Привет, малюсенькое увеличение потенциала kui'я, добавил pv и pvc в список просмотра.
Творите, выдумывайте, пробуйте!)
Заказ на Kubernetes готов... Курьер уже у вашего компа 🛴
Наш продакт-лид сейчас вкинул новости по Куберу, которых еще даже во внутреннем ченжлоге не было. С ними наш Куб уже не ребенок, а превращается в настоящего мужчину — это цитата.
1️⃣ Пачка обновлений кластеров:
v1.33.1 → v1.33.2
v1.32.5 → v1.32.6
v1.31.9 → v1.31.10
v1.30.13 → v1.30.14
2️⃣ Новый раздел «Сеть»:
Теперь в панели сразу видно, к какой приватной сети подключен кластер, какой CNI используется и какие подсети подов и сервисов были указаны при сетапе.
3️⃣ Обновление версий Kubernetes прямо в панели:
🙂 Для патч-версий доступно самое последнее обновление.
🙃 Для минорных можно выбрать любую доступную версию старше текущей.
3️⃣ OpenFaaS теперь в маркетплейсе:
Удобный способ запускать serverless-функции без развертывания отдельных сервисов. Например, для автоматизации, событийных задач и CI/CD-сценариев.
Подключайтесь к вебинару про миграцию в Kubernetes on Bare Metal
В 12:00 (мск) в прямом эфире расскажем, как перенести production-нагрузку в Kubernetes on Bare Metal, сократить расходы на 35% и повысить производительность сервисов.
О чем будем говорить
Масштабирование кластеров на выделенных серверах.
Удаление и переустановка нод на выделенных серверах.
Управление разметкой диска.
Кейсы клиентов: сокращение расходов на 35% и повышение производительности.
Вебинар будет особенно полезен DevOps-инженерам, техлидам, а также системным администраторам и архитекторам.
Смотреть трансляцию
📱в VK
Контейнеры для топ-менеджмента: способ увеличить прибыль или головная боль?
Многие компании уже давно используют контейнеры. Но все ли понимают, как на них переходить, а также какие последствия ждут бизнес, когда технология внедрена, но «готовить» ее никто не умеет? Как из-за отсутствия ресурсов этот бизнес может понести потери или вовсе встать? Или, наоборот, за счет правильного использования контейнеризации увеличить прибыль?
Уже были тысячи митапов и конференций, где мы обсуждали, как хороши контейнеры. Но бизнесу-то они зачем? Им вообще это надо?
22 июля (вторник) в 18:00 мск приглашаем вас присоединиться к жаркой дискуссии, на которой мы соберем топ-менеджеров крупных компаний — генеральных, технических и исполнительных директоров. Они расскажут, как они видят (и видят ли вообще) пользу от контейнеризации и как именно они ее оценивают.
Ключевые вопросы эфира:
1. Зачем это топам?
Должны ли топы разбираться в технике?
А что для них значат контейнеры?
Драйверы для внедрения контейнеров и лидеры перемен.
При чем тут импортозамещение.
2. Процессы, деньги и люди
Что меняли для внедрения контейнеров?
Люди: раздутие штата, увольнения, обучение.
Как бороться с сопротивлением?
Долго ли длился переход и сколько он стоил?
3. Итоги
Что дало внедрение контейнеризации?
Стоило ли оно того?
А с точки зрения ROI и TCO?
Метрики для оценки эффективности внедрения контейнеров.
Приглашенные эксперты:
Максим Чудновский, исполнительный директор, «СберТех»
Валерий Котелов, CEO, digital-интегратор KOTELOV
Александр Буторин, CTO, «Дом.ру»
Александр Токарев, СЕО, VoxysLab
Дмитрий Зайцев, СТО, Flocktory
Модератор: Роман Ивлиев, CTO, программный директор TeamLead Conf.
NotCVE-2025-0003 и NotCVE-2025-0004
Продолжаю по мере сил пополнять базу проекта NotCVE информацией о проблемах безопасности, которым разработчики не желают присваивать CVE (делал заметку об этом проекте). В этот раз одна проблема в компиляторе Go привела к регистрации сразу 2-х записей:
Т.к. помимо самого компилятора Go, пострадал и Kubernetes:
The Go team has released a fix in Go versions 1.21.11 and 1.22.4 addressing a symlink race condition when using os.RemoveAll. The Kubernetes Security Response Committee received a report that this issue could be abused in Kubernetes to delete arbitrary directories on a Node with root permissions by a local non-root user with the same UID as the user in a Pod.
Из сообщения в гитхабе Kubernetes видно насколько заразительна тенденция вместо регистрации CVE называть фикс проблемы безопасности хардерингом:
The Go team has not issued a CVE for this, as it is considered a hardening issue, and the SRC is following that decision as well.
Собственно, в случае с Docker в этом году было то же самое, для них это тоже хардеринг (моё обращение в MITRE так и не привело к появлению CVE, поэтому я зарегистрировал NotCVE-2025-001).
Как видно, ситуации, когда проблемы безопасности не приводят к появлению CVE случаются не редко. А некоторые разработчики даже пытаются оспаривать назначение CVE.
Открыта регистрация на Kubernetes Community Day — главную сходку K8s-сообщества
31 июля в Москве состоится первая независимая конференция Kubernetes Community Day для открытого сообщества профи по куберу и тех, кто только начинает. Два пространства с техническими докладами, дискуссиями и хардкорными воркшопами, интерактивы и IT StandUp. Никаких HR-стендов и дорогих билетов — только бесплатное участие, сообщество, живое общение.
Цель мероприятия — создать площадку для объединения сообщества, обмена опытом и нетворкинга. В программе — актуальные выступления от коллег из различных компаний, которые дышат контейнерами: Yandex Cloud, ecom.tеch, VK, Luntry, МКБ, «Лаборатория Числитель», Lamoda Tech, Rebrain, Cloud ru и др.
Среди заявленных тем:
«Legacy-кубы и как нежно увезти с них продукты»
«Ретроспектива уязвимостей системных компонентов Kubernetes»
«Блеск и нищета Cluster API Kubernetes»
«Почему K8s — плохой продукт и он вам не нужен?»
«Как мы переизобрели UI для Kubernetes: динамический фронт на основе OpenAPI и CRD».
Полная программа будет объявлена позже.
Зачем идти?
Послушать истории коллег про реальные кейсы, факапы и «боли».
Прокачать свои знания, узнать про актуальные инструменты и подходы из первых рук.
Встретиться со старыми друзьями и найти новых.
Внести свой вклад в сообщество.
Формат: офлайн и онлайн.
Участие бесплатное. Количество мест на офлайн ограничено площадкой — успейте зарегистрироваться!
Следите за анонсами мероприятия в Telegram-канале генерального партнера конференции — платформы «Штурвал».
Информационные партнеры: Computerra, ICT Online, Cybermedia, Global Digital Space, AM Live, ict2go, Kubernetes_ru, DevOps For Love, IT STAND.
Смотреть можно, трогать нельзя: режим read-only в балансировщиках ☝️
Раньше в тикетах часто встречали:
«Я немного поменял настройки балансировщика для Кубика, и у меня все полетело».
Докрутили функционал, чтобы избежать сбоев при случайных изменениях. Вот, что сделали:
✅ Закрыли возможность управления балансировщиками, созданными для Kubernetes (из панели и через API). Теперь все настраивается только через манифесты.
✅ Добавили режим read-only для новых и уже созданных балансировщиков. В панели они помечены тегом + есть подсказки.
✅ И самое важное — критическая конфигурация кластера теперь защищена от случайных изменений и возможных сбоев.
Можно ли развернуть кластер Kubernetes на процессоре с открытой архитектурой RISC-V?
Короткий ответ: нет.
К сожалению, на данный момент «классический» K8s неполноценно портирован на RISC-V. Один из необходимых модулей K8s — kubelet — отказался запускаться на RISC-V-машине (в роли нее — микрокомпьютер Lichee Pi 4A).
Зато облегченная версия оркестратора K3s и Docker Swarm заработали на RISC-V, но с разными компромиссами:
→ Docker Swarm проще в развертывании.
→ K3s — более гибкий в работе, так как поддерживает Kubernetes-инструменты.
В синтетических тестах (stress-ng) K3s показал лучшую производительность на матричных вычислениях — он обошел показатели Docker Swarm примерно в 16 раз. В цифрах: 2.996 bogo ops/s (K3s) против 188 bogo ops/s (Docker Swarm). Возможно, это связано с оптимизацией Kubernetes или меньшими накладными расходами: K3s потребляет меньше ресурсов на фоновые процессы, такие как управление кластером и сетью, что важно для маломощных устройств.
Интересно узнать больше? Тогда переходите по ссылке и читайте подробности экспертимента по заапуску известных оркестраторов на RISC-V.
Добавили поддержку российских ОС в Open Source-платформе Deckhouse Kubernetes Platform
Хабр, мы кратко. В нашей Open Source-платформе Deckhouse Kubernetes Platform (DKP CE) появилась поддержка отечественных операционных систем. Изменения смержены в версии 1.69.
Теперь в качестве ОС для узлов поддерживаются:
Astra Linux;
ALT Linux;
РЕД ОС;
РОСА Сервер.
Напомним — если у вас есть вопросы и обратная связь по DKP CE, их можно принести в наше Telegram-сообщество для инженеров.
Батл мнений: «Ванильный» K8s VS коммерческие решения: когда стоит платить?
Коммерческие платформы, предлагающие расширенную функциональность «из коробки», активно конкурируют с «ванильным» Kubernetes, который поставляется на базе открытого кода и «обогащается» внутренними командами самостоятельно. Но когда же выгоднее собрать продукт внутри, а когда — использовать чужое? И какой путь чаще выбирает крупный бизнес?
В прямом эфире вместе с AM Live собрали представителей топовых компаний: «Авито», Почта Банк, beeline cloud, АЛРОСА ИТ, RWB Media.
Они рассказали, какой подход используют внутри и почему именно его, с какими сложностями сталкиваются и какая команда эксплуатирует и поддерживает контейнерную платформу.
Смотрите запись эфира на удобной для вас платформе:
Развернуть высоконагруженную платформу в Managed Kubernetes, ориентированную и на b2b-, и на b2c-сегменты — задачка со звездочкой. Как это сделать, рассказываем в Академии Selectel на примере кейса компании TrendTech.
Вы узнаете, как компания:
обеспечила отказоустойчивость сервисов, сохранив возможность гибкого масштабирования;
автоматизировала обновление контента из более чем 5 000 источников данных;
обеспечила отдачу и надежное хранение тяжелых файлов;
развернула удобное окружение для команды разработки.
Перенимайте опыт TrendTech и используйте Managed Kubernetes для реализации своих проектов.
Новые тарифы Kubernetes
Апгрейднули тарифы и добавили пояснение к каждому. Давайте знакомиться:
👉Тариф Dev. Подходит для тестирования функционала нашего Managed Kubernetes — 200 ₽/мес
Пример использования: небольшие пет-проекты
👉Тариф Base. Для кластеров со средней нагрузкой, где отказоустойчивость не критична — 2000 ₽/мес
Пример использования: корпоративные веб-сервисы или ML inference-сервисы
👉Тариф Custom. Для гибкой настройки — от 2520 ₽/мес
Пример использования: highload-платформы и BigData/ML пайплайны
Пара слов о тарифе Custom. В нем можно выбрать количество ядер, объем оперативы и диска, а также установку с одной мастер-нодой или с тремя для настройки отказоустойчивости.
ping: permission denied (are you root?)
Знакомы ли с этим сообщением об ошибке? И знаете ли, как ее исправить?
Этот запрет на отправку ICMP-пакетов внутри контейнера можно получить при выполнении, например, такой задачи.
Задача: Организовать k8s-кластеры в ручном режиме с помощью kubeadm и kubectl на базе cri-o (1.28+) и использовать Calico как CNI-плагин.
Кластер доступен для взаимодействия через kubectl, команда возвращает корректную информацию о кластере. Есть возможность сделать ping 8.8.8.8 с образом busybox.
Если вы опытный DevOps и знаете, как решается эта «детская проблема» при работе с оркестратором, регистрируйтесь на спринт-оффер для девопсов. Сможете буквально играючи получить новую работу за 3 дня.
Если вы только начали изучать Kubernetes, читайте статью с подробным разбором этой ошибки →
Ближайшие события
Воскрешаем YouTube новым видео 🎥
Если кто-то не знал, у нас есть свой YouTube-канал (и он даже не пустой). Раньше там выходили подкасты «Релиз в пятницу» и «Быть». Потом мы сделали паузу и сосредоточились на продукте.
Теперь возвращаемся с новыми видео — про облака, айти-сферу и даже с юмористическим контЭнтом.
На канале вас уже ждут два свежих видео:
1️⃣ Про наш любимый Kubernetes. Наши партнеры показали, как собрать и задеплоить микросервисное приложение в Таймвеб Клауд.
2️⃣ Про стартапы. Продакт-менеджер Артем Гаврилов и лид разработки Михаил Шпаков рассказали о профите облачных решений для бизнеса.
👉 А еще постим на канал забавные шортсы (да, таким мы тоже балуемся).
Обновления в Terraform 🆕
Подготовили для вас кучу апдейтов в Terraform, чтобы вы смогли комфортно юзать его на всех наших сервисах.
Рассказываем, где и какие фичи теперь доступны:
Kubernetes. Добавили поддержку конфигуратора воркер-нод, тейнтов и лейблов для групп нод, установку аддонов и редактирование манифестов. А также теперь можно передавать идентификатор VPC-сети при создании кластера и фильтровать пресеты по локациям.
S3. Добавили поддержку конфигуратора для стандартного и холодного хранилища.
Балансировщики. Добавили поддержку плавающих IP-адресов и новые параметры для гибкой настройки:
maxconn,connect_timeout,client_timeout,server_timeout,httprequest_timeout.И, конечно, не обошлось без багфиксов и улучшений. Оставим для вас списком:
Теперь можно менять логин в
twc_database_userПоправили создание сервисов с токеном доп пользователя
Добавили обработку ошибок при устаревших типах баз данных
Исправили проблемы с кластерами PostgreSQL и Redis
is_autoscaling в Kubernetes больше не обязателен
В документации по базам данных добавили пример привязки к приватной сети
Порадуем вас обновами в Kubernetes
А новостей собралось действительно много:
➖ Добавили в маркетплейс дополнений ArgoCD и cert-manager Webhook, который дружит с нашим API. С ними можно автоматизировать деплой приложений и упростить выпуск и обновление TLS-сертификатов в Kubernetes
➖ Открываем новые локации — теперь можно создавать кластеры и во Франкфурте
➖ Обновили публичную документацию API и добавили доки для части аддонов Kubernetes + описание всех новых параметров API
➖ Плюсик к карме и к безопасности — read-only режим для API-токенов, которые выпускаются автоматически при создании кластеров. Никаких случайных изменений или удалений
Привет, развил тему пропихивания стручков (pod'ов) в кубернетис, добавил в меню выбора типа объектов команду apply. Теперь kui'ем можно приколачивать мYAMLики, создавая любые типы объектов. По умолчанию предлагает создать стручок:
Но с помощью кнопки edit можно изменить мямлик, изменения сохранятся в файл ~/.kyml.
С удивлением обнаружил что хаб Кодобред переименован в Говнокод О_о Чтож, так даже интереснее.
Творите, выдумывайте, пробуйте!)
Встречайте новый сервис — реестр контейнеров Kubernetes 🔥
Реестр контейнеров (Container Registry) — это хранилище для Docker-образов, которое позволяет их загружать, скачивать и использовать в Kubernetes и других окружениях.
Юзкейс: после сборки приложения в CI образы автоматически сохраняются в приватном реестре. Потом вы можете использовать их для деплоя в Kubernetes — релизы будут быстрее, а управление версиями проще.
Для подключения переходим в раздел «Kubernetes» → «Реестры контейнеров» → нажимаем кнопку «Создать» и выбираем нужный объем. Подробнее о подключении читайте в доке.
Цены и конфиги:
🐟 На выбор шесть готовых тарифов: от 5 ГБ за 40 ₽/мес до 100 ГБ за 200 ₽/мес.
🦈 Плюс конфигуратор, в котором можно настроить объем до 2 ТБ.
22 мая Андрей Квапил (a.k.a. kvaps) проведет вебинар на YouTube-канале CNCF и расскажет о том, как быстро и просто деплоить виртуальные машины и Kubernetes-кластеры и пробрасывать в них GPU с помощью Open Source-платформы Cozystack.
Зарегистрироваться можно по ссылке: https://tinyurl.com/yf9jcfst. Просто кликните по кнопке «Login to RSVP», чтобы получить приглашение в календаре.
Привет, приспичило создать тестовый стручек (pod), проверить кое-что. Создал и добавил это в kui, в секцию "быстрых" команд:
Тестовый стручек создается вот такой командой:
kube run $quick_pod_name $ns --image=$quick_pod_image --command -- $quick_pod_command 2>&1Для изменения названия, образа или команды стручка подредактируйте вот эти переменные в начале скрипта:
quick_pod_name=busytest # Pod name for simple test pod
quick_pod_image=busybox:1.32 # Pod image for simple test pod
quick_pod_command="sleep 3600" # Pod command for simple test podТворите, выдумывайте, пробуйте!)
Как связать пару тысяч ИП и маркет?
Представьте, что ваш бизнес обслуживает более 2 000 продавцов, интегрированных с крупнейшими маркетплейсами. Каждый день поступает множество запросов, и важно обеспечить стабильную работу платформы при высокой нагрузке. Как сделать так, чтобы система оставалась надежной и безопасной, а данные не терялись?
Рассказываем на примере кейса XWAY. Переходите в Академию Selectel чтобы узнать, как компания:
Построила гибридную и отказоустойчивую инфраструктуру с обработкой 1 000 запросов в секунду.
Использует облачные серверы, Managed Kubernetes и выделенные серверы от Selectel для обеспечения высокой производительности.
Обеспечивает быструю и надежную сетевую связность при уровне SLA 99,98%
Автоматизировала управление инфраструктурой, снизив зависимость от сторонних специалистов.
Привет, зачастую после тыкания в какой-нибудь стручок (pod) приходится подниматься на уровень выше в деплой, стейтфулсет или даемонсет. Для этого в kui надо было сначала посмотреть чем контролируется стручок, сделав describe, потом сменить тип объекта, найти нужный... Хватить теребонькать эти стручки! Добавил для стручков команду Controlled by, она сразу тыкает kui в нужное место!
Творите, выдумывайте, пробуйте!)
Как быстрее и эффективнее расширять облачные ресурсы при пиковых нагрузках? Расскажем на бесплатном вебинаре.
📆 Когда: 13 мая в 11:00 мск
📍 Где: онлайн
Когда автомасштабирования кластера Kubernetes и масштабирования подов становится недостаточно, кластер необходимо расширять по событиям от внешних систем. На вебинаре вы узнаете, что делать, если триггер масштабирования кластера не утилизация, а события от внешних систем, например, сообщений Kafka или платформы CI/CD.
Эксперт покажет, как запустить приложение с учетом внешних систем, расскажет о классических подходах автомасштабирования, а также как масштабировать кластер по событиям с помощью KEDA (Kubernetes-based Event Driven Autoscaler).
Вебинар будет полезен разработчикам, DevOps-инженерам и архитекторам облачных решений.
Приглашаем на второй Cloud․ru Tech Lab: DevOps — митап для DevOps- и SRE-инженеров 🎙️
📅 Дата: 22 мая в 18:00
📍 Место: Москва, Goelro Loft, Большая Почтовая улица, 40с4
Мы продолжаем серию технических митапов Cloud․ru Tech Lab — в этот раз обсудим сложности DevOps-процессов и разберем DevOps-практики на реальных кейсах.
Темы докладов:
ClusterAPI как цель, Terraform как мост: управляем жизненным циклом платформы — Олег Одинцов, Старший инженер платформы App.Farm, РСХБ-Интех.
Автомасштабирование K8s в ноль: от базы до хардкора — Илья Смирнов, Архитектор решений, Cloud․ru.
Calico CNI: жизнь после запуска — Александр Качмашев, Инженер, Точка.
Как организовать сетевую связность Bare C kubernetes — Антон Паус, DevOps-инженер, Cloud․ru.
Также в программе afterparty c нетворкингом, легкими напитками и закусками.
Мы предусмотрели два формата участия:
офлайн — для тех, кто планирует лично посетить площадку,
онлайн — для тех, кто хочет посмотреть доклады в записи.
Вебинар: как устроена совместная работа виртуальных машин и контейнеров в Deckhouse
Завтра, 23 апреля, мы проведём вебинар о виртуализации в экосистеме Deckhouse. Расскажем, почему разрабатываем своё решение, и покажем, как запускать виртуальные машины рядом с контейнерами, чтобы управлять ими в рамках одной платформы оркестрации.
Будет полезно, если вы ищете альтернативу классической виртуализации или хотите начать использовать Kubernetes для оркестрации ВМ. Регистрируйтесь и подключайтесь с 12:00 по Москве. Ссылка для подключения придёт вам на почту.
Вы узнаете:
Какие возможности по управлению ВМ уже есть в Deckhouse.
Что мы вкладываем в понятие Cloud Native-виртуализации.
Для чего может быть нужна совместная работа ВМ и контейнеров.
На демо покажем возможности Deckhouse Kubernetes Platform по администрированию и мониторингу ВМ и контейнеров, конфигурации балансировщиков и микросегментации на основе сетевых политик.
Спикеры вебинара:
Георгий Дауман, менеджер продукта Deckhouse Virtualization Platform
Кирилл Салеев, архитектор инфраструктурных решений Deckhouse
Запустили Kubernetes в SpaceWeb
Не можем не поделиться приятными апдейтами — SpaceWeb расширил линейку облачных сервисов и подключил Kubernetes. Новый продукт будет полезен для разработчиков и веб-студий для эффективного управления высоконагруженными приложениями, API-сервисами и проектами в облаке.
Kubernetes поможет с созданием и поддержкой микросервисных архитектур, управлением контейнерами и оркестрацией приложений. Сервис упрощает процесс развертывания, масштабирования и управления облачными инфраструктурами.
Можно выбрать следующие конфигурации: Control Plane и Worker Nodes — в зависимости от ваших задач и нагрузки. Стоимость Kubernetes начинается от 2 545 руб./месяц за стандартную мастер + 1 рабочую ноду 1 vCPU, 2 RAM, 40 Гб.
Привет, долгожданные новости из мира кубернетиса. Иногда надо посмотреть за подиками, как они там живут поживают, все ли (ре)стартанули или кто завис. В kui для этого сделана кнопка RELOAD. Но постоянно жмякать кнопку это же дро...во какое-то правда? Хватит это терпеть! Добавил команду watch it, теперь можно залипнуть на какое-то время, глядя как подики ползают туда-сюда.
Оно будет с паузой в 3 секунды (+ время на обновление) постоянно показывать вывод kubectl get ...
NAME READY STATUS RESTARTS AGE
chi-cluster-dev01-0-0-0 2/2 Running 0 23d
chi-cluster-dev01-0-1-0 2/2 Running 0 23d
chi-cluster-dev01-0-2-0 2/2 Running 0 23d
Press x to stop watching this...Нажмите x когда надоест.
Творите, выдумывайте, пробуйте!)
Окно обслуживания в Kubernetes 🔍
Теперь при создании нового кластера и в настройках текущего можно указать, когда устанавливать патчи и обновлять серты.
🚫 По дефолту в поле «Окно обслуживания» у всех кластеров стоит тег «Никогда», — то есть никаких им автообновлений.
Можно выбрать «В любое время» или задать конкретный интервал (например, с 2:00 до 5:00 по вашему часовому поясу). Минимальный интервал — 3 часа, обслуживание стартанет в этот период и продлится до двух часов.
Пример: допустим, у вас production-кластер для интернет-магазина (пиковый трафик с 9:00 до 21:00) и тестовый стенд. Вы можете:
😴 Для прода выставить окно с 3:00 до 6:00, когда трафик почти нулевой.
😊 Для тестового выбрать «В любое время», пусть обновляется сразу как выходит новая версия.
Рассказываем, какие вебинары проведем для вас в апреле 🎧
Регистрируйтесь на бесплатные вебинары, чтобы сделать работу с приложениями и инфраструктурой еще безопаснее:
📆 Когда: 15 апреля в 11:00 мск.
Веб-ресурсы, мобильные приложения и API ежедневно подвергаются DDoS- и бот-атакам. В 2024 году число заблокированных запросов ботов выросло на 30% по сравнению с предыдущим годом — об этом говорит отчет компании Curator «DDoS-атаки, боты и BGP-инциденты в 2024 году: статистика и тренды».
На вебинаре расскажем, почему защита от ботов — это отдельная задача, которая требует особых методов и которую не заменить решениями классов Anti-DDoS и WAF. Покажем методы эффективной защиты публичных веб-ресурсов и типовые схемы подключения для максимальной безопасности ресурса.
📆 Когда: 24 апреля в 11:00 мск.
Управление уязвимостями (vulnerability management) — один из ключевых аспектов в поддержании информационной безопасности IT-инфраструктуры. На вебинаре обсудим базовые меры профилактики и защиты от киберрисков на уровне микросервисов, контейнеров и окружений под управлением Kubernetes.
Будем ждать вас!
Привет, Хабр! Меня зовут Станислав Егоркин, я инженер юнита IaaS департамента разработки Infrastructure в AvitoTech.
Недавно я рассказывал о новых подходах, которые мы использовали при создании дашбордов для диагностики. С тех пор дашборды такого типа обрели еще большую популярность, и мы решили выложить пример их реализации в галерею дашбордов Grafana.
За основу я взял наш дашборд Node Status, который показывал в предыдущей статье. Напомню, он служит для того, чтобы быстро понять, все ли в порядке с нодой в Kubernetes-кластере. В своей основе она содержит множество небольших панелек, которые единообразно подсвечиваются при возникновении аномалий: оранжевый значит «обрати внимание», красный - явно что-то не так. При необходимости по клику можно получить расширенную информацию по каждой метрике.
Я очистил наш внутренний вариант от специфики. Это позволяет использовать дашборд в любых окружениях, в которых развернуты нужные экспортеры:
node-exporter (лейбл «node» должен содержать имя Kubernetes-ноды);
kube-state-metrics;
node-problem-detector (опционально).
Несмотря на то, что все панельки должны в этом случае работать «из коробки», сам дашборд все же следует воспринимать как конструктор. У каждой инфраструктуры есть специфика, и вы можете легко отразить ее, опираясь на то, как реализованы уже имеющиеся панели.
Я полагаю, что ценность Node Status для комьюнити состоит не в том, какие именно метрики на ней собраны, а в том, на каких принципах она основана. Эти принципы зарекомендовали себя у нас, и вероятно будут также полезны и вам.
Если вы у вас возникнут сложности при использовании дашборда или предложения по его улучшению, пожалуйста, оставляйте свои комментарии!
Какие доклады посетить на конференции GoCloud 2025 ☁️
Трек: Инфраструктура и сервисы — про новые и популярные инструменты платформы Cloud.ru Evolution и то, как они помогают в решении задач.
Тема: Путь героя, который победил: разворачиваем Redis поверх K8s.
На выступлении вы узнаете:
Про ключевые этапы развертывания Redis поверх Kubernetes.
Как настроить Redis с HA и масштабировать решение.
Как то же самое сделать в облаке и почему этот вариант удобнее и эффективнее.
📅 Когда: 10 апреля в 16:50 мск, онлайн и офлайн
Что еще интересного будет на GoCloud 2025, смотрите в программе конференции.
13 марта 16:00 CET (18:00 Мск) Андрей Квапил, более известный в инженерном сообществе как @kvaps будет травить байки о том, как правильно готовить LINSTOR и Talos Linux — на этот раз на комьюнити-мите LINBIT (создатели LINSTOR и DRBD). Основано на реальных событиях, приключившихся в Cozystack:)
Программа комьюнити-мита:
Andrei Kvapil: LINSTOR on Talos Linux: A robust base for Cozystack
Joel Colledge: DRBD resync without replication
Johannes Khoshnazar-Thoma: WinDRBD 1.2 news
Присоединяйтесь к трансляции:
Кроме того, будем транслировать встречу в телеграм-чате @drbd_ru.
Приглашаем на первый Cloud․ru Tech Lab: Golang — митап для Go-разработчиков и технических лидеров 🎙️
📅 Дата: 13 марта, 19:00
📍 Место: Москва, Большая Почтовая улица, 40с7, Гоэлро Лофт
В программе четыре доклада от разработчиков Cloud․ru и приглашенного гостя. А еще — нетворкинг и afterparty с диджеем, музыкой и ужином.
Темы докладов:
Как устроена Go-разработка в Cloud․ru — Александр Шакмаев и Андрей Рацеров, технические лидеры;
Балансировка gRPC в Kubernetes — Михаил Абраш, старший Go-разработчик;
Как мы бутстрапим пользовательское окружение с Go, Temporal и Kubernetes — Евгений Третьяков, ведущий Go-разработчик;
Осторожно unsafe! Практические примеры и ошибки использования — Владимир Балун, основатель balun․courses.
А еще заглядывайте в наши статьи и делитесь размышлениями в комментариях:
Добавили новую версию Kubernetes v1.32.1
Все актуальное в нашем managed Kubernetes. Обновили прошлые версии и добавили две новые — v1.32.1+k0s.0 и v1.31.5+k0s.0. Главное:
Kubernetes v1.32.1
Эта версия значительно апгрейднула управление ресурсами на уровне подов. Теперь там можно отправлять запросы и задавать лимиты ресурсов, что помогает динамически балансировать нагрузку во всем пуле. Полезно для проектов, где запросы мощностей постоянно меняются.
Также теперь в статусе подов можно отслеживать состояние аппаратных ресурсов. Мониторинг на раз-два + быстрое устранение неполадок.
Kubernetes v1.31.5
А тут у нас полезный патч-релиз, — с фиксом ошибок и улучшением стабильности.
Бонус-трек
Доработали Куб и выкатили еще несколько прикольных релизов. Во-первых, в список кластеров вшили ссылки на доку, а на виджет в дашборде вывели отображение лимита воркер-нод.
А еще — теперь можно скачивать файл с конфигом прямо со страницы со списком кластеров.
Подключайтесь к воркшопу по Kubernetes
Через 10 минут, в 16:00 мск, начинаем воркшоп «Как развернуть приложение в кластере Managed Kubernetes на выделенном сервере». Узнайте, как повысить производительность сервиса и сократить расходы на IT-инфраструктуру до 40%.
На эфире дадим пошаговый план действий, который позволит сделать выделенные серверы частью экосистемы облачной платформы.
Создадим кластер Managed Kubernetes на выделенных серверах через личный кабинет.
Настроим кластер и ресурсы, выберем подходящую конфигурацию выделенного сервера.
Покажем, как управлять кластером через панель управления.
Развернем в кластере тестовое приложение.
Опубликуем его и посмотрим, как облачный балансировщик будет работать вместе с выделенными серверами.
Создадим облачную базу данных DBaaS и покажем, как она связана с приложением, которое работает на выделенных серверах.
Усиливаем Kubernetes новыми дополнениями
Добавили еще два новых приложения в маркетплейсе Kubernetes — Velero и Fluent Operator. Рассказываем о пользе каждого:
1. Velero — мощный инструмент для резервного копирования и восстановления кластеров Kubernetes. С этим допом можно легко создавать бэкапы и восстанавливать данные в случае сбоя или при миграции.
Кстати, у нас в доке описан отличный кейс связки Velero c бакетами S3 для хранения резервных копий. Вот, попробуйте настроить →
2. Fluent Operator, в свою очередь, упрощает сбор, обработку и отправку логов с помощью Fluent Bit и Fluentd. А это дает вашим проектам больше гибкости и масштабирования для работы с большими объемами данных.
А еще Fluent Operator упрощает интеграцию с Elasticsearch, Loki, Kafka, Prometheus и другими инструментами.
Все новые дополнения уже можно тестить в панели и загружать для них собственные конфиги.
Привет, когда смотришь логи подов через kubectl и вдруг у пода оказывается несколько контейнеров, kubectl logs ... завершается ошибкой:
error: a container name must be specified for pod pod-name-0, choose one of: [...]Хватит это терпеть! Мой kui идет на помощь! Добавил команду logs all она показывает логи сразу всех контейнеров без необходимости выбора!
Творите, выдумывайте, пробуйте!)
Это задачка для DevOps-инженера: почему ArgoCD не расшифровывал секреты из Vault
Нашему DevOps-специалисту Антону нужно было развернуть helm-чарт для Airflow с использованием ArgoCD. Как известно, ArgoCD реализует концепцию GitOps и подразумевает хранение манифестов в репозитории. Но часть данных в values чувствительна, например пароль от базы данных PostgreSQL. Поэтому неплохо было бы вынести эти данные в хранилище секретов (в этом случае — HashiCorp Vault), чтобы скрыть информацию от лишних глаз.
Есть несколько способов подтянуть секреты из Vault в поды. Наиболее предпочтительный по ряду причин — vault-injector. В обычной ситуации Антон бы воспользовался им, но в случае с helm-чартом Airflow задача показалась непростой. Поэтому он решил воспользоваться менее предпочтительным, но точно рабочим (как думал Антон) вариантом с ArgoCD Vault Plugin.
Какая вылезла проблема
Когда секреты были добавлены в хранилище, а ArgoCD Application написан, Антон попытался развернуть его для теста. Вот примерный Application, с которым это делалось (весомая часть пропущена для компактности):
apiVersion: argoproj.io/v1alpha1
kind: Application
metadata:
name: airflow
labels:
app.kubernetes.io/name: airflow
app.kubernetes.io/component: airflow
namespace: argocd
finalizers:
- resources-finalizer.argocd.argoproj.io
spec:
project: default
destination:
namespace: some-namespace
name: cluster
source:
repoURL: "airflow_repo_url"
targetRevision: "revision"
chart: airflow
plugin:
name: argocd-vault-plugin-helm
env:
- name: HELM_VALUES
value: |
...
metadataConnection:
user: user
pass: <path:path/to/airflow/secrets#postgres_password>
protocol: postgresql
host: postgres.db.url
port: 5432
db: airflow_db
sslmode: prefer
...
syncPolicy:
automated:
prune: true
selfHeal: true
syncOptions:
- Validate=true
- CreateNamespace=trueНичего необычного, за исключением прокидывания values прямо из Application и того самого секрета. А еще — компонент webserver отказался запускаться, ссылаясь на невозможность подключиться к базе данных. Хотя данные были абсолютно точно правильными.
В чем итоге была проблем и как Антон с ней справился, читайте в статье →
Как сэкономить на IT-инфраструктуре? Дадим план действий на вебинаре
Привет, Хабр! 29 января в 12:00 проведем вебинар «Cloud или Bare Metal: где лучше запускать кластеры Kubernetes?». Обсудим, как сократить расходы на инфраструктуру до 40%. Присоединяйтесь!
О чем вебинар
Managed Kubernetes на выделенных серверах позволяет экономить на железе. На практическом вебинаре объясним и покажем, как это сделать. Познакомим вас с самыми популярными и выгодными конфигурациями серверов для развертывания кластеров Kubernetes и поделимся кейсами клиентов, которые уже используют решение.
«Что получится, если совместить мощность и безопасность выделенных серверов с гибкостью Kubernetes? Поговорим про производительность, эффективное управление ресурсами и снижение расходов у клиентов нового продукта Selectel Kubernetes on Bare Metal. До встречи!»
Сергей Ковалёв, спикер вебинара и менеджер выделенных серверов в Selectel
Кому будет особенно полезно?
DevOps-инженерам и SRE-инженерам;
Разработчикам и руководителям IT-проектов;
Системным администраторам и архитекторам;
Всем, кто работает с орекстраторами.
Ключевые темы
Managed Kubernetes на Bare Metal
Поговорим о преимуществах использования нового сервиса Selectel. Расскажем, для каких задач он подойдет.
Выделенные серверы, их особенности и преимущества
Раскроем карты и покажем самые популярные и выгодные конфигурации серверов для развертывания кластеров Kubernetes.
Пошаговое создание кластера Managed Kubernetes на выделенных серверах
Покажем весь процесс создания кластера с нуля и ответим на вопросы. Объясним, какие задачи возьмем на себя, а что останется сделать вам.
Задавайте вопросы — спикеры ответят на них в прямом эфире. За лучший вопрос подарим подарок от Selectel!
До встречи 29 января в 12:00.
Приглашаем на бесплатные вебинары, посвященные K8s🎓
1. «Быстрое погружение в основы Kubernetes» — для тех, кто хочет понять технологию контейнерных приложений и начать с ней работать. На встрече разберемся с теорией: что такое контейнеры, какие основные компоненты есть у Kubernetes и для чего они нужны. Знаний будет достаточно, чтобы начать развиваться в направлении DevOps.
Программа вебинара:
чем микросервисная архитектура отличается от монолитной;
контейнеры — основа микросервисной архитектуры;
зачем нужен Kubernetes;
как устроен кластер Kubernetes.
Будет полезно тем, кто задумывается о переезде в облако и планирует узнать о нем больше. А также тем, кто планирует начать погружаться в DevOps в общем или в Kubernetes в частности.
📅 Когда: 21 января в 11:00 мск
📍 Где: онлайн
2. «Как развернуть кластер Kubernetes за несколько кликов» — в прямом эфире покажем, как развернуть простое приложение в кластере Kubernetes в облаке Cloud.ru Evolution и сэкономить ресурсы, используя K8s как PaaS-сервис.
Программа вебинара:
обзор сервиса Evolution Managed Kubernetes;
демо развертывания кластера;
подключение к кластеру с помощью kubectl;
развертывание WordPress в кластере;
разбор нюансов управления кластером, развернутым как PaaS-сервис.
Будет интересно разработчикам, DevOps-инженерам, архитекторам облачных решений и всем, кто работает с Kubernetes (K8s).
📅 Когда: 23 января в 11:00 мск
📍 Где: онлайн
Если у вас есть вопросы по теме, их можно оставить в комментариях под этим постом или задать в процессе встречи. Спикер вебинаров Илья Смирнов — архитектор решений, ответит на них в прямом эфире.