Администрирование

Netconf с нуля: препарируем протокол и пытаемся понять, стоит ли ради него забросить классическое CLI-программирование.

Зачем вообще использовать gMSA в контейнерах?

Group Managed Service Accounts (gMSA) решает проблему хранения и обновления сервисных паролей: пароль хранится только в AD и регулярно обновляется автоматически. Использование gMSA позволяет не менять уже настроенные ACL и роли на файловых шарах и SQL-серверах - приложения продолжают работать с прежними правами через корпоративные Kerberos/SPN-механизмы. Такая интеграция обеспечивает прозрачный и контролируемый переход классических приложений в контейнерную инфраструктуру Kubernetes.

Посмотрим как это работает на примере простого кроссплатформенного dotnet-приложения.

Не секрет, что штатные возможности мониторинга Nginx довольно скромны. Решалась эта задача различными способами: либо парсингом логов, либо сторонними модулями. При создании Angie эту проблему решили радикально и сразу несколькими способами. Начнём с исторического модуля stub_status.

Бывают сбои, которые не исчезают после устранения причины: система залипает, полезная пропускная способность почти нулевая, а петли обратной связи удерживают отказ. В статье формализуем это как метастабильные отказы, разберем цикл «стабильное → уязвимое → метастабильное», характерные метрики и «скрытую ёмкость». Обсудим практики сохранения полезной пропускной способности под перегрузкой: бюджет повторов, приоритеты и отбрасывание запросов, обслуживание «последних первыми», грамотное управление очередями и автомат защиты.

Привет! Меня зовут Александр Беседин. Раньше я был сетевым инженером в аэропорту, немного кодил на iOS, создавал простые CMS-сайты, а потом стал техлидом в Wildberries по направлению CI/CD. В этой статье рассказываю, какие проблемы возникали у нас с докер-сборками, как мы их решали и что получилось в итоге. Всё, чтобы вы могли посмотреть на наш опыт и применить его в своих проектах!

Некоторые организации работают с чувствительными данными и обязаны соблюдать строгие нормы информационной безопасности. Использование стандартных подходов, при которых обращения к облачным хранилищам происходят через публичный интернет, создает риск утечки данных, компрометации конфиденциальности и даже нарушения норм регулирующих органов. Поэтому востребованным решением в таких кейсах становится изолированное подключение к S3-совместимым хранилищам через сервисную сеть.

Меня зовут Павел Зимин. Я системный инженер в команде Professional Services Cloud SaaS VK Cloud. В этой статье я расскажу, что такое сервисная сеть и зачем она нужна, а также покажу алгоритм настройки подключения к объектному хранилищу через сервисную сеть на примере Object Storage от VK Cloud.

Привет, Хабр! Пару недель назад мы разбирали бета-версию Ubuntu 25.10, которую Canonical назвала "Questing Quokka". Тогда система была на этапе заморозки пакетов, с акцентом на переход к Wayland и поддержку RISC-V. Теперь релиз вышел, и он стал стабильнее, доработаннее, с новыми возможностями, которые не просто дополняют бету, а делают ОС готовой для ежедневной работы. В статье посмотрим, что появилось в финальной версии, как доработали ключевые компоненты и сделаем общую оценку.

Ещё пару лет назад на одной из офлайн-встреч мы решили: как только появится возможность, проведём корпоратив в горах. Хотели подниматься на вершины, встречать рассветы в палатках и ловить падающие звёзды где-то над Кавказом. Возможность всё не наступала — проекты, релизы, клиенты, ставка… — но мечта жила. И вот в начале сентября Олег и Никита, наши руководители клиентского сервиса и продаж, просто взяли билеты на Камчатку, собрались в поход и ушли на неделю по Толбачинскому массиву. Без лишних слов, без анонсов. А потом — прислали фото: флаг Monq 9 на фоне вулкана, облака под ногами и подпись «Мы готовы». Подняв этот флаг они даже опередили команду разработки 😀

Мы долго ждали этого релиза и наконец-то мы готовы представить Monq 9.0, новую версию all-in-one платформы наблюдаемости (observability), ИТ-мониторинга и low-code/no-code автоматизации с AIOps функционалом на борту. Monq эволюционировал из событийного «зонтичного» мониторинга, который собирает данные из других систем, в “observability-зонтик”, который с большой производительностью умеет собирать любые данные сам. В этой статье расскажем, что нового появилось в версии 9.0, как устроена платформа и главное – зачем всё это нужно DevOps-инженерам, архитекторам и тимлидам. Поехали!

Основной метрикой разработки является time-to-market. На него все молятся как на священную корову: считают дни до релиза, выстраивают CI/CD, внедряют DevOps. А вот про то, как быстро можно начать экономить на инфраструктуре после того, как заметили перерасход, почему-то никто не думает. Будто так и надо. Хотя спустить облачный бюджет можно едва ли не быстрее, чем в кафе на Патриках. Стало быть, если time-to-market для облаков не существует, его надо придумать.

Мы собрали открытые книги и статьи ведущих экспертов по кибербезопасности, а также руководства для желающих погрузиться в DevSecOps. Материалы из подборки расскажут, какие ИБ-практики можно называть самыми неэффективными и с чего начать защиту облачных решений. И напомним, что у нас есть открытый курс по основам DevOps-подхода, Kubernetes и современных облачных решений.

Большие языковые модели (LLM) уже умеют писать код, анализировать данные и даже проектировать архитектуру. Но большинство пользователей по-прежнему работают с ними неправильно — перегружают контекст, теряют важную информацию и удивляются «галлюцинациям» модели.

В статье — практический разбор того, как устроено контекстное окно и почему именно контекстная инженерия становится новым навыком разработчиков. Разберём типичные ошибки, правила оптимизации, принципы управления памятью LLM и реальные стратегии, которые используют команды, работающие с Claude, ChatGPT и GitHub Copilot.

После прочтения вы поймёте, как добиться стабильных и точных ответов от модели, тратить меньше токенов и управлять контекстом так, как это делают инженеры ведущих AI-компаний.

На одном из проектов, мне требовалось постоянно собирать рутинно данные у удаленных клиентов, касательно их интернет-подключения и доступности серверов AWS. Я задумался написать простой скрипт, который сможет запустить каждый и отправить в техническую поддержку AWS, не отвлекая меня от важного безделья в поисках постоянной работы.

Это полный Python-скрипт для диагностики вашей сети. Программа собирает ключевые системные и сетевые метрики (IP-адреса, MAC-адрес, скорость загрузки/выгрузки, ping до шлюза и Интернета, а также потери пакетов) и сохраняет отчет в текстовый файл. В скрипте я конечно убрал внутренние ip адреса AWS и сменил на наш любимый ya.

В начале лета я опубликовал статью Маленькая утилита для контроля квот в Yandex Cloud и планировал добавить помимо контроля за квотами еще и подсчет стоимости добавляемых ресурсов.

Вот наконец дошли руки до этого обновления. А вместе с подсчетом стоимости новых ресурсов появилась необходимость отслеживать лейблы, что стало дополнительной фичей утилиты. Давайте расскажу о всех функциях по порядку и приведу несколько примеров использования.

История о том, как современный подход к лицензированию вендора поставил нас в тупик, а решение нашлось в самом неожиданном месте.

Привет, Хабр!

Наверняка у многих из вас бывали такие дни. Приезжает новое, блестящее железо. В нашем случае — маршрутизатор Cisco ISR4331/K9. Задача стандартная: поднять на нём Site-to-Site VPN для клиента. Процедура, казалось бы, отработана до мелочей. Но, как говорится, есть один нюанс.

Оборудование было поставлено с предустановленной PLR (Permanent License Reservation) лицензией. Это современный механизм, который пришёл на смену классической активации через Smart Account, ставший недоступным в РФ. Теоретически, PLR — это благо: лицензия вечная, привязана к устройству и даёт право использовать весь функционал. На практике же мы столкнулись с тем, что самый нужный нам инструмент — команда crypto map — в консоли просто отсутствовал.

Привет, Хабр!
Наверняка у многих из вас бывали такие дни. Приезжает новое, блестящее железо. В нашем случае — маршрутизатор Cisco ISR4331/K9. Задача стандартная: поднять на нём Site-to-Site VPN для клиента. Процедура, казалось бы, отработана до мелочей. Но, как говорится, есть один нюанс.

Как защитить Kubernetes, если злоумышленник попытается выбраться из контейнера на хост? Рафаэль Натали предлагает многоуровневый подход: настройка Security Context, отказ от лишних прав, запуск контейнеров без root-доступа, а также усиление защиты с помощью AppArmor и seccomp.

Собираю собственный NAS сервер для хранения данных, обретения независимости от западных сервисов, а также ведения своих документов. В последние годы зависимость от облачных сервисов стала проблемой: компании в любой момент могут изменить условия использования или вовсе закрыть сервис (как это произошло с Notion например). Кроме того, платные подписки на хранилища и сервисы накапливаются, а контроль над своими данными теряется.

Подробный разбор сборки и настройки домашнего NAS: выбор SAS-дисков и контроллера, настройка ZFS-пула, установка TrueNAS SCALE, организация резервного копирования в S3 и запуск Docker-сервисов (Immich, Affine, Keycloak, Actual Budget). Небольшой гайд для тех, кто хочет построить своё хранилище и цифровую инфраструктуру под полным контролем.

Привет, постоянные и не очень читатели!

Были времена, когда админы дурели от этой прикормки 10 Гбит/c канала, а теперь такая пропускная способность — норма для роутера в прихожей (не у всех, но всё же).

В ЦОДах же и 100 Гбит/c уже давно никого не удивят — у гиперскейлеров (Amazon, Microsoft, Google, Alibaba, экстремистская и запрещённая в России Meta) это дефолт, в энтерпрайзе и бизнесе разных размеров — активно внедряют.

Компании уровня cloud-scale (те, что строят сервисы облачного уровня: Netflix, Spotify, Salesforce, Zoom) и гиперскейлеры уже переходят на 200 Гбит/c и тестируют 400/800 Гбит/c, ну а поскольку 200 мало чем отличается по стоимости инфраструктуры от 400, то некоторые сразу перескакивают, ведь легаси кабельное хозяйство (LC, MPO-12) всё равно не потянет эти апгрейды, надо всё перелопачивать на MPO-16, MPO-32 или новые форматы (QSFP-DD, OSFP).

В общем, накопилось у меня пару идей, как собрать всё это в едином материале: обсудить, где шайба будет через время; подумать, а надо ли оно (апгрейд) вообще — и в довесок затронуть денежные вопросы: всякие CAPEX, TCO/ROI, ₽/(Гбит/c), ($/Gbps) и прочее экономическое непотребство.

Присаживаемся, ложимся или в какой там позе вы читаете — и начинаем.

С каждым выходом новой версии операционная система от Microsoft всё больше отдаляется от пользователя, а её «нововведения» вызывают всё больше недоумения. Windows становится всё менее удобной и пользователи это чувствуют. Кому‑то всё это нравится, но большинство нормальных людей негодует из‑за неожиданных изменений, а также из‑за того, что некоторые крайне важные вещи так и не были добавлены в Систему спустя долгие годы.

В этой статье я постараюсь описать главные, критические недостатки последних версий Windows, да и старых тоже. Описать то, как довести эту ОС до ума. Описать то, чего не было в этой системе, но стоило бы добавить. Описать то, чего следовало бы изменить, а что убрать.

Примечание: в связи с тем, что все мои компьютеры сейчас заняты и ради написания этой статьи у меня нет возможности полноценно переустановить Windows на каком‑нибудь из компьютеров, да и устройств видеозахвата по HDMI у меня нет, часть скриншотов будет с Виртуальной машины, а часть — из просторов Интернета.

С 1 сентября изменились требования к кассовым чекам. Бизнесу необходимо было обеспечить пробитие чеков с актуальными тегами, которые передаются в ФНС. Для этого компании X-Com требовалось перейти на новый релиз 1С. Но после обновления операции, которые проходили за несколько секунд, стали занимать 10 и даже 20 минут… Рассказываю детективную историю из мира ИТ, которой со мной поделился директор по информационным технологиям компании X-Com Леонид Дегтярёв. 

Небольшая статья-описание для идеи нового сетевого протокола транспортного уровня, который будет сочетать в себе некоторые плюсы уже имеющихся и, конечно же, будет оригинальным. JPP — Just Packet Protocol.