Администрирование

Тезис: следует создать такой дистрибутив Linux, который по умолчанию выполняет двоичные файлы Windows через Wine.

Если я найду файл в формате .exe, которому 20 лет, я по-прежнему смогу запустить его на современной Windows. Попробуйте проделать подобное с двоичным файлом Linux, которому всего год. Совершенно не гарантированно, что он запустится, в зависимости от того, какие обновления успели произойти. Также не гарантируется, что заработает даже сегодняшний двоичный файл Linux, если собрать его в одном дистрибутиве, а попытаться запустить на разных других дистрибутивах. Возникает ровно такая же проблема, связанная с версиями установленных библиотек.

Мониторинг — это сердце любой современной IT-инфраструктуры. Сегодня я хочу рассказать о нашем опыте построения и развития инфраструктуры мониторинга в одном из крупнейших банков России – Россельхозбанке.

Привет, Хабр! Меня зовут Сергей Смирнов, я DevOps экосистемы «Своё» в РСХБ.Цифра.

Речь пойдет не о всей гигантской IT-инфраструктуре банка, а о ее специфической части. Мы работаем с тем, что можно назвать «внешним облаком» РСХБ. В этой статье я расскажу об общей архитектуре, ключевых технологиях для сбора метрик, логов, трассировок, алертинга и визуализации, принципах настройки и развертывания, примерах и готовых решениях, в частности о том, как Victoria Metrics может стать центральным элементом системы мониторинга, охватывающей как Kubernetes, так и другие компоненты инфраструктуры.

Самое главное – я поделюсь конкретными примерами конфигурационных файлов, Helm-чартов или других манифестов, которые позволят вам развернуть базовый (или даже расширенный) стек мониторинга «из коробки» в вашей собственной среде.

Атаки на сервера в России очень сильно изменились за последние 4 года, их стало в десятки раз больше, атакующие активно использую ИИ и при этом, законодатели решили еще и усилить эффект - запретив использовать западные бесплатные технологии защиты вроде Cloudflare. В сочетание с законом о приземление - когда ты обязан использовать сервера в РФ это дает кошмарный эффект в защите и огромный бонус для атакующего.

В этой статье мы защитим свой сервер, защитим SSH, защитим Nginx, панель управления Fastpanel и еще побочное преимущество - получим VPN на основе Tailscale (Wireguard).

Это статья написана исключительно на основе моего личного опыта - как я защищаю свои сервера. Если вам есть что добавить - буду рад это услышать. И так, у нас в нашем примере у нас чистая Ubuntu 24 server.

Продолжаю рубрику «Мысли вслух». Цель данной публикации – описать алгоритмы и новизну моих исследований по созданию кластера СУБД с горизонтальным масштабированием производительности – распределенного вычислительного кластера (РВК). Набралась очередная порция материалов в следствие новых изысканий и натурных экспериментов, которыми и делюсь. Сегодня речь пойдет о возможных протоколах работы РВК. Создание распределённого кластера СУБД обычно приносит серьёзные потери в производительности одиночных операций, плюс сложности в разработке, эксплуатации и сопровождении. Цель моей работы – создать РВК без этих недостатков.

Google объявил о прекращении поддержки POP3 для проверки почты из сторонних аккаунтов в Gmail. Также прекратится поддержка Gmailify — защита от спама и автосортировка входящих в стороннем аккаунте электронной почты. Для многих это стало неожиданностью.

Разбираемся, почему POP3 проблематичен и как организовать нормальную работу с почтой через IMAP.

Привет, Хабр! Я Павел Михайлик, архитектор в центре сетевых решений «Инфосистемы Джет». Сегодня я расскажу о балансировке в сети и почему она важна при наблюдении за манулами. 

«Балансирование нагрузки», «ADC», «GSLB», anycast, ECMP, — много разных терминов и ещё больше разных сценариев реализации, как в постановке задачи, так и в методах и механике реализации. Итак, давайте попробуем для начала наметить основные критерии, по которым можно разделить разные типы балансирования нагрузки.

eBPF давно перестал быть узкоспециализированной игрушкой для kernel-энтузиастов и исследователей внутренностей Linux. Сегодня с ним, так или иначе, сталкиваются не только SRE, но вообще все, кто разрабатывает системы, близкие к сети, производительности или безопасности: от авторов сетевых плагинов (CNI) и прокси, до разработчиков кастомных агентских решений, observability-инструментов и low-level инфраструктурных компонентов. Даже если вы никогда не писали eBPF-код руками, есть хороший шанс, что он уже работает в вашей системе — тихо, незаметно и с довольно широкими полномочиями.

Чаще всего eBPF проявляется через удобные CLI, библиотеки и дашборды: установили агент, включили, и внезапно система знает о происходящем больше, чем strace, tcpdump и половина метрик вместе взятых. Но за этим комфортом скрывается нетривиальный механизм исполнения пользовательского кода прямо внутри ядра Linux — с жёсткими правилами валидации, ограниченной моделью исполнения и целым набором архитектурных компромиссов, о которых обычно не принято говорить в маркетинговых описаниях.

Как известно, компания OpenAI, создавшая ChatGPT, находится на переднем крае развития ИИ и многим небезинтересно, какие технологии и решения работают "под капотом" этой популярной компании. Сотрудник технического отдела OpenAI, Бохан Чжан (Bohan Zhang) приоткрыл небольшую завесу о том, как компания работает с базами данных и с какими вызовами им приходиться сталкиваться и как их приходиться преодолевать. Это статья является вольным переводом оригинальной статьи Scaling PostgreSQL to power 800 million ChatGPT users, опубликованной на официальном сайте OpenAI, с некоторыми пояснениями и умозаключениями от переводчика, с учетом его знаний и опыта.

Вопрос простой: кто может обновлять macOS?

Многие считают, что обновление macOS требует прав администратора. Однако в ряде сценариев стандартный пользователь вполне способен выполнить обновление системы. Ниже разберемся, как это работает и с какого момента Apple изменила правила игры.

Мониторинг и управление качеством мобильного интернета на Mikrotik

В данной статье автор делится своим опытом мониторинга и повышения качества мобильного интернета для частного дома в условиях слабого и плохого мобильного сигнала на роутерах микротик.

Статья будет полезна тем, кто интересуется микротиками и сетевыми технологиями, программирует микротики.

Привет Хабр! Возможно вас, как и меня, первое знакомство с функциональными зависимостями в базах данных повергло в легкий ступор. Длинные определения, которые не давались даже после третьего прочтения, излишняя абстрактность, когда на простые и понятные примеры поскупились, и прочее прелести «научного» подхода к объяснению сложных тем.

Пора раз и навсегда разобраться во всем этом. Тем не менее, я постараюсь не упускать детали и, где это уместно, углубиться в тему с головой. Без претензии на академичность, но с претензией на ясность. Начнем.

В предыдущих статьях я уже подробно описывал, как GPT-5.2 и Anthropic Sonnet справляются с задачами прикладного уровня.

В этой статье — Kimi K2.5 с reasoning’ом.

Важно сразу обозначить:
эксперименты те же самые.
Методология не менялась вообще.
Менялась только модель.

Привет, Хабр.

Любой разработчик знает: если действие нужно повторить больше двух раз — его надо автоматизировать. Мы настраиваем пайплайны для деплоя, пишем автотесты, используем линтеры.

Но когда дело доходит до поиска работы, мы превращаемся в биороботов.

Заходим на hh. Вбиваем фильтры. Читаем описание (которое на 90% копипаста). Пишем сопроводительное (которое никто не читает). Жмем кнопку. Повторить 100 раз.

Меня хватило на два дня. Потом я понял, что трачу часы на работу, которую должен делать скрипт.

Попытка №1: Тупой парсер (Python + Requests)

Сначала я решил задачу в лоб. Написал воркер, который:

Хабр, привет! На связи Михаил Косцов, руководитель практики вычислительной инфраструктуры и систем резервного копирования К2Тех. За последние годы у российских ИT-специалистов выработался «синдром недоверчивого покупателя». Когда презентуют очередную «полностью отечественную» разработку, машинально ищешь подвох: знакомый корпус под новым шильдиком, наспех перелицованный Open Source или иероглиф где-нибудь на плате. Устройство выглядит солидно, жужжит по-корпоративному, но все равно хочется заглянуть под капот. И мы заглянули. 

В нашу лабораторию приехала система хранения данных YADRO TATLIN.UNIFIED Gen2. Мой коллега ранее делился в Хабра-статьях итогами тестирования решений от вендора YADRO: СХД начального уровня TATLIN.FLEX.ONE и системы TATLIN.BACKUP для хранения резервных копий.

Итак, мы не стали церемониться: дергали диски на горячую, рубили питание / сеть / контроллеры и все, до чего могли дотянуться, протестировали модный NVMe over TCP в сравнении с классическим Fibre Channel. А потом обнаружили, что реальные цифры производительности разошлись с даташитом — причем в неожиданную сторону. Сейчас все расскажу.

Привет, Хабр! Меня зовут Алексей, я участвую в в разработке операционной системы для линейки коммутаторов KORNFELD в YADRO. Ранее я писал об организации L2-связности — она покрывает только часть потребностей, и рано или поздно требуется связать VXLAN-сегменты между собой или с внешними сетями. В этой статье рассмотрим варианты решения такой задачи. Все примеры беру из практики работы с KORNFELD, так как логика настройки и синтаксис схожи с популярными вендорами.

Привет, Хабр!

В предыдущей статье мы рассказали, как установить Digital Q.DataBase на Astra Linux 1.8 и начать работу с этой российской СУБД, которая поддерживает нативную работу с диалектами MS SQL, PostgreSQL и Oracle. Сегодня мы поговорим о том, как перенести уже существующие данные в Digital Q.DataBase из других систем управления базами данных. 

Для решения поставленной задачи мы разработали инструмент – Мастер переноса БД. Он позволяет выгрузить структуру, данные и хранимую логику из уже развернутой БД на одной из трех СУБД (Oraсle, MS SQL и PostgreSQL) и загрузить их в Digital Q.DataBase без переписывания кода приложений в отличие от любых миграторов-конверторов.

Portainer — удобный интерфейс управления контейнерами (Docker/Kubernetes) из браузера, но почему-то о нём ещё не все знают. В статье расскажу, что это такое, зачем он вообще нужен и как установить.

Однажды передо мной встала задача: на произвольном роутере локальной сети выделить интернет-трафик пользователей и перенаправить его по другому маршруту, не трогая при этом локальный трафик.

В принципе банальщина, решить которую можно множеством способов. Например, для локального трафика задать статические маршруты, а шлюзом по умолчанию сделать роутер, куда нужно перенаправить трафик. Схема рабочая, но трудоёмкая. Ведь для каждого роутера придётся вручную корректировать таблицы маршрутизации.

Хотелось сделать универсальный скрипт, с помощью которого можно было бы легко и быстро управлять трафиком. Идея в том, что можно задавать статические маршруты не для локального трафика, а для внешнего, и при этом не трогать шлюз по умолчанию. Дело осталось за малым — получить перечень всех внешних IP-подсетей, чтобы на их основе строить маршруты.

Ну и как в жизни бывает, автоматизация работы привела к гораздо большим трудозатратам, нежели явная работа руками. Проблема оказалась там, где не ждали — готового перечня внешних IP-подсетей найти не удалось. А раз нет, значит придется делать самому.

Вместо эпиграфа: покажите мне человека у которого нет проблем, и я покажу вам у него на голове шрам от трепанации черепа – говаривал Михаил Жванецкий. А самое неприятное это то, что решая одну проблему мы создаем две следующих (или даже больше)…

Весела и разнообразна монтажная жизнь. Часто по жизни встречаются претензии управляющих компаний, а после принятия закона о беспрепятственном доступе провайдеров в жилые дома, количество жалоб увеличилось просто лавинообразно. Во всем таки операторы связи плохие: и мусорят, и ломают, и пакостят (как специально), а главное ни за что платить не хотят…  Оно конечно и среди нашего брата встречаются всякие, но это скорее исключение, чем правило, в массе все пацаны аккуратны, вежливы и не злобны, нам ведь в управляющие компании и в дальнейшем обращаться. Доступ на технические этажи нужен практически всегда. Поэтому со всеми ТСЖ, ТСН, Кондоминимумами и иже с ними, стараемся дружить, ну или по крайней мере, поменьше ругаться. Получается, к сожалению, не всегда…

Итак, реальная история, кои происходят практически ежедневно…

Меняем SFP модули с 1 гига на 10 гиг. В теории работа несложная и нетрудоемкая. Это не домовой ящик ставить, комки проключать, пачухи расшивать, оптику и многопарку прокидывать. SFPхи маленькие, сунул в карман нужное количество комплектов (с запасом) и пошёл по линии. Заменил с двух сторон, линк увидел, померил, с админом созвонился, сигнал и ошибки проверил… и дальше аналогичным образом двигаешься. Это в теории. Но чему нас учит теория? Теория нас учит смотреть далеко вперед. А чему нас учит практика? Практика нас учит смотреть себе под ноги!!! Так гласит старая монтажная мудрость!

Статьи У вас WPA Enterprise PEAP/TTLS? Тогда мы уже у вас и Пентест WPA-Enterprise: от теории к практике наглядно показывают наличие проблем с безопасностью WPA-Enterprise и рисуют неприглядную картину окружающей нас реальности. Но о том, как настроить Wi-Fi в организации, чтобы избежать описанных ужасов авторы упоминают кратко и без подробностей.

Я буду рассматривать подключение компьютеров домена Active Directory (AD) к Wi-Fi сети при помощи Network Policy Server (NPS). Статья разбита на две части. Теоретическая: общие вопросы, протоколы и их уязвимости, сценарии атак, настройки и особенности их применения. Практическая: производится пошаговая настройка Wi-Fi на базе Active Directory и Network Policy Server.

TL;DR: WPA-Enterprise требует обязательного применения и проверки сертификата сервера. Безальтернативно. Без сертификата WPA‑Enterprise становится просто красивой декорацией в театре безопасности. Статья написана для того, чтобы все и всегда проверяли сертификат сервера.