Контроль целостности трёх «К» в Kubernetes: как не доставить в прод вредоносный код

Между сборкой контейнера в CI и его запуском на узле есть длинная цепочка, в которой злоумышленники могут что-то подменить. Образ в registry, слои на диске, конфигурация в etcd, бинарники рантайма — каждый участок требует своей защиты. Рассказываем, как мы реализовали сквозной контроль целостности в Deckhouse Kubernetes Platform: что доработали в containerd и kube-apiserver, как подписываем ELF-файлы и почему выпадение любого звена ломает всю систему. Если вы строите свой контур доверия, в статье есть Open Source-альтернативы для старта.

https://habr.com/ru/companies/flant/articles/1040994/

#kubernetes #контроль_целостности #deckhouse_kubernetes_platform #контейнеры #информационная_безопасность #фстэк_россии

Балансировка входящего трафика на железе: как надёжно вывести K8s наружу с MetalLB, BGP и L2 (подход от Deckhouse)

На bare metal внешний доступ к Kubernetes часто становится головной болью: NodePort с рандомными нестандартными портами не для продакшена, а облачного балансировщика нет. MetalLB превращает обычные узлы кластера в полноценный балансировщик с автоматическим failover. Разбираем режимы BGP и L2, а ещё показываем фишку Deckhouse Kubernetes Platform, которая спасает активные соединения при падении узла.

https://habr.com/ru/companies/flant/articles/1039392/

#nodeport #kubernetes #bgp #metallb #deckhouse_kubernetes_platform #baremetal #балансировка_нагрузки #l2 #nlb #loadbalancer

DRAйверы для GPU: как Kubernetes научился выделять устройства через стандартный API

Device Plugin в Kubernetes сводит GPU к счётчику на узле: планировщик видит только количество устройств, но не их профиль, объём памяти или режим шаринга. Для ML-задач это быстро становится ограничением. Обучению нужны выделенные карточки целиком, инференсу — управляемые доли, а CI хватит и четвертинки NVIDIA H100 на пять минут. Dynamic Resource Allocation полностью меняет модель управления устройствами. GPU становятся сущностью с инвентарём, атрибутами и правилами выбора. В статье я разбираю устройство DRA и показываю миграцию с device plugin на примере кластера из 8 узлов × 8 NVIDIA H100 без полного переписывания манифестов. А ещё объясняю, почему мы в Deckhouse пишем свой DRA-драйвер. Разобраться с DRA

https://habr.com/ru/companies/flant/articles/1038000/

#gpu #kubernetes #deckhouse_kubernetes_platform #ai #ml #dra #machine_learning

Четыре Kubernetes-платформы в реальных сценариях эксплуатации: за скобками документации

В больших инфраструктурах Kubernetes не живёт сам по себе: вокруг него выстраивается экосистема со своими дефолтами, ограничениями и точками отказа. В нее входят CNI, ingress-контроллеры, системы мониторинга, бэкапов, политики безопасности, GitOps и десятки других компонентов. Поэтому у вас всегда есть выбор. Взять ванильный Kubernetes и вручную прикрутить к нему нужные инструменты или использовать готовое решение от вендора. Формально и там, и там в основе лежит одно и то же кубовое API, но на практике различия начинаются уже на этапе установки. Инженеры практики контейнеризации , виртуализации и частного облака К2Тех изучили особенности эксплуатации четырех российских платформ: «Штурвал», Nova Container Platform, «Боцман», Deckhouse Kubernetes Platform. Результаты сравнения разложили по полочкам в таблицах – их вы найдете в статье.

https://habr.com/ru/companies/k2tech/articles/1011288/

#контейнеризация #ванильный_kubernetes #kubernetes #nova_container_platform #deckhouse_kubernetes_platform #штурвал #платформа_контейнеризации #сравнение #kubernetes_cluster #cni

От рассвета до заката, или Как Deckhouse Kubernetes Platform управляет жизненным циклом узлов кластера

Управление жизненным циклом узлов в Kubernetes легко превращается в марафон ручной настройки — от подготовки окружения в облачных сетапах до регулярного обновления скриптов и корректного удаления узлов. В Deckhouse Kubernetes Platform мы автоматизировали этот процесс, и неважно, работаете вы в облаке или в собственном дата-центре. В статье технический руководитель команды Deckhouse Core рассказывает, как платформа скрывает сложность управления узлами за понятными ресурсами и инструментами, позволяя безопасно и предсказуемо развёртывать, масштабировать и обновлять узлы без ручного труда.

https://habr.com/ru/companies/flant/articles/985612/

#deckhouse #deckhouse_kubernetes_platform #devops #ноды #capi

Cloud Native LVM: как автоматизировать поиск и разметку локальных дисков в Kubernetes

Всем привет, меня зовут Александр Зимин, я руковожу разработкой подсистемы хранения данных в Deckhouse. Сегодня хочу поговорить о хранении данных на локальных дисках в Kubernetes и поделиться тем, как мы автоматизируем их поиск и разметку для администраторов и пользователей.

https://habr.com/ru/companies/flant/articles/951598/

#lvm #pvc #csiдрайвер #storage #отказоустойчивость #deckhouse #deckhouse_kubernetes_platform #dkp #локальный_диск #локальное_хранилище

Как установить Kubernetes-платформу за 10 минут через веб-интерфейс

В статье показываем, как за 10 минут развернуть Kubernetes-платформу с помощью графического установщика Deckhouse Kubernetes Platform. Пройдём все этапы: настроим статический или облачный кластер, подключим модуль виртуализации и сразу начнём работать через встроенный веб-интерфейс — без DNS, Ingress и ручного YAML.

https://habr.com/ru/companies/flant/articles/962480/

#deckhouse #kubernetes #установка #установка_kubernetes #dkp #установщик_kubernetes #запуск_kubernetes #k8s #deckhouse_kubernetes_platform #настройка_kubernetes

Canary-деплой в Kubernetes с использованием Argo Rollouts и Istio

Мы не раз разбирали в своём блоге теорию и практику по разным стратегиям развёртывания новой версии приложения в Kubernetes. Сегодня рассмотрим ещё одну реализацию канареечного деплоя: с пассивными healthcheck и использованием Argo Rollouts и Istio. Этот вариант подойдёт, если к вашему приложению обращаются не через Ingress, а ходят внутри кластера по адресу service. Или если вы хотите видеть, что происходит с пользовательским трафиком на каждом из этапов обновления.

https://habr.com/ru/companies/flant/articles/943624/

#kubernetes #istio #argo_rollouts #canary #releases #deckhouse_kubernetes_platform

Чем заняться в выходные? Как я собрал домашнюю виртуализацию в контейнерах за 34 500 рублей

Как собрать домашний кластер виртуализации с нуля и зачем это вообще нужно? Автор делится личным опытом: от первых экспериментов с контейнерами и осознания их ограничений до построения полноценной инфраструктуры на мини-ПК. В статье подробно разбираются этапы выбора и подготовки оборудования, настройка сети и операционной системы, особенности работы с Kubernetes для новичков, а также запуск первых виртуальных машин и организация отказоустойчивого хранилища данных. Материал будет полезен тем, кто хочет разобраться в современных подходах к управлению инфраструктурой и попробовать реализовать собственный проект виртуализации у себя дома.

https://habr.com/ru/companies/flant/articles/928114/

#deckhouse #deckhouse_virtualization_platform #dvp #deckhouse_kubernetes_platform #виртуализация #kubevirt #домашняя_виртуализация #виртуализация_в_контейнерах #кластер_виртуализации #kubernetes

Распределённый инференс и шардирование LLM. Часть 1: настройка GPU, проброс в Proxmox и настройка Kubernetes

Когда модель DeepSeek R1 стала широко обсуждаться в сообществе, я заинтересовался, можно ли эффективно использовать её и другие крупные модели в домашних условиях, не прибегая к дорогостоящим облачным сервисам. Поскольку DevOps и инфраструктурой я увлекаюсь уже несколько лет, у меня постепенно сформировалась домашняя лаборатория, на которой я и решил проверить эту идею. Эта статья в трёх частях — результат моего опыта в решении этой задачи. Внутри вас ждёт пошаговое руководство по реализации бюджетного распределённого инференса с использованием Ray Serve, vLLM, Kubernetes, Proxmox и других технологий. В первой части мы разберём настройку GPU и его проброс в Proxmox, развернём Kubernetes-кластер, установим GPU Operator и KubeRay Operator. Поехали!

https://habr.com/ru/companies/flant/articles/906700/

#llm #ml #ai #gpu #proxmox #deckhouse_kubernetes_platform #kubernetes #pci_passthrough