Kubernetes *

В этом обзоре мы представляем новые проекты CNCF, которые помогут в разработке и управлении облачными приложениями. Узнайте о последних обновлениях в категориях Runtime и App Definition & Development.

В статье мы рассматриваем новые проекты, добавленные в песочницу CNCF в 2024 году в категории Orchestration & Management. В обзоре расскажем о HAMi, Kmesh и других инициативах, которые меняют подход к оркестрации и управлению контейнерами.

Что делает инженер, если DAG не выполняется? Проверяет Airflow 50 раз, а потом вспоминает, что забыл поставить @dag над функцией.

Развертывание Apache Airflow в промышленной среде — это сложная задача, требующая учета множества аспектов: от обеспечения безопасности конфиденциальных данных до эффективного управления ресурсами. Одной из ключевых проблем, с которыми сталкиваются команды, является безопасное управление секретами, оптимизация конфигураций и наблюдаемость.

В этой статье мы рассмотрим, как использовать инструменты, такие как Sops и YAML-якоря, для упрощения управления конфиденциальными данными и улучшения читаемости конфигураций. А так же как обеспечить полную наблюдаемость инсталляции Apache Airflow.

Подготовили обзор новых проектов, добавленных в песочницу CNCF в 2024 году в категории Provisioning и Observability & Analysis. В статье читайте об инструментах, которые изменят подход к облачным технологиям.

В 2024 году мы не дождались выхода в свет Apache Kafka 4.0, в которой окончательно исчезнет поддержка ZooKeeper, оставив нам для создания кластеров только KRaft. Кто-то давно уже перешёл на эту прекрасную технологию, другие же размышляют, как им жить дальше — оставаться на линейке 3.х или в омут с головой.

Новогодние каникулы самое подходящее время для того, чтобы пощупать новую версию. Хотя код невозбранно доступен в Github проекта Apache Kafka, docker-образов текущих сборок 4.0 мне найти не удалось. Также поддержку 4.0 ещё не добавили в довольно популярный, и с недавних пор мною любимый, k8s-оператор strimzi. Ну что же, придётся устроить себе праздник самому!

Мы все сейчас в предновогоднем марафоне: закрываем хвосты, проводим последние в году дейлики, закупаем подарки на маркетплейсах, ищем трендовые рецепты на стол. Тем не менее, мы не могли оставить вас без традиционного новогоднего дайджеста. 

Год был классный и насыщенный. Был и свежий Кубик с S3, и куча новых локаций, и даже два собственных ивента для би-ту-би. Уффф… хочется рассказать вообще обо всем. Но пройдемся только по верхам, чтобы вам не читать до самых курантов.

Итак, рекап за 2024 год. Главные события Клауда. Наши. И ваши.

Представьте, что у вас есть Vault и нужно перенести данные из него в другое хранилище. Например, из одного закрытого контура в другой на обычной флешке. Или из одного backend storage в другой. Причём перенести нужно безопасно, не расшифровывая данные в процессе и не раскрывая секреты. В этой статье мы расскажем, как решаем такие задачи в Deckhouse Stronghold — нашем решении для управления жизненным циклом секретов.

Хабр, привет! Я Максим, технический директор в компании Амвера и в этой статье я хотел бы поделиться опытом развертывания кластера kubernetes у облачного провайдера, который под капотом использует OpenStack. В этой статья я хочу пошагово рассказать про путь развертывания, подсветив те места, которые вызвали у меня затруднения.

Всем привет, меня зовут Вадим Макеров, я работаю в iSpring бэкенд-разработчиком.
Однажды у нас в продукте был инцидент, который привел к даунтайму LMS и происходил несколько раз, в течении нескольких дней. Причина оказалась нетривиальной и находилась на уровне сетевых настроек подключений между сервисами.

Привет! Меня зовут Даниил Донецков, я DevOps-инженер в KTS.

Аутсорс-разработка цифровых продуктов — одно из ключевых направлений нашей деятельности. Для доступа в собственные внутренние контуры и защищенные среды клиентов нашим сотрудникам приходилось каждый раз использовать разные связки логинов и паролей. С ростом числа клиентов это становилось неудобным, и перед нами встала непростая задача — обеспечить единую точку входа в разные среды.

Мы решили проблему с помощью сервиса Firezone, и в этой статье я хочу поделиться нашим опытом. Сегодня я расскажу о том, как DevOps-юнит KTS:

- внедрил виртуальную сеть в существующую инфраструктуру, состоящую из двух k8s-кластеров и нескольких ВМ в разных облаках;

- обеспечил бесперебойный доступ для более чем 150 сотрудников к веб-сервисам.

Современные распределённые системы требуют надёжных, безопасных и масштабируемых способов управления сетевым взаимодействием между сервисами. Технологии Service Mesh, такие как Istio, предоставляют набор инструментов для решения этих задач. Недавно в экосистеме Istio появилась новая архитектура — Ambient Mesh, предлагающая альтернативный подход к реализации сетевых функций. В данной статье мы рассмотрим, чем отличаются классический Service Mesh и Ambient Mesh в контексте Istio, а также их преимущества и недостатки.

Сложности при работе со stateful-приложениями в Kubernetes знакомы многим. Недавно инженеры LinkedIn поделились своим подходом к их решению: они написали собственный Stateful Workload Operator, который базируется на пяти кастомных ресурсах. На сегодня кластеры компании со stateful-системами полностью переведены на новый оператор. Теперь владельцы систем могут сосредоточиться на управлении ими, не думая о сложностях эксплуатации. Под катом — перевод статьи, которую тепло приняли в сообществе.

Миграция данных в Kubernetes: практическое руководство. Узнайте, как легко и безопасно перемещать данные между различными StorageClass с помощью простых шагов.

Привет всем! В данной статье мы осветим наш опыт внедрения реестра Docker-образов Harbor в CI/CD платформу Gitorion. Расскажем, как настроить внешнюю аутентификацию Harbor в Keycloak по протоколу OIDC. Разграничим права доступа пользователей к реестру на основе ролей RBAC. Настроим дисковые квоты и автоматизируем очистку Harbor от устаревших Docker-образов, используя API Harbor в пайплайне Jenkins.

Популярность Kubernetes в России продолжает расти. О трендах в развитии облачных платформ на 2025 год рассказывает глава разработки платформы контейнеризации dBrain.cloud Дмитрий Головнич.

Привет, Хабр! Сегодня у нас на повестке дня тема кастомизации сетевого стека в Kubernetes с Cilium.

Cilium — это сетевое решение, которое работает прямо в ядре Linux и построено на основе eBPF. Его главная задача — обеспечить эффективное, а главное, безопасное взаимодействие между подами в кластере Kubernetes. И это не просто замена стандартному kube-proxy. Это полноценный инструмент для построения сетевых политик, мониторинга и кастомизации сетевого стека.

Начиная с Kubernetes v1.28, рабочая группа SIG Scheduling разрабатывает элемент контекста планирования QueueingHint. Он подписывается на определённый тип кластерных событий и принимает решение о том, способно ли входящее событие сделать под планируемым. Это позволяет оптимизировать процедуру повторного планирования подов. 

На протяжении нескольких версий фича была выключена из-за проблем с утечками памяти. В вышедшей недавно Kubernetes v1.32 она снова включена по умолчанию. Проблемы с утечками устранены, и теперь QueueingHint успешно интегрирован со всеми плагинами. Под катом вас ждёт перевод статьи, из которого вы узнаете о пользе новой фичи планировщика Kubernetes.

Привет! Я Саша Хренников, руководитель DevOps-юнита в KTS.

Новогоднее испытание для DevOps-инженеров подошло к концу, и сегодня я пошагово разберу решение задачи. Но сначала я сделаю два объявления.

Во-первых, с этого дня мы открываем доступ ко всем архивным челленджам. Если вы не успели поучаствовать, но хотите проверить свои силы и подготовиться к будущим испытаниям, вы можете перейти в нашего бота, и он расскажет, что делать. Главное — попробуйте разобраться самостоятельно, не спойлерите себе решение.

Во-вторых, я с радостью поздравляю победителей текущего испытания — десятерых участников, которые быстрее всех справились с заданием и уже освобождают место в шкафу для нашего мерча.

Именно им, а не своим оленям, Деду Морозу стоило поручать развертывание приложения. А пока Дедушка развозит подарки, я предлагаю разобраться с тем, что натворили наши парнокопытные.

Иногда хочется странного, но чаще ничего не хочется, а странного хочется кому-то другому. Вот и в этот раз появилась необходимость прицепить в pod кубера удалённую samba-шару с одного из виндовых серверов. Вызов брошен - вызов принят.