Челик проходил интервью в Google на позицию Senior Site Reliability Engineer, SE (System Engineering) и любезно записал все вопросы и ответы на них с рассуждениями

https://prepare.sh/engineering/devops/google/

Там есть и другие интервью на другие позиции

На случай если вам скучно и вдруг захочется почитать про организацию в линуксе замудрённого page cache.

https://biriukov.dev/docs/page-cache/0-linux-page-cache-for-sre/

https://maelvls.dev/kubernetes-conditions/
#k8s #kubernetes #conditions

​Безбожники запихали Doom в htop.
Кому мерзость, но покажите ещё, можно посмотреть самому https://github.com/0x0mer/doom-htop

rsync

article 1: Scenarios https://michael.stapelberg.ch/posts/2022-06-18-rsync-article-1-scenarios/

article 2: Surroundings https://michael.stapelberg.ch/posts/2022-07-02-rsync-surroundings/

article 3: How does rsync work?
https://michael.stapelberg.ch/posts/2022-07-02-rsync-how-does-it-work/
#rsync

Пример ненадёжности хеш функций:

% echo -n TEXTCOLLBYfGiJUETHQ4hAcKSMd5zYpgqf1YRDhkmxHkhPWptrkoyz28wnI9V0aHeAuaKnak | md5sum
faad49866e9498fc1719f5289e7a0269 -

% echo -n TEXTCOLLBYfGiJUETHQ4hEcKSMd5zYpgqf1YRDhkmxHkhPWptrkoyz28wnI9V0aHeAuaKnak | md5sum
faad49866e9498fc1719f5289e7a0269 -

Разница строк - в одном бите.
#ЗпН

Ребятки решили сделать разным CNI больно и запустили тест на 40 Гбит/с ибо интересно же, кто что может выдать в 2024.
Самое интересное на мой взгляд:
- Без eBPF забудь про многопоточку
- Универсального комбайна, который хорошо молотит любой вид нагрузки, так и не изобрели
- Свои варианты применения есть и у куброутера, и у силиума, и калико, и так далее. Просто не надо брать бездумно по названию
https://itnext.io/benchmark-results-of-kubernetes-network-plugins-cni-over-40gbit-s-network-2024-156f085a5e4e

Если вам захотелось посмотреть как выглядит ваш ETCD внутри, то инструмент ETCD Keeper может с этим помочь.

По сути это небольшой web ETCD client с возможностью просматривать, добавлять, обновлять или удалять ноды, а также сами ключи и их значения. Есть поддержка как v2 так и v3 версии.

https://www.sobyte.net/post/2022-09/kubernetes-client-go/
#k8s #kubernetes #client

https://ymmt2005.hatenablog.com/entry/2019/08/10/Writing_and_testing_Kubernetes_webhooks_using_Kubebuilder_v2
#k8s #kubernetes #webhook #tresting

Есть такая общеизвестная проблема когда делаешь non-root в k8s: контейнерам нужно биндить порты до 1024, что по умолчанию в Linux запрещено.

Лично по-моему само по себе такое ограничение - архитектурная ошибка в Linux, которая привела к куче проблем и сложностей: сервису, например nginx, нужно стартовать от рута, забиндить порт, а потом дропнуть лишние привилегии. Что уже само по себе звучит не безопасно и разумеется приводило к множеству LPE. А профит с точки зрения ИБ крайне сомнительный. Может быть он был когда на одном сервере одновременно крутился важный сайт на 80 порту и еще сидели руками какие-то непривилегированные пользователи, но сейчас это кажется бесполезным чуть более чем полностью (попробуйте меня переубедить :D)

Параметр ядра net.ipv4.ip_unprivileged_port_start позволяет управлять этим поведением в Linux. Если его установить в значение 0, то любому пользователю будет доступен биндинг любых портов. Параметр net.ipv4.ip_unprivileged_port_start относится к сетевому неймспейсу и у каждого контейнера свой.

При внедрении non-root можно добавлять securityContext.sysctls (net.ipv4.ip_unprivileged_port_start=0) в манифесты, но это требует модификации всех манифестов.

И вот я тут обнаружил что есть другой путь - в конфиге containerd есть опция enable_unprivileged_ports, которая устанавливает net.ipv4.ip_unprivileged_port_start в 0 для всех создаваемых контейнеров.

Другими словами можно поменять один параметр на всех нодах и не возиться с манифестами.

Robusta KRR
Robusta KRR (Kubernetes Resource Recommender) is a CLI tool for optimizing resource allocation in Kubernetes clusters. It gathers pod usage data from Prometheus and recommends requests and limits for CPU and memory. This reduces costs and improves performance.
#k8s #devops #cloud #resources
https://github.com/robusta-dev/krr

https://dev.to/davidsbond/go-creating-dynamic-kubernetes-informers-1npi
#k8s #kubernetes #dynamicinformers

https://github.com/authzed/controller-idioms#handlers
#github #k8s #kubernetes #controller-runtime

10 Years of Kubernetes | Kubernetes
https://kubernetes.io/blog/2024/06/06/10-years-of-kubernetes/

@kvaps в подкасте навалил базы про Talos Linux (@ru_talos) и Cozystack (@cozystack)

00:00 - Вступление. Представление гостя
1:23 - Андрей Квапил немного о себе
3:19 - Про идею создания собственного облака
6:55 - Разбираемся как это работает
12:05 - Как получить доступ к кластеру?
15:14 - Bare metal infrastructure. Что нужно для настройки
19:09 - Talos-bootstrap- интерактивный установщик
21:12 - Про платформу Cozystack. Как работает и что нужно для установки.
24:38 - Как дебажить Талос?
26:28 - Подводим итоги презентации
28:03 - Благодарность каналам, которые поддерживают
31:01 - Вопросы от зрителей. Какой оператор postgress больше нравится?
31:46 - Будет ли сравнение с coreos?
33:56 - Вопрос про безопасность
34:51 - Где проходит разработка Cozystack?
37:13 - Какая альтернатива Helm лучше всего подойдет в продуктовой среде?
39:06 - Занимаетесь ли менторством?
42:49 - Большая ли команда у Cozystack?
46:26 - Как администрируете куб?
50:36 - Есть ли компания в РФ? Выступаете как подрядчик? Аутстафф предоставляете?
55:40 - Подводим итоги

mp3-версию скину в комменты

Talos Linux: вам не нужна операционная система, вам нужен Kubernetes
https://www.youtube.com/live/NNh8e8vYZEI

🛠 What is PID 0? Объёмный материал, в котором автор разбирается с вопросом - что же из себя представляет PID 0...

https://blog.dave.tf/post/linux-pid0/

#system #proc #pid

Кучно пошло на тему инфобеза, вернее нестандартных приемов!

Еще один забавный метод - прокси, которая разбирает хендшейки протоколов и в зависимости от - пробрасывает в нужный сервис. SSH и HTTPS на одном порту :) Эдакий черный вход "для своих" :)

https://github.com/yrutschle/sslh

Подсказаал: @infras123


#ssh #security #proxy