Управление ресурсами в Kubernetes немного напоминает зефирный тест, который иногда выходит из-под контроля. Если тщательно не лимитировать, сколько ресурсов может потреблять контейнер, он пойдёт вразнос, примерно как малыш, способный слопать большую пачку Skittles за один присест.
С другой стороны, если вы постоянно лишаете контейнер минимального объёма ресурсов, который нужен ему для корректной работы, то словно постоянно не подпускаете ваших детей к сладостям. Контейнер будет влачить жалкое существование и работать вполсилы.
Вот почему настолько важно правильно настроить в Kubernetes лимиты и работу с запросами. Понимая, какова роль запросов и лимитов при управлении ресурсами и производительностью в Kubernetes, а также умея настраивать и/или задавать запросы и лимиты, вы гарантируете, что на обработку каждой рабочей нагрузки будет выделено ровно столько ресурсов, сколько нужно — ни больше, ни меньше.
Далее в этой статье подробно рассказано, как в Kubernetes организована работа с запросами и лимитами, как они используются для управления ресурсами. В любой организации чрезвычайно важно управление ресурсами в Kubernetes и роль такого управления. Разберём управление ресурсами в Kubernetes и начнём с самых азов.
Привет Хабр! Вспомните как начался ваш путь в IT и первая тяга к технологиям? Скорее всего так или иначе вы либо сами собирали свои первые компьютеры, кропотливо подбирая железо в ограниченном бюджете. Или же наоборот, всё мечтали, что когда-нибудь вам подарят или вы уже сами заработаете на заветный апгрейд вашего Царь-ПК. И когда этот момент настал, какая радость и эйфория на вас накатывала от вида заветной новой железки. От шелеста пластика упаковки, от запаха свежего текстолита и вот пробравшись через все слои защиты из разноцветного картона и пенопласта – она, новая видеокарта. А затем спустя годы процесс повторялся снова и снова, уже и игры не так радуют, а желание всегда сидеть за компьютером обернулось рутинной работой в опен-спейс офисе. Но одно осталось неизменным – новое железо всё также радует сердце уже давно как повзрослевшего ПК-боярина.
И знаете что? Эмоций ничуть не меньше и когда ты облачный провайдер, а в ЦОД пришло долгожданное обновление, с пылу с жару от дяди Хуанга! Но об этом, поговорим уже ниже в посте.
Проектирование ЦОДа — сложная инженерная задача, требующая гибкости мышления и творческого подхода. Нужно тщательно спланировать все детали. В этом плане строительство дата-центра определенно напоминает работу с конструктором, развивающую пространственное мышление, логику и навыки решения проблем.
Есть и ещё одно сходство — и дата-центры, и конструкторы можно масштабировать, добавляя новые компоненты по мере необходимости. Проектировщики дата-центров используют модульный подход для разработки эффективных и надежных решений.
А чтобы пойти ещё дальше, мы решили провести простой эксперимент с DIY дата-центром из конструктора.
Сеть Kubernetes — это сложная и увлекательная тема, наполненная множеством подвижных частей. Одним из ключевых компонентов, обеспечивающих сетевую связность и взаимодействие различных элементов кластера, является CNI (Container Networking Interface).
CNI - это спецификация, разработанная CNCF (Cloud Native Computing Foundation) для стандартизации процесса подключения сетевых интерфейсов к контейнерам. CNI обеспечивает гибкость и адаптивность сетевой инфраструктуры, позволяя интегрировать различные сетевые решения в Kubernetes.
Давайте подробнее разберем, что такое Container Network Interface?
Привет, Хабр! Мы в команде Nova Container Platform сделали перевод статьи для тех, кто хочет разобраться, как строить сети в Kubernetes. Делюсь им, надеюсь, вам будет полезно.
В мире Kubernetes мы каждый день слышим, как ipvs сравнивают с iptables, или, скажем, pureLB с metalLB, или же виртуальную топологию (overlay) с физической (underlay), или Nodeport с Loadbalance, и т.д. Сейчас я вам все растолкую.
Сегодня я начинаю небольшой цикл статей, посвященных операционной системе Microsoft - Azure Stack HCI. Да, именно посвященных ОС, а не решениям Azure, рассматривать я буду именно серверную ОС на базе ядра Windows Server с названием издания Azure Stack HCI, которая вот уже пять лет как ежегодно выходит по программе ежегодного (не долгосрочного) цикла выхода серверных ОС. На данный момент мой план таков:
1) В первой (этой) статье я опишу своё видение того, что такое Azure Stack HCI, чем он отличается от ОС Windows Server Datacenter Azure Edition (Core), что отличает Azure Stack HCI от сервисов Azure Stack, самое главное, для чего вам такая странная ОС в вашем датацентре;
2) Во второй статье я буду рассказывать о том, что такое Hot Patching, - процедура установки обновлений безопасности Microsoft без перезагрузки, какие требования к ОС имеются, - и самое главное, как обойти обязательность наличия подписки Azure, то есть как пользоваться Hot Patching в вашем датацентре без каких-либо Azure Benefits, как создавать виртуальные машины на базе ОС Windows Server и любых её ролей так, чтобы обновления ОС внутри ВМ не требовали их перезагрузки (как вы прекрасно понимаете, обновление хост ОС не требует перезагрузки ВМ в виду живой миграции между узлами кластера). Это весомый аргумент в пользу виртуализации Windows сервисов именно на базе Hyper-V;
3) В третьей статье я расскажу о том, как превратить ОС AzureStackHCI, которая поставляется исключительно в режиме Server Core в ОС с полным рабочим столом, чтобы у вас была возможность полноценно её администрировать. Причем сделать это таким образом, чтобы на ОС все так же продолжали приходить обновления с Windows Update.
В статье я задеплою приложение в blue-green, а также покажу, как работает смена между blue и green на практике. Cначала рассмотрим реализацию деплоя приложения в blue-green-стратегии, а затем попробуем werf bundle для деплоя нескольких приложений из одного репозитория. Будем деплоить с помощью werf, все ресурсы описывать как Helm-шаблоны, а для развёртывания использовать GitLab.
Всем привет! На связи mClouds. Мы предоставляем облачную инфраструктуру по модели IaaS. Обычно к нам обращаются, когда собственных серверов компании уже не хватает, чтобы удовлетворить растущие запросы, а закупать новое железо для расширения пока слишком дорого или просто несвоевременно. Причем иногда в облако нужно перенести лишь часть сервисов. В статье разберем, как подготовиться к частичной миграции и как решить, что оставлять на серверах компании, а что переносить в облако.
Кажется, что в интернете достаточно статей на тему, что такое CRM и как выбрать CRM — мы даже постоянно встречаем свои же статьи, не особо заботливо переписанные рерайтерами. Тем не менее, вопросы остаются и мы их постоянно слышим и читаем. Кроме того, период с 2020 по 2024 сильно изменил как сам рынок, так и модель восприятия системы компаниями: если до 2020 CRM-система была по мнению клиентов чем-то сложным во внедрении, признаком того, что бизнес уже «повзрослел», то сейчас это нужный и полезный инструмент, который в том числе помогает эффективно и безопасно работать распределённой команде. А вот уход зарубежных вендоров особо на рынок не повлиял, потому что как ни старались вендоры «тамошних» решений, именно CRM-системы у нас гораздо лучше, функциональнее, проще в запуске и интуитивнее в использовании. К тому же, все решения ориентированы на запросы пользователей и фактически «собраны» по реальным требованиям.
Поэтому стоит посмотреть на CRM свежим взглядом и обновить информацию о том, что же это такое.
Существующие варианты реализации 2FA для OpenVPN основываются на модуле google-authenticator-libpam для OTP‑кодов и плагинов аутентификации OpenVPN libpam-radius-auth, openvpn-plugin-auth-pam, openvpn-auth-ldap и имеют ряд недостатков как для пользователя так и для администратора.
Поскольку и OpenVPN, и FreeRADIUS позволяют подключать плагины мы можем, написав собственный плагин, реализовать такую схему, которая позволит нам:
• использовать для аутентификации пользователей логин и пароль из LDAP‑каталога.
• удобно вводить логин, пароль, OTP в отдельные независимые поля интерфейса, а не после пароля или вместо пароля.
• реализовать различные комбинации использования логина, пароля, OTP в зависимости от задач.
• обеспечить отказоустойчивость, возможность использования нескольких серверов аутентификации.
• использовать LDAP‑каталог для централизованного управления пользователями.
• хранить seed‑значения для генератора OTP независимо от того, какой LDAP‑каталог используется (ActiveDirectory, FreeIPA, lldap или другие).
• передать функцию создания, обновления seed‑значений для генератора OTP техподдержке без необходимости подключаться к серверам OpenVPN.
• использовать на смартфонах любое приложение для генерации OTP (Яндекс.Ключ, FreeOTP Authenticator и др.).
• не зависеть от работоспособности облачных провайдеров 2FA.
Система рассчитана на следующие сценарии использования:
• доступ пользователей через OpenVPN в инфраструктуру компании.
• резервный самодостаточный безопасный удаленный доступ в инфраструктуру для администраторов на случай аварий или сбоев.
В обоих сценариях:
• не предполагается использование персональных сертификатов для каждого пользователя. Однако, это не исключает использования сертификатов в качестве дополнительной меры защиты.
• для аутентификации используется логин, пароль и OTP.
Однажды один мудрый DevOps сказал мне: «DevOps’ы — это люди, способные сделать всё, лишь бы не делать ничего». Привет, Хабр, я Алексей Подольский, лидер направления инструментов безопасной разработки в Cloud.ru. Сегодня я расскажу, как сделать жизнь чуть легче, если кластеров кубера в проектах развелось столько, что за всеми не уследить. Будем объединять кластеры в один, да так, чтобы падали затраты, а не прод. Будет полезно админам, DevOps’ам, прикладным архитекторам, и всем, кто работает с Kubernetes. Поехали!
Привет! Недавно мы рассказывали, как умные технологии помогают футболистам и судьям на ЧМ-2024. В этот раз — немного олимпийских технологий. Не все из них применяются на Олимпиаде 2024 во Франции, но их влияние на спорт неоспоримо.
По моим наблюдениям, в каждой компании существуют примерно 3-кратные скрытые переплаты в области ИТ - чудовищные размеры, никем не замеченные, совершенно безнаказанно практикующиеся несмотря ни на какой кризис!
Понятие "скрытые растраты" родом из методологий бережливого производства (Lean) и идеально подходит для определения ситуации с ИТ.
Растраты возникают по всем статьям ИТ-бюджета, давайте разберем их все по порядку:
Приветствую всех! Недавно я наткнулся на одну потрясающую тему, которая может изменить наше будущее. Представьте себе: один маленький химический элемент из таблицы Менделеева, который теперь играет ведущую роль в разработке новых источников энергии. Это — литий. Литий, как начало нового промышленного бума. Звучит завораживающе не правда ли?
Давайте, разберемся по порядку…
Kubernetes, ставший де-факто стандартом для оркестрации контейнеров, значительно упрощает развертывание, масштабирование и управление контейнеризированными приложениями. Однако, по мере роста и усложнения инфраструктуры, требования к сетевым возможностям также увеличиваются. В современных распределенных системах, где различные микросервисы взаимодействуют друг с другом, критически важно обеспечить безопасность, производительность и надежность сетевых коммуникаций. Здесь на помощь приходят продвинутые сетевые функции Kubernetes, такие как:
В конце 2023 года отечественный вендор B4com Tech анонсировал выпуск маршрутизаторов для провайдерского сегмента IP/MPLS. Среди новых моделей наше внимание привлекли те, которые поддерживают интерфейсы 100G, поскольку они стали стандартом подключения в современных центрах обработки данных (ЦОД).
Обсудили высокую доступность в k8s: эксперт Слёрма Кирилл Борисов — SRE, инцидент-менеджер и спикер конференций Highload++, Devops, DevOops, ProITFest — рассказал про использование Affinity и Anti-Affinity, Tolerations, PodDiscruption Budget и Horizontal Pod Autoscaler.
Инфобезопасность, как известно, считается по самому слабому звену. И если вы вваливаете и вваливаете (лишние) деньги в ИБ (считая, что на безопасности нельзя экономить) - это совершенно не спасает вас от того самого слабого звена: возможность запустить любой(!) исполняемый файл в произвольном, не положенном для исполняемых файлов месте: папка "загрузки", temp, съемные носители, etc. А ведь технологии уже 25 лет - всего лишь настройка в Active directory. Отсутствие которой и привело к 99%, если не 100%, случаев заражений вирусами-шифровальщиками в мире и всем тем экономическим ущербам от них! Ну как так, представим себе: в компании с целым ИТ-отделом, работают люди, возможно даже в избыточном количестве (я, к слову, могу вдвоем обслуживать офис на 200 юзеров - именно потому что есть ИБ), получающие зарплату, вот просто так - постеснялись/поленились/не узнали что можно включить эту самую политику - и поймали шифровальщика. А технологии было 20 лет! Занавес.
Итак, рассмотрим все особенности.
Обязательно внести в белый список папку C:\Program Files (x86) — по умолчанию ее там нет.
Внести пути для запуска приложений, размещенных у вас в локальной сети.
Изменить перечень расширений — удалить LNK и добавить JS, VBS.
Выбрать применение политики «кроме локальных администраторов».
Поставить по умолчанию тип политики «запрещено».
