Библиотека devops’а

👨‍💻 Podman умеет обновлять и откатывать контейнеры Watchtower закрылся. Те, кто держал Docker-контейнеры актуальными через этот инструмент, оказались перед вопросом: что теперь? Автообновление образов — базовая операционная потребность, и Docker её так и не решили нативно. Всегда нужен был сторонний инструмент. Podman подошёл к этому иначе: обновления и откаты встроены в платформу, никаких демонов-мониторов, никаких внешних утилит. Основа механизма — команда podman auto-update. Она проверяет контейнеры с нужным лейблом и обновляет их, если в реестре появился новый образ. Чтобы контейнер участвовал в автообновлениях, ему нужен лейбл io.containers.autoupdate. Значение registry сравнивает дайджесты образов с реестром, local проверяет локально собранные образы. Лейбл задаётся при создании контейнера:

    
        podman run -d --name my-service \
  --label "io.containers.autoupdate=registry" \
  docker.io/library/nginx:latest{}
    

В Quadlet-файле достаточно одной строки в секции [Container]:

    
        AutoUpdate=registry{}
    

Само обновление запускается через systemd-таймер. Включается он одной командой:

    
        systemctl --user enable --now podman-auto-update.timer{}
    

Пример конфига для обновлений каждый понедельник в 3:30 ночи:

    
        [Timer]
OnCalendar=Mon *-*-* 03:30:00
RandomizedDelaySec=30m{}
    

Перед тем как писать выражение для OnCalendar, стоит проверить его через systemd-analyze calendar — он сразу покажет следующее время срабатывания и не даст ошибиться с форматом. Podman не угадывает проблемы заранее, он реагирует. Последовательность такая: тянет новый образ, перезапускает сервис, смотрит, запустился ли контейнер. Не запустился — возвращает предыдущий образ. Для этого нужно три условия: • контейнер управляется через systemd • флаг --rollback включён • systemd может понять, что контейнер сломан. Самый надёжный способ это обеспечить — health check с sdnotify. Контейнер сам сигналит systemd о готовности. Если сигнал не пришёл за отведённое время, systemd фиксирует сбой и Podman откатывается. 📍 Навигация: Вакансии • Задачи • Собесы 🐸 Библиотека devops'a #root_prompt

🔗 Найм по знакомству — это не блат Это когда действующий сотрудник ставит свою репутацию за кандидата. Компании такое любят: быстрее, дешевле, надёжнее. За удачную рекомендацию платят от нескольких тысяч до 80 000 ₽. Для соискателя это тоже выгодно — меньше этапов, больше контекста о команде заранее и выше шанс на оффер. ➡️ Как устроиться по рекомендации и где искать реферальные программы 📍 Навигация: Вакансии • Задачи • Собесы 🐸 Библиотека devops'a

⏳ Часовая готовность: создаём ИИ-агента в прямом эфире В 19:00 МСК в рамках нашего курса «Разработка AI-агентов» стартует вебинар «ИИ-агенты в продакшене: от хайпа к деньгам». Спикер — Полина Полунина, руководитель AI-направления в Альфа-Банке. Будет live-демо работающего агента, реальные метрики из корпоративной среды и честный разбор архитектурных граблей — без воды и «успешного успеха». Всем зрителям эфира дадим эксклюзивный промокод AGENTS на скидку 10 000 ₽ на любой тариф курса. 👉 Занять место на вебинаре

☝️ Уже сегодня: ИИ-агенты в продакшене — инженерный подход к интеграции LLM Индустрия активно обсуждает потенциал нейросетей, способных автоматизировать бизнес-процессы и заменить целые отделы. Однако реальное внедрение агентов в production вскрывает серьёзные проблемы: разработчикам приходится бороться с непредсказуемыми галлюцинациями моделей, нестабильными API и сложной интеграцией в существующую архитектуру. Сегодня в 19:00 МСК в рамках нашего курса «Разработка AI-агентов» мы проведём открытый вебинар «ИИ-агенты в продакшене: от хайпа к деньгам». Спикер — Полина Полунина, руководитель AI-направления в Альфа-Банке. Будем говорить о нейросетях с позиции жёсткой инженерии. Разберём три реальных кейса из сурового банковского энтерпрайза, напишем и запустим агента прямо в эфире, честно обсудим грабли, на которые наступает бизнес при интеграции LLM. Тем, кто придёт на эфир, дадим промокод AGENTS на скидку 10 000 ₽ на любой тариф курса. 👉 Занять место на вебинаре

💻 Аннотации Ingress-NGINX, для которых нет прямых аналогов в Gateway API Большая часть конфигурации Ingress-NGINX живёт в аннотациях — и именно здесь при переходе на Gateway API чаще всего возникают пробелы. В Gateway API нет системы аннотаций контроллера в том же смысле. Вместо них — фильтры внутри HTTPRoute, Policy Attachment и расширения конкретных реализаций. Это архитектурное решение, а не недоработка. Несколько конкретных примеров: nginx.ingress.kubernetes.io/limit-rps настраивает rate limiting. В Gateway API аналог реализуется через политики, привязанные к маршруту или gateway. Но синтаксис зависит от реализации — Istio, Envoy Gateway и Kgateway делают это по-разному. Единого стандарта пока нет. nginx.ingress.kubernetes.io/auth-url подключает внешнюю аутентификацию через subrequest. Аналог в Gateway API — внешние фильтры через ExtensionRef. Зависит от реализации и требует отдельной проверки. nginx.ingress.kubernetes.io/configuration-snippet позволяла вставлять произвольные директивы в конфиг NGINX. В Gateway API такого механизма нет — это намеренное решение ради безопасности. Если сниппеты активно использовались, нужно найти другой способ реализовать ту же логику. Составьте список всех аннотаций из текущих Ingress-ресурсов и проверьте их поддержку в выбранной реализации Gateway API. Лучше сделать это до выбора реализации, а не после. 📍 Навигация: Вакансии • Задачи • Собесы 🐸 Библиотека devops'a #арсенал_инженера

🛠 Простой Prometheus-экспортер для мониторинга доступности Uptime Scope — это экспортер метрик на Go, который проверяет доступность URL и отдаёт результаты в формате Prometheus. Никакой лишней логики, никакой своей базы данных. Просто метрики на /metrics, которые Prometheus сам забирает по расписанию. В ToDo ещё висят динамическое обнаружение целей и retry-логика, так что на продакшн с миллионом урлов пока не рассчитан. Но для базового мониторинга своих сервисов подходит. В конфиг Prometheus добавляется стандартный scrape job. Можно сразу прописать несколько инстансов экспортера для разных регионов:

    
        scrape_configs:
  - job_name: 'uptime_scope'
    scrape_interval: 30s
    static_configs:
      - targets:
          - 'uptimescope-eu-west:8181'
          - 'uptimescope-us-east:8181'
          - 'uptimescope-asia:8181'{}
    

Это удобный способ получить географически распределённый мониторинг доступности — запускаете агентов в разных регионах, Prometheus собирает метрики со всех. В комментариях к проекту уже подсветили несколько вещей. Во-первых, есть blackbox exporter от самой команды Prometheus — он решает похожую задачу и поддерживает динамическое обнаружение целей через сам Prometheus. Uptime Scope пока проще, но автор планирует добавить собственный dynamic discovery. Во-вторых, по коду есть несколько резонных замечаний: путь к конфигу лучше передавать флагом, интервал проверок сделать настраиваемым, добавить graceful shutdown и структурированное логирование через slog. Всё это стандартные практики для Go-сервисов. ➡️ Репозиторий 📍 Навигация: Вакансии • Задачи • Собесы 🐸 Библиотека devops'a #арсенал_инженера

💿 Прочитать диск без дисковода Парень взял дешёвый USB микроскоп, посмотрел на старые диски и буквально прочитал текст, записанный на лазерном диске 40 лет назад. На лазерном диске спиралью расположены микроскопические борозды. По ним лазер считывает данные. Под обычным микроскопом видны эти борозды, как полосы. Но вот в чём кайф. Видно не просто какие-то линии. Видно структуру видеосигнала. Каждая строка видео это отдельная спираль на диске. Когда диск крутится, микроскоп видит одну строку за оборот. ➡️ Смотреть видео 📍 Навигация: Вакансии • Задачи • Собесы 🐸 Библиотека devops'a #пульс_индустрии

DevOpsConf 2026: Фабрика инженерных решений 2–3 апреля, Москва. Главное событие для инженеров по автоматизации разработки, надежности и эксплуатации, архитекторов, системных администраторов, технических лидеров и ИТ-директоров. В этом году всё иначе - мы пересобрали привычный лекторий → в конструкторское бюро решений на DevOpsConf. Над чем работаем: 🔹 Работа с наследием (легаси). Поток для тех, кому достался "черный ящик" без документации. Командная игра "Почини сломанную систему на скорость" + воркшоп по анализу древнего кода с помощью ИИ. 🔹 Наблюдаемость без паники. От метрик до архитектуры и борьбы с ложными алертами. 🔹 Как говорить с госорганами и бизнесом. Про 152-ФЗ, ФСТЭК и ГОСТы для инженеров, а также мастер-классы по питчингу решений для руководства. Форматы: воркшопы, кейс‑игры, разбор инцидентов, экспертная зона. 👉 Изучить всю программу и забронировать билеты: https://tglink.io/3e56f4f5b86905?erid=2W5zFJBzVub #реклама О рекламодателе

📎 TLS в Ingress-NGINX: два режима с разным поведением при миграции Тема TLS выглядит простой, но здесь тоже есть нюансы, которые проявляются только после переключения трафика на Gateway API. Ingress-NGINX работает в двух принципиально разных режимах с TLS. _Первый_ — терминирование на уровне контроллера: сертификат прикреплён к Ingress через секрет, контроллер расшифровывает трафик и передаёт бэкенду по HTTP. В Gateway API это настраивается через listeners[].tls.mode: Terminate с указанием certificateRefs в ресурсе Gateway. _Второй_ — SSL passthrough через аннотацию nginx.ingress.kubernetes.io/ssl-passthrough: "true". Контроллер проксирует зашифрованный поток напрямую к поду, не расшифровывая его. В Gateway API для этого существует отдельный тип ресурса — TLSRoute. И здесь важный момент: при passthrough контроллер не видит HTTP-заголовки. Маршрутизация по пути или заголовкам недоступна — только по SNI. Если в текущей конфигурации для одного хоста одновременно используются passthrough и HTTP-маршрутизация — это признак того, что архитектуру придётся пересматривать, а не просто переписывать манифесты. Зафиксируйте для каждого хоста, какой режим TLS используется. Это определит не только синтаксис Gateway API, но и выбор реализации — не все из них поддерживают TLSRoute в полном объёме. 📍 Навигация: Вакансии • Задачи • Собесы 🐸 Библиотека devops'a #арсенал_инженера

🐳 Контейнер падает при старте Когда Docker контейнер вылетает прямо после запуска, это всегда выглядит странно. Особенно если локально всё работало нормально. Давайте разберёмся, что чаще всего заставляет контейнер выходить с ошибкой. Первое правило: смотрите логи Контейнер существует ровно столько, сколько выполняется процесс внутри него. Если процесс завершился или вообще не запустился, контейнер упадёт. Это закономерно, но информация об ошибке может быть скрыта.

    
        docker logs {}
    

Запустите эту команду сразу, как только контейнер упал. Часто там будет сразу видно, что случилось. Если логов мало, добавьте флаг --tail 100 или посмотрите всё целиком через --all. Рабочая директория и файлы Очень частая причина. Если приложение ищет конфиг в /app/config, а в образе это лежит в /etc/app, всё сломается. Проверьте в Dockerfile:

    
        WORKDIR /app
COPY . .{}
    

Убедитесь, что все нужные файлы скопированы на место и структура директорий совпадает с тем, что ожидает приложение. Переменные окружения Приложение может требовать DATABASE_URL или API_KEY, и если их нет, оно не запустится. При запуске передавайте всё нужное:

    
        docker run -e DATABASE_URL=postgres://... -e API_KEY=secret myapp:latest{}
    

Или через файл:

    
        docker run --env-file .env myapp:latest{}
    

Проверьте документацию вашего приложения на список обязательных переменных. Runtime и зависимости Иногда базовый образ не содержит то, что нужно. Вы собрали Go приложение, положили бинарник в контейнер на основе alpine:latest, но забыли нужную библиотеку. Результат предсказуем.

    
        FROM golang:1.21 as builder
WORKDIR /build
COPY . .
RUN go build -o app .

FROM alpine:latest
RUN apk add --no-cache ca-certificates
COPY --from=builder /build/app /usr/local/bin/{}
    

Убедитесь, что в образе есть всё необходимое. Используйте docker run -it myimage sh и проверьте вручную, работает ли приложение. Порты и привилегии Контейнер может падать из-за проблем с портами или правами. Если приложение пытается слушать на порту ниже 1024, но не запущено от root, это не сработает.

    
        USER appuser
EXPOSE 8080{}
    

Убедитесь, что пользователь имеет нужные привилегии и приложение слушает на доступном порту. Точка входа Проверьте, правильная ли у вас ENTRYPOINT или CMD:

    
        ENTRYPOINT ["node", "server.js"]{}
    

Если здесь опечатка или путь неверный, контейнер не запустится. Команда должна существовать и быть исполняемой. Быстрая диагностика Запустите контейнер интерактивно с sh вместо основного процесса:

    
        docker run -it myapp:latest /bin/sh{}
    

Теперь вы внутри контейнера. Проверьте рабочую директорию, переменные окружения, наличие файлов. Попробуйте запустить приложение вручную и посмотрите, что сломается. Что проверить в первую очередь 1. Логи контейнера через docker logs 2. Переменные окружения и их значения 3. Рабочая директория и наличие файлов 4. Запуск приложения вручную внутри контейнера через /bin/sh 5. Права доступа и привилегии пользователя Если контейнер падает, проблема почти всегда в одном из этих пунктов. Диагностика займёт несколько минут, если знать, где искать. 📍 Навигация: Вакансии • Задачи • Собесы 🐸 Библиотека devops'a #арсенал_инженера