Admin Guides | Сисадмин

Почему контейнеры внезапно теряют сеть

    
        Иногда контейнеры в Docker или Kubernetes перестают отвечать на пинги или теряют доступ к внешним сервисам. {}
    

Снаружи это выглядит как «сеть умерла», но на самом деле проблема чаще всего скрыта в конфигурации сети контейнеров: конфликт IP, переполненный bridge или правила iptables, блокирующие трафик. Как проверить проблему: Сначала смотрим, что видят контейнеры и хост:

    
        # Интерфейсы и IP адреса
ip a

# Состояние Docker-сети
docker network inspect <network_name>

# В Kubernetes смотрим IP и ноды
kubectl get pods -o wide
kubectl describe pod <pod_name>

# Проверка правил iptables, которые могут блокировать трафик
iptables -L -n -v{}
    

Если IP конфликтует или bridge переполнен - новые пакеты просто не доходят. В Kubernetes это часто проявляется как «ContainerNetworkNotReady» или потеря соединения между Pod’ами. Фикс: 1️⃣Пересоздать сеть CNI или bridge:

    
        # Docker
docker network rm <network_name>
docker network create <network_name>

# Kubernetes (Calico, Flannel и др.)
kubectl delete pod -n kube-system -l k8s-app=<cni_plugin>{}
    

2️⃣Почистить старые network namespaces:

    
        ip netns
ip netns delete <old_ns>{}
    

3️⃣Проверить, чтобы IP-пулы не пересекались, и настроить CNI так, чтобы новые контейнеры получали уникальные адреса. 4️⃣Просмотреть логи Docker или kubelet, чтобы найти ошибки подключения:

    
        journalctl -u kubelet -f
docker logs <container_id>{}
    

После этих действий сеть контейнеров обычно восстанавливается, и новые Pod’ы получают IP без конфликтов.

📌 Приглашаем на вебинар «Дефицит ресурсов — не повод для хаоса: как выстроить техподдержку 220 торговых точек всего за 6 недель» 🗓 4 декабря, 11:00 Будет полезно, если: — Сервис перегружен и нужно наладить его работу с минимумом затрат — Требуется расширить набор функций и метрик без долгих и дорогих доработок service desk ↓ ↓ ↓ На примере реального кейса спикеры ITSM 365 и SMARTER расскажут: — Как за 6 недель перевести сотни торговых точек с почты и Excel в сервис деск — Как объединить команды торговой сети, подрядчиков и вендоров в одной системе — Как создать в service desk структуру обслуживания, связав заявки с оборудованием, складами и поставщиками — Витрина услуг, кастомизация заявок, согласование и оценка работ, настройка отчетов и дашбордов — какие функции гарантированно разгрузят ваш сервис. Регистрируйтесь по ссылке 🔗 #реклама О рекламодателе

Лучший день 😎

Надежные VDS-сервера в NetAngels от 73₽/месяц Подберем мощные VDS-сервер для любых задач. Техподдержка 24/7. Защита от DDoS-атак. Гибкая конфигурация. Бесплатный перенос VDS с сохранением всех данных. Выбери тариф под свои задачи: Старт (Для низкой нагрузки: хранение файлов, раздача статики и простые веб-проекты) Оптима (NVMe-диски для высокой скорости и баланс цены и производительности) Турбо (Элитный VDS на базе топового оборудования с высокочастотными процессорами) Про (Мощный VDS с гарантированными ресурсами для масштабных проектов) ТурбоПро (VDS уровня enterprise с гарантированными ядрами и высокочастотными процессорами) Ультра (Высокопроизводительный VDS для ресурсоемких проектов и корпоративных систем. В тариф включена поддержка GPU) Попробуйте VDS-сервер от NetAngels! Перейти на сайт #реклама 16+ netangels.ru О рекламодателе

Как понять, что сеть не «умерла», а всё уткнулось в ARP-cache Когда хост переполняет ARP-таблицу (обычно на LXC/KVM-нодах с кучей виртуалок), он банально перестаёт добавлять новые ARP-записи. Внешне это выглядит как хаос: одни IP пингуются, другие - нет, пакеты то проходят, то «теряются», сервисы будто рандомно падают. На самом деле сеть жива - просто таблица забита. Как проверить:

    
        ip -s neigh                          # ищем INCOMPLETE и FAILED
ip neigh show | wc -l                # сколько реальных записей
cat /proc/sys/net/ipv4/neigh/default/gc_thresh3   # максимальный размер ARP-cache
dmesg | grep -i arp                  # бывают явные предупреждения{}
    

Что делать: — увеличить лимиты:

    
        sysctl -w net.ipv4.neigh.default.gc_thresh1=4096
sysctl -w net.ipv4.neigh.default.gc_thresh2=8192
sysctl -w net.ipv4.neigh.default.gc_thresh3=16384{}
    

➖проверить, не генерирует ли лишний ARP-флуд контейнер или мост; ➖перезапустить «шумящий» namespace или виртуалку, если ARP-таблица быстро восстанавливается.

Нужны 7 желающих для работы с искусственным интеллектом. Работа из дома. График свободный. Пришло задание — изучили — выполнили — получили свои деньги. Деньги вы получаете в зависимости от сложности задания. Например: За задание могут платить 500-10.000 рублей. В зависимости от сложности. 500 рублей — это около 5-30 минут. 10 000 руб. это 5-6 часов. 💰 В среднем новичок получает до 150.000 руб в месяц. А опытный может и 300-500т. Мы обучим вас сами: — 3 дня уроков по 30 минут — Домашки с проверкой и оплатой бонусами — Платим 10 тыс за каждую выполненную домашку ⚡ Набор заканчивается завтра. Для регистрации жмите кнопку "Зарегистрироваться": Зарегистрироваться #реклама 16+ ganstaagency.com О рекламодателе

Honeypot на Ubuntu: ловим злоумышленников в реальном времени Honeypot — это поддельная система, созданная для того, чтобы выманивать злоумышленников и отслеживать их поведение. В отличие от фаерволов, это не просто защита, а способ разведки: кто, откуда и что делает. Один из самых простых и рабочих способов — использовать Cowrie, который имитирует SSH-доступ и shell. Установка и настройка Cowrie: 1️⃣Создаём изолированного пользователя:

    
        sudo adduser --disabled-password cowrie{}
    

2️⃣Устанавливаем зависимости и клонируем:

    
        sudo apt install git python3-venv libssl-dev libffi-dev build-essential
git clone https://github.com/cowrie/cowrie.git /opt/cowrie
cd /opt/cowrie
sudo chown -R cowrie:cowrie .{}
    

3️⃣Настраиваем среду и запускаем от имени пользователя:

    
        sudo -u cowrie bash
cd /opt/cowrie
python3 -m venv cowrie-env
source cowrie-env/bin/activate
pip install --upgrade pip
pip install -r requirements.txt
cp etc/cowrie.cfg.dist etc/cowrie.cfg
bin/cowrie start{}
    

4️⃣По умолчанию SSH доступ доступен на порту 2222. 5️⃣Добавляем fail2ban фильтр по логам cowrie.log, чтобы блокировать IP, если они что-то активное ломают. 6️⃣Опционально: логируем вход через PAM: В /etc/pam.d/sshd добавляем:

    
        session optional pam_exec.so /usr/local/bin/login_notify.sh{}
    

Где login_notify.sh может отправлять оповещения в Telegram или писать в отдельный лог.

Выживаем в условиях ограниченной доступности - DevOps, SRE, сисадмины, архитекторы и инженеры, этот практикум для вас! 3 декабря в 20:00 мск ведущий DevOps-инженер Михаил Чугунов разберет: 👨‍💻как правильно выстроить пайплайн CI/CD 👨‍💻как организовать DNS, ingress и балансировку 👨‍💻как проектировать архитектуры кластера и сетевого взаимодействия После Практикума “Kubernetes в закрытом контуре”: ✔️DevOps/SRE смогут автоматизировать доставку обновлений и контейнерных образов без внешнего доступа ✔️Сисадмины разберутся, как организовать сетевую топологию, прокси, ingress-контроллеры и DNS в полностью изолированном контуре ✔️Архитекторы поймут, как закладывать ограничения NAT и отсутствие интернета в архитектурные решения ✔️Инженеры БД получат систему, как выстроить безопасную модель доступа, обеспечить комплаенс и защиту данных внутри замкнутой инфраструктуры Kubernetes Для полной погруженности мы дарим видео-курс о Kubernetes - будьте устойчивы и готовы! Забрать уроки: https://tglink.io/3f9af9fb985b Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963. erid: 2W5zFJNPCmW

Microsoft усиливает защиту входа в Entra ID от скриптовых атак Microsoft объявила, что с октября 2026 года вход в Entra ID через браузер получит жёсткую Content Security Policy: скрипты будут загружаться только с доверенных Microsoft-доменов, а любые встроенные или внешние вставки кода - блокироваться.

    
        Это должно закрыть атаки, основанные на внедрении скриптов на страницу логина.{}
    

Изменения затронут лишь входы по login.microsoftonline.com. Компания просит организации протестировать свои сценарии заранее и отказаться от расширений и утилит, которые внедряют код - после обновления они просто перестанут работать. Мера входит в программу Secure Future Initiative по ужесточению безопасности Microsoft-сервисов.

Почему HAProxy начинает отдавать 503, хотя backend «зелёный» Классика: health-checks проходят, backend в статусе UP, но под нагрузкой он отвечает чуть медленнее → HAProxy не дожидается ответа и срабатывает timeout server. В результате клиенты получают 503, хотя сам сервис жив. Как диагностировать:

    
        # Смотреть счётчики ответов, особенно hrsp_5xx
echo "show stat" | socat stdio /run/haproxy/admin.sock | column -s, -t | grep -v '^#'

# Увеличить таймауты сервера (пример)
timeout server 5s
timeout connect 2s{}
    

hrsp_5xx + рост srv_abrt в статистике почти всегда указывают на проблему с медленным backend’ом, а не на «падение».