KazDevOps
🔥
Масштабирование Terraform для множества команд
Когда Terraform становится занозой: хаос в коде, конфликты, дублирование, медленные ревью, риски безопасности и низкая скорость доставки... Чтобы платформенная команда могла управлять стандартами, а разработчики работали быстро и безопасно,
команда построила
нативный фреймворк для масштабирования Terraform без внешних инструментов.
Проблемы, которые они решали:
⚪️
Разные команды используют разные версии Terraform, providers и модулей
⚪️
Нет единого стандарта именования, тегов, backend иremote state
⚪️
Дублирование модулей и boilerplate-кода
⚪️
Ручные ревью и долгие проверки безопасности
⚪️
Отсутствие контроля за тем, кто и что деплоит в прод
Решение, которое помогло — Native Terraform Framework:
⚪️
Единый корневой root-модуль
Один общий Terraform-модуль, который все команды используют как базовый. Внутри — жестко прописанные правила.
⚪️
Модули как пакеты
Все модули лежат в одном моно-репозитории (или в отдельных, но с единым реестром). Каждая команда просто вызывает нужные модули. Обновление версии обновляет всех.
⚪️
OPA / Rego для политики
Вместо ручных ревью используют Open Policy Agent (OPA) + Conftest / Terraform Plan Policy.
⚪️
Self-service для разработчиков
Платформенная команда предоставляет готовые модули и политики. Разработчики не пишут сырой Terraform, а используют только утвержденные модули и следуют политикам. Это снижает ошибки и ускоряет доставку.
⚪️
GitOps-подход через GitHub Actions / GitLab CI
Главное — заставить всех использовать один и тот же источник истины (модули и политики), а не писать Terraform с нуля.
@DevOpsKaz
😛
🔥
Разбираемся в eBPF
eBPF (extended Berkeley Packet Filter) — экосистема, с помощью которой мы можем модифицировать поведение ядра Linux без переписывания самого ядра. Например, изменить логику работы сетевого стека, добавить фильтрацию на уровне пакетов, перехватывать системные вызовы и т.п. Все это делается через eBPF-программы, которые загружаются в ядро динамически. Любая eBPF-программа — это всегда две программы.
⚪️
Часть Kernel space (код на C)
- Исполняется прямо в ядре Linux с большой скоростью
- Есть жесткие ограничения на внешние библиотеки, на длину функции и циклы. Верификатор строго проверяет код перед загрузкой
- Позволяет прикрепить хуки к системным вызовам ядра
⚪️
User space (Go, Python, Rust)
- Обычная программа без ограничений
- Может вызывать Kubernetes API, открывать сокеты, писать в файлы
- Общается с kernel-частью через специальные примитивы для коммуникации
⚪️
Примитивы для коммуникации:
- Глобальные переменные — например, счетчик пакетов, который kernel обновляет, а userspace читает
- Хэшмапы (BPF maps) — словари для передачи данных
- Ring buffers — очереди для уведомлений: получили пакет → отправили событие в userspace
eBPF дает нам возможность менять низкоуровневое поведение системы и реагировать на события с помощью верхнеуровневого языка.
@DevOpsKaz
😛
🔥
70 бесплатных IT-курсов от VK Education
VK Education
открыл набор
на 70 бесплатных образовательных курсов по IT и digital‑направлениям. В 2026 году запускают 9 новых интенсивных программ по углублённому Python, NLP, программированию на Java, DevOps и другим IT‑специальностям.
Этапы отбора:
⚪️
Заявка
⚪️
Тестирование
⚪️
Анкета
Обучение ведут эксперты VK и преподаватели вузов.
Информация о сроках регистрации, длительности обучения и необходимом уровне подготовки доступна на странице программ VK Education. По всей видимости учиться можно из любой страны — единственное, понадобится VK ID.
@DevOpsKaz
😛
🔥
Рынок AI-инфраструктуры в Казахстане: инсайты с IT-беша Servercore
Побывали на бизнес-ужине провайдера IT-инфраструктуры Servercore — традиционном IT-беше с фокусом на AI/ML-задачи, GPU в облаке и барьерах рынка. Прозвучало, как нам кажется, главное: в сфере AI мы прошли пик хайпа и переросли «просто давайте попробуем» — настало время реальных проектов и проблемных вопросов. Например, что делать с GPU-серверами, которые простаивают без дела после экспериментов?
👉
Читайте полную версию, чтобы понять тренды 2026 года
Основные инсайты
:
⚪️
После пилотов и экспериментов стабильной нагрузки пока мало, железо простаивает
⚪️
Из-за простоев on-prem инфраструктура становится менее эффективной, а аренда в облаке более рациональным выбором
⚪️
Задачи для GPU — не только обучение моделей (в статье много примеров)
⚪️
Не всегда самая дорогая GPU = лучшая. Реальные кейсы и сравнения в статье очень даже показательны
⚪️
Для AI лучший вариант — аренда мощностей
Интересно, что все участники сошлись в одном: да, рынок остынет, но AI станет инфраструктурой (как интернет) через 3–5 лет.
Делимся
статьей
,
чтобы вы понимали, куда мы движемся и как лучше действовать сейчас. Поделитесь с коллегами
🫡
@DevOpsKaz
😛
🔥
Новости мира DevOps, которые вы могли пропустить
⚪️
Для Clickhouse вышел официальный Kubernetes Operator —
релиз v0.0.1
Основные фичи:
- Создание и управление кластерами ClickHouse через CRD (ClickHouseInstallation)
- Интеграция с ClickHouse Keeper (встроенный ZooKeeper-заменитель)
- Автоматическое provision storage (PersistentVolumeClaim)
- Поддержка TLS/SSL (включая сертификаты через secrets)
- Экспорт метрик для Prometheus
⚪️
vCluster представил
vind
— «Kubernetes в Docker» с апгрейдом
Этот инструмент позволяет запускать полноценные виртуальные кластеры внутри одного Docker-контейнера — аналогично kind, но с существенными улучшениями.
Ключевые отличия от kind:
- Кластер можно ставить на паузу для экономии
- Автоматический LoadBalancer
- Подключение внешних нод (можно добавить реальные облачные VM к локальному vind-кластеру)
- Выбор CNI (Calico, Cilium, Flannel) и CSI-драйверов
- Встроенный UI vCluster Platform (веб-интерфейс для управления)
⚪️
16 февраля стартует
курс по Kubernetes: «База»
Знание Kubernetes стало обязательным пунктом для любого инфраструктурщика или девопса. Если вы до сих пор его не освоили, расти в профессии сложно. Курс поможет заполнить пробелы в знаниях и научиться профессионально работать с k8s.
⚪️
На Хабре рассказали,
что спрашивают на собесах
в 2025–2026 годах в IT-сфере. Данные по IT-сфере с реальных технических интервью.
@DevOpsKaz
😛
🔥
DevOps проект для Chocofamily
Делимся приятным итогом большой и сложной работы.
Мы в
Core 24/7
помогли внедрить SIEM-систему Wazuh в масштабах крупного холдинга: богатая инфраструктура, жёсткие сроки, высокие требования к безопасности и непрерывности...
Спасибо за доверие и высокую оценку! Продолжаем работать на результат и гордимся, что можем быть полезны таким сильным компаниям.
👉
Если и вашей компании нужны инженеры высокого класса —
обращайтесь к нам за поддержкой и развитием
@DevOpsKaz
😛
🔥
Docker Engine v29.1 + Compose v2.40 теперь доступны для Windows и Ubuntu
⚪️
Проверьте
рабочие процессы на наличие изменений, нарушающих совместимость с версией v29.
⚪️
Если используете pinned версии Docker в actions (например, docker/setup-buildx-action@v3), обновите их.
⚪️
Тестируйте билды на новых runners заранее (можно использовать runs-on: ubuntu-latest и мониторить).
⚪️
Для Windows runners — проверьте совместимость с PowerShell/CMD скриптами.
⚪️
Рекомендуем регулярно проверять, не будут ли ваши runner images затронуты запланированными обновлениями.
👉
Docs Docker
👉
Репозитории
@DevOpsKaz
😛
🔥
Один канал — все важные IT-события региона
The Tech
как раз из таких: стартапы, эксперты, вакансии и живые разговоры про технологии в Центральной Евразии.
Здесь публикуют то, что часто не попадает в другие медиа: новости региональных стартапов, возможности для женщин в IT, интервью с лидерами индустрии и подборки актуальных вакансий. Отдельное внимание — живым эфирам с экспертами, где обсуждают практические вопросы и реальные кейсы.
Канал будет полезен тем, кто хочет оставаться в контексте и понимать, что происходит в IT-среде региона.
👉
Подписывайтесь
🔥
Устраняем пропасть между LLM и инфраструктурой
Предлагаем прочитать
реальный кейс
внедрения в прод системы ICNLI (Infrastructure Contextual Natural Language Interface), которая позволяет управлять серверами, сайтами, БД и инфраструктурой через естественный язык — без панелей, SSH, документации и терминалов.
Система знает, какой именно у вас сервер, что на нём запущено, кто будет затронут простоем, и предлагает конкретный план действий.
Отличия от ИИ ботов:
⚪️
Знает вашу инфраструктуру
⚪️
Выполняет операции
⚪️
Помнит весь контекст
⚪️
Встроенные safeguards
⚪️
Любой канал (web, telegram, voice)
Почему стоит присмотреться к ICNLI:
⚪️
ChatGPT может объяснить, как настроить Nginx, но не знает вашу конкретную конфигурацию
⚪️
cPanel имеет 847 функций, но найти нужную — квест
⚪️
Ansible автоматизирует всё, но требует написания playbook'ов
⚪️
Каждый инструмент живёт в своём мире, не зная о других
⚪️
Проблема не в отсутствии ИИ. Проблема в отсутствии контекста
@DevOpsKaz
😛
👀
Новые уязвимости Ingress NGINX
Важное для тех, кто
еще не переехал
с Ingress-nginx на Gateway API.
Ingress на последнем дыхании решил порадовать новыми уязвимостями уровня HIGH:
CVE-2026-1580, CVE-2026-24512, CVE-2026-24513, CVE-2026-24514
.
⚪️
Configuration injection с RCE:
две уязвимости (
CVE-2026-1580
и
CVE-2026-24512
) позволяют инъекцию конфигурации, приводящую к remote code execution (RCE) внутри контейнера ingress-nginx. Это классическая проблема для NGINX-based решений, где злоумышленник с низкими привилегиями может выполнить код.
⚪️
Configuration injection с обходом auth-url:
CVE-2026-24513
позволяет обойти механизмы аутентификации (auth-url protection) через инъекцию конфигурации.
⚪️
DoS в Admission Controller:
CVE-2026-24514
вызывает denial-of-service (DoS) в admission controller, потенциально блокируя новые деплои или запросы.
Все оцениваются на 8.8 по
CVSS
. Решаются обновлением на версию v1.13.7 или v1.14.3, но лучше —
запланировать переезд
.
@DevOpsKaz
😛