Мы видели много инфраструктур и встречали самые разные способы доставки секретов в приложения, развёрнутые в кластерах Kubernetes. Но ни один из этих способов не был одновременно удобным и по-настоящему безопасным. В статье расскажем про существующие варианты, посмотрим на их плюсы и минусы и поделимся тем, как мы решали задачу доставки секретов в Deckhouse Kubernetes Platform.
В условиях ограничений на использование зарубежного ПО все больше российских компаний начинают масштабные проекты по переходу на отечественные решения. Один из таких кейсов — пилотное внедрение нашей системой управления каталогом Dynamic Directory в территориально распределенной организации с десятками филиалов и тысячами рабочих мест.
В этой статье мы расскажем о технической стороне проекта: как была устроена инфраструктура заказчика, как мы проектировали пилот, какие решения принимали на ходу и какие технические возможности Dynamic Directory помогли достичь результата.
Китайский производитель телеком‑оборудования Fanvil известен своей изобретательностью и стремлением разрабатывать нетривиальные решения для самых неочевидных задач коммуникации. Например, созданный R&D‑командой Fanvil RoIP‑шлюз — устройство для перевода радиосигнала в SIP и наоборот — позволяет звонить с рации на IP‑телефон и обратно.
Другим примером комплексного подхода Fanvil являются специальные шлюзы и IP‑телефоны для подключения устройств к IP‑АТС по обычному двухжильному кабелю, так называемой «лапше». Такое решение востребовано при необходимости развертывания телефонных сетей:
Вход в Яндекс 360 только через Яндекс Браузер для организаций
Как сделать так, чтобы пользователи могли получить доступ к сервисам Яндекс 360 только через Яндекс Браузер для организаций.
Привет, Хабр. На связи команда Т1 Облако. Не так давно мы рассказали несколько необычных историй из жизни наших инженеров: что им удалось отремонтировать по фото, как получилось справиться с кармической несовместимостью и найти «хвост». Сегодня поделимся новыми байками о том, кто живёт на дне океана под фальшполом в машзале и почему носить галстук в ЦОДе может быть небезопасно. Спойлер: все остались живы.
Как поднять локальную LLM за 5 минут 🚀
Хотите свой ChatGPT, который работает локально и не требует интернета?
В статье показываю, как развернуть Ollama + OpenWebUI в Docker:
• Ollama — инструмент для запуска локальных LLM (LLaMA, Mistral, Gemma и др.)
• LLaMA — серия открытых языковых моделей от Meta
• OpenWebUI — удобный веб-интерфейс, похожий на ChatGPT, но для ваших локальных моделей
Минимальные требования: 8 GB RAM, 4 CPU, 25 GB диска.
Всё сводится к трём шагам:
Установить Docker
Настроить docker-compose с Ollama и OpenWebUI
Зайти в локальный веб-интерфейс и протестировать свою LLM 🎉
💻 Код, конфиги и пошаговая инструкция в статье!
Исторически роль обратного прокси (reverse proxy) можно назвать первоначальным предназначением для Nginx, а значит и для Angie. В этой статье разберёмся, почему он обратный, какие тонкости настройки проксирования нужно учитывать при настройке.
После того, как я опубликовал предыдущую статью, в которой рассказал о том, какие приёмы применяю, создавая Shell-скрипты, отличающиеся отличным UX, сообщество Hacker News поделилось со мной ценными откликами и предложениями. Я оформил то, что мне удалось узнать, в виде новой статьи, разобрав здесь ещё шесть приёмов, которые позволят всем желающим улучшить свои скрипты.
Vector Remap Language (VRL) — это мощный и гибкий инструмент, встроенный в Vector, для обработки и трансформации данных, который позволяет разработчикам эффективно манипулировать логами, метриками и событиями в реальном времени
Привет, Хабр!
Сегодня мы рассмотрим age — современный инструмент файлового шифрования, который за последние пару лет стал твёрдым фаворитом всех, кому надо быстро и надёжно прятать данные.
В то время как операционные системы становятся все требовательнее к ресурсам, а железо — не всегда успевает за ними, Microsoft делает неожиданный разворот. Упрощенная Windows 11 SE, с которой компания пыталась закрепиться в сегменте недорогих устройств, тихонечно уходит в прошлое. Проект закрыт, поддержка скоро закончится — и миллионы бюджетных ноутбуков остаются без этой ОС. Microsoft всё яснее показывает: ее приоритет — облака, ИИ и бизнес-клиенты, а не дешёвые ноуты для школ и дома. Что происходит?
В статье рассматривается применение трассировок стандарта OpenTelemetry для реализации инструментов мониторинга микросервисов на базе продукта Smart Monitor. Решаются задачи инвентаризации сервисов и ресурсов, анализа трассировок и формирования модели здоровья микросервисных архитектур.
Портативный гейминг в 2025 году переживает настоящий бум: устройства становятся мощнее, компактнее и предлагают все больше уникальных фишек. От раскладных консолей с двумя экранами до трансформеров и ПК с графикой уровня десктопов — рынок радует разнообразием. В этой подборке мы собрали пять самых интересных новинок, которые задают тон в индустрии. Ну что, поехали с ними знакомиться!
Я делюсь своим опытом работы тимлидом и пришел к выводу, что наибольшая эффективность команды достигается через служение ей, а не командование - это называется servant leadership. Моя главная задача заключается в автоматизации рутинных процессов, защите интересов команды перед руководством.
В какой-то момент в нашей команде стало очевидно: пора тащить всю инфраструктуру в Git — по-взрослому, через GitOps. Kubernetes у нас уже был, ArgoCD тоже. Осталось «дотащить» туда AWS-ресурсы, которые мы описываем с помощью AWS CDK.
Идея казалась простой: есть CDK-код в Git, запускается ArgoCD, всё красиво деплоится в облако. Но реальность оказалась совсем не такой. CDK — это не YAML и даже не Terraform. Это исполняемый код. GitOps — это про декларативность и kubectl apply. CDK с этим не дружит.
Ожидалось, что наверняка есть готовый Kubernetes-оператор, который запускает cdk deploy при изменении кода. Как это уже сделано для Terraform (через ArgoCD Terraform Controller), Pulumi, или хотя бы через ACK. Но после долгого ресерча выяснилось: нет ничего рабочего и production-ready.
Так появилась идея — написать собственный Kubernetes-оператор, который сможет:
- раз в какое-то время (или по коммиту в Git) запускать cdk deploy;
- проверять cdk diff и cdk drift для отслеживания изменений и дрифта;
- удалять CloudFormation-стэк, если ресурс удалили из Git;
- интегрироваться с ArgoCD и Prometheus.
Получился полноценный GitOps-воркфлоу для AWS CDK — без пайплайнов, без ручных cdk deploy, без дрейфующих стэков.
Под катом — расскажу, как мы подошли к проблеме, как устроен Custom Resource CdkTsStack, какие фишки мы добавили (метрики, хуки, IAM-пользователи), и почему наш подход оказался практичнее, чем существующие альтернативы вроде Terraform Operator или Pulumi.
Kubernetes — мощный и одновременно сложный инструмент, работа с которым неизбежно порождает… инциденты. И на практике DNS виновата далеко не всегда. Иногда всё ломает слишком длинное имя деплоймента, протухший CA-сертификат или сбой сетевой карты, из-за которого TCP-пакеты просто отбрасываются. В статье вас ждут самые интересные и поучительные инженерные истории с Reddit.
Когда ресурсы сервера уже на пределе, вертикальное масштабирование рано или поздно перестаёт работать — остаётся горизонтальный подход. В этой статье подробно разбираем два способа шардирования в Postgres Pro: Shardman и внешнее расширение Citus. Сравним архитектуры, межузловое взаимодействие, схемы распределения данных и сценарии, в которых каждое решение раскрывается по‑максимуму.
Я сделал резервную копию через pg_dump и восстановился из неё 22 раза. Резервные копии делал в 4 разных форматах с использованием от 1 до 7 уровней сжатия под каждый формат. Записал результаты и сделал сравнение разных видов, чтобы понимать, какие способы более эффективны для моего сценария использования.
Детали и замеры — ниже.
Сталкивались ли вы с ситуацией, когда нужно получить доступ к сети подов или сервисов в кластере Kubernetes? Кто-то может возразить, что маппинга портов через port-forward или использования NodePort вполне достаточно, однако часто это не так. Список реальных кейсов велик, рассмотрим несколько для примера:
— разработчикам нужен прямой доступ к сервисам по ClusterIP для дебага;
— используются внешние балансировщики (например, SIP/RTP-прокси для телефонии или антиспам-решения), когда они не могут быть размещены внутри Kubernetes;
— присутствуют аппаратные решения вроде NGFW от именитых производителей.
В тексте мы в первую очередь будем опираться на практику Managed Kubernetes-сервиса Selectel, но он также будет полезен, если у вас свой K8s с CNI Calico.
Что общего между ноутбуком, украденным из кафе, и многомиллионными потерями компаний? Незащищенные данные. Разбираемся, как Apple решила эту проблему раз и навсегда.
В 2003 году первая технология шифрования FileVault в Mac OS X Panther тормозила систему, защищала только домашнюю папку и работала через костыли. В 2025 году шифрование работает на аппаратном уровне настолько незаметно, что забываешь о его существовании.
Как Apple удалось превратить FileVault из «той штуки, которую лучше не включать» в незаменимую технологию безопасности современных Mac? Давайте разберём эту эволюцию.
