иллюстрация того, что есть термины, которые загажены. Неймспейс - такой термин. Используют по делу или не по делу.
Прекрасно понимаю, что это такой термин. Только зачем приплетать значение термина namespace в контексте кластера кубернетес к значению механизма ядра операционной системы? Зачем путать?
скачивается из docker registry. Ну, что за вопросы, в конце-концов? Какая разница откуда.
Другими словами, когда я запущу в изолированном сетевом контуре ванильный кластер k8s, для корректной работы сетевого адресного пространства кластера мне загодя надо будет положить этот образ контейнера, откуда он будет подтянут? Так? Ещё раз обращу внимание: изолированный (Air Gap) от интернета кластер k8s развёртывается, настраивается такой же изолированный regestry, и чтобы всё заработало, мне кроме CNI надо ещё будет заранее позаботится о контейнере pause? Ну и вообще иногда есть большая разница откуда и что скачивается. Особенно когда речь заходит об образах контейнеров кластера k8s. Есть такое правило (обычно его упоминают в контексте финансов): то что ты не контроллируешь, тебе не принадлежит. Думаю, это вообще будет неплохой темой для обуждения в ТГ канале.
Если контейнеры приложения (дополнительные к pause) перестартуют - были бы приключения с переназначением IP адресов на контейнер.
В чём проблема? Под случайно, либо намерено убили, k8s его поднял, все живы и довольны с новым адресом. Переехал под с одной ноды на другую (особенно это касается переезда statfullset приложения), адрес поменялся, внутренний сервер имён отработал (если успевает). Какие проблемы?
Но если совсем коротко - в винде не контейнеры, а полноценные виртуальные машины, которые пытаются продать как контейнеры.
В MacOS аналогичная ситуация с контейнерами Docker.
У виртуалки ОЧЕВИДНО есть айпи адрес всегда (минимум один).
Запуская простенький Docker контейнер в нативной среде исполнения (ОС Linux), у него тоже будет свой ip адрес. Можно постараться и запустить без адреса, но и с виртуалками такой номер можно будет провернуть тоже. Поэтому это далеко не всегда очевидно. Например, запуск виртуалки с каким-нибудь злоредом для изучения на первых порах лучше делать с отключенной сетью, то бишь без ip вообще. Потому уже запускаешь с сетевым интерфейсом, к которому прикручен wireshark, и смотришь куда и как этот шифровальщик или троян пытается лезть.
Все плюсы мотор-колеса перекрываются парой здоровенных минусов
Таки ви покупаете, или таки продаёте? Если шо, таки тут целый забор плюсов, которые таки пахнут здоровенным гешевтом))
Если устроиться на диване поудобнее, повспоминать эволюцию автопрома за последние 20 - 30 лет, то в результате такой ретроспективы мы увидем, что после определённого периода, производители под надуманными предлогами (экологическая повестка и т. п.) перешли на практически одноразовые модели с туманными возможностями ремонта, некоторые даже с подписной моделью на тот или иной функционал.
Пока не понятна судьба описываемого решения, но с точки зрения очередного витка эволюции авторома (больше напоминающего пике) это очень заманчивый и даже перспективный шаг. Потому что кроме самого привода к нему нужны провода, которые скорее всего станут таким же расходником как и сам двигатель, а это отдельная статья доходов (обязательно на автофоруме найдётся гений, который с пеной у рта будет доказывать, что лучше всего и правильнее ездить на проводах из вакуумированной меди, которые предварительно прогревали специальным током в течении нескольких дней), само собой старые колёсные диски будут несовместимы (очередной источник гешевта), так же возможны свои особенности тормозной системы и соответственно целое поле для возможных решений (можно придумать "совместимость" и многие купятся).
Тут вопрос не только во вменяемой массе, а в том, что при повреждении колеса мы меняем и мотор.
Ну это просто очередная золотая жила для произодителей авто и сервисных центров)) Тем более что его на заводе легко сделать неразборным впринципе (догадайтесь почему?), потому что крайне важный узел ну и Хайтек.
Это сильно дороже
Как раз с точки зрения экономики производителя это как раз очень и очень хорошо)) Немного поработать маркетологам и вуа-ля все пересели на современный, удобный, сверхманёвренныи и экономичный, (здесь ещё ряд прилагательных превосходной степени)
Мотор проще прикрыть от грязи и воды в раме, чем в колесе
Вы так слона не продадите)) Если их ставить в каждое калесо и они так же будут ходить как резина на колёсах или чуть меньше, в итоге превратятся в расходники, так это как раз то что нужно массовому автопрому. Если ещё до зимних и летних (как типы сезонных покрышек) вариантов дойдёт, то уже лет через пять старые электрички будут запрещены законодательно под надуманными причинами)))
Очень странно, что китайцы ещё не оседлали эту технологию)
Сейчас расскажу зачем так, кроме того что в некоторых компаниях (тупо использовать логин и пароль) так принято))
Допустим у вас есть хост, выступающий в роли бастиона к некоторому защищаемому ресурсу. Оговорю сразу, что в плане безпасности сервер бастиона наворочен, начиная с настроенного аудита системных вызовов, политик SELinux, дополнительных настроек в systemctl и избыточного логирования всего происходящего на сервере. С самого сервера Бастион можно выполнять строго определённые действия (например, подключение к базе данных поверх SSH). Ничего сложного нет нагенерить ключи и потом открытый ключ класть на сервере бастиона, а приватный отправлять пользователю. Как раз на последнем моменте начинается интересное знакомство с компьютерной грамотностью коллег и человеческим фактором)) Некоторые коллеги прекрасно знают, куда в их ОС нужно положить приватный ключ, как его беречь и для чего он вообще нужен. У других "лапки" и свои особенности расположений ключей в зависимости от ОС (Linux, Windows, MacOS ), и тут может случиться веселье с длительными объяснениями что, куда и зачем. Так же остаётся открытый вопрос защиты доступа к этим ключам. Другими словами, во весь рост всплывает проблема под названием человеческий фактор. Поэтому приходится идти на такие упрощения в доступе, чтобы предоставить доступ и не околеть при этом: - почтой отправляется методичка по тому, как запустить на рабочей машине SSH в зависимости от ОС, инструкция по настройке подключения в зависимости от приложения (например, для pgAdmin и DBeaver) и логин пользователя; - в корпоративном мессенжере отправляется пароль.
Согласен, ключи - это хорошо и удобно (особенно на элиптических кривых хороши), пока не встаёт во весь рост куча проблем с их распространением в массовых количествах и обновлением. Кроме этого при настроенном взаимодействии сервера Бастион с внутрикорпоративной системой поставки авторизации (IdP) упрощается процесс администрирования доступами. Ну и далеко не все IdP поддерживают хранение ключей на своей стороне.
Откуда он берётся этот образ контейнера? Собирается вместе с основным образом контейнера рабочего приложения, или откуда-то подкладывается/скачивается?
ну, вот так, айпишник пода же где-то должен висеть, когда пересоздаются его контейнеры.
Возвращаясь к первоначальному вопросу (Не совсем понятно как запущенный контейнер с названием pause держит сетевой неймспейс ядра линукса? Что его держать?) не совсем понятно зачем контейнеру (pause) держать механизм ядра операционной системы namespace? Подвожу к тому, что на самом деле намешано в кучу механизм ядра операционной системы (namespace) и механизм выдачи адресов подам в Kubernetes. Потому что возникает логиный вопрос: как это реализовано в Windows, где в ядре отсутствует механизм namespase?
Здесь оно идет вероятно в противопоставлении к namespace кубернетеса, которые логические сущности
Непонятно к чему вообще нужно противопостовлять механизм ядра операционной системы и механизм логического разделения ресурсов в проложении?
Ну это вроде очевидно из самого названия "размерность". Другими словами, это говорит, что данная физическая величина находится в своей системе измерений: метры в своей, килограммы в своей, секунды в своей.
В системе SI определено семь основных размерностей (физических величин), остальные являются производными и вроде как их достаточно для описания любых свойств физических объектов и явлений.
Странно другое. Куда смотрит трудовая инспекция, что такие вакансии местами с явным нарушением трудового законодательства появляются? Их это не касается? Их хата с краю? Зачем тогда вообще нужна эта структура? Тем более что трудовые споры между сотрудником и работодателем обычно решаются в суде и трудовая инспекция вообще никак не участвует в этом.
Каждый под имеет один скрытый контейнер, который всегда присутствует и запущен на базе образа с названием pause. Задача этого контейнера — держать сетевой неймспейс ядра линукса
Возникает логичный вопрос на базе какого именно образа запускается этот контейнер? Не совсем понятно как запущенный контейнер с названием pause держит сетевой неймспейс ядра линукса? Что его держать?
Как правило, IP-адрес пода назначается из специальной сети, которая называется clusterNetwork
Может быть придераюсь к словам и определениям, только сетевое адресное пространство подов однозначно ограничено clusterNetwork.
Для сети подов обычно используют так называемый overlay. По сути это некая дополнительная сеть, которая существует только в рамках узлов кластера.
В народе (у сетевиков) это просто оверлейная сеть. И это совсем не некая дополнительная, а вполне определённая сеть)), которая работает поверх текущей (поэтому зовётся overlay-ной).
Есть существенное отличие между адресами подов и адресами сервисов. Первые всё-таки маршрутизируются внутри кластера и физически присутствуют на интерфейсах узла, где запущен под. Адреса же сервисов обычно не присутствуют на интерфейсах и существуют только внутри iptables цепочек на узлах. При помощи iptables трафик, попадающий на такой «виртуальный» адрес, преобразуется и отправляется на те поды, на которые указывает сервис.
1 Сетевые адресные пространства подов кластера и сервисов кластера не пересекаются - то бишь разные. 2 Адреса подов и адреса сервисов маршрутизируются только и только внутри кластера кубернетес иначе было бы странно, и физически они нигде не присутствуют - они виртуальные. Физические адреса (суть аппаратные IP адресса) очень редко где светятся)) 3 Сами сервисы реализованы в виде правил iptables природа их (виртуальная) аналогичная природе подов.
Третья подсеть — это сама сеть рабочих узлов кластеров
Не-е-е)) Это самая что ни на есть первая. И от неё надо начинать плясать.
Компонент kube-proxy отвечает за реализацию Services через iptables или IPVS. Но это не самый эффективный способ. Современные CNI, такие как Calico и Cilium, могут полностью заменить kube-proxy, реализуя его функциональность напрямую (часто через eBPF). Это убирает лишний компонент и делает обработку трафика еще быстрее.
Можно сравнивать между собой сетевые пакетные фильтры iptables и eBPF по их возможностям, главное отличие в том что старый добрый iptables работает в user space, eBPF в kernel space операционной системы. Это значит, что за счёт отсутствия переключения контекста производительность eBPF будет быстрее. Но безопасники могут на корню зарубить эту затею с eBPF)))
В Альфа-Банке был один из самых интересных собесов на позицию DevOps-инженера (всего технических было пару десятков)Как сказал собеседующий инженер: мне "повезло", ведь они тестят новый формат техсобесов - блиц Интенсивный собес с кучей адекватных технических вопросов с максимально быстрыми ответами
Жертвы ЕГЭ не иначе. Даже не знаю почему собеседующий так радуется. Опыт показывает, когда человек правильно отвечает на вопросы, это совершенно не значит, что он понимает, о том что говорит (привет ИИ). Тем более, что сейчас многие "наблатыкались" правильно отвечать, но не более.
Минус один: нельзя пообсуждать какие то вопросы, это мешает в полной мере раскрыться самому и раскрыть собеседующих как инженеров
Здесь ещё второй минус - нельзя задавать вопросы собеседующему. Это могут быть уточняющие, могут быть встречные, могут быть вопросы для обдумывания. У меня ещё советское техническое образование и нас учили, даже требовали, задавать вопросы, задаваться вопросами.
Оффер был на руках уже через неделю, с последующим моим (по глупости) отказом))
Не стоит совершенно об этом жалеть. Высокая ЗП (кто сказал, что высокая?) не всегда оправдывает условия и устои.
Что касается автора статьи, по памяти работы в Т1, приходится ещё их доучивать или переучивать. Там такие шедевры иногда получались, на знаменитом сайте для этих вещей нужна отдельная рубрика.
Ну самое главное для понимания: Для чего нужен DevOps-инженер? Перво наперво это сборка и доставка кода (то самое CI / CD). Всё остальное вторично, третично, либо вообще не имеет никакого отношения DevOps. Кстати, как раз на эту тему есть довольно хорошая статья про DevOpsи его основные показатели.
Спасибо за интересную и познавательную статью. Можете прокомментировать тему прямого преобразования ионизирующего излучения в электрический ток? Есть ли подвижки и действующие решения?
В наших палестинах аббревиатура ИБ в сути своей часто расшифровывается как имитационная безопасность. Обычно там много бюрократии, присутствует своя артистократия и труднообъяснимые внутренние процессы выработки и принятия решений.
Написание жалобы во многие надзорные органы часто выглядит труднопроходимым квестом. Видимо изначально так было задумано. Как и последующее перенаправление в долгий ящик всех этих жалких обращений от людишек.
Гальваническая развязка нужна для других целей и они не связаны с ИБ. Потому что трансформатор обратимое устройство и ему by design всё равно в какую сторону трансформировать электрическую энергию: первичная и вторичная обмотки так называются только для удобства восприятия. Поэтому, чтобы избежать прелести с передачей данных по электрической сети надо применять схему двойного преобразования: переменка -> постоянка -> переменка
Есть в команде отличный разработчик Вася. Он делает больше задач за спринт, чем вся команда вместе взятая. Инициативный, амбициозный, систему знает как свои пять пальцев — не он строился вокруг сервисов, а сервисы вокруг него. И вот приходит момент повышения — технический директор говорит: «Теперь, Вася, ты менеджер. Руководитель команды». Вася воодушевлен и идёт управлять.
Небольшая притча перед комментарием: "Больше всех в колхозе работала лошадь, но председателем колхоза она не стала".
С точни зрения целесообразности бизнесу не всегда выгодно терять рабочую единицу, которая выполняет много работы и обладает высокими комптенциями. Потому что вместо условного Васи нужно найти подходящую замену, желательно равнозначную. Кроме этого на новой должности Вася некоторое время не будет показывать ожидаемой эффективности в качестве руководителя. Не факт что сможет справиться. Поэтому часто можно наблюдать найм руководителя вместо продвижения имеющихся сотрудников.
Отдельно обстоят дела, когда условный Вася сотрудник на удалёнке. Я понимаю, что в современный век мгновенных коммуникаций, это не большая проблема. Только многолетнее наблюдение (ещё с доковидных времён) показывает, что щансы стать руководителем команды или подразделения (управленцем) у удалёнщика крайне невелеки. Причём, обратно пропорциональны его удалению от офиса.
Какие золотые сигналы собираетесь мониторить и как на них реагировать? И почему эти сигналы должны быть золотыми?
Предполагаю, но не утверждаю (ибо могут быть иные побудительные мотивы), что это делается для улучшения процессов в компании. Но (далее цитата) у любого улучшения процесса должны быть метрики, и помимо улучшения расхода энергии (достаточного условия) нужно ещё иметь отрицательный признак ухудшения (необходимое условие). Улучшение должно показать улучшение положительной метрики и неухудшение отрицательной. Потому что без отрицательной метрики я вам могу ОЧЕНЬ много электричества сэкономить. Не грейте сталь вообще - положительная метрика (экономия) зашкаливает. А что сталь не плавится - так условия-то "плавить хорошо" нет
Интересное замечание. Просто обычно keycloak располагают внутри закрытого сетевого контура и это совсем не демилитаризованная зона, а приватная сеть доступная при подключении через тоннель. Кроме этого сам keycloak поддерживает репликацию из коробки.
Когда у вас около десяти серверов и более менее устоявшийся коллектив без постоянной текучки кадров и непонятных хотелок, процесс смены ключей (паролей) SSH может быть довольно простым и не таким частым (ansible role - самый распространённый вариант). А когда у вас с полсотни серверов и постоянно надо давать и забирать права доступа, высока вероятность запутаться и допустить ошибку.
Также keycloak поддерживает MFA (SMS, Email, TOTP, WebAuthn) поэтому можно настроить довольно надёжную схему. Но если выставить бездумно сервер IAM/IdP, собранный на коленке и запущенный через docker-compose, тогда остаётся уповать только на чудо.
буквально с первых дней погрузилась в перезапуск бренда работодателя
Можете привести примеры, что именно не так по вашему было с брендом работодателя? До чего докатились?
25+ лет на российском ИТ-рынке, многие сотрудники работают чуть ли не с основания, есть крутые проекты с государством и корпоративным сектором
Ни в коем случае не ставлю под сомнение квалификацию технического персонала, но 25 лет на одном месте... С другой стороны госуха (проекты с государством) и поди банки (корпоративный сектор) ну такой себе показатель особенно в наших реалиях.
Мы далеки от романтизированного айтишного вайба с послеобеденным сном и «плюшками». И нам нужны именно такие люди, готовые с нами разделить наши ценности и цели – достичь большего
1 Что не так с романтизированным айтишным вайбом с послеобеденным сном и «плюшками» по вашему? Что вы готовы предложить кроме запоминающегося образа в глазах сотрудников и соискателей? 2 Какие ценности в вашей компании? 3 Именно большего чего собиратесь добиться?
Ты можешь предложить баснословную зарплату кандидату, но при аналогичных условиях, если бренд не на слуху, он выберет другую компанию.
Вы крайне далеки от реального положения на рынке труда. Уже прошло то поколение, которое велось на: "работать в нашей компании большая честь"
Ситуация начала меняться в январе-марте этого года – после годовых премий часть специалистов традиционно вышла на рынок, но не нашла большого количества достойных предложений
Далеко не во многих компаниях ИТ есть премии и годовые тоже. Большинство уходят, потому что часто это единственный способ увеличить свой доход. Есть те которые достигли своего потолка и ищут новое место роста. Но не из-за годовых премий.
Меняется и структура спроса – если раньше сметали всех, включая джунов, то сегодня предпочтение отдается
Требуются высококвалифицированные, опытные, отвественные и недорогие специалисты (ц)
Не забываем мы и о внутренней аудитории. Нам кажется важным донести до каждого члена нашей команды информацию о том, какой мы работодатель, какая у нас миссия и ценности, какие качества мы ценим в людях. И это не просто красивые слова и новый мерч, нам важно, чтобы каждый сотрудник смог почувствовать изменения.
1 Рассказывать своим сотрудникам какие вы хорошие, ну такое себе 2 Ни мерчем, ни красивыми словами профессионала не удержишь
Прекрасно понимаю, что это такой термин. Только зачем приплетать значение термина namespace в контексте кластера кубернетес к значению механизма ядра операционной системы? Зачем путать?
Другими словами, когда я запущу в изолированном сетевом контуре ванильный кластер k8s, для корректной работы сетевого адресного пространства кластера мне загодя надо будет положить этот образ контейнера, откуда он будет подтянут? Так?
Ещё раз обращу внимание: изолированный (Air Gap) от интернета кластер k8s развёртывается, настраивается такой же изолированный regestry, и чтобы всё заработало, мне кроме CNI надо ещё будет заранее позаботится о контейнере pause?
Ну и вообще иногда есть большая разница откуда и что скачивается. Особенно когда речь заходит об образах контейнеров кластера k8s.
Есть такое правило (обычно его упоминают в контексте финансов): то что ты не контроллируешь, тебе не принадлежит. Думаю, это вообще будет неплохой темой для обуждения в ТГ канале.
В чём проблема? Под случайно, либо намерено убили, k8s его поднял, все живы и довольны с новым адресом. Переехал под с одной ноды на другую (особенно это касается переезда statfullset приложения), адрес поменялся, внутренний сервер имён отработал (если успевает). Какие проблемы?
В MacOS аналогичная ситуация с контейнерами Docker.
Запуская простенький Docker контейнер в нативной среде исполнения (ОС Linux), у него тоже будет свой ip адрес. Можно постараться и запустить без адреса, но и с виртуалками такой номер можно будет провернуть тоже. Поэтому это далеко не всегда очевидно. Например, запуск виртуалки с каким-нибудь злоредом для изучения на первых порах лучше делать с отключенной сетью, то бишь без ip вообще. Потому уже запускаешь с сетевым интерфейсом, к которому прикручен wireshark, и смотришь куда и как этот шифровальщик или троян пытается лезть.
Таки ви покупаете, или таки продаёте? Если шо, таки тут целый забор плюсов, которые таки пахнут здоровенным гешевтом))
Если устроиться на диване поудобнее, повспоминать эволюцию автопрома за последние 20 - 30 лет, то в результате такой ретроспективы мы увидем, что после определённого периода, производители под надуманными предлогами (экологическая повестка и т. п.) перешли на практически одноразовые модели с туманными возможностями ремонта, некоторые даже с подписной моделью на тот или иной функционал.
Пока не понятна судьба описываемого решения, но с точки зрения очередного витка эволюции авторома (больше напоминающего пике) это очень заманчивый и даже перспективный шаг. Потому что кроме самого привода к нему нужны провода, которые скорее всего станут таким же расходником как и сам двигатель, а это отдельная статья доходов (обязательно на автофоруме найдётся гений, который с пеной у рта будет доказывать, что лучше всего и правильнее ездить на проводах из вакуумированной меди, которые предварительно прогревали специальным током в течении нескольких дней), само собой старые колёсные диски будут несовместимы (очередной источник гешевта), так же возможны свои особенности тормозной системы и соответственно целое поле для возможных решений (можно придумать "совместимость" и многие купятся).
Ну это просто очередная золотая жила для произодителей авто и сервисных центров)) Тем более что его на заводе легко сделать неразборным впринципе (догадайтесь почему?), потому что крайне важный узел ну и Хайтек.
Как раз с точки зрения экономики производителя это как раз очень и очень хорошо)) Немного поработать маркетологам и вуа-ля все пересели на современный, удобный, сверхманёвренныи и экономичный, (здесь ещё ряд прилагательных превосходной степени)
Вы так слона не продадите)) Если их ставить в каждое калесо и они так же будут ходить как резина на колёсах или чуть меньше, в итоге превратятся в расходники, так это как раз то что нужно массовому автопрому. Если ещё до зимних и летних (как типы сезонных покрышек) вариантов дойдёт, то уже лет через пять старые электрички будут запрещены законодательно под надуманными причинами)))
Очень странно, что китайцы ещё не оседлали эту технологию)
Сейчас расскажу зачем так, кроме того что в некоторых компаниях (тупо использовать логин и пароль) так принято))
Допустим у вас есть хост, выступающий в роли бастиона к некоторому защищаемому ресурсу. Оговорю сразу, что в плане безпасности сервер бастиона наворочен, начиная с настроенного аудита системных вызовов, политик SELinux, дополнительных настроек в systemctl и избыточного логирования всего происходящего на сервере. С самого сервера Бастион можно выполнять строго определённые действия (например, подключение к базе данных поверх SSH).
Ничего сложного нет нагенерить ключи и потом открытый ключ класть на сервере бастиона, а приватный отправлять пользователю. Как раз на последнем моменте начинается интересное знакомство с компьютерной грамотностью коллег и человеческим фактором))
Некоторые коллеги прекрасно знают, куда в их ОС нужно положить приватный ключ, как его беречь и для чего он вообще нужен. У других "лапки" и свои особенности расположений ключей в зависимости от ОС (Linux, Windows, MacOS ), и тут может случиться веселье с длительными объяснениями что, куда и зачем. Так же остаётся открытый вопрос защиты доступа к этим ключам. Другими словами, во весь рост всплывает проблема под названием человеческий фактор. Поэтому приходится идти на такие упрощения в доступе, чтобы предоставить доступ и не околеть при этом:
- почтой отправляется методичка по тому, как запустить на рабочей машине SSH в зависимости от ОС, инструкция по настройке подключения в зависимости от приложения (например, для pgAdmin и DBeaver) и логин пользователя;
- в корпоративном мессенжере отправляется пароль.
Согласен, ключи - это хорошо и удобно (особенно на элиптических кривых хороши), пока не встаёт во весь рост куча проблем с их распространением в массовых количествах и обновлением.
Кроме этого при настроенном взаимодействии сервера Бастион с внутрикорпоративной системой поставки авторизации (IdP) упрощается процесс администрирования доступами. Ну и далеко не все IdP поддерживают хранение ключей на своей стороне.
Откуда он берётся этот образ контейнера? Собирается вместе с основным образом контейнера рабочего приложения, или откуда-то подкладывается/скачивается?
Возвращаясь к первоначальному вопросу (Не совсем понятно как запущенный контейнер с названием pause держит сетевой неймспейс ядра линукса? Что его держать?) не совсем понятно зачем контейнеру (pause) держать механизм ядра операционной системы namespace? Подвожу к тому, что на самом деле намешано в кучу механизм ядра операционной системы (namespace) и механизм выдачи адресов подам в Kubernetes. Потому что возникает логиный вопрос: как это реализовано в Windows, где в ядре отсутствует механизм namespase?
Непонятно к чему вообще нужно противопостовлять механизм ядра операционной системы и механизм логического разделения ресурсов в проложении?
Ну это вроде очевидно из самого названия "размерность". Другими словами, это говорит, что данная физическая величина находится в своей системе измерений: метры в своей, килограммы в своей, секунды в своей.
В системе SI определено семь основных размерностей (физических величин), остальные являются производными и вроде как их достаточно для описания любых свойств физических объектов и явлений.
Странно другое. Куда смотрит трудовая инспекция, что такие вакансии местами с явным нарушением трудового законодательства появляются? Их это не касается? Их хата с краю? Зачем тогда вообще нужна эта структура? Тем более что трудовые споры между сотрудником и работодателем обычно решаются в суде и трудовая инспекция вообще никак не участвует в этом.
Возникает логичный вопрос на базе какого именно образа запускается этот контейнер? Не совсем понятно как запущенный контейнер с названием pause держит сетевой неймспейс ядра линукса? Что его держать?
Может быть придераюсь к словам и определениям, только сетевое адресное пространство подов однозначно ограничено clusterNetwork.
В народе (у сетевиков) это просто оверлейная сеть. И это совсем не некая дополнительная, а вполне определённая сеть)), которая работает поверх текущей (поэтому зовётся overlay-ной).
1 Сетевые адресные пространства подов кластера и сервисов кластера не пересекаются - то бишь разные.
2 Адреса подов и адреса сервисов маршрутизируются только и только внутри кластера кубернетес иначе было бы странно, и физически они нигде не присутствуют - они виртуальные. Физические адреса (суть аппаратные IP адресса) очень редко где светятся))
3 Сами сервисы реализованы в виде правил iptables природа их (виртуальная) аналогичная природе подов.
Не-е-е)) Это самая что ни на есть первая. И от неё надо начинать плясать.
Можно сравнивать между собой сетевые пакетные фильтры iptables и eBPF по их возможностям, главное отличие в том что старый добрый iptables работает в user space, eBPF в kernel space операционной системы. Это значит, что за счёт отсутствия переключения контекста производительность eBPF будет быстрее. Но безопасники могут на корню зарубить эту затею с eBPF)))
Есть. Но пока не у нас. По сути переизобрели и по новому подошли к электрохимическому полированию.
Спасибо вам за хорошую и самое главное полезную статью. Многие вещи стали ясны и понятны
Жертвы ЕГЭ не иначе. Даже не знаю почему собеседующий так радуется. Опыт показывает, когда человек правильно отвечает на вопросы, это совершенно не значит, что он понимает, о том что говорит (привет ИИ). Тем более, что сейчас многие "наблатыкались" правильно отвечать, но не более.
Здесь ещё второй минус - нельзя задавать вопросы собеседующему. Это могут быть уточняющие, могут быть встречные, могут быть вопросы для обдумывания. У меня ещё советское техническое образование и нас учили, даже требовали, задавать вопросы, задаваться вопросами.
Не стоит совершенно об этом жалеть. Высокая ЗП (кто сказал, что высокая?) не всегда оправдывает условия и устои.
Что касается автора статьи, по памяти работы в Т1, приходится ещё их доучивать или переучивать. Там такие шедевры иногда получались, на знаменитом сайте для этих вещей нужна отдельная рубрика.
Ну самое главное для понимания: Для чего нужен DevOps-инженер? Перво наперво это сборка и доставка кода (то самое CI / CD). Всё остальное вторично, третично, либо вообще не имеет никакого отношения DevOps. Кстати, как раз на эту тему есть довольно хорошая статья про DevOps и его основные показатели.
Спасибо за интересную и познавательную статью. Можете прокомментировать тему прямого преобразования ионизирующего излучения в электрический ток? Есть ли подвижки и действующие решения?
В наших палестинах аббревиатура ИБ в сути своей часто расшифровывается как имитационная безопасность. Обычно там много бюрократии, присутствует своя артистократия и труднообъяснимые внутренние процессы выработки и принятия решений.
Написание жалобы во многие надзорные органы часто выглядит труднопроходимым квестом. Видимо изначально так было задумано. Как и последующее перенаправление в долгий ящик всех этих жалких обращений от людишек.
Гальваническая развязка нужна для других целей и они не связаны с ИБ. Потому что трансформатор обратимое устройство и ему by design всё равно в какую сторону трансформировать электрическую энергию: первичная и вторичная обмотки так называются только для удобства восприятия.
Поэтому, чтобы избежать прелести с передачей данных по электрической сети надо применять схему двойного преобразования:
переменка -> постоянка -> переменка
По сути напоминает импульсный источник питания.
Небольшая притча перед комментарием: "Больше всех в колхозе работала лошадь, но председателем колхоза она не стала".
С точни зрения целесообразности бизнесу не всегда выгодно терять рабочую единицу, которая выполняет много работы и обладает высокими комптенциями. Потому что вместо условного Васи нужно найти подходящую замену, желательно равнозначную. Кроме этого на новой должности Вася некоторое время не будет показывать ожидаемой эффективности в качестве руководителя. Не факт что сможет справиться. Поэтому часто можно наблюдать найм руководителя вместо продвижения имеющихся сотрудников.
Отдельно обстоят дела, когда условный Вася сотрудник на удалёнке. Я понимаю, что в современный век мгновенных коммуникаций, это не большая проблема. Только многолетнее наблюдение (ещё с доковидных времён) показывает, что щансы стать руководителем команды или подразделения (управленцем) у удалёнщика крайне невелеки. Причём, обратно пропорциональны его удалению от офиса.
Какие золотые сигналы собираетесь мониторить и как на них реагировать? И почему эти сигналы должны быть золотыми?
Предполагаю, но не утверждаю (ибо могут быть иные побудительные мотивы), что это делается для улучшения процессов в компании. Но (далее цитата)
у любого улучшения процесса должны быть метрики, и помимо улучшения расхода энергии (достаточного условия) нужно ещё иметь отрицательный признак ухудшения (необходимое условие). Улучшение должно показать улучшение положительной метрики и неухудшение отрицательной. Потому что без отрицательной метрики я вам могу ОЧЕНЬ много электричества сэкономить. Не грейте сталь вообще - положительная метрика (экономия) зашкаливает. А что сталь не плавится - так условия-то "плавить хорошо" нет
Иначе будет и в основном бывает как в песне:
Здесь мерилом работы считают усталость
Интересное замечание. Просто обычно keycloak располагают внутри закрытого сетевого контура и это совсем не демилитаризованная зона, а приватная сеть доступная при подключении через тоннель. Кроме этого сам keycloak поддерживает репликацию из коробки.
Когда у вас около десяти серверов и более менее устоявшийся коллектив без постоянной текучки кадров и непонятных хотелок, процесс смены ключей (паролей) SSH может быть довольно простым и не таким частым (ansible role - самый распространённый вариант). А когда у вас с полсотни серверов и постоянно надо давать и забирать права доступа, высока вероятность запутаться и допустить ошибку.
Также keycloak поддерживает MFA (SMS, Email, TOTP, WebAuthn) поэтому можно настроить довольно надёжную схему. Но если выставить бездумно сервер IAM/IdP, собранный на коленке и запущенный через docker-compose, тогда остаётся уповать только на чудо.
Можно ещё каждый дейлик начинать с этого
Можете привести примеры, что именно не так по вашему было с брендом работодателя? До чего докатились?
Ни в коем случае не ставлю под сомнение квалификацию технического персонала, но 25 лет на одном месте... С другой стороны госуха (проекты с государством) и поди банки (корпоративный сектор) ну такой себе показатель особенно в наших реалиях.
1 Что не так с романтизированным айтишным вайбом с послеобеденным сном и «плюшками» по вашему? Что вы готовы предложить кроме запоминающегося образа в глазах сотрудников и соискателей?
2 Какие ценности в вашей компании?
3 Именно большего чего собиратесь добиться?
Вы крайне далеки от реального положения на рынке труда. Уже прошло то поколение, которое велось на: "работать в нашей компании большая честь"
Далеко не во многих компаниях ИТ есть премии и годовые тоже. Большинство уходят, потому что часто это единственный способ увеличить свой доход. Есть те которые достигли своего потолка и ищут новое место роста. Но не из-за годовых премий.
Требуются высококвалифицированные, опытные, отвественные и недорогие специалисты (ц)
1 Рассказывать своим сотрудникам какие вы хорошие, ну такое себе
2 Ни мерчем, ни красивыми словами профессионала не удержишь