Администрирование

В современных веб-приложениях хранение файлов часто отдают специализированным объектным хранилищам, таким как S3. Это удобно, масштабируемо и надежно. Однако здесь возникает классическая проблема проектирования: как обеспечить безопасный доступ к файлам, когда архитектура требует, чтобы хранилище было приватным, а бизнес-логика прав доступа — централизованной? Оставлять S3-бакет публичным — плохая практика, а проксировать каждый запрос на скачивание через бэкенд-сервис — значит, превратить его в «бутылочное горлышко», которое неизбежно захлебнется при росте трафика.

В этой статье я познакомлю вас с реализацией бэкенд-сервиса, который решает эту проблему элегантно: S3 отвечает за хранение и отправку данных, а мое приложение — за проверку прав и генерацию одноразовых, короткоживущих ключей доступа (Pre-signed URL). Я разберу архитектуру решения, покажу, как настроить безопасное разграничение доступа между публичными и приватными объектами, а также продемонстрирую механизм, который позволяет клиентам скачивать файлы напрямую из хранилища, минуя сервер приложения.

Материал будет полезен бэкенд-разработчикам, системным архитекторам и DevOps-инженерам, которые сталкиваются с задачами организации безопасного хранения и выдачи файлов, ищут способы снижения нагрузки на API своего сервиса и стремятся построить надежную систему разграничения прав доступа с использованием современных объектных хранилищ.

Немного практики для "пощупать" HPA в кластере, поиграться параметрами масштабирования. Можно было бы быстро перейти от теории к практике, ну или наоборот. В примерах используется масштабирование на основе очереди RabbitMQ. Можно использовать minicube, MicroK8s, или где вам удобно... Для удобства развёртывания примеры k8s-hpa-rabbitmq-demo.

Я реализовал свою первую задачу по замене «Яндекс Диска», довёл скорость до 1,1 ГБ/с и пошёл дальше — установил Kubernetes дома. Я не инженер DevOps, но на своём кластере из старых Mac mini я запустил полноценный K8s с Managed Services.

Тысячи статей про VPN? Да, знаю. Но я всё равно написал свой Bash-костыль, разобрался, почему в июне 2026 всё сломалось, и даже сделал отказоустойчивую систему. Хейтеры, я вас жду в комментах.

Наверное не существует в мире технической поддержки, которая бы среди прочего не занималась спасением данных клиентов. Не минула участь сия и нас в Postgres Professional. Однако особенность спасения битых данных в СУБД заключается в том, что сломаться может сразу на двух уровнях: физическом и логическом. Первое, это когда что-то случилось с физическим файлом внутри которого лежат данные, а второе это когда файл цел, но внутри него каша без смысла. Поэтому сегодня мы поговорим о том как понять что в вашей базе что-то пошло не так, как понять почему, как оценить ущерб и минимизировать его. А в конце, бонусом, обсудим как не стать героем подобных статей.

Один хост. Один образ. Пять виртуальных машин. Три минуты — и у вас HA Kubernetes с аппаратной изоляцией, который не снился облачным провайдерам. Никаких облаков, никаких managed-сервисов — только Firecracker, kubeadm и пара сотен строк bash. Это не «лабораторка на выходные» — это чертёж собственной инфраструктуры, которую вы контролируете до последнего байта.

Enterprise-разработка рано или поздно сталкивается с классической задачей: нужно выдать доступ к БД аналитикам, тестировщикам или саппорту в проде, но при этом необходимо скрыть персональные данные или коммерческую тайну. Статическое маскирование отлично подходит для случаев, когда таблица копируется полностью, но что если “замаскировать” нужно просто результат какого-либо запроса? Здесь пригодится маскирование динамическое, и в этой статье мы рассказываем об инструменте transp_anon, который входит в новый релиз СУБД Tantor Postgres 18.

Виртуализация в России — тема горячая. VMware ушёл, Hyper‑V под вопросом, Proxmox — открытый, но не «суверенный». Я задался вопросом: а можно ли написать платформу управления KVM с нуля, с полным контролем ресурсов через cgroups v2, без единой строки GPL‑кода?

Спойлер: да. Встречайте Eskvisor — мой проект, переросший в зарегистрированную в Роспатенте программу для ЭВМ. Под капотом — архитектура, грабли с cgroups, и почему полностью суверенный проект был мертворожденным.

Как мы превратили панель управления NAS в платформу для расширений, зачем туда Log Manager и для чего Plugin Template.

В новой версии 3.6.4 я добавил возможность устанавливать плагины. Перед реализацией возникло много вопросов. Наша ключевая фишка — мультисеть (позволяет переключать фронтенд на бэкенд другого сервера для его мониторинга и управления). Значит, и модуль плагинов должен уметь переключаться.

И......

Во время очередного эксперимента со старым Lenovo S10-3 я решил проверить, можно ли заставить работать встроенный модем Qualcomm Gobi2000 на современной Linux‑системе. Как оказалось, для этого пришлось заглянуть в эпоху Windows 7 и Debian 8, а сама задача оказалась гораздо интереснее, чем ожидалось изначально.

Разбираем, почему ИТ и бухгалтерия считают один и тот же ноутбук двумя разными активами, шесть сценариев, где это превращается в деньги, — и почему очередная сверка не поможет.

Мы использовали Terraform как полагается. Потом сделали плановый apply — и положили прод второй раз за неделю. Разбираю, почему IaC не гарантирует консистентность, откуда берётся конфигурационный дрейф и почему «введём процессы» его не остановит.

Большинство статей о миграции с SharePoint описывают её как проект с двумя чёткими состояниями: «до» и «после». Вот вы работаете в SharePoint — вот уже в новой системе. На практике это не так. Между «до» и «после» существует третье состояние, которое может длиться месяцами: обе системы работают в проде одновременно, пользователи работают в обеих, а данные могут меняться в любой из них.

Именно это третье состояние и создаёт самый неприятный класс проблем. И именно о нём — эта статья.

Многие россияне за границей сталкиваются с тем, что не могут открыть приложения банков, налоговой службы, маркетплейсы и другие важные ресурсы. К счастью, это можно исправить: достаточно создать свой сервер внутри России и направить интернет-трафик через него.

В статье покажем, как быстро развернуть такой сервер на VPS, а также настроить подключение к нему со смартфона и компьютера, чтобы снова получить доступ к российским сайтам и сервисам из-за границы.

Если вы пользовались моим LxBox или десктопным лаунчером, то могли натыкаться на оранжевый баннер: «с этим узлом, скорее всего, не соединится». Так клиент честно сознаётся, что наткнулся на узел с транспортом XHTTP, а ядро sing-box, на котором всё крутится, его не умеет. В этот момент лаунчер тихо даунгрейдит конфиг до HTTPUpgrade.

А еще сразу как я выпустил приложение пришли запросы с AWG/AWG2 и такие: сделай! а я сюда

В какой-то момент я устал ждать и собрал свой форк ядра — sing-box-lx. Сегодня расскажу, зачем он понадобился, что внутри, и почему главное в нём — не сами фичи, а то, как он сделан.

Привет, Хабр! Не то чтобы сильно планировал, но обстоятельства вынудили в очередной раз вернуться к теме сравнения российских хостингов — решил, что вам мои крупицы информации могут оказаться полезными. 

На рынке сейчас великое множество предложений VPS/VDS, но все они продают примерно одно и то же. Схожие конфигурации, обилие доступных образов ОС, возможность выбора ЦОДа — всё это есть у большинства современных хостингов. А вот стоимость за одинаковые услуги может значительно отличаться.

Под катом я постарался выяснить, насколько разница в цене оправдана на практике. Для этого я протестировал несколько серверов у популярных хостингов (Timeweb, RUVDS, CLO, AEZA, VDSina и Selectel) в средней ценовой категории, с максимально схожими конфигурациями (CPU 2, RAM 4 и SSD / NVMe).

Ранее уже выкладывал способ, Как починить блокировку легальных сайтов РКН ТСПУ одной строчкой в Chrome - он работает, но не для всех.

Теперь же мы разберем ситуацию, как починить Ваш сайт если Вы Владелец / Администратор, расскажу как к этому пришёл и почему это работает.

Домашний облачный рабочий стол и гейминг в контейнере, с общим GPU. Готового решения не было — пришлось пройти четыре тупика и написать свой Wayland-композитор.

Написать эту статью, меня натолкнул другой пост на хабре: Как я перестал переключать VPN и разделил рабочий и личный интернет архитектурно

Мне показался он интересным, но немного сложным, к тому же хотелось поделиться своим опытом, как я разделяю работу - надеюсь это будет кому-то полезным.

Вся суть статьи сводится к: установке Windows 10 на виртуальный сервер (VPS), настройка и подключение RDP. Возможность подключаться к серверу с мобильных устройств и в целом работать через RDP в дороге (если нужна Windows).

Привет, Хабр! На связи команды Рег.облака и ispmanager. Не так давно в Рег.облаке мы запустили программу Free Tier — бесплатный облачный сервер, и разбирали в отдельной статье, что реально помещается в один-два гигабайта оперативной памяти. Теперь у программы вторая фаза, FT2: тот же бесплатный сервер, но уже с предустановленной панелью управления ispmanager. Это меняет сценарий — из песочницы для пет-проектов Free Tier превращается в готовый способ перенести рабочий сайт с классического хостинга в облако.

Поэтому в этой статье говорим не про тесты ради тестов, а про миграцию.