Kubernetes *

Мы все сейчас в предновогоднем марафоне: закрываем хвосты, проводим последние в году дейлики, закупаем подарки на маркетплейсах, ищем трендовые рецепты на стол. Тем не менее, мы не могли оставить вас без традиционного новогоднего дайджеста. 

Год был классный и насыщенный. Был и свежий Кубик с S3, и куча новых локаций, и даже два собственных ивента для би-ту-би. Уффф… хочется рассказать вообще обо всем. Но пройдемся только по верхам, чтобы вам не читать до самых курантов.

Итак, рекап за 2024 год. Главные события Клауда. Наши. И ваши.

Представьте, что у вас есть Vault и нужно перенести данные из него в другое хранилище. Например, из одного закрытого контура в другой на обычной флешке. Или из одного backend storage в другой. Причём перенести нужно безопасно, не расшифровывая данные в процессе и не раскрывая секреты. В этой статье мы расскажем, как решаем такие задачи в Deckhouse Stronghold — нашем решении для управления жизненным циклом секретов.

Хабр, привет! Я Максим, технический директор в компании Амвера и в этой статье я хотел бы поделиться опытом развертывания кластера kubernetes у облачного провайдера, который под капотом использует OpenStack. В этой статья я хочу пошагово рассказать про путь развертывания, подсветив те места, которые вызвали у меня затруднения.

Всем привет, меня зовут Вадим Макеров, я работаю в iSpring бэкенд-разработчиком.
Однажды у нас в продукте был инцидент, который привел к даунтайму LMS и происходил несколько раз, в течении нескольких дней. Причина оказалась нетривиальной и находилась на уровне сетевых настроек подключений между сервисами.

Привет! Меня зовут Даниил Донецков, я DevOps-инженер в KTS.

Аутсорс-разработка цифровых продуктов — одно из ключевых направлений нашей деятельности. Для доступа в собственные внутренние контуры и защищенные среды клиентов нашим сотрудникам приходилось каждый раз использовать разные связки логинов и паролей. С ростом числа клиентов это становилось неудобным, и перед нами встала непростая задача — обеспечить единую точку входа в разные среды.

Мы решили проблему с помощью сервиса Firezone, и в этой статье я хочу поделиться нашим опытом. Сегодня я расскажу о том, как DevOps-юнит KTS:

- внедрил виртуальную сеть в существующую инфраструктуру, состоящую из двух k8s-кластеров и нескольких ВМ в разных облаках;

- обеспечил бесперебойный доступ для более чем 150 сотрудников к веб-сервисам.

Современные распределённые системы требуют надёжных, безопасных и масштабируемых способов управления сетевым взаимодействием между сервисами. Технологии Service Mesh, такие как Istio, предоставляют набор инструментов для решения этих задач. Недавно в экосистеме Istio появилась новая архитектура — Ambient Mesh, предлагающая альтернативный подход к реализации сетевых функций. В данной статье мы рассмотрим, чем отличаются классический Service Mesh и Ambient Mesh в контексте Istio, а также их преимущества и недостатки.

Сложности при работе со stateful-приложениями в Kubernetes знакомы многим. Недавно инженеры LinkedIn поделились своим подходом к их решению: они написали собственный Stateful Workload Operator, который базируется на пяти кастомных ресурсах. На сегодня кластеры компании со stateful-системами полностью переведены на новый оператор. Теперь владельцы систем могут сосредоточиться на управлении ими, не думая о сложностях эксплуатации. Под катом — перевод статьи, которую тепло приняли в сообществе.

Миграция данных в Kubernetes: практическое руководство. Узнайте, как легко и безопасно перемещать данные между различными StorageClass с помощью простых шагов.

Привет всем! В данной статье мы осветим наш опыт внедрения реестра Docker-образов Harbor в CI/CD платформу Gitorion. Расскажем, как настроить внешнюю аутентификацию Harbor в Keycloak по протоколу OIDC. Разграничим права доступа пользователей к реестру на основе ролей RBAC. Настроим дисковые квоты и автоматизируем очистку Harbor от устаревших Docker-образов, используя API Harbor в пайплайне Jenkins.

Популярность Kubernetes в России продолжает расти. О трендах в развитии облачных платформ на 2025 год рассказывает глава разработки платформы контейнеризации dBrain.cloud Дмитрий Головнич.

Привет, Хабр! Сегодня у нас на повестке дня тема кастомизации сетевого стека в Kubernetes с Cilium.

Cilium — это сетевое решение, которое работает прямо в ядре Linux и построено на основе eBPF. Его главная задача — обеспечить эффективное, а главное, безопасное взаимодействие между подами в кластере Kubernetes. И это не просто замена стандартному kube-proxy. Это полноценный инструмент для построения сетевых политик, мониторинга и кастомизации сетевого стека.

Начиная с Kubernetes v1.28, рабочая группа SIG Scheduling разрабатывает элемент контекста планирования QueueingHint. Он подписывается на определённый тип кластерных событий и принимает решение о том, способно ли входящее событие сделать под планируемым. Это позволяет оптимизировать процедуру повторного планирования подов. 

На протяжении нескольких версий фича была выключена из-за проблем с утечками памяти. В вышедшей недавно Kubernetes v1.32 она снова включена по умолчанию. Проблемы с утечками устранены, и теперь QueueingHint успешно интегрирован со всеми плагинами. Под катом вас ждёт перевод статьи, из которого вы узнаете о пользе новой фичи планировщика Kubernetes.

Привет! Я Саша Хренников, руководитель DevOps-юнита в KTS.

Новогоднее испытание для DevOps-инженеров подошло к концу, и сегодня я пошагово разберу решение задачи. Но сначала я сделаю два объявления.

Во-первых, с этого дня мы открываем доступ ко всем архивным челленджам. Если вы не успели поучаствовать, но хотите проверить свои силы и подготовиться к будущим испытаниям, вы можете перейти в нашего бота, и он расскажет, что делать. Главное — попробуйте разобраться самостоятельно, не спойлерите себе решение.

Во-вторых, я с радостью поздравляю победителей текущего испытания — десятерых участников, которые быстрее всех справились с заданием и уже освобождают место в шкафу для нашего мерча.

Именно им, а не своим оленям, Деду Морозу стоило поручать развертывание приложения. А пока Дедушка развозит подарки, я предлагаю разобраться с тем, что натворили наши парнокопытные.

Иногда хочется странного, но чаще ничего не хочется, а странного хочется кому-то другому. Вот и в этот раз появилась необходимость прицепить в pod кубера удалённую samba-шару с одного из виндовых серверов. Вызов брошен - вызов принят.

В мире Kubernetes сетевые политики играют важную роль в управлении трафиком внутри вашего кластера. Но что они собой представляют? Зачем, когда и как их стоит использовать? На эти вопросы отвечает в своём небольшом руководстве Скотт Ригби,  амбассадор CNCF и мейнтейнер Helm и Flux.

Привет! Я Саша Хренников, руководитель DevOps-юнита в KTS.

Наша команда подготовила новое испытание для DevOps-инженеров. Победители прошлого челленджа, позапрошлого челленджа и даже позапозапрошлого челленджа уже получили свои награды, и в преддверие Нового Года мы решили отгрузить еще одну фуру нашего мерча.

Как и в прошлые разы, достойнейшие участники получат футболки с Котзиллой. Однако зима – время холодное, так что одной футболки будет маловато, нужно утепляться посерьезнее. Но победителям сегодняшнего испытания не страшны морозы, ведь этой зимой их фронтенды и бэкенды будут согреты фирменными трусами KTS.

Теперь к сути челленджа. В этот раз вам предстоит помочь Деду Морозу в его нелегком труде. С возрастом Дедушка начал путаться в датах. Чтобы не забывать о празднике, он решил, что ему нужна специальная программа для правильной обработки оповещения о наступлении Нового Года.

К сожалению, все сотрудники были заняты, и запускать софт в работу пришлось оленям. Само собой, все пошло не по плану. Чтобы получить подарок, вам нужно изучить получившуюся программу и каким-то образом заставить ее работать.

Сегодня официально выпустили очередную версию Kubernetes — 1.32. Собрали все 43 изменения в одном материале. Из основных нововведений: возможность задавать ресурсы на уровне пода, асинхронное вытеснение подов планировщиком, нулевое ожидание (sleep) для PreStop-хуков, новые эндпоинты /statusz и /flagz для ключевых компонентов K8s и многое другое.

О ролевой модели в Kubernetes написано достаточно материала, поэтому в данной статье мы не будем уделять слишком много внимания теории, а посмотрим, как можно выполнить настройку ролей на практике.