💻 Строгий контроль групп в Kubernetes 1.35

Фича, которая закрывает неочевидную дыру в безопасности — теперь стабильна.

Kubernetes по умолчанию мержит группы из Pod-манифеста с группами из /etc/group внутри образа контейнера. Это происходит неявно.

Пример: вы указали в Pod runAsUser: 1000, supplementalGroups: [4000]. Запускаете id — а там ещё и группа 50000, которую вы не указывали. Откуда? Из /etc/group в образе, где пользователь 1000 состоит в этой группе.

Решение — новое поле supplementalGroupsPolicy:

spec:
  securityContext:
    runAsUser: 1000
    runAsGroup: 3000
    supplementalGroups: [4000]
    supplementalGroupsPolicy: Strict  # ← вот оно

Бонус: теперь в status.containerStatuses[].user.linux видно реальные UID/GID процесса — можно аудитить.

➡️ Блог k8s

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#пульс_индустрии

💻 Простая команда для контейнеров

Возвращаемся к теме — базовая вещь, но новички часто спотыкаются. Собираете образ, запускаете — а контейнер не может сходить по HTTPS. curl ругается на сертификаты, git clone падает, API недоступны.

Один RUN в Dockerfile, который и обновляет, и защищает, и чистит. Делайте так и забудьте про SSL-ошибки и мусор в образах:

RUN apt-get update && apt-get install -y ca-certificates && update-ca-certificates && rm -rf /var/lib/apt/lists/*

Разбираем пошагово:

1. apt-get update
Обновляет кэш доступных пакетов. Это обязательно перед установкой любого ПО через apt-get, иначе система не узнает о последних версиях.

2. apt-get install -y ca-certificates
Устанавливает набор корневых SSL-сертификатов удостоверяющих центров (CA), которым система может доверять. Без них HTTPS-соединения могут не работать — будь то curl, wget, git clone, или подключение к внешним API.

3. update-ca-certificates
Обновляет список доверенных сертификатов в системе. Этот шаг необходим, особенно если вы добавляете свои собственные .crt файлы.

4. rm -rf /var/lib/apt/lists/*
Удаляет французский язык кэшированные списки пакетов, чтобы минимизировать размер итогового Docker-образа. Это best practice для продакшн-сборок, где каждый мегабайт имеет значение.

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#лучшее_из_библиотеки_2025

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#лучшее_из_библиотеки_2025

💻 Workload Aware Scheduling — планировщик наконец понимает, что такое ворклоад

Большой шаг для AI/ML нагрузок: kube-scheduler теперь умеет планировать группы подов как единое целое.

Когда запускаете ML-джобу на 8 воркеров — scheduler планирует каждый под отдельно. Результат: 5 подов запустились, 3 ждут ресурсов. Джоба не работает, но ресурсы заняты. Deadlock.

Решение — новый Workload API + Gang Scheduling:

apiVersion: scheduling.k8s.io/v1alpha1
kind: Workload
metadata:
  name: training-job
spec:
  podGroups:
  - name: workers
    policy:
      gang:
        minCount: 4  # все 4 или никто

Как работает gang scheduling:

1. Поды блокируются, пока не наберётся minCount
2. Scheduler ищет места для всей группы
3. Нашёл для всех → все стартуют одновременно
4. Не нашёл за 5 минут → все отклоняются и идут обратно в очередь

➡️ Блог разработчиков

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#пульс_индустрии

⭐️ Клуб 512KB — минимализм, который работает

В начале года делились этой находкой. Тема не устарела — средняя веб-страница в 2025 весит уже 5+ МБ. Самое время вспомнить, что бывает иначе.

512KB Club — сообщество сайтов, которые весят меньше 512 килобайт. Всё вместе: HTML, CSS, JS, картинки, шрифты. Для понимания: это меньше одной фотки в среднем лендинге.

Лёгкие сайты — меньше трафика, меньше нагрузки на CDN, быстрее отклик. Если деплоите фронтенд или документацию — есть смысл посмотреть, как люди укладываются в лимиты.

Категории клуба:

🟢 Green Team (<100 КБ) — экстремальный минимализм, загрузка мгновенная

🟠 Orange Team (<250 КБ) — оптимизировано, но с удобствами

🔵 Blue Team (<512 КБ) — больше функций, но всё ещё легче 90% интернета

➡️ Сайт клуба

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#лучшее_из_библиотеки_2025

🚀 Лайфхак для начинающих девопсов

Тогда мы делились простым трюком для начинающих DevOps. ейчас напоминаем, потому что top это базовый инструмент.

Если просто ввести команду top, то вы увидите список всех процессов системы.

Хотите сразу увидеть, кто самый прожорливый? Нажмите P – и top отсортирует процессы по загрузке CPU

Еще клавиши: M для памяти, T для времени, N для PID. Для фильтра по пользователю U и имя. В htop аналогично, но интерфейс красивее.

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#лучшее_из_библиотеки_2025

⚙️ Отладка Dockerfile в VS Code

Осенью показывали эту фичи. Обновляем и дополняем.

Что умеет отладчик в VS Code

• Брейкпоинты на любой RUN-инструкции — сборка останавливается именно там, где нужно

• Просмотр переменных окружения, аргументов, рабочей директории в панели Variables

• Файловая система образа на каждом этапе — видно, что скопировалось, что нет

• Живой shell внутри сборки — команда exec в Debug Console

• Просмотр слоёв — размер каждого слоя прямо в процессе. Сразу видно, какая инструкция раздувает образ.

• Интеграция с Docker Scout — уязвимости базового образа показываются ещё до окончания сборки.

• Multi-stage навигация — прыжки между стейджами, если в Dockerfile несколько FROM.

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#лучшее_из_библиотеки_2025

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#лучшее_из_библиотеки_2025

🌐 Что такое DNS

Каждый раз, когда вы вводите адрес веб-сайта, например, example.com, ваш запрос проходит через скрытую систему под названием DNS (Domain Name System). Эта система делает возможной работу интернета так, как мы его знаем.

Простыми словами о DNS

DNS — это как телефонная книга интернета. Переводит понятные человеку доменные имена (например, google.com) в IP-адреса (например, 142.250.64.78), которые используют компьютеры для общения друг с другом.

DNS работает на основе записей. Они определяют, как домены связываются с серверами, почтовыми системами и другими сервисами. Каждая запись хранит информацию о действиях с запросами, связанными с доменом.

Какие бывают DNS-записи

• A-запись: связывает доменное имя с IPv4-адресом

• AAAA-запись: связывает доменное имя с IPv6-адресом

• CNAME-запись: создаёт псевдонимы для доменов

• MX-запись: указывает почтовый сервер для обработки email

• TXT-запись: содержит текстовую информацию, например, для проверки домена или настройки безопасности.

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#лучшее_из_библиотеки_2025

⚙️ Колесо AWS

Снова покаываем шпаргалку по сервисам AWS. С ней можно ориентироваться в том, какие инструменты AWS лучше всего подойдут для решения задач.

➡️ Оригинал

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#лучшее_из_библиотеки_2025

🤩 Справочник который всегда под рукой

Тогда мы хвалили DevDocs за удобство. Сейчас повторяем, потому что это реально must have для DevOps.

Объединяет доки Kubernetes, Docker, Terraform, AWS, Linux man pages и CI CD инструменты. Оффлайн доступ через кэш, быстрый поиск и клавиши для навигации. Можно выбрать только нужное и не тащить все подряд.

➡️ Читать документацию

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#лучшее_из_библиотеки_2025

👨‍💻 Каникулы закрыты

Праздничный режим выключен впереди обычные будни, а за спиной осталась собранная подборка контента за 2025 год.

Админ снова на месте и готовит новый цикл постов, задач и обсуждений уже в контексте 2026.

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

🤩 Дешёвая память

Шутка про скачать оперативку живет дольше многих языков программирования.​
Физическую память через интернет не привезут, но увеличить доступный системе лимит памяти можно, если вспомнить про swap.

Swap это запасной вариант, когда реальной RAM не хватает, и ОС начинает выгружать редко используемые страницы памяти в отдельное место.

Обычно это место на диске, но формально swap это просто блочное устройство, куда ядро умеет читать и писать.​
А блочное устройство в Linux можно сделать из файла через loopback device, то есть устроить swap поверх файла.

Если файл лежит в примонтированном облаке, получается своп в облаке, медленно, странно, но работает. Автор именно так и сделал.

➡️ Посмотреть как сделать облачную оперативку

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#root_prompt

🧑‍💻 Self-hosting в 2026

Раньше self hosting ассоциировался с вечерами над портами, Docker compose из трех блогов и «почему оно опять упало». Сейчас агенты вроде Claude Code берут на себя всю рутину, пишете «поставь Vaultwarden с Caddy», идёте за кофе, возвращаетесь к готовому compose и запущенным контейнерам.

Дешевые мини ПК тихие и кушают минимум энергии, стоят меньше выходных в баре, и на них спокойно крутятся 13 сервисов на 4 ГБ RAM.

В итоге на домашнем сервере висят полезные штуки, пароли в Vaultwarden с нативными клиентами, фото в Immich с распознаванием лиц, Plex для медиа, Uptime Kuma для мониторинга, Home Assistant для умного дома.

➡️ Как решить боль селфхостинга

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#арсенал_инженера

👨‍💻 Кроссшелл промпт из будущего

Starship это Rust промпт для терминала, который ставится везде и показывает ровно то, что нужно в данный момент.

Ставится через curl скрипт или менеджеры, на любой Linux дистрибутив, Mac, Windows, даже Android в Termux.

После установки добавляете eval "$(starship init bash)" в .bashrc или аналог в другой шелл, и перезапускаете терминал.

Из коробки видит git статус, текущую ветку, direnv, версии node,python и go, docker контекст, и меняет цвет если команда провалилась.

Если терминал — это основной интерфейс, стоит потратить минуту на установку.

➡️ Гайд по установке

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#root_prompt

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#пятничный_деплой

💻 Linux Mint 22.3 Zena

Linux Mint 22.3 под кодовым именем Zena теперь доступен для скачивания. Это LTS-версия на базе Ubuntu 24.04.3 с поддержкой до апреля 2029 года.

Свежее издание принесло Cinnamon 6.6 с переработанным меню приложений, боковой панелью для аватара, мест и фаворитов. Nemo обзавелся поиском по регулярным выражениям, паузой копирования файлов и шаблонами в контекстном меню. Экранная клавиатура переписана нативно, улучшена Wayland-поддержка, добавлены индикаторы уведомлений на панели.

➡️ Release Notes

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#пульс_индустрии

🛠 Eza — когда ls уже не впечатляет

Eza — это современная замена ls, написанная на Rust. Главное отличие: вывод сразу читабельный, а не набор символов, который нужно расшифровывать.

Что внутри

Цветная подсветка по умолчанию. Папки, файлы, симлинки — каждый тип отличается визуально. Не нужно вглядываться в права доступа, чтобы понять, что перед вами.

Иконки для файлов. Если терминал поддерживает Nerd Fonts, увидите значки рядом с именами. Мелочь, но код на Python сразу отличается от markdown-файла.

Git-статусы в выводе. Команда eza --git покажет, какие файлы изменены, добавлены или проигнорированы.

Древовидная структура. Флаг --tree развернёт директории в дерево. Глубину контролируете параметром --level.

Детальная информация. Флаг --long выведет размеры, даты изменения, владельцев. Плюс человекочитаемые форматы: не «4096 байт», а «4.0 КБ».

Eza доступна через пакетные менеджеры большинства систем:

# macOS
brew install eza

# Ubuntu/Debian
apt install eza

# Arch
pacman -S eza

После установки можете создать алиас в .bashrc или .zshrc:

alias ls='eza --icons'
alias ll='eza --long --git --icons'
alias tree='eza --tree --icons'

Eza не меняет рабочий процесс радикально, но убирает микрораздражители. А в долгосрочной перспективе это экономит больше времени, чем кажется.

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#root_prompt

🔍 systemd-analyze: что тормозит загрузку Linux

systemd-analyze — встроенный инструмент для диагностики. Показывает какие сервисы жрут время при старте и где система простаивает.

Быстрая диагностика

Проверить общее время загрузки:


Результат:

Startup finished in 3.2s (firmware) + 2.1s (loader) + 
1.8s (kernel) + 12.4s (userspace) = 19.5s

Сразу видно проблему — userspace съел 12 секунд из 19. Копаем дальше.

Смотрим топ медленных сервисов:

systemd-analyze blame

8.234s postgresql.service
2.891s docker.service
1.456s NetworkManager-wait-online.service
0.234s nginx.service

PostgreSQL стартует 8 секунд. Может база огромная, либо что-то не так с конфигом.

Сервисы запускаются не параллельно, а друг за другом по зависимостям:

systemd-analyze critical-chain

graphical.target @19.2s
└─multi-user.target @19.1s
  └─postgresql.service @10.8s +8.2s
    └─network.target @10.7s
      └─NetworkManager.service @8.2s +2.4s

Видно: postgresql ждёт сеть, сеть ждёт NetworkManager. И все остальные сервисы встали в очередь за базой.

График покажет картину целиком:

systemd-analyze plot > boot.svg
firefox boot.svg

Получаете таймлайн с цветными полосками — когда каждый сервис стартовал, сколько времени занял, кто с кем параллелился. Узкие места видны сразу.

Узнать время старта отдельного сервиса:

systemd-analyze blame | grep nginx

Или посмотреть его зависимости:

systemd-analyze critical-chain nginx.service

Больше не нужно гадать почему сервер грузится как чугунный мост.

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#арсенал_инженера