🔥 GitOps - next level для DevOps
Раньше деплой выглядел так: написали Helm-чарт → закинули
🛠 Решение - GitOps.
👉 Суть: всё, что крутится в кластере, описано в Git.
- Изменения вносим через Pull Request.
- CI прогоняет проверки.
- Спец-оператор (ArgoCD или Flux) синхронизирует кластер с Git-репозиторием.
📌 Преимущества:
- Истина всегда в Git → легко откатиться.
- Аудит и история изменений из коробки.
- Меньше доступа к самому кластеру → безопаснее.
- Автоматическая самовосстановляемость: если кто-то руками изменит деплой, GitOps всё вернёт.
💡 По сути, Git становится "центральным управлением инфраструктуры".
Если раньше у вас был
❓А у вас уже есть GitOps в проде или пока классические пайплайны?
Подпишись 👉@devopslib
Раньше деплой выглядел так: написали Helm-чарт → закинули
kubectl apply → надеемся, что всё взлетит. Но у такого подхода куча минусов: ручные действия, нет прозрачного аудита, легко ошибиться.🛠 Решение - GitOps.
👉 Суть: всё, что крутится в кластере, описано в Git.
- Изменения вносим через Pull Request.
- CI прогоняет проверки.
- Спец-оператор (ArgoCD или Flux) синхронизирует кластер с Git-репозиторием.
📌 Преимущества:
- Истина всегда в Git → легко откатиться.
- Аудит и история изменений из коробки.
- Меньше доступа к самому кластеру → безопаснее.
- Автоматическая самовосстановляемость: если кто-то руками изменит деплой, GitOps всё вернёт.
💡 По сути, Git становится "центральным управлением инфраструктуры".
Если раньше у вас был
ssh и kubectl, то теперь всё решает git push.❓А у вас уже есть GitOps в проде или пока классические пайплайны?
Подпишись 👉@devopslib
🔥3👍2
🛠️ GitHub Actions: секреты и подводные камни
GitHub Actions сегодня используют все - от пет-проектов до продакшн пайплайнов. Но даже у опытных инженеров часто встречаются ошибки при работе с секретами.
❌ Типичные ошибки:
- Хранение токенов в коде или
- Вывод секретов в логи (например, через
- Использование одного общего токена для разных окружений (dev, staging, prod).
✅ Лучшие практики:
1. Secrets vs. Environments
Используй Environments с разными наборами секретов для разных стадий. Например:
2. OIDC вместо токенов
GitHub поддерживает OIDC Federation. Это значит, что пайплайн может получать временные креды от AWS, GCP или Azure без хранения ключей.
3. Проверяй разрешения по умолчанию
В
4. Secrets scanning
Включи
💡 Маленький трюк:
Если нужно временно отладить пайплайн с секретом - лучше использовать
Подпишись 👉@devopslib
GitHub Actions сегодня используют все - от пет-проектов до продакшн пайплайнов. Но даже у опытных инженеров часто встречаются ошибки при работе с секретами.
❌ Типичные ошибки:
- Хранение токенов в коде или
.env файлах, которые случайно попадают в репозиторий.- Вывод секретов в логи (например, через
echo). GitHub заменяет их на ***, но иногда этого недостаточно.- Использование одного общего токена для разных окружений (dev, staging, prod).
✅ Лучшие практики:
1. Secrets vs. Environments
Используй Environments с разными наборами секретов для разных стадий. Например:
STAGING_DB_PASS и PROD_DB_PASS.2. OIDC вместо токенов
GitHub поддерживает OIDC Federation. Это значит, что пайплайн может получать временные креды от AWS, GCP или Azure без хранения ключей.
3. Проверяй разрешения по умолчанию
В
permissions: указывай минимально необходимые. Например:
permissions:
contents: read
id-token: write
4. Secrets scanning
Включи
secret scanning и push protection, чтобы случайно не залить ключи.💡 Маленький трюк:
Если нужно временно отладить пайплайн с секретом - лучше использовать
::add-mask:: в логах, чем echo.Подпишись 👉@devopslib
👍1