Kubernetes *

Делимся горячими новостями нашей платформы Cloud.ru Evolution 🚀

🎁 Акции

• Работайте бесплатно с 20+ мощными open sourse моделями из Evolution Foundation Models. Все уже готово: вам не придется тратить время на развертывание инференса или код, нужно только подключиться через API. Акция действует до 31 октября.

• Получите 35 000 бонусов для работы в Evolution Data Platform. Используйте бонусные рубли, чтобы управлять Big Data, собирать данные для бизнеса и ML. Предложение только для юрлиц, действует до 31 декабря 2025 года.

🛡️ Новые сертификаты

Надежность наших сервисов подтверждена регуляторами. Платформа Cloud.ru Evolution теперь в реестре отечественного ПО (РОПО), а еще она получила сертификаты PCI DSS и ФСТЭК России.

🤖 Evolution ML Inference

• Появился каталог с готовыми моделями, которые доступны для инференса. Среди них — Qwen, DeepSeek, Gemma и не только.

• Среди поддерживаемых GPU теперь есть мощная NVIDIA A100 80GB SXM.

• Стал доступен тестовый вызов модели в Model RUN через OpenAPI. Во вкладке OpenAPI найдете полную спецификацию API, описание эндпоинтов, параметров, моделей, запросов и ответов.

🧑‍💻 Evolution Notebooks

Что мы добавили в сервис:

• CLI-утилиту, чтобы управлять Conda-окружениями. Инструмент облегчит работу с версиями окружений, поддержкой чистоты и согласованности IDE.

• Выбор кастомного образа из Evolution Artifact Registry при создании ноутбука.

• Запуск веб-интерфейса на базе Panel.

• Прокси, который позволит подключаться к веб-приложениям с локального ноутбука.

• Интеграцию с сервисами аудитных логов, нотификации и менеджера ресурсов.

🌐 Evolution DNS

• Стало проще добавлять публичные доменные зоны. Доменные зоны с уникальным FQDN подтверждать теперь не надо, сервис сделает это автоматически.

• Для публичных доменных зон теперь можно использовать GSLB-записи. Технология GSLB распределяет трафик между серверами из разных регионов.

💻 Evolution Managed Kubernetes

Управляйте контейнерными приложениями в Kubernetes 1.33 — теперь Evolution Managed Kubernetes поддерживает и эту версию. Что в ней есть:

• В бета-тесте — использование образов Open Container Initiative (OCI) в качестве томов в подах, а еще In-place resource resize для вертикального масштабирования подов.

• Общедоступными стали поддержка Sidecar-контейнеров, Multiple Service CIDRs, нового бэкенда nftables для kube-proxy, subresource для kubectl. Полный обзор изменений есть в официальном блоге Kubernetes.

📚 Evolution Managed PostgreSQL

• Для кластеров в режиме «Бизнес» теперь можно создать отдельный WAL-диск. Так вы сможете увеличить размер как основного, так и WAL-диска.

• В документации сервиса новый раздел — справочник API. Узнайте, как управлять вашими ресурсами в облаке и получать о них информацию с помощью REST API.

📀 Evolution Object Storage

Улучшили мониторинг: получайте информацию о максимальном объеме бакетов, о внешнем и внутреннем исходящем трафике.

🔋 Evolution Compute

• Удаляйте и создавайте несколько виртуалок одновременно.

• Отключайте и подключайте загрузочные диски между ВМ.

• Переустанавливайте ОС на ВМ, которая работает в данный момент.

Привет, Хабр! Мы только что получили из типографии топовую DevOps-новинку этого года — книгу Камиль Фурнье и Иэна Ноуленда «Инжиниринг платформ: техническое и управленческое руководство». Промокод для читателей Хабра (скидка 32%) - fournier.

Переведённая нами статья Камиль Фурнье с описанием круга проблем и задач, которые решает книга - Инжиниринг платформ: не CFEngine единым / Хабр

Аннотация книги

Базовая книга по инжинирингу платформ – новому подходу к управлению программными системами, при работе с которыми требуется обслуживать множество разных аппаратных архитектур и операционных систем. Показано развитие концепции DevOps и объяснено, как  учитывать запросы и возможности пользователей независимо от способа работы с приложением, минимизировать задержки при обработке данных и упрощать масштабирование и поддержку многоплатформенных продуктов. Описан комплексный  подход к управлению продуктом с учетом потребностей клиентов, разработчиков, системных администраторов и предприятия в целом, актуальный на любых программных платформах.

Для специалистов DevOps, системных администраторов, руководителей команд

Как перенести инфраструктуру из Docker на управляемый Kubernetes в облаке? 

Привет, Хабр! 

30 октября мы проведем вебинар по миграции приложений. 

Инженеры VK Cloud пройдут по шагам весь процесс миграции с Docker: от подготовки до деплоя. Все участники получат план миграции и рекомендации по переносу инфраструктуры. 

Вебинар в формате воркшопа поможет вам улучшить масштабируемость, отказоустойчивость и удобство использования приложения с помощью Kubernetes.

Что будем делать? 

• Пройдем по шагам процесс миграции

• Разберем стратегии

• Проведем livedemo переноса: от подготовки до деплоя

• Отправим участникам план миграции 

В конце мы разберем типичные ошибки, дадим рекомендации и отправим участникам план миграции.  

Если у вас есть коллега, которому предстоит это увлекательное занятие, приходите на вебинар вместе. 

Регистрируйтесь, чтобы получить напоминание и ссылку на трансляцию вебинара. 

Зарегистрироваться

Публичное облако Cloud.ru Evolution теперь в реестре российского ПО 🎉

И это не последние новости Cloud.ru Evolution к этому часу. Присоединяйтесь к нашему вебинару, где расскажем о новостях платформы. Ждем всех, кто хочет быть в курсе новостей и в числе первых узнать, как использовать обновления на пользу бизнесу.

Что обсудим:

• Какие возможности дает то, что Cloud.ru Evolution в реестре отечественного ПО (РОПО).

• Новые сервисы для миграции и резервного копирования, которые помогут вам переехать из других облаков.

• Инструменты и сервисы для работы с AI&ML — и как бесплатно их потестировать.

• Как улучшилась работа с приложениями в Kubernetes.

• Новые инструменты для аналитики: как с ними работать, чтобы оптимизировать ресурсы облака.

А в конце вебинара вас ждет демо — в прямом эфире покажем, как развернуть веб-приложение с обновленными сервисами Cloud.ru Evolution.

📅 Когда? 21 октября в 11 по мск.

📍Где? Онлайн. Чтобы зарегистрироваться, переходите на страницу вебинара →

Контейнеры не панацея: скрытые затраты на содержание Kubernetes, о которых молчат вендоры

Kubernetes стал де-факто стандартом оркестрации, но за кадром остаются реальные эксплуатационные расходы. Когда стоимость обслуживания кластера превышает стоимость самих сервисов — пора пересматривать архитектурные решения.

Что не учитывают при внедрении:

• Эффективность нод: В среднем 35-40% ресурсов простаивают "на всякий случай"

• Стоимость сетей: Service mesh + CNI добавляют 15-20% к потреблению CPU

• Трудозатраты: 1 инженер на 3-5 кластеров — утопия для средних компаний

Реальные метрики из практики:

bash

# Анализ утилизации за 3 месяца
kubectl top nodes | awk '{sum += $3} END {print "Средняя загрузка:", sum/NR "%"}'
# Результат: 41% по CPU, 28% по памяти

Где теряем деньги:

1. Overprovisioning
   "На всякий случай" развертываем на 200% больше ресурсов

2. Сложность мониторинга
   Требуется отдельный стек: Prometheus + Grafana + Alertmanager

3. Безопасность
   Pod Security Policies, network policies — +20% к времени развертывания

Когда Kubernetes оправдан:

• 50+ микросервисов

• Непредсказуемая нагрузка

• Команда из 3+ DevOps инженеров

Альтернативы для средних проектов:

• Nomad — проще оркестратор без привязки к контейнерам

• Docker Swarm — для простых сценариев

• Managed k8s — если нет своей экспертизы

Вывод:
Kubernetes — мощный инструмент, но не серебряная пуля. Прежде чем прыгать в эту экосистему, посчитайте TCO и убедитесь, что сложность управления не съест всю экономию от контейнеризации.

#Kubernetes #DevOps #контейнеризация #TCO #микросервисы

А как у вас с реальной утилизацией ресурсов в k8s? Делитесь наблюдениями в комментариях.

Записки параноика: почему Zero Trust — это не мода, а новая реальность для ИТ-инфраструктуры

Современные угрозы больше не останавливаются на периметре. Атаки стали целевыми, изощренными и часто исходят изнутри. Традиционный подход «замок и ров» безнадежно устарел.

Почему Zero Trust — это не просто buzzword:

• 68% компаний сталкивались с инцидентами внутренних угроз

• Среднее время обнаружения нарушителя в сети — 207 дней

• Традиционные VPN стали главным вектором атак в 2024

Как мы внедряли Zero Trust без переписывания всей инфраструктуры:

Сегментация на микроуровне:

yaml

# Instead of: Allow 10.0.0.0/8
# We use: 
- name: db-access
  source: app-server-01
  destination: postgres-01
  port: 5432
  auth: mTLS + service-account

Service Mesh вместо VPN:

• Istio для взаимной аутентификации сервисов

• Автоматическое шифрование всего трафика

• Детальный контроль доступа на уровне L7
  
  Непрерывная верификация:

bash

# Проверка целостности хостов каждые 30 сек
sudo attestation-agent verify --policy strict

Технические вызовы, с которыми столкнулись:

• Производительность: Overhead Istio ~3ms на hop

• Сложность отладки: Трассировка запросов через 5+ сервисов

• Миграция: Постепенный перенос legacy-систем

Метрики после 6 месяцев работы:

• Время сдерживания атаки сократилось с часов до минут

• Количество инцидентов снизилось на 73%

• Audit trail для compliance стал детализированным

Ключевые инсайты:

1. Начинайте с идентификации — без точной инвентаризации сервисов ничего не выйдет

2. Поэтапное внедрение — от критичных workload к периферии

3. Автоматизация политик — ручное управление не масштабируется

Zero Trust — это не продукт, а архитектурный принцип. И да, он требует изменений в менталитете команды больше, чем в технологиях.

Стоит ли в тексте статей про Docker переводить "image" как "образ"?

Какой термин вам ближе и понятнее?

Подборка обучающих материалов по Docker и Kubernetes

Привет, Хабр! Сегодня пятница, поэтому я снова со своей нерегулярной подборкой полезных материалов для начинающих специалистов. На этот раз несу статьи о Docker и Kubernetes. Как обычно: все бесплатно, без регистрации и смс. Читайте и практикуйте.

Первые шаги в Kubernetes

Здесь 12 статей примерно на два часа чтения. Будет полезно, если нужно освоить базу: что такое K8s, какие задачи помогает решить, основные понятия, с чего начать, как работать с контейнерами и настроить мониторинг.

Docker с нуля: как работают контейнеры и зачем они нужны

Эта подборка из шести статей — ваш гид в мир контейнеризации. Вы узнаете, что такое Docker, как запускать контейнеры, собирать образы и использовать Docker Compose, а еще разберетесь, чем эта технология отличается от Kubernetes. Все материалы подкреплены практическими примерами и будут понятны начинающим. На полное изучение уйдет менее двух часов.

Основы безопасности в Docker-контейнерах

Если вы прочитали предыдущую подборку и почувствовали в себе силы начать работу с контейнерами, не спешите. Изоляция, которую они обеспечивают, может вызывать ложное чувство безопасности. Чтобы вы могли погрузиться в вопросы защиты своего Docker, есть еще одна мини-подборка из трех исчерпывающих материалов. Изучение — чуть больше часа, а эффект — бесценен.

Live-демо графического установщика Deckhouse Kubernetes Platform

Мы создали графический установщик, который превращает развёртывание Deckhouse Kubernetes Platform в несколько кликов и упрощает начало использования платформы через веб-интерфейс.

На вебинаре 25 сентября технический директор веб-интерфейсов Deckhouse покажет live-демо Installer: 

• Развернёт полноценный кластер Deckhouse Kubernetes Platform за 10 минут. 

• Включит виртуализацию ещё за 10 — и запустит Doom на виртуальной машине.

• Расскажет, какие проблемы установки закрывает Installer. 

• Покажет планы развития графического установщика и где его взять.

Заглядывайте на трансляцию 25 сентября в 12:00. Для участия нужно зарегистрироваться.

А у нас для вас сразу два вебинара про Kubernetes 🖥️☁️

Присоединяйтесь к встречам с экспертами Cloud.ru, чтобы узнать, как эффективнее работать в кубере и обеспечить безопасность контейнеров.

📅 16 сентября архитектор решений Илья Смирнов расскажет, как мультикластерная архитектура повышает отказоустойчивость сервисов. А еще — когда именно пригодится мультикластер и как его организовать с помощью фреймворка Karmada.

Зарегистрироваться →

📅 18 сентября менеджер продукта Вера Орлова поделится, какую роль в защите контейнеров играет Admission Control, какие есть типы контроллеров и в чем разница между Kyverno и Gatekeeper.

Зарегистрироваться →

Записывайтесь на вебинары и до встречи в 11:00 по мск ⏱️ Будет полезно всем, кого интересует, как организовать защиту и отказоустойчивость контейнеров: DevOps-инженерам, техлидам, специалистам по кибербезопасности — и не только.

Продакшен, производственная среда или...

Подскажите, пожалуйста, какой термин вам понятнее:

• продакшен,

• "боевой" сервер,

• производственная среда,

• производственное окружение,

• промышленная среда,

• промышленное окружение,

• live сервер,

• prod,

• production,

• PROD.

Нужно для будущей книги. Хочу написать так, чтобы читатели потом поняли, что я имею в виду.

Что можно сказать и на баттле по Kubernetes, и на семейном застолье? 🥂

«Ну чего вы опять спорите, нормально же сидели!»

Именно так и прошел наш прямой эфир в прошлый четверг. Георг Гаал вкидывал неудобные вопросы, а Артем Гаврилов — парировал и рассказывал, как мы прокачали наш Кубер.

«Идея вебинара была в том, чтобы сделать проблемы более прозрачными. Такие сложные продукты не создаются за один день. Тарифы и конфиги нового Kubernetes не всегда способны сразу закрыть все возможные юзкейсы».

(с) Артем Гаврилов, продакт-лид Timeweb Cloud

До драки не дошло, но за спором понаблюдать можно на ютубе, рутубе и в вк.

А ну быстро подключите мне MySQL через Кубер, иначе я ТАКОЙ СКАНДАЛ УЧИНЮ 📱

Многие просили добавить возможность управлять базами прямо из Kubernetes-кластера. Кто мы такие, чтобы отказать?

В дополнениях Kubernetes вас ждет наше дополнение TWC DBaaS Operator, через которое вы можете:

• Создавать инстансы баз данных

• Добавлять базы внутри инстансов

• Управлять пользователями и правами

Представим, что у вас фитнесшеринг. Абонементы, биллинг, расписания и карточки клубов — в MySQL. Быстрые фильтры, сессии, «удержание» брони и счетчики свободных мест — в Redis.

Раньше: пришлось бы отдельно заводить инстансы в панели, настраивать доступы и добавлять инстансы баз данных в ту же приватную сеть, что и Kubernetes.

Сейчас: достаточно описать нужные базы и пользователей в YAML-манифесте — и кластер сам развернет всю инфраструктуру одной командой.

Подключить доп к своему кластеру →

Интеграция VXLAN в архитектуру LBaaS: наш опыт и решения — тема доклада на IT-конференции GoCloud Tech 2025 ☁️

Расскажем про обновленный балансировщик сетевой нагрузки: какие есть отличия от старого, что уже появилось и еще появится в новом. Разберем его архитектуру и способы управления VXLAN в K8s, затронем тему перформанса и дальнейшего увеличения производительности.

Трек: Cloud Infrastructure — про построение устойчивой, масштабируемой и безопасной облачной инфраструктуры.

📅 Когда: 3 сентября в 12:00 мск

👉 Зарегистрироваться

Что еще интересного будет на GoCloud Tech, смотрите в программе конференции.

DUC meetup #2: узлы кластера, платформа на DKP CE, контроль архитектуры

Если вы работаете с Kubernetes или планируете начать, приходите 21 августа на второй митап Deckhouse User Community в Москве. Будут доклады спикеров из «Фланта», «КРОК» и «ДОМ.РФ», а ещё пицца и пиво. Регистрация — по ссылке. 

Темы докладов и спикеры:

• От рассвета до заката, или Как Deckhouse Kubernetes Platform управляет жизненным циклом узлов кластера — Николай Митрофанов, «Флант»

• Разработка платформы для обучения K8s на основе DKP CE — Кирилл Харитонов, «КРОК»

• Архитектура под контролем: фиксируем изменения с помощью AaC и фитнес-функций — Антон Сафронов, «ДОМ.РФ Технологии»

Встречаемся 21 августа в «Событие Лофт» по адресу: Николоямская улица, 28. Ближайшая станция метро — «Таганская» Кольцевой линии. Программа стартует в 19:00, приходите чуть пораньше. Больше подробностей о докладах и регистрация — на страничке митапа. 

CSI-драйвер и Swordfish API: как заставить Kubernetes дружить с любым хранилищем

В современных enterprise-средах важно обеспечить стандартизированный доступ к системам хранения данных (СХД) от разных производителей, избегая жесткой привязки к конкретному вендору. Одним из решений этой задачи является использование CSI-драйвера, который взаимодействует с Swordfish API. Такая интеграция позволяет Kubernetes автоматически создавать, подключать и удалять тома, избавляя команды от множества ручных операций.

Процесс выглядит так: когда приложение в Kubernetes запрашивает постоянное хранилище, оркестратор формирует PersistentVolumeClaim (PVC) с нужными параметрами — размером, типом и характеристиками. Kubernetes определяет, что создание тома должно выполняться через CSI-драйвер, и передает запрос в эмулятор Swordfish API. Тот создает том, а в случае работы с файловыми системами (например, NFS) дополнительно настраивает подключение к серверу и возвращает CSI-драйверу сведения о готовом ресурсе.

Дальше Kubernetes связывает созданный том с заявкой PVC, после чего CSI-драйвер монтирует его на рабочий узел к нужному контейнеру или поду. Эмулятор Swordfish API при этом добавляет путь к каталогу в конфигурацию NFS (/etc/exports), что позволяет клиентам подключаться к сетевому хранилищу.

Когда хранилище больше не нужно:

• DevOps удаляет PVC.

• Kubernetes вызывает NodeUnpublishVolume для размонтирования тома с узла.

• CSI-драйвер передает команду Swordfish API.

• API удаляет том и освобождает ресурсы (в случае NFS — удаляет запись из /etc/exports и каталог).

• Kubernetes удаляет объект PV, завершая процесс.

Главное преимущество этого подхода в том, что он автоматизирует полный цикл работы с томами — от создания до удаления — и при этом одинаково хорошо работает с разными типами СХД, обеспечивая гибкость и снижение операционных затрат.

Если интересно, как самостоятельно разработать CSI-драйвер с поддержкой Swordfish API и запустить его даже без реального оборудования, то об этом — в статье, где пошагово показано, как реализовать и протестировать решение.

Да, это Артем. Хорошо живет, купается в бассейне, пьет джус 🧃

И запускает Кубер за рубль, чтобы вы смогли его затестить.

Подробности по тарифу:

➖ Полный доступ к интеграциям: внешний балансировщик, сетевые диски, S3 и др.
➖ Без ограничений внутреннего функционала
➖ Можно создать до 3 тестовых кластеров и в каждом до 10 воркер-нод

Запустить кластер за 1 ₽ →

Привет, малюсенькое увеличение потенциала kui'я, добавил pv и pvc в список просмотра.

Творите, выдумывайте, пробуйте!)

Заказ на Kubernetes готов... Курьер уже у вашего компа 🛴

Наш продакт-лид сейчас вкинул новости по Куберу, которых еще даже во внутреннем ченжлоге не было. С ними наш Куб уже не ребенок, а превращается в настоящего мужчину — это цитата.

1️⃣ Пачка обновлений кластеров:

v1.33.1 → v1.33.2
v1.32.5 → v1.32.6
v1.31.9 → v1.31.10
v1.30.13 → v1.30.14

2️⃣ Новый раздел «Сеть»:

Теперь в панели сразу видно, к какой приватной сети подключен кластер, какой CNI используется и какие подсети подов и сервисов были указаны при сетапе.

3️⃣ Обновление версий Kubernetes прямо в панели:

🙂 Для патч-версий доступно самое последнее обновление.
🙃 Для минорных можно выбрать любую доступную версию старше текущей.

3️⃣ OpenFaaS теперь в маркетплейсе:

Удобный способ запускать serverless-функции без развертывания отдельных сервисов. Например, для автоматизации, событийных задач и CI/CD-сценариев.

Забрать все обновы Кубера →

Подключайтесь к вебинару про миграцию в Kubernetes on Bare Metal

В 12:00 (мск) в прямом эфире расскажем, как перенести production-нагрузку в Kubernetes on Bare Metal, сократить расходы на 35% и повысить производительность сервисов.

О чем будем говорить

• Масштабирование кластеров на выделенных серверах.

• Удаление и переустановка нод на выделенных серверах.

• Управление разметкой диска.

• Кейсы клиентов: сокращение расходов на 35% и повышение производительности.

Вебинар будет особенно полезен DevOps-инженерам, техлидам, а также системным администраторам и архитекторам.

Смотреть трансляцию

📱на YouTube

📱в VK