Kubernetes *

А ну быстро подключите мне MySQL через Кубер, иначе я ТАКОЙ СКАНДАЛ УЧИНЮ 📱

Многие просили добавить возможность управлять базами прямо из Kubernetes-кластера. Кто мы такие, чтобы отказать?

В дополнениях Kubernetes вас ждет наше дополнение TWC DBaaS Operator, через которое вы можете:

• Создавать инстансы баз данных

• Добавлять базы внутри инстансов

• Управлять пользователями и правами

Представим, что у вас фитнесшеринг. Абонементы, биллинг, расписания и карточки клубов — в MySQL. Быстрые фильтры, сессии, «удержание» брони и счетчики свободных мест — в Redis.

Раньше: пришлось бы отдельно заводить инстансы в панели, настраивать доступы и добавлять инстансы баз данных в ту же приватную сеть, что и Kubernetes.

Сейчас: достаточно описать нужные базы и пользователей в YAML-манифесте — и кластер сам развернет всю инфраструктуру одной командой.

Подключить доп к своему кластеру →

Интеграция VXLAN в архитектуру LBaaS: наш опыт и решения — тема доклада на IT-конференции GoCloud Tech 2025 ☁️

Расскажем про обновленный балансировщик сетевой нагрузки: какие есть отличия от старого, что уже появилось и еще появится в новом. Разберем его архитектуру и способы управления VXLAN в K8s, затронем тему перформанса и дальнейшего увеличения производительности.

Трек: Cloud Infrastructure — про построение устойчивой, масштабируемой и безопасной облачной инфраструктуры.

📅 Когда: 3 сентября в 12:00 мск

👉 Зарегистрироваться

Что еще интересного будет на GoCloud Tech, смотрите в программе конференции.

DUC meetup #2: узлы кластера, платформа на DKP CE, контроль архитектуры

Если вы работаете с Kubernetes или планируете начать, приходите 21 августа на второй митап Deckhouse User Community в Москве. Будут доклады спикеров из «Фланта», «КРОК» и «ДОМ.РФ», а ещё пицца и пиво. Регистрация — по ссылке. 

Темы докладов и спикеры:

• От рассвета до заката, или Как Deckhouse Kubernetes Platform управляет жизненным циклом узлов кластера — Николай Митрофанов, «Флант»

• Разработка платформы для обучения K8s на основе DKP CE — Кирилл Харитонов, «КРОК»

• Архитектура под контролем: фиксируем изменения с помощью AaC и фитнес-функций — Антон Сафронов, «ДОМ.РФ Технологии»

Встречаемся 21 августа в «Событие Лофт» по адресу: Николоямская улица, 28. Ближайшая станция метро — «Таганская» Кольцевой линии. Программа стартует в 19:00, приходите чуть пораньше. Больше подробностей о докладах и регистрация — на страничке митапа. 

CSI-драйвер и Swordfish API: как заставить Kubernetes дружить с любым хранилищем

В современных enterprise-средах важно обеспечить стандартизированный доступ к системам хранения данных (СХД) от разных производителей, избегая жесткой привязки к конкретному вендору. Одним из решений этой задачи является использование CSI-драйвера, который взаимодействует с Swordfish API. Такая интеграция позволяет Kubernetes автоматически создавать, подключать и удалять тома, избавляя команды от множества ручных операций.

Процесс выглядит так: когда приложение в Kubernetes запрашивает постоянное хранилище, оркестратор формирует PersistentVolumeClaim (PVC) с нужными параметрами — размером, типом и характеристиками. Kubernetes определяет, что создание тома должно выполняться через CSI-драйвер, и передает запрос в эмулятор Swordfish API. Тот создает том, а в случае работы с файловыми системами (например, NFS) дополнительно настраивает подключение к серверу и возвращает CSI-драйверу сведения о готовом ресурсе.

Дальше Kubernetes связывает созданный том с заявкой PVC, после чего CSI-драйвер монтирует его на рабочий узел к нужному контейнеру или поду. Эмулятор Swordfish API при этом добавляет путь к каталогу в конфигурацию NFS (/etc/exports), что позволяет клиентам подключаться к сетевому хранилищу.

Когда хранилище больше не нужно:

• DevOps удаляет PVC.

• Kubernetes вызывает NodeUnpublishVolume для размонтирования тома с узла.

• CSI-драйвер передает команду Swordfish API.

• API удаляет том и освобождает ресурсы (в случае NFS — удаляет запись из /etc/exports и каталог).

• Kubernetes удаляет объект PV, завершая процесс.

Главное преимущество этого подхода в том, что он автоматизирует полный цикл работы с томами — от создания до удаления — и при этом одинаково хорошо работает с разными типами СХД, обеспечивая гибкость и снижение операционных затрат.

Если интересно, как самостоятельно разработать CSI-драйвер с поддержкой Swordfish API и запустить его даже без реального оборудования, то об этом — в статье, где пошагово показано, как реализовать и протестировать решение.

Да, это Артем. Хорошо живет, купается в бассейне, пьет джус 🧃

И запускает Кубер за рубль, чтобы вы смогли его затестить.

Подробности по тарифу:

➖ Полный доступ к интеграциям: внешний балансировщик, сетевые диски, S3 и др.
➖ Без ограничений внутреннего функционала
➖ Можно создать до 3 тестовых кластеров и в каждом до 10 воркер-нод

Запустить кластер за 1 ₽ →

Привет, малюсенькое увеличение потенциала kui'я, добавил pv и pvc в список просмотра.

Творите, выдумывайте, пробуйте!)

Заказ на Kubernetes готов... Курьер уже у вашего компа 🛴

Наш продакт-лид сейчас вкинул новости по Куберу, которых еще даже во внутреннем ченжлоге не было. С ними наш Куб уже не ребенок, а превращается в настоящего мужчину — это цитата.

1️⃣ Пачка обновлений кластеров:

v1.33.1 → v1.33.2
v1.32.5 → v1.32.6
v1.31.9 → v1.31.10
v1.30.13 → v1.30.14

2️⃣ Новый раздел «Сеть»:

Теперь в панели сразу видно, к какой приватной сети подключен кластер, какой CNI используется и какие подсети подов и сервисов были указаны при сетапе.

3️⃣ Обновление версий Kubernetes прямо в панели:

🙂 Для патч-версий доступно самое последнее обновление.
🙃 Для минорных можно выбрать любую доступную версию старше текущей.

3️⃣ OpenFaaS теперь в маркетплейсе:

Удобный способ запускать serverless-функции без развертывания отдельных сервисов. Например, для автоматизации, событийных задач и CI/CD-сценариев.

Забрать все обновы Кубера →

Подключайтесь к вебинару про миграцию в Kubernetes on Bare Metal

В 12:00 (мск) в прямом эфире расскажем, как перенести production-нагрузку в Kubernetes on Bare Metal, сократить расходы на 35% и повысить производительность сервисов.

О чем будем говорить

• Масштабирование кластеров на выделенных серверах.

• Удаление и переустановка нод на выделенных серверах.

• Управление разметкой диска.

• Кейсы клиентов: сокращение расходов на 35% и повышение производительности.

Вебинар будет особенно полезен DevOps-инженерам, техлидам, а также системным администраторам и архитекторам.

Смотреть трансляцию

📱на YouTube

📱в VK

Контейнеры для топ-менеджмента: способ увеличить прибыль или головная боль?

Многие компании уже давно используют контейнеры. Но все ли понимают, как на них переходить, а также какие последствия ждут бизнес, когда технология внедрена, но «готовить» ее никто не умеет? Как из-за отсутствия ресурсов этот бизнес может понести потери или вовсе встать? Или, наоборот, за счет правильного использования контейнеризации увеличить прибыль? 

Уже были тысячи митапов и конференций, где мы обсуждали, как хороши контейнеры. Но бизнесу-то они зачем? Им вообще это надо?

22 июля (вторник) в 18:00 мск приглашаем вас присоединиться к жаркой дискуссии, на которой мы соберем топ-менеджеров крупных компаний — генеральных, технических и исполнительных директоров. Они расскажут, как они видят (и видят ли вообще) пользу от контейнеризации и как именно они ее оценивают.

Ключевые вопросы эфира:

1.   Зачем это топам?

• Должны ли топы разбираться в технике?

• А что для них значат контейнеры?

• Драйверы для внедрения контейнеров и лидеры перемен.

• При чем тут импортозамещение.

2.   Процессы, деньги и люди

• Что меняли для внедрения контейнеров?

• Люди: раздутие штата, увольнения, обучение.

• Как бороться с сопротивлением?

• Долго ли длился переход и сколько он стоил?

3.   Итоги

• Что дало внедрение контейнеризации?

• Стоило ли оно того?

• А с точки зрения ROI и TCO?

• Метрики для оценки эффективности внедрения контейнеров.

Приглашенные эксперты:

• Максим Чудновский, исполнительный директор, «СберТех»

• Валерий Котелов, CEO, digital-интегратор KOTELOV

• Александр Буторин, CTO, «Дом.ру»

• Александр Токарев, СЕО, VoxysLab

• Дмитрий Зайцев, СТО, Flocktory

Модератор: Роман Ивлиев, CTO, программный директор TeamLead Conf.

Регистрация

NotCVE-2025-0003 и NotCVE-2025-0004

Продолжаю по мере сил пополнять базу проекта NotCVE информацией о проблемах безопасности, которым разработчики не желают присваивать CVE (делал заметку об этом проекте). В этот раз одна проблема в компиляторе Go привела к регистрации сразу 2-х записей:

• NotCVE-2025-0003

• NotCVE-2025-0004

Т.к. помимо самого компилятора Go, пострадал и Kubernetes:

The Go team has released a fix in Go versions 1.21.11 and 1.22.4 addressing a symlink race condition when using os.RemoveAll. The Kubernetes Security Response Committee received a report that this issue could be abused in Kubernetes to delete arbitrary directories on a Node with root permissions by a local non-root user with the same UID as the user in a Pod.

Из сообщения в гитхабе Kubernetes видно насколько заразительна тенденция вместо регистрации CVE называть фикс проблемы безопасности хардерингом:

The Go team has not issued a CVE for this, as it is considered a hardening issue, and the SRC is following that decision as well.

Собственно, в случае с Docker в этом году было то же самое, для них это тоже хардеринг (моё обращение в MITRE так и не привело к появлению CVE, поэтому я зарегистрировал NotCVE-2025-001).

Как видно, ситуации, когда проблемы безопасности не приводят к появлению CVE случаются не редко. А некоторые разработчики даже пытаются оспаривать назначение CVE.

Открыта регистрация на Kubernetes Community Day — главную сходку K8s-сообщества

31 июля в Москве состоится первая независимая конференция Kubernetes Community Day для открытого сообщества профи по куберу и тех, кто только начинает. Два пространства с техническими докладами, дискуссиями и хардкорными воркшопами, интерактивы и IT StandUp. Никаких HR-стендов и дорогих билетов — только бесплатное участие, сообщество, живое общение.

Цель мероприятия — создать площадку для объединения сообщества, обмена опытом и нетворкинга. В программе — актуальные выступления от коллег из различных компаний, которые дышат контейнерами: Yandex Cloud, ecom.tеch, VK, Luntry, МКБ, «Лаборатория Числитель», Lamoda Tech, Rebrain, Cloud ru и др.

Среди заявленных тем:

• «Legacy-кубы и как нежно увезти с них продукты»

• «Ретроспектива уязвимостей системных компонентов Kubernetes»

• «Блеск и нищета Cluster API Kubernetes»

• «Почему K8s — плохой продукт и он вам не нужен?»

• «Как мы переизобрели UI для Kubernetes: динамический фронт на основе OpenAPI и CRD».

Полная программа будет объявлена позже.

Зачем идти?

• Послушать истории коллег про реальные кейсы, факапы и «боли». 

• Прокачать свои знания, узнать про актуальные инструменты и подходы из первых рук.

• Встретиться со старыми друзьями и найти новых.

• Внести свой вклад в сообщество.

Формат: офлайн и онлайн.

Участие бесплатное. Количество мест на офлайн ограничено площадкой — успейте зарегистрироваться!

Следите за анонсами мероприятия в Telegram-канале генерального партнера конференции — платформы «Штурвал».

Информационные партнеры: Computerra, ICT Online, Cybermedia, Global Digital Space, AM Live, ict2go, Kubernetes_ru, DevOps For Love, IT STAND.

Смотреть можно, трогать нельзя: режим read-only в балансировщиках ☝️

Раньше в тикетах часто встречали:

«Я немного поменял настройки балансировщика для Кубика, и у меня все полетело».

Докрутили функционал, чтобы избежать сбоев при случайных изменениях. Вот, что сделали:

✅ Закрыли возможность управления балансировщиками, созданными для Kubernetes (из панели и через API). Теперь все настраивается только через манифесты.

✅ Добавили режим read-only для новых и уже созданных балансировщиков. В панели они помечены тегом + есть подсказки.

✅ И самое важное — критическая конфигурация кластера теперь защищена от случайных изменений и возможных сбоев.

Проверить на своем балансировщике →

Можно ли развернуть кластер Kubernetes на процессоре с открытой архитектурой RISC-V?

Короткий ответ: нет.

К сожалению, на данный момент «классический» K8s неполноценно портирован на RISC-V. Один из необходимых модулей K8s — kubelet — отказался запускаться на RISC-V-машине (в роли нее — микрокомпьютер Lichee Pi 4A).

Зато облегченная версия оркестратора K3s и Docker Swarm заработали на RISC-V, но с разными компромиссами:

→ Docker Swarm проще в развертывании.

→ K3s — более гибкий в работе, так как поддерживает Kubernetes-инструменты.

В синтетических тестах (stress-ng) K3s показал лучшую производительность на матричных вычислениях — он обошел показатели Docker Swarm примерно в 16 раз. В цифрах: 2.996 bogo ops/s (K3s) против 188 bogo ops/s (Docker Swarm). Возможно, это связано с оптимизацией Kubernetes или меньшими накладными расходами: K3s потребляет меньше ресурсов на фоновые процессы, такие как управление кластером и сетью, что важно для маломощных устройств.

Интересно узнать больше? Тогда переходите по ссылке и читайте подробности экспертимента по заапуску известных оркестраторов на RISC-V.

Добавили поддержку российских ОС в Open Source-платформе Deckhouse Kubernetes Platform

Хабр, мы кратко. В нашей Open Source-платформе Deckhouse Kubernetes Platform (DKP CE) появилась поддержка отечественных операционных систем. Изменения смержены в версии 1.69. 

Теперь в качестве ОС для узлов поддерживаются:

• Astra Linux;

• ALT Linux;

• РЕД ОС;

• РОСА Сервер.

Напомним — если у вас есть вопросы и обратная связь по DKP CE, их можно принести в наше Telegram-сообщество для инженеров. 

Батл мнений: «Ванильный» K8s VS коммерческие решения: когда стоит платить?

Коммерческие платформы, предлагающие расширенную функциональность «из коробки», активно конкурируют с «ванильным» Kubernetes, который поставляется на базе открытого кода и «обогащается» внутренними командами самостоятельно. Но когда же выгоднее собрать продукт внутри, а когда — использовать чужое? И какой путь чаще выбирает крупный бизнес?

В прямом эфире вместе с AM Live собрали представителей топовых компаний: «Авито», Почта Банк, beeline cloud, АЛРОСА ИТ, RWB Media.

Они рассказали, какой подход используют внутри и почему именно его, с какими сложностями сталкиваются и какая команда эксплуатирует и поддерживает контейнерную платформу.

Смотрите запись эфира на удобной для вас платформе:

VK | YouTube | RUTUBE

Развернуть высоконагруженную платформу в Managed Kubernetes, ориентированную и на b2b-, и на b2c-сегменты — задачка со звездочкой. Как это сделать, рассказываем в Академии Selectel на примере кейса компании TrendTech.

Вы узнаете, как компания:

• обеспечила отказоустойчивость сервисов, сохранив возможность гибкого масштабирования;

• автоматизировала обновление контента из более чем 5 000 источников данных;

• обеспечила отдачу и надежное хранение тяжелых файлов;

• развернула удобное окружение для команды разработки.

Перенимайте опыт TrendTech и используйте Managed Kubernetes для реализации своих проектов.

Новые тарифы Kubernetes

Апгрейднули тарифы и добавили пояснение к каждому. Давайте знакомиться:

• 👉Тариф Dev. Подходит для тестирования функционала нашего Managed Kubernetes — 200 ₽/мес

Пример использования: небольшие пет-проекты

• 👉Тариф Base. Для кластеров со средней нагрузкой, где отказоустойчивость не критична — 2000 ₽/мес

Пример использования: корпоративные веб-сервисы или ML inference-сервисы

• 👉Тариф Custom. Для гибкой настройки — от 2520 ₽/мес

Пример использования: highload-платформы и BigData/ML пайплайны

Пара слов о тарифе Custom. В нем можно выбрать количество ядер, объем оперативы и диска, а также установку с одной мастер-нодой или с тремя для настройки отказоустойчивости.

Найти свой идеальный тариф →

ping: permission denied (are you root?)

Знакомы ли с этим сообщением об ошибке? И знаете ли, как ее исправить?

Этот запрет на отправку ICMP-пакетов внутри контейнера можно получить при выполнении, например, такой задачи.

Задача: Организовать k8s-кластеры в ручном режиме с помощью kubeadm и kubectl на базе cri-o (1.28+) и использовать Calico как CNI-плагин.

Кластер доступен для взаимодействия через kubectl, команда возвращает корректную информацию о кластере. Есть возможность сделать ping 8.8.8.8 с образом busybox.

Если вы опытный DevOps и знаете, как решается эта «детская проблема» при работе с оркестратором, регистрируйтесь на спринт-оффер для девопсов. Сможете буквально играючи получить новую работу за 3 дня.

Если вы только начали изучать Kubernetes, читайте статью с подробным разбором этой ошибки → 

Воскрешаем YouTube новым видео 🎥

Если кто-то не знал, у нас есть свой YouTube-канал (и он даже не пустой). Раньше там выходили подкасты «Релиз в пятницу» и «Быть». Потом мы сделали паузу и сосредоточились на продукте.

Теперь возвращаемся с новыми видео — про облака, айти-сферу и даже с юмористическим контЭнтом.

На канале вас уже ждут два свежих видео:

1️⃣ Про наш любимый Kubernetes. Наши партнеры показали, как собрать и задеплоить микросервисное приложение в Таймвеб Клауд.

2️⃣ Про стартапы. Продакт-менеджер Артем Гаврилов и лид разработки Михаил Шпаков рассказали о профите облачных решений для бизнеса.

👉 А еще постим на канал забавные шортсы (да, таким мы тоже балуемся).

Ютуб · Рутуб · ВК

Обновления в Terraform 🆕

Подготовили для вас кучу апдейтов в Terraform, чтобы вы смогли комфортно юзать его на всех наших сервисах.

Рассказываем, где и какие фичи теперь доступны:

1. Kubernetes. Добавили поддержку конфигуратора воркер-нод, тейнтов и лейблов для групп нод, установку аддонов и редактирование манифестов. А также теперь можно передавать идентификатор VPC-сети при создании кластера и фильтровать пресеты по локациям.

2. S3. Добавили поддержку конфигуратора для стандартного и холодного хранилища.

3. Балансировщики. Добавили поддержку плавающих IP-адресов и новые параметры для гибкой настройки: maxconn, connect_timeout, client_timeout, server_timeout, httprequest_timeout.

4. И, конечно, не обошлось без багфиксов и улучшений. Оставим для вас списком:

• Теперь можно менять логин в twc_database_user

• Поправили создание сервисов с токеном доп пользователя

• Добавили обработку ошибок при устаревших типах баз данных

• Исправили проблемы с кластерами PostgreSQL и Redis

• is_autoscaling в Kubernetes больше не обязателен

• В документации по базам данных добавили пример привязки к приватной сети

Уже бегу тестить обновы →