In retrospect, DevOps was a bad ideaa year agohttps://rethinkingsoftware.substack.com/p/in-retrospect-devops-was-a-bad-ideaDevOps最初通过让开发人员参与生产流程改进了部署效率。DevOps的命名导致专门团队的出现,反而再次隔离了运维职能。如今的DevOps团队限制而非赋能开发者,与初衷背道而驰。标准化和合规要求常阻碍开发团队,而非提供支持。安全应聚焦透明度和可审查性,而非设置访问壁垒。DevOps角色固化后,具备生产意识的工程师反而离开了产品团队。平台工程正在重蹈DevOps的覆辙。
DIY automation using only Linuxa year agohttps://medium.com/detee-network/automating-website-deployment-3ffe257e4c7e使用简单的Linux工具实现网站自动化部署准备工作:需要准备Gitea代码仓库和Ubuntu服务器分步指南:涵盖静态网站和动态网站的部署方法自动化脚本:包含部署、日志记录和失败时自动创建问题工单Nginx配置:用于托管静态内容或代理到Node.js服务器创建系统服务:用于处理部署钩子在Gitea中设置Webhook:代码推送时触发部署可选步骤:部署失败时自动在Gitea中创建问题工单总结:强调方案简洁性并避免供应商锁定
Building a Firecracker-Powered Course Platform to Learn Docker and Kubernetesa year agohttps://iximiuz.com/en/posts/iximiuz-labs-story/作者为DevOps、SRE和平台工程师构建了一个'实践中学习'平台,通过交互式沙箱环境提升技术教育质量。该平台将理论内容与实践练习相结合,旨在弥合学习与实际应用之间的鸿沟。核心设计原则包括简洁性、可靠性、安全性、成本效益、可扩展性和生产力。架构采用中央Foreman组件进行管理,并配备运行Firecracker微虚拟机的服务器集群作为沙箱环境。安全措施包括微虚拟机隔离、速率限制和受限出口流量,以最大限度降低风险。平台前端使用JavaScript(Nuxt 3),后端服务采用Go语言,并广泛使用Docker进行部署和运行时管理。托管方案包括使用fly.io部署前端,以及采用Hetzner Auction获取高性价比的裸金属服务器作为工作节点。未来规划包括IDE集成、多节点沙箱环境、Kubernetes可视化工具,以及可能开源关键组件。平台面向教育工作者、学生和企业设计,可用于培训、自动化面试和大学课程等场景。
Coolify: Open-source and self-hostable Heroku / Netlify / Vercel alternativea year agohttps://coolify.io/Coolify 是一个开源、可自托管的一站式平台,可作为 Heroku/Netlify/Vercel 的替代方案支持任意编程语言和框架,可部署静态网站/API接口/后端服务/数据库等多种应用通过SSH支持在任何服务器部署,包括VPS/树莓派/EC2/DigitalOcean/Linode/Hetzner等灵活部署方案:单服务器/多服务器/Docker Swarm集群(即将支持Kubernetes)兼容所有Docker服务,提供大量一键部署模板深度集成Git平台(GitHub/GitLab/Bitbucket/Gitea),实现推送即部署自动为自定义域名配置并续签Let's Encrypt SSL证书零厂商锁定,所有配置数据都存储在你的自有服务器自动将数据库备份至S3兼容存储,轻松实现数据恢复提供Webhook支持,可与GitHub Actions/GitLab CI/Bitbucket Pipelines等CI/CD工具集成强大的API接口,支持自动化部署/资源管理/现有工具集成内置浏览器实时终端,无需离开平台即可管理服务器团队协作功能:共享项目并精细控制成员权限支持拉取请求专属部署环境,便于代码审查和团队协作智能服务器自动化机制,让你专注代码开发全面监控部署状态/服务器负载/磁盘使用,异常情况实时告警通过Discord/Telegram/邮件等多渠道接收服务器和部署事件通知
Show HN: SwiftHive – A Swift Package Registry for Faster Buildsa year agohttps://swifthive.l18.dev/SwiftHive 是 Swift 软件包的私有注册中心,确保构建可重现性其依赖解析速度提升10倍,带宽使用量最高减少90%版本一经发布即不可变,从根本上保证构建可重现相比Git仓库,优化后的归档文件体积最多可缩减90%提供基于角色的访问控制,实现集中式软件包管理支持全托管和自主托管两种部署方案通过下载优化归档替代Git克隆,显著提升解析速度完全兼容标准SPM语法引用私有软件包
Show HN: Koreo – The platform engineering toolkit for Kubernetesa year agohttps://koreo.dev/Koreo是一款Kubernetes配置管理与资源编排工具它提供可编程工作流来自动化复杂的Kubernetes操作结构化配置管理将配置视为结构化数据,而不仅仅是模板动态资源物化支持从多源组合配置函数式配置理念促进模块化与可复用性声明式算子模型确保基础设施一致性原生测试工具链包含内置测试框架与IDE集成Koreo本质上是Kubernetes的元控制器编程语言工作流与函数为平台构建提供可组合原语动态资源物化实现配置分层与可插拔逻辑支持内部开发者平台、多云基础设施即代码、策略即代码等场景核心团队拥有深厚的平台工程经验
That's a Lot of YAMLa year agohttps://noyaml.com/YAML因其在DevOps环境中的怪异特性和潜在错误而遭到幽默调侃。常见问题包括将'NO'误解析为布尔值而非挪威国家代码,以及对数字处理不一致(例如'07'与'08'的差异)。文章指出YAML缺乏官方文档且规范过于复杂是其显著缺陷。提及与YAML解析相关的安全漏洞,包括可执行YAML的风险。帖子批评了YAML对多行字符串、八进制数和时间格式的处理方式。建议采用Dhall、CUE和Jsonnet等替代方案用于配置和DevOps场景。该网站本身因其反常规且不友好的设计风格也遭到批评。
EKS Auto Mode: Simplify Kubernetes Operationsa year agohttps://spacelift.io/blog/eks-auto-modeEKS自动模式是亚马逊EKS推出的全新部署方案,可自动完成基础设施配置与扩缩容该模式通过无服务器计算技术消除EC2节点管理需求,专为Kubernetes工作负载优化设计EKS自动模式将Kubernetes能力深度集成至AWS托管基础设施,涵盖计算自动扩缩、网络、负载均衡及GPU支持面向希望运行Kubernetes工作负载但不愿管理底层计算基础设施的用户群体核心特性包含自动化集群管理、动态扩缩容、强化安全机制及成本优化方案与AWS Fargate和EKS托管节点组的对比突显了其在灵活性与管理方式上的差异教程章节演示了创建EKS自动模式集群、身份验证、部署示例应用及扩缩管理的完整流程最佳实践包括设置Pod资源请求、工作负载隔离以及成本追踪的资源标记策略存在节点不可变、预定义AMI及预设配置可能不适用特殊场景等局限性Spacelift作为基础设施即代码管理平台被引入,可强化团队协作与治理能力
Show HN: Attune - Build and publish APT repositories in secondsa year agohttps://github.com/attunehq/attuneAttune是一个用于安全发布和托管Linux软件包的工具。提供灵活的部署选项:可自托管或使用托管云基础设施。专为安全设计:CLI在本地执行仓库索引签名,保持签名密钥私有。速度优化:增量式仓库索引重建使软件包管理更快速。当前支持APT(Debian和Ubuntu)仓库,未来将支持更多。提供快速设置指南,约5分钟即可完成APT仓库配置。设置步骤包括克隆仓库、配置环境变量及用Docker启动服务。详细说明了CLI安装、仓库创建和软件包添加流程。详细描述了用于签名和部署仓库的GPG密钥生成与使用方法。采用Apache 2许可证,用户指南可获取更详细说明。
Ansible: Pure (only in its) pragmatisma year agohttps://andrejradovic.com/blog/ansible/Ansible 是一个专注于幂等性的远程和本地系统管理工具它允许对文件、权限、用户、组、服务等进行声明式状态管理Ansible 使用基于 YAML 的领域特定语言(DSL)和 Jinja2 模板,拥有庞大的社区和插件生态系统关键特性包括 SSH/WinRM 支持、幂等操作以及与各种 API 的集成设计选择包括依赖文件层次结构、全局变量和缺乏命名空间Ansible 并非纯声明式工具,任务顺序很重要且支持命令式操作与 Shell 脚本相比,Ansible 提供了统一的接口、幂等性和可靠性采用无代理架构简化了操作,但不像 Puppet 或 Salt 那样强制执行持续配置由于 SSH 传输机制,Ansible 比基于代理的解决方案慢,但社区规模更大最适合宠物服务器(pet servers)和临时任务,不太适合完整的基础设施即代码可能的改进包括更好的变量作用域、角色简化和代码复用虽然现代工具如 Terraform + Packer 更适合完整的 IaC,但 Ansible 在其细分领域仍不可替代
Nerdlog: Fast, multi-host TUI log viewer with timeline histograma year agohttps://dmitryfrank.com/projects/nerdlog/articleNerdlog是一款快速、支持多主机的TUI日志查看器,带有时间轴直方图功能,灵感来自Graylog/Kibana但摒弃了冗余功能它作为Graylog和Splunk等集中式日志系统的轻量级替代方案而开发,这些系统要么速度缓慢,要么需要大量维护工作Nerdlog通过SSH连接远程节点,直接在主机上分析日志文件,仅下载必要数据(日志和直方图信息),具有高效特性核心功能包括:多主机并行日志查询、时间范围过滤、以及用于可视化日志分布的直方图该工具使用标准Unix工具链(bash/awk/tail/head),支持通过SSH或YAML配置文件定义日志流Nerdlog专为能SSH访问生产环境的小团队或个人项目设计,但存在主机CPU/IO占用、依赖日志轮转策略等局限性它并非lnav等本地日志分析工具的替代品,但在高效处理多节点远程日志方面表现卓越
Atuin Desktop: Runbooks That Runa year agohttps://blog.atuin.sh/atuin-desktop-runbooks-that-run/Atuin Desktop 是一款专为终端工作流设计的可执行操作手册编辑器它将脚本块、嵌入式终端、数据库客户端和 Prometheus 图表集成于一处旨在实现工作流的可重复性、可共享性和可靠性,防止知识流失功能特色包括减少上下文切换、支持模板的动态操作手册,以及从 shell 历史记录自动补全采用本地优先和CRDT技术,通过Atuin Hub实现同步共享功能适用于软件发布、基础设施迁移和数据库查询管理等场景未来规划包含团队账户功能,以及从shell历史自动生成操作手册现已开放早期体验,欢迎希望提升工作流效率的用户尝试
Writing "/etc/hosts" breaks the Substack editora year agohttps://scalewithlee.substack.com/p/when-etchsts-breaks-your-substack作者在Substack编辑器中输入类似'/etc/h*sts'的系统文件路径时遇到'网络错误'调查发现该错误是由Web应用防火墙(WAF)的安全过滤规则触发WAF会拦截类似常见系统文件的路径,以防止路径遍历和命令注入攻击被拦截路径示例包括'/etc/pass*d'和'/etc/ssh/sshd_conf*g'历史帖子显示过滤行为随时间存在差异该问题凸显了安全措施与技术内容可用性之间的冲突建议改进包括上下文感知过滤和更清晰的错误提示临时解决方案可采用替代拼写或对路径添加引号
Show HN: Logchef – Schema-agnostic log viewer for ClickHousea year agohttps://github.com/mr-karan/logchefLogchef 是一个现代化、高性能的日志分析平台。它轻量级,以单一二进制文件运行,使用 ClickHouse 进行存储和查询。支持无模式日志探索、灵活的查询选项和高性能处理。包含基于团队的访问控制,具有细粒度权限管理。通过单一二进制安装简化部署流程。可使用提供的 Docker Compose 命令快速启动。安装后可通过 http://localhost:8125 访问。更多文档和详情请访问 logchef.app。基于 AGPLv3 许可证分发。
Show HN: Kubetail – Real-time log search for Kubernetesa year agohttps://github.com/kubetail-org/kubetailKubetail 是 Kubernetes 的实时日志仪表盘,支持浏览器或终端使用。它将工作负载中所有容器的日志合并为统一的时间轴。通过 Kubernetes API 直接获取日志,确保数据隐私性。功能包括按工作负载/时间范围/节点属性/grep过滤。支持 Homebrew/直接下载/Helm chart/Glasskube 多种安装方式。支持多集群(仅桌面版)并追踪容器生命周期事件。欢迎贡献 UI/UX 设计/React 前端开发/问题反馈等开发协作。
How we saved time (and money) on continuous integrationa year agohttps://www.datawrapper.de/blog/ci-workflow-efficiency-improvementsDatawrapper应用团队将其持续集成(CI)工作流减少了80%,成本降低了45%他们从NPM切换到PNPM,通过避免冗余安装使依赖项安装速度提高74%实施了依赖项和构建缓存,将设置时间缩短至35秒(提升87.5%)通过拆分工作流实现步骤并行运行,实际执行时间提升67%从GitHub运行器切换到Blacksmith运行器,任务执行速度加快22.14%,同时节省45%成本团队现在花在等待CI任务上的时间更少,有更多时间投入开发,代码检查成为下一个待解决的瓶颈
Cloud-Based Cron Jobsa year agohttps://www.schedo.dev/Schedo.dev 为开发者提供优先的云端定时任务运行平台,无需基础设施配置即可使用。功能包括自动扩展、并发处理、重试机制和可靠性保障。与依赖基础设施且缺乏内置可靠性的传统 cron 任务不同,无需手动进行 DevOps 配置。提供内置分布式锁,防止竞态条件并确保任务单一执行。支持使用与生产环境相同的 API 进行本地开发,无需部署即可测试。可在任何云服务提供商上运行,无基础设施锁定,便于环境间迁移。提供实时执行日志、性能指标、状态监控和失败告警,实现全面可观测性。使用标准 cron 语法或基于间隔的调度来定义任务。确保任务在整个基础设施中精确执行一次,放心扩展。通过独立配置和监控管理不同环境(开发、预发布、生产)。
Cloudflare's approach to global service health metrics and software releasesa year agohttps://blog.cloudflare.com/safe-change-at-any-scale/Cloudflare的健康中介部署(HMD)通过数据驱动指标自动化软件更新,防止大面积故障发生HMD使用Prometheus和Thanos监控服务健康状态,在问题更新影响用户前自动回滚服务等级目标(SLO)和指标(SLI)帮助HMD检测并响应性能下降问题通过历史事故数据进行回测,确保HMD能快速应对未来可能出现的问题Cloudflare在R2存储系统中保存了45亿个时间序列,8PB数据保留一年时长采用记录规则和分布式查询处理等优化手段,将批量运行时间从30小时缩短至2小时拥塞控制机制优先处理关键查询,平滑批量处理的高峰负载基于Parquet格式的实验性存储方案,为时间序列数据处理优化展示了良好前景
Show HN: CLI that spots fake GitHub stars, risky dependencies and licence trapsa year agohttps://github.com/m-ahmed-elbeskeri/StarguardStarGuard 是一个命令行工具,专为检测开源项目风险而设计,包括虚假星标、依赖劫持和许可证问题。它自动化了开源尽职调查流程,为CTO、安全团队和风投机构提供快速可复现的信任评分。核心检测项包括星标爆发监测、依赖分析、许可证扫描、维护者活跃度及代码模式扫描。支持JSON、Markdown、纯文本报告及可视化星标历史图谱等多种输出格式。该工具通过GitHub API收集数据,集成BurstDetector(爆发检测器)和User Profiler(用户画像)等分析模块。运行要求Python ≥ 3.9环境及GitHub个人访问令牌(用于突破API速率限制)。使用示例包含带星标图谱的完整扫描或仅检测爆发的快速扫描模式。目标用户涵盖CTO、安全团队、风险投资方及开源项目维护者。工具本身采用Apache-2.0协议开源,专注于静态分析而不执行目标代码。" 注: 1. 专业术语保留英文原词并附加中文注释(如BurstDetector) 2. "VC" 根据上下文译为"风投机构/风险投资方" 3. "static analysis" 采用行业通用译法"静态分析长难句按中文表达习惯拆分重组(如第2条) 5. 技术参数(Python 3.9)保留原始格式
We Fixed 2k+ Security Issues (2023)a year agohttps://www.sudhishkr.com/posts/20230609_how-we-fixed-2kplus-security-issues/Dgraph Labs Inc. 实施了持续安全审计,以检测并修复其开源产品中的安全问题。集成工具集与GitHub Actions,提升安全问题的可见性和解决速度。在约3个月内解决了2000多个安全问题,增强了SOC2合规性。安全审计聚焦三个层面:代码层、二进制制品层和Docker镜像层。代码层审计包括依赖包检查(CVE漏洞)和静态分析(代码检查工具)。二进制制品层确保安全环境并通过SHA验证保障完整性。Docker镜像层重点更新Linux软件包以预防漏洞。CVE(通用漏洞披露)是用于追踪软件漏洞的标准标识符。代码检查工具是自动化检测代码问题的工具,可提升质量与安全性。持续安全审计包含代码构建阶段(Aqua Trivy扫描)和发布后阶段(Snyk扫描)。GitHub安全标签页用于可视化、分类和解决安全问题。启用DependaBot实现安全问题的自动修复。通过GitHub追踪修复进展,显示随时间推移问题数量下降。取得显著成果:跨项目解决2000+安全问题和1000+CVE漏洞。未来将探索AI驱动的安全工具和自动修复解决方案。