Kubernetes *

Kubernetes Zero to Hero — базовый видеокурс от «Фланта»

Если вы хотите изучить основы работы с Kubernetes, мы сняли подходящий для этого видеокурс. Из него вы получите практические знания, которых будет достаточно для решения большинства типовых задач.

В курсе 10 коротких — до 10 минут — видео. Они рассчитаны на начинающих разработчиков с опытом в продуктовой разработке, учебных или личных проектах, где возникает потребность в Kubernetes. С нами вы:

• поднимете локальный кластер и разберётесь в ключевых сущностях Kubernetes;

• научитесь развёртывать приложения, пройдя путь от коммита кода в Git-репозиторий до его выката в кластер;

• поймёте, как устроены сетевое взаимодействие внутри кластера и доступ к приложениям извне;

• познакомитесь с werf и Helm, шаблонизацией чартов и практиками реальных проектов.

Два первых ролика уже доступны. Во вводном будут план курса и желательный для старта бэкграунд, а второй поможет поднять локальный кластер Kubernetes с помощью Minikube и получить готовое окружение для экспериментов. Смотрите на удобной вам площадке:

• YouTube

• Rutube

• ВК Видео

Каждую неделю будет выходить по два ролика — по вторникам и четвергам. Присоединяйтесь, будем вместе проходить путь от новичка до Kubernetes Hero.

Уже в следующий вторник — развернем Kubernetes-кластер за 15 минут

2 декабря в 11:00 по мск подключайтесь к next-next-next инсталляции кластера из GUI.

После нее пройдемся и по другим обновлениям релиза «Штурвал 2.12»:

• Изменение UI создания кластера: статусная модель и контроллер управления кластерами.

• Развертывание на OpenStack с использованием нативных балансеров и сертификатов Let's Encrypt.

• Поддержка Cinder CSI и Ubuntu 24.04.

Вебинар будет интересен DevOps-инженерам и архитекторам, разработчикам, специалистам служб эксплуатации.

Регистрация

PostgreSQL на 4 ТБ, Patroni на две столицы и 16 000 фур в реалтайме: как мы «перевозили» CARGO.RUN

Привет, Хабр! Представьте ситуацию: один логист управляет 80 машинами одновременно. Маршруты, топливо, простои — все в реальном времени. Остановись сервер — бизнес сразу теряет деньги, а на перевозчиков сваливается хаос.

Именно таков мир, в котором работает команда CARGO.RUN — SaaS-платформа, которая автоматизирует грузоперевозки для топ-игроков рынка. Мы подготовили кейс о том, как помогли CARGO.RUN мигрировать к нам в Selectel. Внутри — настоящий технический детектив и архитектурный дзен.

• Базы данных — почему для PostgreSQL с расширениями PostGIS и Timescale (а это 4 ТБ «горячих» данных!) выбрали именно выделенные серверы, а не облако.

• Отказоустойчивость — как развернули кластер Patroni, физически разнесенный между дата-центрами в Москве и Санкт-Петербурге, чтобы пережить падение целого региона.

• Оркестрация — переход от Docker Swarm к Managed Kubernetes для микросервисов, когда в штате всего три DevOps-инженера.

• IaC — как Terraform и GitOps помогли навести порядок и сделать инфраструктуру прозрачной.

Результат миграции — рост производительности логистов в 2,5 раза и сокращение порожнего пробега фур на 53%.

Читайте полную историю переезда, а также оставляйте заявку на бесплатную миграцию➡️

25 ноября в 17:00 мы проведем вебинар «5 способов потерять кластер Kubernetes. Угрозы, о которых вспоминают слишком поздно».

Разберем реальные инциденты, связанные с:

🔹 аспектом хвостовой ОС кластера,
🔹 проблемой настройки Kubernetes,
🔹 безопасностью образов,
🔹 YAML-ресурсами K8s,
🔹 контейнерами.

Вебинар будет полезен DevOps- и DevSecOps-инженерам, архитекторам, руководителям инфраструктурных команд, — всем, кто отвечает за устойчивость и безопасность сервисов.

Спикеры — эксперты в вопросах обеспечения безопасности в контейнерезированных средах.

🔹 Алексей Волков, лидер направления Developer Productivity в VK Cloud, VK Tech

🔹 Дмитрий Евдокимов, основатель и технический директор Luntry, Kubernetes-native платформы для контроля и безопасности контейнерной инфраструктуры

Регистрируйтесь, чтобы получить напоминание и ссылку на трансляцию вебинара.

Минималистичные healthcheck-утилиты для Docker-контейнеров

Однажды я был маленький, и задавался вопросом - вот собираешь ты свое приложение, нежно помещаешь его в Docker-образ, заботишься о том чтоб и зависимостей было поменьше, и скомпилируешь его так чтоб итоговая каша из байт было погуще, но покомпактее; используешь scratch, статическую линковку, но чтоб "из коробки" был еще и healthcheck - приходится или писать свой мальний чекер каждый раз, или тянуть статичкски слинкованный curl/wget, если приложение работает как http сервер.

Потому что без healthcheck жизнь ну совсем не торт, даже при локальной разработке, когда запускаешь уже готовые образы, ставишь их в зависимость для других (в том же docker compose) - без него это все работать не будет так, как тебе хочется - демоны будут стучаться друг к другу без уважения и учета, готово оно в этому или нет.

Так родился microcheck - набор крошечных статически скомпилированных бинарников, созданных специально для healthcheck-ов. Они не имеют зависимостей от динамических библиотек, написаны на C, и работают даже в scratch и distroless образах, да умеют корректно возвращать exit-коды, понятные Docker’у (0 - здоров, 1 - приходи завтра).

В комплекте:

• httpcheck — проверка HTTP-эндпоинтов (~75 KB)

• httpscheck — то же самое, но с TLS и автоопределением протокола (~500 KB)

• portcheck — проверка TCP/UDP-портов (~70 KB)

У вас в продакшене наверняка Kubernetes, и все проверки делает kubelet - скорее всего, вам не нужно ничего менять. Но если вы запускаете контейнеры в «голом» Docker’е или других рантаймах без встроенных healthcheck-ов - такие инструменты могут здорово упростить жизнь.

Как выглядит в деле:

# Было (+~10MB)
RUN apt update && apt install -y curl && rm -r /var/lib/apt/lists/*
HEALTHCHECK --interval=10s CMD curl -f http://localhost:8080/ || exit 1

# Стало (+~75KB)
COPY --from=ghcr.io/tarampampam/microcheck /bin/httpcheck /bin/httpcheck
HEALTHCHECK --interval=10s CMD ["httpcheck", "http://localhost:8080/"]

Разница по размеру в десяток мегабайт против семи десятков килобайт, а в качестве бонуса - не нужен shell-процесс, всё работает напрямую и быстро (а еще и в переменные окружения умет).

Поддерживаются все популярные архитектуры (x86_64, ARM, ppc64le, s390x и др.), есть готовые образы в GitHub Container Registry и Docker Hub.

Посмотреть исходники, примеры Dockerfile и prebuilt-бинарники можно тут: github.com/tarampampam/microcheck

Как масштабироваться в Kubernetes автоматически и экономически выгодно? Расскажем через 15 минут

Подключайтесь к вебинару сегодня в 16:00 мск. Покажем, как Karpenter в кластерах Managed Kubernetes помогает оптимизировать затраты на инфраструктуру, и объясним, как использовать этот инструмент. Присоединяйтесь!

В программе:

✔️ Обзор возможностей Karpenter и его сравнение с Cluster Autoscaler;

✔️ Воркшоп по настройке решения в кластерах Managed Kubernetes;

✔️ Кейсы применения Karpenter. Оптимизация GPU-инфраструктуры с сервисом.

В конце ответим на вопросы — задавайте их в форме регистрации. На вебинаре особенно полезно будет DevOps-инженерам, техлидам и СТО, системным администраторам и архитекторам.

Подключайтесь к трансляции:

👉 YouTube

👉 VK

Как построить ML- AI-инфраструктуру или ускорить существующие AI-проекты

Привет, Хабр!

Приглашаем на вебинар о новой редакции нашей платформы котнейнеризации – Nova AI. Покажем новую версию платформы, созданную специально для ML-и AI-задач и расскажем, как она упрощает запуск инфраструктуры для ML/DS-команд, ускоряет развертывание локальных LLM-и AI-сервисов и сокращает расходы на GPU до 95%.

О чем еще поговорим:

 Как развивается рынок AI и почему компании переходят на локальные LLM

Что представляет собой Nova AI и чем она отличается от классического Kubernetes

Как построить инфраструктуру для ML-проектов за 1 день

Реальные кейсы, технологический стек, безопасность и комплаенс

Дорожная карта продукта и шаги внедрения

Вебинар будет особенно актуален для ИТ-директоров, архитекторов, инженеров по данным и всех, кто отвечает за развитие ИИ в компании. Регистрация доступна по ссылке.

Orion soft выпустил новую редакцию платформы контейнеризации – Nova AI

Мы представили новую редакцию платформы контейнеризации Nova Container Platform, созданную специально для работы с ИИ и машинным обучением. Это первое отечественное Kubernetes-решение, оптимизированное под инфраструктурные и эксплуатационные задачи ML/AI. 

Nova AI помогает ИТ-командам и ML/DS-специалистам быстро запускать и масштабировать инфраструктуру для обучения моделей, развертывания LLM-сервисов и инференса, обеспечивая при этом безопасность, совместимость с российскими операционными системами и эффективность использования GPU.

Новая редакция разработана как решение ключевых проблем, с которыми сталкиваются компании при запуске и развитии проектов, связанных с ML и AI. Среди них высокая стоимость GPU и оборудования, дефицит опытных MLOps-инженеров, сложности с безопасностью и соответствием требованиям регуляторов, низкая утилизация ресурсов, долгое развертывание и настройка инфраструктуры под LLM и AI-сервисы.

Ключевые преимущества Nova AI

Для ИТ-руководителей Nova AI обеспечивает ощутимую экономию ресурсов: за счет виртуализации и дробления мощностей она позволяет сократить затраты на GPU до 70%. Решение ускоряет выдачу инфраструктуры, помогает соблюдать SLA и упрощает управление благодаря унифицированному кластеру, подходящему для всех AI- и ML-задач. Nova AI также поддерживает требования по информационной безопасности и комплаенсу, обеспечивая защиту токенов и данных. Платформа гибка в размещении, она может быть развернута как на bare-metal, так и в виртуализированной среде (включая отечественную платформу виртуализации zVirt), с полной поддержкой российских операционных систем, таких как Astra Linux и РЕД ОС.

Инженеры и ML-специалисты получают готовое рабочее окружение на базе таких инструментов, как JupyterHub, MLflow, Airflow и MinIO, что позволяет быстро приступить к работе. Кроме этого, Nova AI обеспечивает стабильную работу драйверов и предсказуемость поведения инфраструктуры. Безопасность встроена по умолчанию: используется контейнерная защита NeuVector и централизованное управление секретами с помощью StarVault. Платформа сокращает время на запуск и настройку, а также сопровождается подробной документацией и технической поддержкой на всех этапах внедрения и эксплуатации.

«Сегодня мы видим особый спрос на нашу платформу со стороны промышленных и нефтегазовых предприятий, банков и финтех-организаций, ритейлеров с развитыми аналитическими командами, а также государственных структур, где важно быстро и безопасно развернуть инфраструктуру для ИИ и машинного обучения. Nova AI выбирают там, где нужно ускорить запуск LLM- и AI-сервисов, снизить затраты на оборудование и перейти от разрозненных экспериментов с моделями к управляемой и масштабируемой ML-платформе уровня Enterprise», – прокомментировал Александр Фикс, лидер продукта Nova Container Platform в Orion soft.

Задача с system design interview как тема для пет проекта

Здравствуйте, уважаемые читатели. Интересуюсь микро сервисной архитектурой. Хотел бы написать серию статей, в которых поделюсь своим опытом создания пет проекта на микросервисах. Общее название - "Задача с system design interview как тема для пет проекта". В качестве задачи будет система сокращения ссылок. Хочу показать весь путь от реализации первой крайне упрощенной версии до полноценной версии с кешированием, базой данных и размещением на сервере. Система будет реализована на Golang. На Хабре уже есть статья с такой темой. Как Вы думаете нужны ли еще статьи по данной тематике?

Лучший стэк для запуска MVP SaaS-стартапа в РФ на 2025 год.

Вот наш боевой стэк, который мы сейчас используем для разработки SaaS-стартапа.

Проверено на собственной шкуре!

✅ Frontend:

- NextJS 15 (+React 19, Turbopack, Server Actions) - актуальный стек для веб-приложений.

- Shadcn UI (сделана на Tailwind) - библиотека UI-компонентов, чтобы сделать крутой интерфейс без дизайнеров.

- Netlify - бесплатный хостинг для тестовой версии продукта.

✅ Backend:

Supabase:

- База данных

- Database SQL Functions (функции сразу в базе PostgreSQL)

- Edge Functions (серверные функции на TypeScript)

Nextauth:

- Авторизация

✅ Инфраструктура:

Kubernetes:

- Репликация БД и сервисов на 3-х Worker-нодах

- Rollout-обновления без простоя

- Политики безопасности и изоляция

- CI/CD из GitHub.

+ Пароли/ключи в KeePass XC.

✅ Инструменты:

- IDEA Ultimate - среда разработки

- Cursor - для вайбкодинга (чистый, без всяких инфоцыганских MCP)

- DBeaver - для работы с БД

- GitHub - репозиторий

✅ Платежка

- Robokassa (РФ + иностранные платежи)

✅ Лендинг + блог

- Tilda (проще сделать сайт на конструкторе, чем все это вайбкодить)

Как мы все настроили

- Развернули проект в облачном хостинге в РФ, чтобы хранить данные в соответствии со 152 ФЗ. Выбрали хостинг с k0s, потому что он дешевле классического k8s.

- Supabase поставили на свой сервер (Cloud не подходит, так как данные хранятся не в РФ).

- Настроили регулярные бэкапы (хотя мы еще не релизились, но 1 раз у нас уже отлетали жесткие диски).

Почему именно такой стэк?

- Проще работать с технологиями, которые ты уже хорошо знаешь.

- Нам важна надежность, быстрое переключение новых версий на проде без простоя и возможность разделить продукт на версию под РФ и "мир".

- Для работы в РФ нужно хранить персональные данные в РФ и избегать трансграничной передачи данных.

- Конструктор сайтов как простой и недорогой вариант для лендингов и блога. Чтобы не вайбкодить целую CMS.

Сейчас мы подключаем платежку, причесываем баги, допиливаем лендинг и готовимся к релизу.

А какие технологии используете вы для разработки MVP?

Не Standup, a Stackup: ИT-Дженга. Контейнеризация.

21 ноября 2025 в 16:00 приглашаем на онлайн-митап «Не Standup, a Stackup: ИT-Дженга. Контейнеризация».

Эксперты ИТ-рынка столкнутся в игровом поединке, чтобы разобраться с вызовами российского рынка контейнеров. Никаких скучных и затянутых рассуждений – только польза в формате всеми любимой «дженги». А кто станет победителем – решат зрители.

Присоединяйтесь к онлайн-трансляции ИТ-Дженги, чтобы:

• Рассмотреть актуальные проблемы на стыке бизнеса и технологий

• Узнать нестандартные способы их решения от экспертов

• Проголосовать за самого креативного участника в конце события

• Вдохновиться, посмеяться и просто приятно провести время

Кому будет интересно:

• Техническим менеджерам

• DevOps-специалистам

• CTO

• CIO

• Директорам по разработке

Представители команд:

• Михаил Федоров, ведущий специалист по вопросам внедрения и эксплуатации Kubernetes и Linux, Ингосстрах

• Александр Фикс, лидер продукта Nova Container Platform, Orion soft

• Александр Чубов, руководитель практики «Контейнеризация», К2Тех

Регистрируйтесь на ИТ-Дженгу и присоединяйтесь к трансляции.

Почему Kyverno и Gatekeeper: рассказываем об инструментах, сравниваем их и решаем, какой удобнее 🔐

Задумываетесь, что лучше выбрать для управления политиками в Kubernetes — Kyverno или Gatekeeper? У нас есть ответ. Приходите на вебинар, где мы поговорим о каждом контроллере, осветим их плюсы и минусы, а еще сценарии, для которых лучше подойдет каждый. Оба инструмента будем разбирать на практике.

О чем расскажем:

• что предлагает рынок для управления политиками в Kubernetes;

• почему выбираем между Kyverno и Gatekeeper, какие у них сильные и слабые стороны;

• под какие задачи лучше подойдет каждый из инструментов, что удобнее в использовании.

Ждем всех, кому интересна безопасность в Kubernetes, в частности DevOps-инженеров, техлидов, директоров по разработке и специалистов по кибербезопасности.

📅 Когда? 13 ноября в 11:00 мск.

📍Где? Онлайн. Зарегистрируйтесь, чтобы обсудить сетевые политики в кубере и задать вопросы экспертам.

Делимся горячими новостями нашей платформы Cloud.ru Evolution 🚀

🎁 Акции

• Работайте бесплатно с 20+ мощными open sourse моделями из Evolution Foundation Models. Все уже готово: вам не придется тратить время на развертывание инференса или код, нужно только подключиться через API. Акция действует до 31 октября.

• Получите 35 000 бонусов для работы в Evolution Data Platform. Используйте бонусные рубли, чтобы управлять Big Data, собирать данные для бизнеса и ML. Предложение только для юрлиц, действует до 31 декабря 2025 года.

🛡️ Новые сертификаты

Надежность наших сервисов подтверждена регуляторами. Платформа Cloud.ru Evolution теперь в реестре отечественного ПО (РОПО), а еще она получила сертификаты PCI DSS и ФСТЭК России.

🤖 Evolution ML Inference

• Появился каталог с готовыми моделями, которые доступны для инференса. Среди них — Qwen, DeepSeek, Gemma и не только.

• Среди поддерживаемых GPU теперь есть мощная NVIDIA A100 80GB SXM.

• Стал доступен тестовый вызов модели в Model RUN через OpenAPI. Во вкладке OpenAPI найдете полную спецификацию API, описание эндпоинтов, параметров, моделей, запросов и ответов.

🧑‍💻 Evolution Notebooks

Что мы добавили в сервис:

• CLI-утилиту, чтобы управлять Conda-окружениями. Инструмент облегчит работу с версиями окружений, поддержкой чистоты и согласованности IDE.

• Выбор кастомного образа из Evolution Artifact Registry при создании ноутбука.

• Запуск веб-интерфейса на базе Panel.

• Прокси, который позволит подключаться к веб-приложениям с локального ноутбука.

• Интеграцию с сервисами аудитных логов, нотификации и менеджера ресурсов.

🌐 Evolution DNS

• Стало проще добавлять публичные доменные зоны. Доменные зоны с уникальным FQDN подтверждать теперь не надо, сервис сделает это автоматически.

• Для публичных доменных зон теперь можно использовать GSLB-записи. Технология GSLB распределяет трафик между серверами из разных регионов.

💻 Evolution Managed Kubernetes

Управляйте контейнерными приложениями в Kubernetes 1.33 — теперь Evolution Managed Kubernetes поддерживает и эту версию. Что в ней есть:

• В бета-тесте — использование образов Open Container Initiative (OCI) в качестве томов в подах, а еще In-place resource resize для вертикального масштабирования подов.

• Общедоступными стали поддержка Sidecar-контейнеров, Multiple Service CIDRs, нового бэкенда nftables для kube-proxy, subresource для kubectl. Полный обзор изменений есть в официальном блоге Kubernetes.

📚 Evolution Managed PostgreSQL

• Для кластеров в режиме «Бизнес» теперь можно создать отдельный WAL-диск. Так вы сможете увеличить размер как основного, так и WAL-диска.

• В документации сервиса новый раздел — справочник API. Узнайте, как управлять вашими ресурсами в облаке и получать о них информацию с помощью REST API.

📀 Evolution Object Storage

Улучшили мониторинг: получайте информацию о максимальном объеме бакетов, о внешнем и внутреннем исходящем трафике.

🔋 Evolution Compute

• Удаляйте и создавайте несколько виртуалок одновременно.

• Отключайте и подключайте загрузочные диски между ВМ.

• Переустанавливайте ОС на ВМ, которая работает в данный момент.

Привет, Хабр! Мы только что получили из типографии топовую DevOps-новинку этого года — книгу Камиль Фурнье и Иэна Ноуленда «Инжиниринг платформ: техническое и управленческое руководство». Промокод для читателей Хабра (скидка 32%) - fournier.

Переведённая нами статья Камиль Фурнье с описанием круга проблем и задач, которые решает книга - Инжиниринг платформ: не CFEngine единым / Хабр

Аннотация книги

Базовая книга по инжинирингу платформ – новому подходу к управлению программными системами, при работе с которыми требуется обслуживать множество разных аппаратных архитектур и операционных систем. Показано развитие концепции DevOps и объяснено, как  учитывать запросы и возможности пользователей независимо от способа работы с приложением, минимизировать задержки при обработке данных и упрощать масштабирование и поддержку многоплатформенных продуктов. Описан комплексный  подход к управлению продуктом с учетом потребностей клиентов, разработчиков, системных администраторов и предприятия в целом, актуальный на любых программных платформах.

Для специалистов DevOps, системных администраторов, руководителей команд

Как перенести инфраструктуру из Docker на управляемый Kubernetes в облаке? 

Привет, Хабр! 

30 октября мы проведем вебинар по миграции приложений. 

Инженеры VK Cloud пройдут по шагам весь процесс миграции с Docker: от подготовки до деплоя. Все участники получат план миграции и рекомендации по переносу инфраструктуры. 

Вебинар в формате воркшопа поможет вам улучшить масштабируемость, отказоустойчивость и удобство использования приложения с помощью Kubernetes.

Что будем делать? 

• Пройдем по шагам процесс миграции

• Разберем стратегии

• Проведем livedemo переноса: от подготовки до деплоя

• Отправим участникам план миграции 

В конце мы разберем типичные ошибки, дадим рекомендации и отправим участникам план миграции.  

Если у вас есть коллега, которому предстоит это увлекательное занятие, приходите на вебинар вместе. 

Регистрируйтесь, чтобы получить напоминание и ссылку на трансляцию вебинара. 

Зарегистрироваться

Публичное облако Cloud.ru Evolution теперь в реестре российского ПО 🎉

И это не последние новости Cloud.ru Evolution к этому часу. Присоединяйтесь к нашему вебинару, где расскажем о новостях платформы. Ждем всех, кто хочет быть в курсе новостей и в числе первых узнать, как использовать обновления на пользу бизнесу.

Что обсудим:

• Какие возможности дает то, что Cloud.ru Evolution в реестре отечественного ПО (РОПО).

• Новые сервисы для миграции и резервного копирования, которые помогут вам переехать из других облаков.

• Инструменты и сервисы для работы с AI&ML — и как бесплатно их потестировать.

• Как улучшилась работа с приложениями в Kubernetes.

• Новые инструменты для аналитики: как с ними работать, чтобы оптимизировать ресурсы облака.

А в конце вебинара вас ждет демо — в прямом эфире покажем, как развернуть веб-приложение с обновленными сервисами Cloud.ru Evolution.

📅 Когда? 21 октября в 11 по мск.

📍Где? Онлайн. Чтобы зарегистрироваться, переходите на страницу вебинара →

Контейнеры не панацея: скрытые затраты на содержание Kubernetes, о которых молчат вендоры

Kubernetes стал де-факто стандартом оркестрации, но за кадром остаются реальные эксплуатационные расходы. Когда стоимость обслуживания кластера превышает стоимость самих сервисов — пора пересматривать архитектурные решения.

Что не учитывают при внедрении:

• Эффективность нод: В среднем 35-40% ресурсов простаивают "на всякий случай"

• Стоимость сетей: Service mesh + CNI добавляют 15-20% к потреблению CPU

• Трудозатраты: 1 инженер на 3-5 кластеров — утопия для средних компаний

Реальные метрики из практики:

bash

# Анализ утилизации за 3 месяца
kubectl top nodes | awk '{sum += $3} END {print "Средняя загрузка:", sum/NR "%"}'
# Результат: 41% по CPU, 28% по памяти

Где теряем деньги:

1. Overprovisioning
   "На всякий случай" развертываем на 200% больше ресурсов

2. Сложность мониторинга
   Требуется отдельный стек: Prometheus + Grafana + Alertmanager

3. Безопасность
   Pod Security Policies, network policies — +20% к времени развертывания

Когда Kubernetes оправдан:

• 50+ микросервисов

• Непредсказуемая нагрузка

• Команда из 3+ DevOps инженеров

Альтернативы для средних проектов:

• Nomad — проще оркестратор без привязки к контейнерам

• Docker Swarm — для простых сценариев

• Managed k8s — если нет своей экспертизы

Вывод:
Kubernetes — мощный инструмент, но не серебряная пуля. Прежде чем прыгать в эту экосистему, посчитайте TCO и убедитесь, что сложность управления не съест всю экономию от контейнеризации.

#Kubernetes #DevOps #контейнеризация #TCO #микросервисы

А как у вас с реальной утилизацией ресурсов в k8s? Делитесь наблюдениями в комментариях.

Записки параноика: почему Zero Trust — это не мода, а новая реальность для ИТ-инфраструктуры

Современные угрозы больше не останавливаются на периметре. Атаки стали целевыми, изощренными и часто исходят изнутри. Традиционный подход «замок и ров» безнадежно устарел.

Почему Zero Trust — это не просто buzzword:

• 68% компаний сталкивались с инцидентами внутренних угроз

• Среднее время обнаружения нарушителя в сети — 207 дней

• Традиционные VPN стали главным вектором атак в 2024

Как мы внедряли Zero Trust без переписывания всей инфраструктуры:

Сегментация на микроуровне:

yaml

# Instead of: Allow 10.0.0.0/8
# We use: 
- name: db-access
  source: app-server-01
  destination: postgres-01
  port: 5432
  auth: mTLS + service-account

Service Mesh вместо VPN:

• Istio для взаимной аутентификации сервисов

• Автоматическое шифрование всего трафика

• Детальный контроль доступа на уровне L7
  
  Непрерывная верификация:

bash

# Проверка целостности хостов каждые 30 сек
sudo attestation-agent verify --policy strict

Технические вызовы, с которыми столкнулись:

• Производительность: Overhead Istio ~3ms на hop

• Сложность отладки: Трассировка запросов через 5+ сервисов

• Миграция: Постепенный перенос legacy-систем

Метрики после 6 месяцев работы:

• Время сдерживания атаки сократилось с часов до минут

• Количество инцидентов снизилось на 73%

• Audit trail для compliance стал детализированным

Ключевые инсайты:

1. Начинайте с идентификации — без точной инвентаризации сервисов ничего не выйдет

2. Поэтапное внедрение — от критичных workload к периферии

3. Автоматизация политик — ручное управление не масштабируется

Zero Trust — это не продукт, а архитектурный принцип. И да, он требует изменений в менталитете команды больше, чем в технологиях.

Стоит ли в тексте статей про Docker переводить "image" как "образ"?

Какой термин вам ближе и понятнее?

Подборка обучающих материалов по Docker и Kubernetes

Привет, Хабр! Сегодня пятница, поэтому я снова со своей нерегулярной подборкой полезных материалов для начинающих специалистов. На этот раз несу статьи о Docker и Kubernetes. Как обычно: все бесплатно, без регистрации и смс. Читайте и практикуйте.

Первые шаги в Kubernetes

Здесь 12 статей примерно на два часа чтения. Будет полезно, если нужно освоить базу: что такое K8s, какие задачи помогает решить, основные понятия, с чего начать, как работать с контейнерами и настроить мониторинг.

Docker с нуля: как работают контейнеры и зачем они нужны

Эта подборка из шести статей — ваш гид в мир контейнеризации. Вы узнаете, что такое Docker, как запускать контейнеры, собирать образы и использовать Docker Compose, а еще разберетесь, чем эта технология отличается от Kubernetes. Все материалы подкреплены практическими примерами и будут понятны начинающим. На полное изучение уйдет менее двух часов.

Основы безопасности в Docker-контейнерах

Если вы прочитали предыдущую подборку и почувствовали в себе силы начать работу с контейнерами, не спешите. Изоляция, которую они обеспечивают, может вызывать ложное чувство безопасности. Чтобы вы могли погрузиться в вопросы защиты своего Docker, есть еще одна мини-подборка из трех исчерпывающих материалов. Изучение — чуть больше часа, а эффект — бесценен.