit. Теперь вам не придется тратить время на поиск причин, почему изменилась роль в RBAC, исчез под или произошел инцидент.
Cloud Audit самостоятельно собирает данные в один журнал, обеспечивает прозрачность управления кластерами и ускорят расследование инцидентов.
Как это помогает в работе:
• все события в kube-apiserver (создание и удаление подов, изменения RBAC, доступ к секретам и другие операции) автоматически доставляются в единую систему Cloud Audit
• сбор и отправка событий Kubernetes API включены по умолчанию
Больше не нужно тратить ресурсы и разворачивать собственные системы аудита. Cloud Audit сразу готов к использованию в Managed Kubernetes и доступен бесплатно для всех пользователей с версией 1.33.
➜ Читайте подробннее
👍2❤1🔥1