Лига сисадминов

KVM в Linux 7.1 двигается в сторону protected guests В merge window для будущего Linux 7.1 в KVM подтянули важную историю для Arm: появилась очень экспериментальная поддержка pKVM protected guests. Смысл в том, чтобы сильнее изолировать виртуальную машину от хоста: страницы памяти по мере использования убираются из доступа хостовой системе, а обратно наружу отдаются только через специальные pKVM hypercalls. То есть KVM постепенно идет в сторону модели, где даже хост не должен свободно видеть память и состояние гостя. При этом сама идея не совсем новая: pKVM уже лежит в основе Android Virtualization Framework. Google внедряет эту модель в Android как основу для isolated/protected VM, так что Linux 7.1 здесь скорее продолжает направление, которое уже получило практическое применение в мобильной экосистеме. Но пока в mainline Linux это именно ранняя стадия: — функция помечена как very experimental; — запуск таких гостей taint’ит ядро; — нужен guest kernel с CONFIG_ARM_PKVM_GUEST=y; — включение идет через параметр загрузки kvm-arm.mode=protected; — часть механизмов изоляции в документации все еще отмечена как не реализованная полностью. Помимо этого, в KVM для Linux 7.1 также добавили: — поддержку ESA 31-bit guests во вложенных гипервизорах на s390; — подготовку к AVX-512 BMM на x86 для будущих AMD Zen 6; — мелкие доработки по AMD SEV-SNP и hardening. Помимо этого, в KVM для Linux 7.1 также добавили: — поддержку ESA 31-bit guests во вложенных гипервизорах на s390; — подготовку к AVX-512 BMM на x86 для будущих AMD Zen 6; — мелкие доработки по AMD SEV-SNP и hardening. Почему это важно: confidential computing все сильнее выходит из нишевой темы, и KVM постепенно получает примитивы для запуска ВМ, которые лучше защищены даже от самого хоста. Пока до production-ready далеко, но направление уже задано.

☁️ ITENTIS CLOUD: как на инфраструктуре начинают зарабатывать Реальные цифры: системный администратор перешел на Itentis Cloud по реферальной программе, изначально — просто попробовать: перевести несколько клиентов, посмотреть, как работает облако. Сейчас он зарабатывает 70–100 тыс. руб. в месяц на партнерской комиссии. И растет дальше — с каждым новым клиентом. 📣 Вы можете так же: подключаете клиентов к ITENTIS CLOUD — получаете процент с их инфраструктуры. ITENTIS CLOUD — это тот же уровень технологий (VPC, Kubernetes, S3, Tier III), но без переплаты за бренд и с прозрачными тарифами. Плюс — живая поддержка 24/7, которая реально помогает довести проекты до результата. 💥 Попробуйте сами: перенесите часть проектов — первые 14 дней бесплатно. Переходите на страницу ITENTIS CLOUD, чтобы посмотреть условия и начать зарабатывать. Партнерская программа ITENTIS CLOUD

Интеграция Kerberos с Keycloak Keycloak - это решение для управления идентификацией и доступом. Он использует протоколы идентификации, такие как OIDC и SAML, чтобы аутентифицировать пользователей и передавать информацию об их идентичности для контроля доступа. На практике данные о пользователях берутся из User Federation. Keycloak предоставляет возможность настроить Kerberos в качестве User Federation. Kerberos - это протокол аутентификации, который используется для установления личности пользователей, хостов или сервисов. Он работает как доверенный сторонний сервер, также известный как KDC (Key Distribution Center). У центра распределения ключей есть две функции: сервис аутентификации (Authentication Service) и сервис выдачи билетов (Ticket Granting Service). В этой статье посмотрим, как можно подключить Kerberos-сервер к Keycloak и использовать возможности протокола Kerberos. https://telegra.ph/Integraciya-Kerberos-s-Keycloak-04-21 #ит_статьи #devops #linux #kerberos #keycloak #sso

#ит_юмор #техподдерка #helpdesk

Написание Ansible-модулей с поддержкой diff mode Я столкнулся с этой задачей, когда писал собственные Ansible-модули на Python. Эти модули вносили изменения на серверах при запуске через ansible-playbooks. Одним из ключевых требований была возможность посмотреть, какие именно изменения внёс бы плейбук, если бы он был выполнен. Проблема Ansible предоставляет такую возможность через опции --check и --diff (вместе это даёт dry-run), но работает это только для некоторых встроенных модулей, где такая поддержка уже реализована. Если ваша задача выходит за рамки возможностей стандартных модулей и при этом вам нужен dry-run - придётся немного повозиться. https://telegra.ph/Napisanie-Ansible-modulej-s-podderzhkoj-diff-mode-04-20 #ит_статьи #devops #ansible #modules #linux #python

Почему Netcat - один из лучших инструментов для troubleshooting Инструменты для диагностики могут быть простыми, а могут - чересчур сложными. Они бывают крошечными, огромными и вообще любого размера между этими крайностями. Но нужен ли весь этот функционал в одном месте - вопрос спорный. Когда вы разбираетесь с проблемой, имея под рукой лишь базовый набор инструментов, вы начинаете понимать её куда глубже. Разобраться в фундаментальных принципах системы проще, если не прятать их за слоями лишнего middleware. В таком случае вы вынуждены уделять время тому, чтобы протестировать и понять каждый отдельный компонент. В этой статье мы посмотрим на очень простой инструмент для диагностики - Netcat. Эта утилита существует уже почти три десятка лет, и хотя на первый взгляд она кажется примитивной, при правильном использовании она даёт мощь и гибкость. Давайте разберёмся, насколько универсален Netcat. https://telegra.ph/Pochemu-Netcat---odin-iz-luchshih-instrumentov-dlya-troubleshooting-04-19 #ит_статьи #devops #network #netcat #linux #cli #troubleshooting

Проброс физического диска в виртуальную машину Добавив «сырой» физический диск напрямую в виртуальную машину, вы сможете тестировать установщики и различные утилиты для восстановления дисков, которые работают на уровне контроллеров - такие как ddrescue, Clonezilla или Ubuntu Rescue Remix. Поскольку диск одновременно подключён и к физическому хосту, и к виртуальной машине, это также блокирует live-миграцию ВМ. Ещё один побочный эффект - рост IO wait на хосте: если запустить ddrescue, другие виртуалки на том же хосте могут начать подтормаживать. https://telegra.ph/Probros-fizicheskogo-diska-v-virtualnuyu-mashinu-04-18 #ит_статьи #devops #proxmox #kvm #virtualization #linux #storage

Помните, коллеги, не свич, а гаджет для увеличения количества портов на вашем роутере #ит_юмор #router #swith

Неочевидные нюансы миграции с Docker на Podman Миграция на Podman — вопрос достаточно интересный. И ответ на него достаточно простой — берете и мигрируете, там делов-то! Но на самом деле это только верхушка айcберга. Сначала кажется, что все просто. А потом оказывается, что нужно решить много спорных моментов и учесть кучу мелочей. Сегодня я расскажу, на что стоит обратить внимание и стоит ли игра свеч. Поехали, порассуждаем про миграцию из Docker в Podman. https://telegra.ph/Neochevidnye-nyuansy-migracii-s-Docker-na-Podman-04-16 #ит_статьи #devops #podman #docker #linux

Осваиваем редактор Vi и Vim в Linux Практическое руководство по навигации, редактированию, поиску, замене и продвинутым командам Vim https://telegra.ph/Osvaivaem-redaktor-Vi-i-Vim-v-Linux-04-15 #ит_статьи #linux #vim #cli #terminal #cheatsheet