Основы DevOps инженерии

Этот курс предоставляет фундаментальные знания о методологии DevOps, объединяющей разработку и эксплуатацию программного обеспечения. Студенты изучат автоматизацию процессов, настройку CI/CD, работу с контейнерами и управление облачной инфраструктурой.

1. Введение в культуру DevOps, методологии и жизненный цикл разработки ПО

Введение в культуру DevOps, методологии и жизненный цикл разработки ПО

Добро пожаловать на курс «Основы DevOps инженерии». Мы начинаем наше путешествие с фундаментальных понятий. Часто новички ошибочно полагают, что DevOps — это просто набор инструментов (Docker, Kubernetes, Jenkins) или должность человека, который «чинит серверы». На самом деле, это гораздо большее. Это философия, культура и методология, которая изменила IT-индустрию навсегда.

В этой статье мы разберем, почему возникла необходимость в DevOps, как это связано с историей разработки программного обеспечения и из каких этапов состоит жизненный цикл современного приложения.

Проблема: Стена непонимания

Чтобы понять суть DevOps, нужно вернуться немного назад во времени. Традиционно в IT-компаниях существовало два изолированных лагеря:

  • Разработчики (Dev — Developers): Их задача — создавать новые функции, писать код и внедрять инновации. Они мотивированы изменениями. Чем быстрее они доставят новую фичу пользователю, тем лучше они выполнили свою работу.
  • Эксплуатация (Ops — Operations/Admins): Их задача — обеспечивать стабильность, надежность и доступность серверов. Они мотивированы стабильностью. Любое изменение в системе — это потенциальный риск сбоя. Поэтому их девиз: «Работает — не трогай».

    • Этот конфликт интересов создавал так называемую «Стену непонимания» (Wall of Confusion).

    !Метафора "Стены непонимания", где разработчики просто перебрасывают код через стену, не заботясь о том, как он будет работать, а администраторы вынуждены разбираться с последствиями.

    В классической модели разработчики писали код и «перебрасывали его через стену» отделу эксплуатации. Если код не работал на боевых серверах (продакшене), разработчики говорили: «На моей машине всё работает, это проблема ваших серверов». Администраторы же отвечали: «Серверы настроены верно, это ваш код кривой».

    DevOps (Development + Operations) — это методология, призванная разрушить эту стену, объединив людей, процессы и инструменты для быстрой и надежной доставки ПО.

    Эволюция методологий: От Waterfall к DevOps

    Понимание DevOps невозможно без контекста методологий разработки.

    Waterfall (Каскадная модель)

    Раньше разработка велась по каскадной модели. Это строгая последовательность этапов:

  • Написание технического задания.
  • Проектирование.
  • Разработка.
  • Тестирование.
  • Внедрение.

    • Переход на следующий этап был возможен только после полного завершения предыдущего. Релизы (выпуск новых версий) происходили редко — раз в полгода или год. Если на этапе тестирования находилась критическая ошибка, приходилось возвращаться в самое начало. Это было медленно, дорого и рискованно.

    Agile (Гибкая методология)

    В 2001 году появился Agile Manifesto. Индустрия поняла, что мир меняется слишком быстро для Waterfall. Agile предложил:

    * Разбивать работу на короткие итерации (спринты). * Выпускать рабочее ПО часто. * Быстро реагировать на изменения.

    Agile решил проблему скорости разработки, но не решил проблему эксплуатации. Разработчики стали писать код быстрее, но «бутылочное горлышко» сместилось на этап развертывания (деплоя). Администраторы просто не успевали выкладывать обновления с той скоростью, с которой их создавали Agile-команды.

    DevOps как продолжение Agile

    DevOps можно назвать логическим продолжением Agile, которое расширяет принципы гибкости за пределы команды разработки, захватывая и отдел эксплуатации. Если Agile — это про то, как быстро написать код, то DevOps — это про то, как быстро и надежно донести этот код до пользователя.

    Культура DevOps и модель CALMS

    DevOps — это не то, что можно «купить» или «установить». Это культурный сдвиг. Для описания основных принципов DevOps часто используют аббревиатуру CALMS.

    1. Culture (Культура)

    Это фундамент. Культура DevOps подразумевает: * Общая ответственность: Нет «твоего» или «моего» кода, есть общий продукт. Если продакшен упал, это проблема всей команды, а не только админа. * Отсутствие страха ошибки: Ошибки воспринимаются как возможность для обучения, а не повод для наказания (Blame-free culture). * Коммуникация: Разработчики и инженеры эксплуатации общаются ежедневно, а не только во время аварий.

    2. Automation (Автоматизация)

    Ручной труд — враг DevOps. Люди медлительны и склонны ошибаться. Всё, что можно автоматизировать, должно быть автоматизировано: * Сборка кода. * Тестирование. * Настройка серверов (Infrastructure as Code). * Развертывание приложений.

    3. Lean (Бережливое производство)

    Принцип пришел из производственной системы Toyota. Основная идея — устранение потерь и создание ценности. * Маленькие партии: Лучше выкатывать по одному небольшому изменению 10 раз в день, чем одно гигантское обновление раз в месяц. Маленькие изменения легче тестировать и проще откатить в случае сбоя.

    4. Measurement (Измерение/Метрики)

    Нельзя улучшить то, что нельзя измерить. В DevOps мы измеряем всё: * Бизнес-метрики (количество продаж, пользователей). * Технические метрики (время отклика сервера, количество ошибок). * Метрики процессов (как долго код идет от коммита до продакшена).

    5. Sharing (Обмен знаниями)

    Знания не должны замыкаться на одном «незаменимом» сотруднике (Bus factor). Команды делятся опытом, пишут документацию и проводят совместные разборы инцидентов.

    Жизненный цикл разработки ПО (SDLC) в DevOps

    В классическом подходе жизненный цикл (Software Development Life Cycle — SDLC) был линейным. В DevOps он представляет собой бесконечный цикл (Infinity Loop).

    !Классическая диаграмма "DevOps Infinity Loop", показывающая непрерывность процесса разработки и эксплуатации.

    Давайте разберем каждый этап этого цикла:

    Левая часть (Dev — Разработка)

  • Plan (Планирование): Команда определяет задачи, требования и приоритеты. Используются трекеры задач (Jira, Trello).
  • Code (Написание кода): Разработчики пишут код на своих локальных машинах и сохраняют его в системе контроля версий (Git).
  • Build (Сборка): Код преобразуется в исполняемые файлы или артефакты (например, Docker-образы). Здесь проверяются зависимости и компилируется программа.
  • Test (Тестирование): Автоматические тесты проверяют качество кода. Это могут быть юнит-тесты, интеграционные тесты, тесты безопасности.

    • Правая часть (Ops — Эксплуатация)

  • Release (Релиз): Подготовка проверенной сборки к отправке. Принятие решения о выпуске версии.
  • Deploy (Развертывание): Автоматическая доставка приложения на серверы (тестовые или боевые). Приложение запускается и становится доступным пользователям.
  • Operate (Эксплуатация): Поддержка работы приложения. Управление масштабированием, ресурсами и инфраструктурой.
  • Monitor (Мониторинг): Сбор данных о работе системы в реальном времени. Логи, метрики производительности, отзывы пользователей. Данные с этого этапа становятся основой для этапа Plan следующего цикла.

    • Ключевые практики: CI/CD

    Чтобы этот цикл вращался быстро и без сбоев, используется практика CI/CD.

    * CI (Continuous Integration — Непрерывная интеграция): Практика, при которой разработчики часто (несколько раз в день) сливают свой код в общий репозиторий. Каждое слияние запускает автоматическую сборку и тестирование. Это позволяет выявлять ошибки на ранних стадиях. * CD (Continuous Delivery/Deployment — Непрерывная доставка/развертывание): Практика, которая автоматизирует путь кода после сборки до продакшена. В идеальном DevOps-мире путь от сохранения кода программистом до появления новой кнопки на сайте у пользователя происходит полностью автоматически и занимает минуты.

    Зачем бизнесу нужен DevOps?

    В конечном итоге, DevOps — это про бизнес. Компании внедряют эти практики ради конкретных преимуществ:

  • Time to Market (Скорость выхода на рынок): Компании могут выпускать новые фичи быстрее конкурентов.
  • Стабильность: Автоматизация снижает человеческий фактор, а частые мелкие релизы снижают риск глобальных сбоев.
  • Безопасность: Внедрение проверок безопасности на ранних этапах (DevSecOps) делает продукт защищеннее.

    • Заключение

    DevOps — это мост между идеей и её реализацией. Это отказ от обвинений в пользу сотрудничества и отказ от рутины в пользу автоматизации. В следующих статьях курса мы будем детально разбирать инструменты и технические практики, которые позволяют реализовать эту философию на практике. Но помните: инструменты бесполезны, если нет правильной культуры.

    В следующем уроке мы углубимся в основы Linux и работу с командной строкой — главным инструментом любого DevOps-инженера.

    2. Системы контроля версий Git и построение процессов CI/CD

    Системы контроля версий Git и построение процессов CI/CD

    В предыдущей лекции мы обсудили культуру DevOps и выяснили, что это не просто набор инструментов, а философия взаимодействия. Однако, чтобы эта философия работала на практике, ей нужен надежный технический фундамент. Этим фундаментом являются системы контроля версий (VCS) и автоматизированные конвейеры CI/CD.

    Сегодня мы разберем, как команды управляют изменениями в коде, чтобы не наступать друг другу на пятки, и как превратить процесс доставки обновлений из ручной рутины в автоматический конвейер.

    Git: Машина времени для вашего проекта

    Представьте, что вы пишете дипломную работу. Вы сохраняете файлы: diplom_final.doc, diplom_final_v2.doc, diplom_tochno_final.doc. Это примитивная форма контроля версий. В разработке ПО, где над одним проектом работают десятки или сотни людей, такой подход приведет к катастрофе.

    Система контроля версий (Version Control System, VCS) — это программное обеспечение, которое региструет изменения в одном или нескольких файлах с течением времени, чтобы вы могли вернуться к определенной версии позже.

    Стандартом де-факто в современном мире DevOps является Git. Это распределенная система, созданная Линусом Торвальдсом (создателем Linux) в 2005 году.

    Основные концепции Git

    Чтобы понимать DevOps, нужно мыслить терминами Git. Давайте разберем ключевые понятия:

  • Репозиторий (Repository): Это хранилище вашего проекта. Оно содержит все файлы проекта и, что самое важное, историю всех изменений, сделанных когда-либо.
  • Коммит (Commit): Это «снимок» (snapshot) состояния вашего проекта в конкретный момент времени. Каждый коммит имеет уникальный идентификатор (хеш) и сообщение от автора, объясняющее, что и зачем было изменено.
  • Ветка (Branch): Это параллельная версия вашего репозитория. Представьте, что вы хотите поэкспериментировать с новой функцией, не ломая основной работающий код. Вы создаете «ответвление» (ветку), работаете в ней, и только когда всё готово, вливаете изменения обратно.
  • Слияние (Merge): Процесс объединения изменений из одной ветки в другую.

    • !Визуализация процесса ветвления и слияния: создание отдельной ветки для разработки новой функции и последующее объединение с основной веткой.

    Почему Git важен для DevOps?

    В методологии DevOps код — это единственный источник правды (Single Source of Truth). В Git хранится не только код приложения, но и:

    * Инфраструктура как код (IaC): Описания серверов и сетей. * Конфигурации: Настройки окружений. * Скрипты автоматизации: Инструкции для сборки и тестов.

    Это позволяет применять практики разработки (тестирование, ревью кода, версионирование) к управлению инфраструктурой.

    CI/CD: Сердце автоматизации

    Если Git — это «склад» и «летопись» проекта, то CI/CD — это заводской конвейер, который берет сырье (код) и превращает его в готовый продукт (работающее приложение).

    Аббревиатура CI/CD расшифровывается как Continuous Integration (Непрерывная интеграция) и Continuous Delivery / Deployment (Непрерывная доставка / развертывание).

    Continuous Integration (CI)

    Непрерывная интеграция — это практика, при которой разработчики часто (минимум раз в день) сливают свои изменения в основную ветку репозитория. Каждое слияние запускает автоматический процесс сборки и тестирования.

    Главная цель CI: Найти ошибки как можно раньше.

    Как это работает пошагово:

  • Разработчик пишет код и отправляет (push) его в репозиторий.
  • CI-сервер (например, Jenkins, GitLab CI, GitHub Actions) видит новый код.
  • Сборка (Build): Сервер пытается собрать проект (скомпилировать код, собрать Docker-образ). Если код синтаксически неверен, сборка упадет.
  • Тестирование (Test): Запускаются автоматические тесты (юнит-тесты, линтеры). Они проверяют, не сломали ли новые изменения старый функционал.

    • Если на любом этапе возникает ошибка, команда мгновенно получает уведомление. Исправить баг, который появился 10 минут назад, в сотни раз дешевле, чем исправлять баг, который жил в системе месяц.

    Continuous Delivery vs. Continuous Deployment (CD)

    Вторая часть аббревиатуры (CD) может означать два разных, но похожих понятия. Разница — в степени автоматизации финального шага.

  • Continuous Delivery (Непрерывная доставка): Это подход, при котором код проходит все проверки и готов к релизу в любой момент. Артефакт сборки (например, установочный файл или образ контейнера) автоматически загружается в репозиторий артефактов. Но нажатие кнопки «Развернуть на продакшен» делает человек.
  • Continuous Deployment (Непрерывное развертывание): Это высший пилотаж автоматизации. Если код прошел все тесты, он автоматически попадает к пользователям без участия человека.

    • > Continuous Delivery — это когда вы можете нажать кнопку, чтобы задеплоить. Continuous Deployment — это когда кнопки нет, потому что она нажимается сама.

    !Схема конвейера CI/CD, показывающая этапы прохождения кода от написания до развертывания и разницу между Delivery и Deployment.

    Анатомия пайплайна (Pipeline)

    Процесс, описанный выше, называется пайплайном (трубопроводом). Давайте рассмотрим пример типичного пайплайна для веб-приложения:

  • Commit: Разработчик Василий исправляет ошибку в корзине покупок и делает git push.
  • Lint: Система проверяет стиль кода (расставлены ли пробелы, правильные ли отступы).
  • Unit Tests: Запускаются тесты, проверяющие работу отдельных функций (правильно ли считается сумма товаров).
  • Build: Приложение упаковывается в Docker-контейнер.
  • Integration Tests: Контейнер запускается во временном окружении, и робот проверяет, работает ли корзина в связке с базой данных.
  • Deploy to Staging: Если всё хорошо, приложение обновляется на тестовом сервере (Staging), где его могут посмотреть тестировщики или менеджеры.
  • Deploy to Production: После одобрения (или автоматически) новая версия корзины становится доступна покупателям.

    • Взаимосвязь Git и CI/CD

    Эти две технологии неразрывны. Git является триггером (спусковым крючком) для CI/CD.

    * Создание Pull Request (запроса на слияние) может запускать предварительные тесты. * Слияние в ветку main может запускать деплой на продакшен. * Создание тега (например, v1.0) может запускать создание официального релиза.

    Преимущества связки Git + CI/CD

    Внедрение этих инструментов дает бизнесу и команде ощутимые плюсы:

  • Скорость: Ручная сборка и копирование файлов на сервер могут занимать часы. Робот делает это за минуты.
  • Снижение рисков: Человек может забыть скопировать файл конфигурации или запустить скрипт миграции базы данных. Скрипт пайплайна не забывает ничего.
  • Быстрая обратная связь: Разработчик узнает о проблеме сразу, а не через неделю от разгневанного клиента.
  • Прозрачность: В Git видно, кто и что менял. В CI/CD видно, какая версия сейчас работает на сервере и как она туда попала.

    • Заключение

    Git и CI/CD — это «кровеносная система» DevOps. Git хранит ДНК вашего проекта, а CI/CD обеспечивает постоянное движение и обновление клеток организма-продукта. Без понимания этих инструментов невозможно построить надежную и гибкую инфраструктуру.

    В следующей статье мы перейдем от процессов к конкретным технологиям упаковки приложений и разберем, что такое контейнеризация и Docker, и почему фраза «на моей машине работает» больше не является оправданием.

    3. Основы контейнеризации с Docker и оркестрация приложений в Kubernetes

    Основы контейнеризации с Docker и оркестрация приложений в Kubernetes

    В предыдущих статьях мы разобрали, как писать код, сохранять его историю в Git и автоматически проверять с помощью CI/CD. Но остался один критически важный вопрос: где и как этот код будет работать?

    Каждый разработчик хотя бы раз в жизни произносил фразу: «Но на моей машине это работает!». Это классическая проблема разработки: окружение программиста (версии библиотек, настройки ОС) отличается от окружения на сервере (продакшене). Сегодня мы разберем технологии, которые раз и навсегда решили эту проблему: Docker и Kubernetes.

    Проблема: «Ад зависимостей» и виртуализация

    Чтобы понять революционность контейнеров, нужно вспомнить, как мы жили раньше. До появления Docker основным способом изоляции приложений была аппаратная виртуализация (Virtual Machines — VM).

    Представьте, что у вас есть мощный физический сервер. Чтобы запустить на нем три разных приложения (например, сайт, базу данных и почтовый сервер), вы создавали три виртуальные машины. Каждая виртуальная машина — это полноценный компьютер внутри компьютера. У неё есть:

  • Своя операционная система (Guest OS).
  • Выделенная оперативная память и процессорное время.
  • Свои библиотеки и файлы.

    • Это надежно, но очень «дорого» с точки зрения ресурсов. Если вашему приложению нужно всего 10 МБ памяти, виртуальная машина всё равно займет гигабайты под свою операционную систему. Это похоже на то, как если бы каждому жильцу дома строили отдельный фундамент, крышу и подводили отдельные коммуникации, вместо того чтобы поселить их в квартиры одного здания.

    Контейнеризация: Легкость и скорость

    Контейнеризация предлагает другой подход. Вместо того чтобы виртуализировать «железо», мы виртуализируем операционную систему.

    Контейнеры — это изолированные процессы, которые делят ядро операционной системы хоста (основного сервера), но имеют свое собственное изолированное пространство для файлов и библиотек.

    !Сравнение архитектуры виртуальных машин и контейнеров: контейнеры используют общее ядро ОС, что делает их значительно легче.

    Преимущества контейнеров перед VM:

    * Скорость: Контейнер запускается за миллисекунды, так как ему не нужно загружать ОС. * Легковесность: Образ контейнера весит мегабайты, а не гигабайты. * Портативность: Контейнер гарантированно работает одинаково везде: на ноутбуке разработчика, на тестовом сервере и в облаке.

    Docker: Стандарт индустрии

    Docker — это платформа, которая сделала технологию контейнеризации доступной и удобной для всех. Это инструмент для создания, доставки и запуска контейнеров.

    Чтобы понять Docker, нужно запомнить три ключевых понятия:

    1. Dockerfile (Инструкция)

    Это простой текстовый файл, в котором описано, как собрать ваше приложение. Это рецепт. В нем написано: * Возьми за основу Linux Alpine. * Установи Python 3.9. * Скопируй код моего приложения в папку /app. * Запусти команду python main.py.

    2. Docker Image (Образ)

    Когда вы «готовите» по рецепту (Dockerfile), получается Образ. Это неизменяемый файл, «слепок» вашего приложения со всеми библиотеками. Образ можно передать коллеге, и у него будет точная копия вашей среды.

    3. Docker Container (Контейнер)

    Это запущенная версия образа. Если Образ — это класс в программировании, то Контейнер — это объект этого класса. Из одного образа можно запустить сотни одинаковых контейнеров.

    Docker Registry

    Где хранить образы? В реестре (Registry). Самый популярный — Docker Hub. Это как GitHub, только для скомпилированных контейнеров, а не для исходного кода.

    Пример простого цикла работы:

  • Разработчик пишет код.
  • Описывает среду в Dockerfile.
  • Командой docker build создает образ.
  • Командой docker push отправляет образ в реестр.
  • На сервере администратор делает docker run, и приложение запускается.

    • Оркестрация: Когда контейнеров становится слишком много

    Docker отлично справляется с управлением одним контейнером или несколькими на одном сервере. Но что, если у вас:

    * Высоконагруженный сервис типа Netflix или Uber? * Тысячи контейнеров? * Сотни серверов?

    Вам нужно следить, чтобы контейнеры не падали, перезапускать их при сбоях, распределять нагрузку между серверами и обновлять версии без простоя. Вручную это сделать невозможно.

    Здесь на сцену выходит Оркестрация. Оркестратор — это «дирижер», который управляет большим ансамблем контейнеров.

    Kubernetes (K8s): Капитан корабля

    Kubernetes (сокращенно K8s, так как между 'K' и 's' восемь букв) — это система оркестрации контейнеров с открытым исходным кодом, изначально разработанная Google.

    Название происходит от греческого слова, означающего «рулевой» или «пилот». Если Docker — это контейнер на грузовом судне, то Kubernetes — это система управления портом и самим кораблем.

    !Упрощенная архитектура кластера Kubernetes: управляющий узел (Master) контролирует рабочие узлы (Workers), на которых запущены поды с приложениями.

    Основные концепции Kubernetes

    Kubernetes оперирует не контейнерами напрямую, а более сложными абстракциями. Давайте разберем самые важные:

    #### 1. Кластер (Cluster) Это совокупность всех ваших серверов (физических или виртуальных), объединенных в единую систему под управлением Kubernetes. Для разработчика кластер выглядит как один гигантский суперкомпьютер.

    #### 2. Нода (Node) Это один сервер (машина) в кластере. Ноды бывают двух типов: * Master Node (Control Plane): «Мозг» кластера. Принимает решения, планирует работы. * Worker Node: «Мускулы» кластера. Здесь запускаются ваши приложения.

    #### 3. Под (Pod) Это минимальная единица в Kubernetes. Pod — это «чехол» для одного или нескольких тесно связанных контейнеров. Обычно в одном поде живет один контейнер Docker. Kubernetes управляет подами, а не контейнерами напрямую.

    #### 4. Деплоймент (Deployment) Это инструкция, которая говорит кластеру: «Я хочу, чтобы у меня всегда было запущено 3 копии моего сайта версии 2.0». Deployment следит за тем, чтобы это желание исполнялось.

    #### 5. Сервис (Service) Это «адресная книга» или стабильный сетевой интерфейс. Поды могут умирать и рождаться заново (у них меняются IP-адреса), но Сервис перенаправляет трафик на живые поды, скрывая эту динамику от пользователя.

    Магия Kubernetes: Self-healing и Scaling

    За что DevOps-инженеры любят Kubernetes?

  • Self-healing (Самовосстановление): Если контейнер упал из-за ошибки, Kubernetes это заметит и перезапустит его. Если упал целый сервер (Нода), Kubernetes перенесет все работавшие там поды на другой, здоровый сервер. Система стремится к желаемому состоянию.
  • Autoscaling (Автомасштабирование): Если на ваш сайт пришло много пользователей (например, «Черная пятница»), Kubernetes может автоматически добавить новые поды, чтобы справиться с нагрузкой. Когда нагрузка спадет, он удалит лишние, экономя ресурсы.
  • Rolling Updates (Обновления без простоя): Вы можете выкатить новую версию приложения так, что пользователи не заметят перерыва в работе. Kubernetes будет постепенно заменять старые поды на новые.

    • Декларативный подход: Infrastructure as Code

    Важная особенность Kubernetes — он декларативен. Вы не говорите ему, как сделать (императивный подход), вы говорите, что хотите получить.

    Вы пишете YAML-файл (манифест): > «Я хочу 5 копий приложения Nginx».

    Вы скармливаете этот файл Kubernetes командой kubectl apply. Дальше система сама решает, на каких серверах их запустить, как скачать образы и как их соединить. Это идеально ложится в концепцию GitOps, когда описание инфраструктуры хранится в Git.

    Итог: Полная картина DevOps

    Теперь мы можем собрать пазл из трех статей воедино:

  • Code: Разработчик пишет код и отправляет его в Git.
  • CI: Система CI (Jenkins/GitLab) видит изменения, запускает тесты.
  • Build: Если тесты прошли, CI собирает Docker-образ.
  • CD: Система CD отправляет команду в Kubernetes: «Обнови версию приложения до новой».
  • Run: Kubernetes плавно заменяет старые контейнеры на новые.

    • В результате мы получаем надежную, автоматизированную и масштабируемую систему доставки ценности пользователю.

    В следующей статье мы поговорим о том, как следить за всем этим хозяйством — о мониторинге и логировании (Prometheus, Grafana, ELK Stack), потому что даже самые надежные системы требуют присмотра.

    4. Инфраструктура как код (IaC) и управление конфигурациями с Terraform и Ansible

    Инфраструктура как код (IaC) и управление конфигурациями с Terraform и Ansible

    В предыдущих модулях мы научились упаковывать приложения в контейнеры Docker и управлять ими с помощью Kubernetes. Мы создали идеальный конвейер CI/CD, который доставляет код от ноутбука разработчика до репозитория. Но остался один гигантский пробел в нашей схеме.

    Где физически (или виртуально) работают эти контейнеры? Откуда берется кластер Kubernetes? Кто настраивает сеть, брандмауэры и балансировщики нагрузки?

    Раньше этим занимались системные администраторы вручную: заходили в панель управления облачного провайдера или в серверную стойку и настраивали всё «руками». Сегодня мы вступаем в эру Infrastructure as Code (IaC).

    Что такое Infrastructure as Code (IaC)?

    Инфраструктура как код (IaC) — это подход к управлению инфраструктурой (серверами, сетями, базами данных) через конфигурационные файлы, а не через ручную настройку.

    Представьте, что вам нужно развернуть 50 серверов.

    * Ручной подход (ClickOps): Вы заходите в консоль AWS/Google Cloud, 50 раз нажимаете «Создать сервер», 50 раз выбираете тип процессора, 50 раз настраиваете IP-адреса. Это долго, скучно и гарантирует ошибки. * Подход IaC: Вы пишете один текстовый файл, в котором сказано: count = 50. Запускаете скрипт, и через 5 минут у вас 50 идентичных серверов.

    !Визуализация разницы между ручной настройкой и подходом IaC.

    Преимущества IaC

  • Скорость: Развертывание занимает минуты, а не дни.
  • Версионирование: Так как инфраструктура — это теперь код, мы можем хранить его в Git. Мы видим историю изменений: кто, когда и зачем открыл порт 8080.
  • Идемпотентность: Сложное слово, означающее простую вещь: сколько бы раз вы ни запускали код, результат будет одинаковым. Если вы запустите скрипт создания сервера дважды, IaC-инструмент увидит, что сервер уже есть, и ничего не сделает (в отличие от простого bash-скрипта, который может создать дубликат).
  • Документация: Код сам по себе является документацией. Не нужно писать инструкции в Word, которые устаревают через неделю.

    • В мире IaC существует два основных направления инструментов:

  • Provisioning (Создание ресурсов): Инструменты, которые создают само «железо» (виртуальные машины, сети, базы данных). Лидер здесь — Terraform.
  • Configuration Management (Управление конфигурациями): Инструменты, которые настраивают софт внутри уже созданных серверов (установка Nginx, правка конфигов, создание пользователей). Лидер здесь — Ansible.

    • Разберем их по порядку.

    Terraform: Строитель фундамента

    Terraform — это инструмент с открытым исходным кодом от компании HashiCorp. Он позволяет описывать инфраструктуру на декларативном языке HCL (HashiCorp Configuration Language).

    Главная фишка Terraform — он агностик облаков. С его помощью можно управлять ресурсами в AWS, Google Cloud, Azure, Yandex Cloud и даже локальным VMware, используя единый синтаксис.

    Как работает Terraform?

    Terraform работает в три этапа:

  • Write (Написание): Вы описываете желаемое состояние.
  • Plan (Планирование): Terraform сравнивает то, что вы написали, с тем, что реально существует в облаке, и показывает вам план действий (что он добавит, изменит или удалит).
  • Apply (Применение): Terraform выполняет план, обращаясь к API облачного провайдера.

    • Пример кода на Terraform

    Допустим, мы хотим создать виртуальную машину в AWS. Код будет выглядеть примерно так:

    Вам не нужно знать, какие API-запросы отправлять в AWS. Вы просто говорите: «Я хочу ресурс типа aws_instance».

    State File (Файл состояния)

    У Terraform есть «память» — файл terraform.tfstate. В нем он хранит информацию о том, какие ресурсы он уже создал.

    > Важно: Никогда не удаляйте и не редактируйте файл состояния вручную. Это мозг Terraform. Если вы его удалите, Terraform «забудет», что серверы существуют, и при следующем запуске создаст их дубликаты.

    Ansible: Мастер интерьера

    Если Terraform построил нам «дом» (сервер), то теперь в него нужно завезти мебель, покрасить стены и подключить электричество (установить Docker, настроить Nginx, скопировать код приложения). Этим занимается Ansible.

    Ansible — это инструмент управления конфигурациями, написанный на Python. Его главные отличия:

  • Agentless (Без агентов): Вам не нужно устанавливать никакие специальные программы на управляемые серверы. Ansible подключается к ним по стандартному протоколу SSH (как вы делаете это через терминал).
  • YAML: Сценарии настройки пишутся на простом и читаемом языке YAML.

    • !Архитектура Ansible: управляющий узел подключается к целевым серверам по SSH без установки агентов.

    Основные компоненты Ansible

  • Inventory (Инвентарь): Текстовый файл, где перечислены IP-адреса ваших серверов.
  • Playbook (Плейбук): Файл сценария, где описано, что нужно сделать. Плейбук состоит из «игр» (plays), а игры — из задач (tasks).

    • Пример Playbook

    Давайте напишем задачу: установить веб-сервер Nginx и убедиться, что он запущен.

    Обратите внимание на декларативность. Мы не пишем команды apt-get install nginx. Мы используем модуль apt и говорим state: present (состояние: присутствует). Если Nginx уже установлен, Ansible ничего не сделает. Это и есть идемпотентность.

    Terraform + Ansible: Идеальный дуэт

    Часто новички спрашивают: «Что лучше, Terraform или Ansible?». Это неправильный вопрос. Они решают разные задачи и лучше всего работают в связке.

    | Характеристика | Terraform | Ansible | | :--- | :--- | :--- | | Основная цель | Оркестрация инфраструктуры (Provisioning) | Управление конфигурацией (Configuration Management) | | Что создает? | Виртуальные машины, сети, базы данных, балансировщики | Устанавливает ПО, правит конфиги, управляет пользователями | | Язык | HCL (декларативный) | YAML (процедурно-декларативный) | | Управление состоянием | Строгое (State file) | Менее строгое (проверяет текущее состояние перед действием) |

    Типичный рабочий процесс DevOps-инженера:

  • Запускается Terraform. Он обращается к облаку и создает пустые виртуальные машины, настраивает сеть и группы безопасности.
  • Terraform передает IP-адреса созданных машин в Ansible.
  • Запускается Ansible. Он подключается к этим новым машинам по SSH, устанавливает туда Docker, Kubernetes или ваше приложение.

    • Immutable Infrastructure (Неизменяемая инфраструктура)

    С приходом Docker и Kubernetes роль Ansible немного меняется. В современной парадигме мы стремимся к Неизменяемой инфраструктуре.

    Идея в том, что мы не обновляем серверы (не делаем apt-get update), а заменяем их.

  • Мы собираем Docker-образ с новой версией приложения.
  • Terraform (или Kubernetes) убивает старый контейнер/сервер.
  • И запускает новый из нового образа.

    • В этом случае Ansible часто используется для создания «золотых образов» (базовой настройки сервера, на котором потом будет жить Docker) или для первоначальной настройки кластера Kubernetes.

    Заключение

    Инфраструктура как код — это фундамент надежности. Она позволяет восстановить весь ваш дата-центр с нуля за считанные минуты в случае катастрофы. Terraform дает вам стены и крышу, а Ansible делает этот дом пригодным для жизни.

    Теперь, когда у нас есть код приложения (Git), автоматическая сборка (CI/CD), среда исполнения (Docker/K8s) и автоматизированная инфраструктура (Terraform/Ansible), нам нужно научиться видеть, что происходит внутри этой сложной системы.

    В следующей, заключительной статье курса мы поговорим о «глазах и ушах» DevOps-инженера — системах мониторинга и логирования.

    5. Мониторинг, логирование систем и введение в практики DevSecOps

    Мониторинг, логирование систем и введение в практики DevSecOps

    Поздравляю! Вы прошли огромный путь. Мы начали с философии DevOps, научились управлять кодом в Git, построили конвейеры CI/CD, упаковали приложения в Docker, запустили их в Kubernetes и даже автоматизировали создание серверов с помощью Terraform и Ansible.

    Казалось бы, работа закончена? На самом деле, всё только начинается.

    Представьте, что вы построили великолепный завод (инфраструктуру), установили новейшие станки (Kubernetes) и запустили конвейер (CI/CD). Но как вы узнаете, что один из станков перегрелся? Как поймете, что на складе закончилось сырье? Или что ночью на завод проникли посторонние?

    В этой заключительной статье мы поговорим о «глазах и ушах» инженера — системах мониторинга и логирования, а также обсудим, как защитить нашу систему с помощью практик DevSecOps.

    Наблюдаемость (Observability): Больше, чем просто мониторинг

    В современном DevOps часто используют термин Observability (Наблюдаемость). Это свойство системы, которое позволяет понять её внутреннее состояние на основе внешних данных. Наблюдаемость строится на трех китах:

  • Метрики (Metrics): Числовые данные, показывающие состояние системы в конкретный момент времени (например, загрузка процессора 50%).
  • Логи (Logs): Текстовые записи о событиях (например, «Ошибка подключения к базе данных в 14:00»).
  • Трейсинг (Tracing): Отслеживание пути запроса через множество микросервисов.

    • Разберем их подробнее.

    Мониторинг и Метрики

    Мониторинг — это процесс сбора, агрегации и анализа метрик. Метрики отвечают на вопрос «Что происходит?».

    Представьте приборную панель автомобиля. Спидометр показывает 60 км/ч, тахометр — 3000 оборотов, датчик бензина — половину бака. Это метрики. Если стрелка температуры уходит в красную зону — это инцидент.

    Типы метрик

  • Инфраструктурные метрики: Здоровье «железа» и ОС.
    • * CPU Load (Загрузка процессора). * Memory Usage (Использование оперативной памяти). * Disk I/O (Скорость записи на диск). * Network Traffic (Сетевой трафик).
  • Метрики приложений: Здоровье самого кода.
    • * Количество запросов в секунду (RPS). * Время ответа сервера (Latency). * Количество ошибок (HTTP 500).
  • Бизнес-метрики: То, что важно для денег.
    • * Количество регистраций за час. * Сумма заказов в корзине. * Количество активных пользователей.

    Четыре золотых сигнала (The Four Golden Signals)

    Инженеры Google SRE (Site Reliability Engineering) выделили четыре главных сигнала, за которыми нужно следить в любой системе:

  • Latency (Задержка): Как долго обрабатывается запрос.
  • Traffic (Трафик): Какова нагрузка на систему (например, запросов в секунду).
  • Errors (Ошибки): Какой процент запросов завершается неудачей.
  • Saturation (Насыщение): Насколько система «забита» (например, очередь задач).

    • Инструменты мониторинга

    Стандартом де-факто в мире Kubernetes и микросервисов стала связка Prometheus + Grafana.

    Prometheus: Это сервер, который собирает метрики. Он работает по модели Pull*: раз в несколько секунд он «опрашивает» ваши сервисы и сохраняет их текущее состояние в свою базу данных временных рядов (Time Series Database). * Grafana: Это инструмент визуализации. Он берет сухие цифры из Prometheus и строит красивые, понятные графики и дашборды.

    !Архитектура сбора метрик: Prometheus собирает данные с приложений, а Grafana визуализирует их.

    Логирование: Память системы

    Если метрики говорят нам, что система тормозит, то логи помогают понять, почему это происходит. Логи — это хронология событий.

    Раньше, когда у нас был один сервер, мы просто заходили на него по SSH и читали файл /var/log/syslog. В мире микросервисов и Kubernetes, где сотни контейнеров рождаются и умирают ежеминутно, файлы внутри контейнеров исчезают вместе с ними.

    Поэтому нам нужно Централизованное логирование.

    ELK Stack (Elastic Stack)

    Самое популярное решение для сбора логов — это стек ELK:

  • Logstash (или Fluentd): Сборщик. Он стоит на каждом сервере, собирает логи, фильтрует их и отправляет в хранилище.
  • Elasticsearch: Хранилище и поисковик. Это мощная база данных, которая умеет очень быстро искать текст.
  • Kibana: Визуализатор. Веб-интерфейс, где вы можете вбить в поиск «Error 500» и увидеть все логи с этой ошибкой за последнюю неделю.

    • > Совет: Всегда пишите логи в формате JSON. Компьютеру гораздо проще прочитать {"status": "error", "code": 500}, чем разбирать неструктурированный текст «Error happened at 5pm with code 500».

    Alerting (Оповещения)

    Смотреть на графики 24/7 невозможно. Система должна сама позвать человека, если что-то сломалось. Это называется Alerting.

    Правила хорошего тона в настройке алертов:

    * Избегайте Alert Fatigue (Усталость от оповещений): Если телефон инженера звонит каждые 5 минут из-за мелочей, он перестанет реагировать на реальные аварии. Оповещайте только о том, что требует немедленного вмешательства. * Разделяйте каналы: Критические ошибки (сайт лежит) — звонок или SMS. Предупреждения (диск заполнится через неделю) — тикет в Jira или сообщение в Slack/Telegram.

    Математика доступности (SLA)

    В мониторинге часто используют понятие доступности (Availability). Она измеряется в «девятках». Например, доступность 99.9% означает, что сервис может не работать определенное время в год.

    Формула расчета доступности:

    Где — доступность в процентах, — время, когда сервис работал корректно, а — общее время наблюдения (например, год или месяц).

    Если мы хотим достичь «трех девяток» (99.9%), то допустимое время простоя в год составляет около 8 часов 45 минут.

    Введение в DevSecOps

    Традиционно безопасность (Security) была «бутылочным горлышком». Разработчики писали код, DevOps-инженеры его деплоили, и только перед самым релизом приходили специалисты по безопасности, находили уязвимости и блокировали выход продукта. Это порождало конфликты и задержки.

    DevSecOps (Development + Security + Operations) — это философия интеграции практик безопасности на каждом этапе жизненного цикла DevOps.

    Главный принцип DevSecOps: Shift Left (Сдвиг влево).

    Если представить процесс разработки как линию времени слева направо (от планирования до продакшена), то мы хотим сдвинуть проверки безопасности как можно левее — к началу разработки.

    !Концепция Shift Left: проверки безопасности внедряются на ранних этапах, а не только в конце.

    Инструменты и практики DevSecOps

    Как внедрить безопасность в наш CI/CD пайплайн?

  • SAST (Static Application Security Testing): Анализ исходного кода на наличие уязвимостей до компиляции. Инструменты вроде SonarQube проверяют код на наличие забытых паролей, SQL-инъекций и плохого стиля.
  • SCA (Software Composition Analysis): Проверка зависимостей. Ваш код может быть безопасным, но библиотека, которую вы используете, может содержать дыру. Инструменты проверяют ваши package.json или requirements.txt по базам известных уязвимостей (CVE).
  • Container Scanning: Сканирование Docker-образов. Инструменты вроде Trivy или Clair заглядывают внутрь собранного контейнера и говорят: «В вашей версии Linux Alpine найдена критическая уязвимость, обновитесь».
  • DAST (Dynamic Application Security Testing): Тестирование работающего приложения. Специальный бот пытается «взломать» ваш тестовый стенд, имитируя действия хакера.
  • IaC Scanning: Проверка кода Terraform/Ansible. Инструменты (например, Checkov) следят, чтобы вы случайно не открыли доступ к базе данных для всего интернета (0.0.0.0/0) или не отключили шифрование дисков.

    • Культура безопасности

    DevSecOps — это не только инструменты, но и культура. Безопасность становится ответственностью каждого:

    * Разработчик не хранит пароли в коде (использует переменные окружения или Vault). * DevOps-инженер не запускает контейнеры от имени root-пользователя. * Бизнес понимает, что время, потраченное на безопасность, экономит деньги на репутации.

    Заключение курса

    Мы завершаем наш курс «Основы DevOps инженерии». Мы прошли путь от понимания того, зачем вообще нужен DevOps, до построения защищенных, наблюдаемых и автоматизированных систем.

    Что мы изучили:

  • Культура: DevOps — это про общение и общие цели.
  • Git: Код — единственный источник правды.
  • CI/CD: Автоматизация рутины и быстрая доставка.
  • Docker & K8s: Надежная среда исполнения где угодно.
  • IaC: Инфраструктура, управляемая как код.
  • Monitoring & DevSecOps: Контроль качества и безопасности.

    • Помните, DevOps — это не конечная точка, а бесконечный процесс улучшения. Технологии будут меняться (вчера были виртуальные машины, сегодня контейнеры, завтра serverless), но принципы автоматизации, измерения и сотрудничества останутся неизменными.

    Удачи в ваших первых проектах и пусть ваши сервера всегда отвечают кодом 200, а пайплайны горят зеленым светом!