DNS-хаос, зомби-поды и майнеры в кластере: самые невероятные случаи при работе с Kubernetes
📌 Подробнее: https://habr.com/ru/companies/flant/articles/931902/
MemOps🤨
Kubernetes — мощный и одновременно сложный инструмент, работа с которым неизбежно порождает… инциденты. И на практике DNS виновата далеко не всегда. Иногда всё ломает слишком длинное имя деплоймента, протухший CA-сертификат или сбой сетевой карты, из-за которого TCP-пакеты просто отбрасываются. В статье вас ждут самые интересные и поучительные инженерные истории с Reddit.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
DNS-хаос, зомби-поды и майнеры в кластере: самые невероятные случаи при работе с Kubernetes
Kubernetes — мощный и сложный инструмент, работа с которым неизбежно порождает… инциденты. У каждого, кто всерьёз имел дело с оркестратором, найдётся в запасе история о бессонной ночи, потраченной на...
👍5
How My Client Hit Linux Kernel Network Limits on AWS EKS
📌 Подробнее: https://dev.to/datton94/how-my-client-hit-linux-kernel-network-limits-on-aws-eks-3am5
MemOps🤨
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
DEV Community
How My Client Hit Linux Kernel Network Limits on AWS EKS
Hi everyone! 👋 This is a post from my personal notebook. I originally published it on My Blog where I...
👍2
Distributed tracing: от 100% error rate до первопричины за 60 секунд
В статье пошаговый разбор расследования ошибок в микросервисах: граф сервисов, хронология трейсов, корреляция логов и структурированная отладка на примере Uptrace.
📌 Подробнее: https://habr.com/ru/articles/1008998/
https://github.com/uptrace/uptrace/
MemOps🤨
В статье пошаговый разбор расследования ошибок в микросервисах: граф сервисов, хронология трейсов, корреляция логов и структурированная отладка на примере Uptrace.
https://github.com/uptrace/uptrace/
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
pusk — self-hosted платформа для алертов и командной координации. Webhook из любого мониторинга, ACK одной кнопкой, push на телефон. Один бинарник, без внешних зависимостей. Более известные анаологи: KeepHQ, Grafana on-call. PagerDuty, Opsgenie.
📌 Подробнее: https://github.com/getpusk/pusk
MemOps🤨
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥1
RootlessKit — инструмент для запуска контейнеров без root-прав. Он создает изоляцию и видимость мнимого root, уберегая ОС хоста от потенциальных угроз и атак через контейнеры.
📌 Подробнее: https://github.com/rootless-containers/rootlesskit
MemOps🤨
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - rootless-containers/rootlesskit: Linux-native "fake root" for implementing rootless containers
Linux-native "fake root" for implementing rootless containers - rootless-containers/rootlesskit
Kubernetes v1.36 "Haru"
Вышел Kubernetes v1.36 с 70 улучшениями (18 стабильных, 25 в бете, 25 в альфе). Ключевые изменения:
▪️ User Namespaces для подов (стабильно). Поды теперь можно запускать в изолированных пространствах пользователей без gVisor: добавьте
▪️ MutatingAdmissionPolicy (альфа). Больше не нужны внешние admission webhooks с TLS и деплоем. Логику мутации можно описывать прямо в объектах Kubernetes на языке CEL.
▪️ OCI VolumeSource (альфа). ML-модели, конфиги, датасеты и бинари можно монтировать как тома напрямую из OCI-реестра, без упаковки в основной образ.
Тонкая авторизация kubelet API (альфа). Каждый эндпоинт API kubelet можно разрешить или ограничить отдельно. SELinux-монтирование томов (альфа): SELinux-контекст применяется через
▪️ В бете — mutable scheduling directives для приостановленных Job (можно менять nodeSelector и affinity) и HPA Scale-to-Zero (масштабирование до нуля реплик на основе внешних метрик).
▪️ В альфе — Workload Aware Scheduling (Gang Scheduling, топологически осведомлённое размещение, PodGroup API) для AI/ML-тренировок, а также fallback для HPA по внешним метрикам.
▪️ Что удалено: плагин томов gitRepo (опасность выполнения кода от root), режим IPVS в kube-proxy. Поле externalIPs в Service помечено deprecated. Ingress NGINX официально выведен из поддержки — миграция на Gateway API обязательна.
📌 Подробнее: https://kubernetes.io/blog/2026/04/22/kubernetes-v1-36-release/
MemOps🤨
Вышел Kubernetes v1.36 с 70 улучшениями (18 стабильных, 25 в бете, 25 в альфе). Ключевые изменения:
▪️ User Namespaces для подов (стабильно). Поды теперь можно запускать в изолированных пространствах пользователей без gVisor: добавьте
hostUsers: false в спецификацию. Контейнер работает как root внутри неймспейса, но снаружи — от непривилегированного пользователя, что снижает риски при компрометации.▪️ MutatingAdmissionPolicy (альфа). Больше не нужны внешние admission webhooks с TLS и деплоем. Логику мутации можно описывать прямо в объектах Kubernetes на языке CEL.
▪️ OCI VolumeSource (альфа). ML-модели, конфиги, датасеты и бинари можно монтировать как тома напрямую из OCI-реестра, без упаковки в основной образ.
Тонкая авторизация kubelet API (альфа). Каждый эндпоинт API kubelet можно разрешить или ограничить отдельно. SELinux-монтирование томов (альфа): SELinux-контекст применяется через
mount -o context=XYZ при монтировании, а не рекурсивной перемаркировкой — ускоряет старт подов.▪️ В бете — mutable scheduling directives для приостановленных Job (можно менять nodeSelector и affinity) и HPA Scale-to-Zero (масштабирование до нуля реплик на основе внешних метрик).
▪️ В альфе — Workload Aware Scheduling (Gang Scheduling, топологически осведомлённое размещение, PodGroup API) для AI/ML-тренировок, а также fallback для HPA по внешним метрикам.
▪️ Что удалено: плагин томов gitRepo (опасность выполнения кода от root), режим IPVS в kube-proxy. Поле externalIPs в Service помечено deprecated. Ingress NGINX официально выведен из поддержки — миграция на Gateway API обязательна.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4👍3❤2
Vesparian
Сервис для обнаружения API endpoints с помощью анализа «живого» HTTP-трафика. После анализа он генерирует спецификацию. Умеет REST API Discovery, WSDL/SOAP Discovery, Headless Browser Crawling, Traffic Import.
📌 Подробнее: https://github.com/praetorian-inc/vespasian
MemOps🤨
Сервис для обнаружения API endpoints с помощью анализа «живого» HTTP-трафика. После анализа он генерирует спецификацию. Умеет REST API Discovery, WSDL/SOAP Discovery, Headless Browser Crawling, Traffic Import.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - praetorian-inc/vespasian: API discovery tool that maps attack surfaces from captured traffic and generates specs for REST…
API discovery tool that maps attack surfaces from captured traffic and generates specs for REST, GraphQL, SOAP, and WebSocket APIs - praetorian-inc/vespasian
👍2
gh dash
Расширение для GitHub CLI, которое трансформирует терминал в дашборд с PR и issue. Секции можно настроить под нужные репозитории и фильтры.
📌 Подробнее: https://github.com/dlvhdr/gh-dash
MemOps🤨
Расширение для GitHub CLI, которое трансформирует терминал в дашборд с PR и issue. Секции можно настроить под нужные репозитории и фильтры.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - dlvhdr/gh-dash: A rich terminal UI for GitHub that doesn't break your flow.
A rich terminal UI for GitHub that doesn't break your flow. - dlvhdr/gh-dash
👍2
etcd в Kubernetes: разбираемся с задержками
Эта статья будет полезна DevOps-инженерам, SRE-специалистам и всем, кто работает с Kubernetes и хочет глубже понять его внутренние механизмы. Если вы настраиваете, масштабируете или устраняете неполадки в кластере K8s, важно разобраться в etcd — распределенном key-value-хранилище, которое лежит в основе отказоустойчивости Kubernetes.
Надо отметить, что etcd обеспечивает консистентность и надежное хранение критически важных данных: состояния нод, конфигураций, секретов и другой информации кластера. Без него Kubernetes не мог бы гарантировать высокую доступность и согласованность данных.
В этой статье мы разберем распространенные мифы о etcd, а также дадим практические рекомендации по его настройке и эксплуатации.
📌 Подробнее: https://habr.com/ru/companies/chislitellab/articles/934526/
https://www.redhat.com/en/blog/a-guide-to-etcd
MemOps🤨
Эта статья будет полезна DevOps-инженерам, SRE-специалистам и всем, кто работает с Kubernetes и хочет глубже понять его внутренние механизмы. Если вы настраиваете, масштабируете или устраняете неполадки в кластере K8s, важно разобраться в etcd — распределенном key-value-хранилище, которое лежит в основе отказоустойчивости Kubernetes.
Надо отметить, что etcd обеспечивает консистентность и надежное хранение критически важных данных: состояния нод, конфигураций, секретов и другой информации кластера. Без него Kubernetes не мог бы гарантировать высокую доступность и согласованность данных.
В этой статье мы разберем распространенные мифы о etcd, а также дадим практические рекомендации по его настройке и эксплуатации.
https://www.redhat.com/en/blog/a-guide-to-etcd
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
etcd в Kubernetes: разбираемся с задержками
Эта статья будет полезна DevOps-инженерам, SRE-специалистам и всем, кто работает с Kubernetes и хочет глубже понять его внутренние механизмы. Если вы настраиваете, масштабируете или...
👍4
Startup CPU Boost in Kubernetes with In-Place Pod Resize
📌 Подробнее: https://piotrminkowski.com/2025/12/22/startup-cpu-boost-in-kubernetes-with-in-place-pod-resize/
MemOps🤨
В этой статье объясняется, как использовать функцию In-Place Pod Resize в Kubernetes в сочетании с Kube Startup CPU Boost для ускорения запуска Java-приложений.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Piotr's TechBlog
Startup CPU Boost in Kubernetes with In-Place Pod Resize - Piotr's TechBlog
This article explains how to use the In-Place Pod Resize in Kubernetes with Kube Startup CPU Boost to speed up Java application startup.
❤1