Переезд всегда застаёт врасплох. Врасплох застал и переезд на облако. Опыт подсказывал, что потребуется неделька, чтобы освоиться на VMware'вской платформе, но ничто так легко не недооценивается, как трудозатраты.
Переезд по прежнему в активной фазе, но здесь в формате руководства уже собраны булыжники, о которые пришлось запнуться, прежде чем обжиться на новом облаке.
Привет, Хабр!
Cегодня мы поговорим об очередном этапе развития нашего продукта — о его эволюции и мутации.
В последний рабочий день декабря мы решили выпустить новую версию 2025H2 «Приём», преумножив шутку про релиз в пятницу. Главными обновлениями стали появление модуля «Ресурсно-сервисная модель (PCM)» и трансформации данных. Под катом рассказываем подробнее и делимся скриншотами.
TL;DR Раздаем «Графиню» и отвечаем на вопросы в TG-сообществе.
Полное руководство по развертыванию высокодоступного кластера Kubernetes 1.35 на Ubuntu 24.04
Эта подробная техническая статья представляет собой пошаговое руководство по созданию отказоустойчивого кластера Kubernetes версии 1.35 с использованием утилиты kubeadm. В руководстве рассматривается развертывание производственного кластера с тремя master-нодами и тремя worker-нодами, что обеспечивает высокую доступность и отказоустойчивость.
В статье исследуется процесс автоматизированной централизованной установки средств электронной подписи в доменной инфраструктуре с использованием платформы ALD Pro версии 3.0.0. Проанализированы и реализованы на практике различные сценарии развертывания программных продуктов КриптоАРМ ГОСТ, КриптоПро CSP и КриптоАРМ, посредством групповых политик и встроенных механизмов политик установки ПО. Исследование охватывает архитектурные и функциональные аспекты реализации, процедуры распространения и активации лицензий. Отмечены ограничения существующих подходов к централизованному распределению индивидуальных лицензий и предложены направления совершенствования процедур и архитектуры для повышения надежности, управляемости и предсказуемости эксплуатации в IT‑инфраструктурах.
В этой статье мы обсудим диагностику и подходы к решению ошибки подключения клиентов к серверу ConfigMgr при использовании PKI.
Вы узнаете:
• как понять, какая именно ошибка скрывается за 403 Forbidden
• где хранится информация IIS о CDP и как вручную проверить сертификат клиента
• как отключить в IIS верификацию сертификатов по CRL
На одной истории с OpenBSD и Вячеславом Воронцовым мы конечно же не остановились, на этот раз в гостях у нас ещё один яркий и интересный представитель сообщества BSD.
Начитавшись за последние пару месяцев статей про вайбкодинг и воодушевившись, что сейчас в микрофон ноута скажу «ОК Гугл, сделай мне скрипт для кодирования фото и видео архива за 15 лет» и далее как в фильме Она (2013), нейросеть мне разберет по полочкам, то что откладывалось и накапливалось.. Я столкнулся с суровой реальность :( Но дело сделал! Поэтапное решение под катом.
За последние пару лет в интернете скопилось много статей на данную тему, так зачем же еще одна? Лично для меня была проблема в том, чтобы найти всю информацию по базовой настройке сервера (обновление, защита и т.д.) и в дополнение к этому быстрый способ настройки VLESS в одной статье. Обычно я натыкался на статьи, где есть настройка панели 3X-UI (и то, как я понял, читая комментарии под такими статьями, не всегда правильная) без базовой настройки самого VPS, либо статьи, где всё написано слишком детально, а «много букав» читать, да ещё в последствии воспроизводить самому многим лениво в наше время.
Поэтому в данной инструкции я решил собрать в одном месте и базовую настройку сервера (которую может сделать практически любой, не слишком мудря с настройками), так и настройку Xray без панели 3X-UI всего за пару скриптов.
«Основным недостатком волнового метода маршрутизации является дополнительная нагрузка, которая создается передачей поисковой посылки во все стороны, в том числе и в противоположную сторону от УП». Поэтому предлагается некий локально-волновой метод маршрутизации, который «состоит в том, что для нахождения кратчайшего маршрута в сети между парой узлов из УИ организуется волновой поиск, но не во всех направлениях, а лишь в сторону УП».
Однако как автор волнового метода маршрутизации выражаю своё несогласие только с такой трактовкой возможностей волнового метода и поэтому предлагаю на конкретных примерах рассмотреть другие варианты.
Всем привет! Мы уже все понимаем, что блокировка Telegram будет в этом году. Сейчас власти делает это этапами, чтобы люди понемногу и без кипиша, мигрировали на Max. Понятно, что не все смогут или захотят это, но тут либо VPN либо более гуманная альтернатива - MTProxy.
Не все инсталляторы linux могут установить систему на btrfs subvolume. Ни один инсталлятор не может установить систему с применением nocow и compress только для определенных subvolume.
На примере Astra linux 1.8.4 с максимальным уровнем защищенности (включен МКЦ и МРД) и написанных мною скриптов для автоматизации я покажу, как перенести установленную систему на btrfs subvolume, а также установить nocow только у необходимых subvolume. Дополнительно будет описан второй скрипт для создания и восстановления снимков.
Fail2Ban долго был про «поставил и забыл», но сейчас он всё чаще работает как сигнализация, которая орёт уже после того, как дверь подёргали десятки раз — и каждый рывок остаётся в логах. Мы перевели сервер управления Netbird с Fail2Ban на CrowdSec и собрали это в практический разбор: как читать JSON-логи Caddy без плясок с регулярками, как вешать блокировки на nftables, и почему community threat intel позволяет отрезать часть сканеров ещё до того, как они успевают что-то «прощупать». По ходу рассмотрим конфиги, команды и наблюдения, что именно меняется в шуме, банах и нагрузке.
В сетевых метриках VDS/VPS легко запутаться, потому что каких их только нет. В статье разберу ключевые, расскажу, как их читать, и посоветую 10 лучших утилит для мониторинга сети.
Coolify — это инструмент с открытым исходным кодом, который позволяет легко устанавливать на своём сервере разные приложения: сайты, базы данных, сервисы, скрипты, боты и остальное.
В прошлых статьях из этой серии мы уже разобрались, как подготовить сервер и домен, а также, как установить и настроить Coolify на сервере.
А сегодня мы наконец будем рассматривать установку приложений. Сначала по шагам разберёмся, как это происходит в целом, а затем продемонстрируем процесс на конкретных примерах.
А вы тоже слышали байку о том, что облако по сравнению с онпрем-инфраструктурой получается едва ли не дешевле электричества из розетки, а PAYG – справедливее коммунизма? Нет, в целом принцип и правда выглядит очень честно: сколько заказал – столько и заплати. Как в ресторане. На практике такого, конечно, чаще всего бывает. Но чего всегда бывает в избытке – так это претензий финотдела, который кого угодно сведет с ума, допытываясь, почему растут счета. А кто бы их знал? Продакшн стабилен, метрики зеленые, архитектура давно устоялась – причин для роста как будто и нет. Но компании то и дело выходят за рамки бюджетов.
Когда проект Kubernetes только начинал свой путь, вопрос как пустить трафик в кластер решался просто: как-нибудь. Сервисы торчали наружу через NodePort, потом появился LoadBalancer, а чуть позже — объект Ingress, который на долгие годы стал стандартной точкой входа в HTTP-мир Kubernetes.
Ingress был своевременным решением. Он дал декларативный способ описывать маршрутизацию, TLS и виртуальные хосты, не заставляя инженеров напрямую настраивать nginx-конфиги или HAProxy руками. Для своего времени — шаг вперёд, и весьма заметный. Проблема в том, что Kubernetes рос быстрее, чем сам Ingress.
Со временем выяснилось, что спецификация Ingress намеренно минималистична. В ней нет ни чёткого разделения ответственности, ни расширяемой модели, ни нормального способа описывать сложные сценарии маршрутизации. Всё, что выходило за рамки базового use case, уезжало в аннотации ingress-контроллеров. В результате у нас появился единый стандарт, который на практике вёл себя по-разному в зависимости от того, какой контроллер стоял в кластере. Формально — Ingress, фактически — vendor-specific конфигурация с YAML-обвязкой.
Часто в учебной литературе по Linux приведены скучные и неинтересные примеры написания модулей ядра. Я решил исправить этот пробел и показать, что разработка небольшого модуля — это задача под силу многим, если понимаешь базовые принципы разработки программ.
Безопасная эксплуатация ноутбуков, или Защита мастер-ключа LUKS с помощью пользовательского ключа на USB-накопителе
Как мы уже знаем из первой части, система LUKS подбирает параметры хеширования ключей таким образом, чтобы для проверки одной парольной фразы нужно было не менее секунды, в связи с чем для взлома пароля длиной 8 символов требуется более ста миллионов лет. Однако рост производительности CPU/GPU и развитие квантовых технологий может привести к тому, что лет через десять текущие оценки окажутся неактуальными, поэтому с учетом будущих угроз длину пароля можно увеличить, и LUKS позволяет использовать фразы длиной до 512 символов. Тем не менее, каждый дополнительный символ существенно усложняет пользовательский опыт и повышает шансы того, что пользователь просто забудет свой пароль и потеряет доступ к данным. Сегодня мы покажем, как можно защитить мастер-ключ LUKS с помощью случайного пользовательского ключа, который трудно подобрать, легко потерять и невозможно забыть.
NanoKVM — это компактное IP-KVM устройство от Sipeed, позволяет удалённо управлять компьютером: видеть экран, управлять клавиатурой и мышью, монтировать образы дисков — всё через веб-интерфейс в браузере.
По умолчанию NanoKVM доступен только в локальной сети. В этой статье я расскажу как с помощью туннеля Tuna вы можете открыть доступ к нему через интернет — без «белого» IP, без VPN, без проброса портов на роутере, а также мониторить доступность устройства в целом при поможи мониторов Tuna.
Итак, обследование проведено, целевая архитектура спроектирована. Для тех, кто не понимает о чем речь, предлагаю сделать шаг назад и ознакомиться с предыдущими этапами: