linuxlab.io
Учебники▾
  • Линукс и сети
    Файловая система, процессы, TCP/IP, BGP и OSPF
    →
  • Terraform и IaC
    HCL, state, plan/apply на sandbox LocalStack
    →
  • Git и GitHub
    Объектная модель, plumbing, ветвление, GitHub Actions
    →
Все учебники →
ЦеныО платформеВойтиСоздать аккаунт
/
  • Введение
  • Уроки
  • How it works
  • Симулятор
  • База знаний
  • Собеседование
Index
Categories
All entries
Footer
linuxlab-УчебникиЦеныО платформеКонфиденциальность и куки
Copyright © 2026 LinuxLab. Все права защищены.
Index

База знаний.
Концепции Linux и сетей в TL;DR-формате.

165 коротких статей по командам, протоколам и системным концепциям. TL;DR (англ. too long; didn't read) - суть темы на 2-3 минуты, без долгих преамбул. Каждая статья ссылается на интерактивный урок, где знание применяется в реальном sandbox.

$/
Categories

Категории

9 разделов, упорядочены от нижнего уровня абстракции к верхнему.

165 статей
filenamesizedistribution%hints
kb/filesystem.md20
12%inode, links, perms, mount
kb/processes.md32
19%PID, signals, cgroups, namespaces
kb/network-l2-l3.md21
13%IP, routes, ARP, ICMP
kb/network-l4.md16
10%TCP, DNS, NAT, TLS
kb/commands.md30
18%ip, ss, tcpdump, nft, vtysh
kb/protocols.md16
10%BGP, OSPF
kb/security.md10
6%-
kb/containers.mdбонус10
6%-
kb/observability.md10
6%-
total165
100%/kb
All entries

Все статьи

Полный индекс статей по категориям.

kb/filesystem.mdФайловая система

20
  • bind-mountbind mount - монтирование каталога в другое местоbind mount - `mount --bind <src> <target>`. Делает каталог (или файл) видимым по второму…
  • block-devicesBlock devices - диски в LinuxBlock device - устройство которое читается/пишется блоками фиксированного размера (обычно…
  • btrfsbtrfs - copy-on-write, subvolumes и снапшотыbtrfs - copy-on-write ФС с subvolume'ами, снапшотами за O(1), нативным RAID 0/1/10 и чекс…
  • ext4ext4 - рабочая лошадь Linux-ФСext4 - дефолтная ФС большинства дистро: журналирование, extents, фиксированное число inod…
  • extended-attributesExtended attributes (xattr) - произвольные метаданные файлаxattr - key-value метаданные на inode помимо stat. 4 namespace: user (свободно), trusted…
  • file-permissionsFile permissions: rwx и chmodКаждый файл имеет три набора прав - для владельца, группы и остальных. Каждый набор это т…
  • fhsFilesystem Hierarchy Standard (FHS)FHS - стандарт что лежит в каких корневых каталогах Linux: /etc - конфиги, /var - изменяе…
  • fsck-and-recoveryfsck и recovery - проверка и восстановление ФСfsck, проверка ФС на размонтированной файловой системе. e2fsck (ext), xfs_repair (XFS), b…
  • hard-linkHard linkHard link - второе имя для того же [[inode]]. Оба имени равноправны: файл живёт пока есть…
  • inodeInodeInode - это запись в файловой системе с метаданными и указателями на блоки данных файла.…
  • lvmLVM - Logical Volume ManagerLVM - слой между [[block-devices]] и ФС: объединяет диски в pool'ы и нарезает логические…
  • mount-and-fstabmount и /etc/fstab - подключение ФС`mount` подключает блочное устройство или ФС к точке монтирования в дереве. `/etc/fstab`…
  • posix-aclPOSIX ACL - расширенные права доступаPOSIX ACL расширяют классические rwx-права: можно дать доступ N пользователям/группам без…
  • raidRAID - software-raid через mdadmRAID объединяет несколько [[block-devices]] в один логический с избыточностью или скорост…
  • sparse-filesSparse-файлы - дыры и apparent sizeSparse-файл имеет "дыры" - блоки которые ФС не аллоцировала. При чтении возвращают нули,…
  • setuid-setgid-stickySUID, SGID, sticky bit - спецбиты правТри спецбита поверх обычных rwx: **SUID** - запуск с правами владельца файла, **SGID** -…
  • symbolic-linkSymbolic linkSymlink - отдельный файл-«ярлык», который содержит путь к цели. В отличие от [[hard-link]…
  • tmpfs-overlayfstmpfs и overlayfs - RAM-disk и слоиtmpfs - ФС в RAM (с swap'ом). Дефолт для /run, /dev/shm, часто /tmp. overlayfs - lower +…
  • xfsXFS - extents и параллельный I/OXFS - дефолт RHEL 7+: allocation groups (параллельный I/O), extents-based allocation, onl…
  • filesystemsФайловые системы: ext4, xfs, btrfs, zfsext4 - дефолт, надёжный. xfs - для больших файлов и parallel I/O. btrfs/zfs - снапшоты, ч…

kb/processes.mdПроцессы и ресурсы

32
  • bash-strict-modeBash strict mode: set -euo pipefailТри флага в начале bash-скрипта которые превращают его из «прощающего всё» в «упасть на п…
  • bpf-co-reBPF CO-RE - Compile Once Run EverywhereCO-RE - один скомпилированный eBPF-объект работает на разных kernel благодаря BTF (BPF Ty…
  • cgroupscgroups (v2)cgroups v2 - иерархическая виртуальная FS под `/sys/fs/cgroup` через которую ядро лимитир…
  • cgroups-v2-deepcgroups v2 - unified hierarchy, PSI, eBPF controlcgroups v2 - один tree вместо отдельных hierarchies на controller. Чистая семантика, новы…
  • chrony-and-ntpchrony и NTP - синхронизация времениNTP - протокол синхронизации часов (точность ~миллисекунды через интернет). На современны…
  • chrootchroot - изоляция процесса в каталог`chroot()` - системный вызов меняющий apparent root каталог процесса (и его потомков). Лё…
  • ebpf-basicseBPF - программируемый kerneleBPF - запуск sandboxed-программ в kernel без kernel-modules. Прицепляются к hooks (kprob…
  • file-descriptorsFile descriptors (stdin, stdout, stderr)File descriptor - целое число, через которое процесс обращается к открытому файлу/сокету/…
  • heredocHere-doc и here-string: данные внутри скриптаHere-doc (`<<EOF ... EOF`) подаёт многострочный текст на stdin команды без временного фай…
  • io-uringio_uring - third-rank async I/O syscallio_uring - shared-memory очередь между userspace и kernel. SQE submit без syscall (с SQPO…
  • kernel-modulesKernel modules - LKM, modprobe, signing, DKMSLKM - код, динамически загружаемый в kernel. modprobe резолвит зависимости через depmod.…
  • capabilitiesLinux capabilities - биты привилегийCapabilities дробят привилегии root'а на 40+ независимых битов: NET_ADMIN, SYS_PTRACE, и…
  • namespacesLinux namespacesNamespaces - механизм ядра, который даёт процессу собственный изолированный view на ресур…
  • load-averageLoad averageТри числа в `uptime` - экспоненциальные средние длины очереди процессов (R + D state) за…
  • mmapmmap - файлы и shared memory`mmap()` маппит файл (или анонимный регион) в virtual address space процесса. Любые read/…
  • oom-killerOOM killerOOM killer - механизм ядра, который выбирает и завершает процесс когда система упирается…
  • page-cachePage cache - диск в памятиPage cache - кеш в RAM для содержимого файлов. Любое чтение/запись ФС идёт через него. «U…
  • process-substitutionProcess substitution: <(cmd) и >(cmd)Bash-синтаксис `<(cmd)` подставляет команду как «псевдо-файл» на чтение. `>(cmd)` - на за…
  • seccompseccomp - фильтр системных вызововseccomp - kernel-level фильтр syscall'ов. Процесс декларирует «можно только эти», и kerne…
  • selinux-apparmorSELinux и AppArmor - Mandatory Access ControlSELinux и AppArmor - это MAC: дополнительный слой контроля поверх обычных permissions. За…
  • shebangShebang: первая строка скриптаПервая строка скрипта вида `#!/usr/bin/env bash` говорит ядру какой интерпретатор поднима…
  • sudosudo - выполнить от имени root`sudo` запускает команду от имени другого пользователя (обычно root) по правилам в `/etc/…
  • swapSwap - когда RAM кончаетсяSwap - место на диске, куда ядро вытесняет редко используемые страницы памяти, когда RAM…
  • systemdsystemd - init и менеджер сервисовsystemd - init-система Linux: PID 1, который запускает всё остальное, следит за зависимос…
  • systemd-drop-inssystemd drop-ins - override без правки оригиналаDrop-in - `.conf` файл в `<unit>.d/` каталоге, который подмешивается к unit-файлу. Способ…
  • systemd-targetssystemd targets - runlevels по-новомуTarget - unit-файл `.target` который описывает желаемое состояние системы как набор завис…
  • systemd-timerssystemd timers - замена cronsystemd timer - unit-файл `.timer`, запускающий парный `.service` по расписанию или через…
  • systemd-resolvedsystemd-resolved - локальный DNS-stubsystemd-resolved - DNS stub-resolver, слушает на `127.0.0.53:53` и проксирует запросы на…
  • virtual-memoryVirtual memory - виртуальные адреса, page tablesКаждый процесс видит свой 64-битный virtual address space. MMU переводит виртуальные адре…
  • process-and-pidПроцесс и PIDПроцесс - это запущенная программа со своим PID, памятью, открытыми дескрипторами и UID.…
  • signalsСигналы (SIGTERM, SIGKILL, SIGHUP)Сигнал - асинхронное уведомление процессу от ядра или другого процесса. TERM - попроси за…
  • systemd-unit-typesТипы systemd-юнитовЮнит - управляемый systemd ресурс. Расширение файла = тип: `.service` (демон), `.socket`…

kb/network-l2-l3.mdСеть: L2 / L3

21
  • arpARP - Address Resolution ProtocolARP отвечает на вопрос «у кого MAC = ?» для конкретного IP в одной сети. Linux хранит рез…
  • bonding-and-teamingBonding и teaming - объединение интерфейсовBonding объединяет несколько физических интерфейсов в один логический. Режимы: active-bac…
  • broadcast-domainBroadcast-домен - что это и кто в нём живётГруппа устройств, где L2-фрейм с dst MAC `FF:FF:FF:FF:FF:FF` (broadcast) доходит до всех.…
  • default-gatewayDefault gateway - выход из своей сетиIP-адрес роутера в твоей подсети, куда стек шлёт пакеты для всех адресов, которые **не ле…
  • ebpf-xdpeBPF XDP - kernel data-planeXDP - eBPF-программа на самом раннем RX-hook (до skb_alloc). Actions: DROP, PASS, TX, RED…
  • ethernet-frameEthernet frameEthernet-frame - единица передачи на L2: dst-MAC, src-MAC, ethertype, payload (обычно IP-…
  • gre-tunnelGRE-туннели и IPIP - point-to-point поверх IPGRE - инкапсуляция любого L3 в IP (proto 47), 24 байта header. IPIP - тоньше, только IP-в…
  • icmpICMPICMP - служебный протокол поверх IP для control-сообщений: echo (ping), destination-unrea…
  • ip-forwardingIP forwarding - превратить хост в роутерLinux по умолчанию НЕ пересылает пакеты между интерфейсами. Включается через `sysctl net.…
  • ipv4-addressingIPv4-адресация и CIDRIP-адрес = 32 бита, обычно как `a.b.c.d`. **/N** в конце - длина префикса сети: `/24` = п…
  • ipv6-basicsIPv6 - адресация и базовые концепцииIPv6 - 128-битные адреса в 8 группах по 16 бит. Link-local fe80::/10 для соседей, global…
  • linux-bridgeLinux bridge - программный свитчBridge - программный L2-свитч в ядре Linux. Учит MAC в FDB, форвардит фреймы между интерф…
  • mac-addressMAC addressMAC - 48-битный аппаратный адрес сетевой карты, формат `aa:bb:cc:dd:ee:ff`. Уникален в пр…
  • mtu-and-pmtudMTU и Path MTU Discovery (PMTUD)MTU - максимум байт IP-пакета на интерфейсе. PMTUD ищет минимум на пути через ICMP "Fragm…
  • policy-routingPolicy routing - rule-based маршрутизацияPolicy routing - выбор routing-таблицы по src-IP, fwmark, iif, tos. ip rule + ip route ta…
  • routing-tableRouting tableТаблица маршрутизации - список «куда направлять пакеты с таким destination». Самая длинна…
  • subnetting-cidrSubnetting и CIDRCIDR /N показывает сколько бит из 32 (или 128 для IPv6) - это сеть. /24 = 256 адресов, /3…
  • tracerouteTraceroute - как увидеть путь пакета через интернетУтилита, показывающая каждый роутер на пути до удалённого хоста. Работает через хитрый тр…
  • veth-pairveth pairveth-pair - два связанных виртуальных Ethernet-интерфейса. Что заходит в один конец - вых…
  • vlan-and-trunkVLAN и trunk - 802.1QVLAN - логическое разделение одного физического свитча на несколько L2. Tag 802.1Q добавл…
  • vxlan-overlayVXLAN - L2 overlay поверх L3-сетиVXLAN - L2-overlay через UDP/4789. 24-битный VNI = 16M сегментов (vs 4K у VLAN). VTEP дел…

kb/network-l4.mdСеть: L4 и выше

16
  • coapCoAP - REST для constrained-устройств поверх UDPCoAP - REST поверх UDP для маломощных IoT-устройств. 4-байтный header, GET/POST/PUT/DELET…
  • conntrackConntrack - память Linux о всех сетевых соединенияхПодсистема ядра Linux, которая помнит каждое активное соединение. Без неё NAT не развернё…
  • dhcp-protocolDHCP - Dynamic Host Configuration ProtocolDHCP выдаёт хосту IP-адрес, маску, шлюз и DNS через broadcast. 4 пакета: DORA = Discover…
  • dns-resolutionDNS resolutionРезолвинг имени → IP проходит через NSS: сначала `/etc/hosts`, потом DNS через `/etc/reso…
  • grpc-basicsgRPC - HTTP/2 + Protobuf RPC frameworkgRPC = HTTP/2 + Protocol Buffers + кодогенерация. Четыре типа RPC: unary (как REST), serv…
  • http-protocolHTTP/1.1, HTTP/2, HTTP/3HTTP/1.1 - текстовый протокол с keep-alive. HTTP/2 - бинарный с мультиплексированием в од…
  • http2-internalsHTTP/2 internals - binary framing, HPACK, stream multiplexingHTTP/2 - бинарный мультиплексинг поверх одного TCP-соединения. HPACK сжимает headers чере…
  • mqttMQTT - publish/subscribe для IoT и mobile pushMQTT - lightweight pub/sub поверх TCP. Topics с wildcards, QoS 0/1/2, retained messages,…
  • natNAT и masqueradeNAT - переписывание src/dst адресов пакета на роутере. Masquerade - частный случай: src-I…
  • tcp-keepaliveTCP keepaliveKeepalive шлёт пробы по простаивающему TCP-соединению чтобы поймать мёртвый peer (NAT-тай…
  • tcp-statesTCP states (LISTEN, ESTABLISHED, TIME_WAIT)TCP-сессия проходит через 11 состояний от LISTEN до CLOSED. Самые важные на проде: LISTEN…
  • tcp-handshakeTCP three-way handshakeTCP-соединение открывается тремя пакетами: SYN от клиента, SYN-ACK от сервера, ACK от кли…
  • tls-handshakeTLS handshakeTLS - слой шифрования поверх TCP. Перед передачей данных стороны делают handshake: обмени…
  • udp-basicsUDP - User Datagram ProtocolUDP - простой протокол доставки датаграмм без установки соединения, без ретрансмитов, без…
  • websocketWebSocket - bidirectional поверх HTTPWebSocket - двусторонний канал поверх одного TCP. Апгрейд из HTTP/1.1 через Upgrade heade…
  • portПорт - как несколько сервисов делят один IP16-битное число (0-65535), идентифицирует **процесс-получатель** на хосте. IP говорит куд…

kb/commands.mdКоманды

30
  • cmd-awkawk - обработка структурированного текста по полямawk бьёт строку на поля по FS (default - whitespace) и применяет pattern { action }. `$1.…
  • bash-scriptingbash-скрипты - основы и идиомыBash-скрипт - текстовый файл с shebang `#!/usr/bin/env bash` и `chmod +x`. Обязательный s…
  • cmd-cron-crontabcron и crontab - расписание задачcron - демон, который читает crontab-файлы и запускает задачи по расписанию. Формат: `min…
  • cmd-curlcurl - HTTP-клиент из терминала`curl` - universal CLI для HTTP/HTTPS/FTP/etc. Делает запросы, видит заголовки, сертифика…
  • cmd-digdig - DNS-разведка с подробностямиdig - DNS-разведка. Запросить любую запись у любого сервера. +short - компактно, +trace -…
  • cmd-dmesgdmesg - kernel ring bufferdmesg - сообщения ядра из ring buffer (фиксированный размер, старое затирается). `-T` чел…
  • cmd-findfind - поиск файлов по предикатам`find` обходит дерево каталогов и применяет предикаты (имя, тип, время, размер, права). Д…
  • cmd-grepgrep - поиск строк по шаблону`grep` ищет строки по regex'у в stdin или файлах. Главные режимы: `-E` (ERE), `-P` (PCRE)…
  • cmd-htophtop - интерактивный монитор процессовhtop - интерактивный TUI-монитор процессов. F-keys: F3 поиск, F4 фильтр, F5 дерево, F6 со…
  • cmd-ipip - швейцарский нож сетевой настройки`ip` - фронт-энд iproute2, заменяет старые ifconfig/route/arp. Подкоманды: `ip addr` (адр…
  • cmd-iperf3iperf3 - измерение bandwidth`iperf3` - стандартный инструмент замера throughput TCP/UDP между двумя точками. Запускае…
  • cmd-iptablesiptables - правила netfilter (legacy)iptables = userland для netfilter. 5 таблиц (filter/nat/mangle/raw/security), цепочки INP…
  • cmd-journalctljournalctl - журнал systemd`journalctl` читает binary-журнал systemd-journald. Это центральный лог системы: kernel,…
  • cmd-jqjq - запросы и трансформация JSONjq - запросный язык для JSON в shell. `.field`, `.array[]`, `select(...)`, `map(...)`, па…
  • cmd-lsblk-blkidlsblk и blkid - block-устройства и UUIDlsblk показывает дерево block-устройств (диск → раздел → LVM/crypt → mountpoint). blkid п…
  • cmd-lsoflsof - кто что открыл`lsof` (List Open Files) показывает все открытые файлы по всем процессам. В Linux всё - ф…
  • cmd-mtrmtr - traceroute + ping в одномmtr = traceroute + ping. Непрерывно опрашивает каждый hop, показывает loss% и latency. По…
  • cmd-nftnft - современный файрвол (nftables)`nft` - единый CLI для современного netfilter. Заменяет iptables/ip6tables/ arptables/ebt…
  • cmd-nmapnmap - сканирование портов и хостовnmap - сетевой сканер: discover хостов (-sn), TCP/UDP-порты (-sS/-sU), версии сервисов (-…
  • cmd-psps - снимок процессовps - снимок процессов в момент вызова. Два диалекта: BSD (`aux`, без дефиса) и UNIX (`-ef…
  • cmd-rsyncrsync - инкрементальная синхронизация файловrsync копирует только изменённые блоки файлов локально или по SSH. `-avz` базовая комбина…
  • cmd-sedsed - потоковый редактор текстаsed - потоковый редактор: каждой строке применяет команды (`s/a/b/`, `d`, `p`, ...). `-i`…
  • cmd-ssss - кто слушает и кто подключён`ss` - современная замена netstat. Показывает сокеты: LISTEN, ESTABLISHED, поддерживает ф…
  • cmd-stracestrace - какие syscall'ы делает процесс`strace` показывает в реальном времени какие системные вызовы делает процесс и с какими а…
  • cmd-sysctlsysctl - крутилки ядра`sysctl` читает и пишет параметры ядра через виртуальную FS `/proc/sys/`. Tuning сети, па…
  • cmd-systemctlsystemctl - управление сервисами systemd`systemctl` - главный CLI для управления unit'ами systemd: сервисами, таймерами, маунтами…
  • cmd-tctc - traffic control`tc` управляет очередями пакетов на сетевых интерфейсах: лимиты bandwidth, задержки, поте…
  • cmd-tcpdumptcpdump - захват пакетовtcpdump читает пакеты с интерфейса по BPF-фильтру. Поддерживает запись pcap для последующ…
  • cmd-vtyshvtysh - CLI к FRR (BGP/OSPF)vtysh - Cisco-подобный CLI к FRRouting. Через него настраиваются все routing-демоны (zebr…
  • xargs-and-find-execxargs и find -exec - массовые операцииДва способа применить команду к набору файлов: `find ... -exec cmd {} +` (внутри find) и…

kb/protocols.mdПротоколы

16
  • apache-httpdApache httpd - веб-серверApache httpd - веб-сервер. На RHEL пакет `httpd`, конфиг `/etc/httpd/conf/httpd.conf`. На…
  • bgpBGP - Border Gateway Protocol**BGP** - протокол маршрутизации между автономными системами (AS). Это «язык» которым общ…
  • bind-dns-serverBIND - авторитативный/кеширующий DNS-серверBIND (Berkeley Internet Name Domain) - самый распространённый DNS-сервер в Linux. Демон `…
  • ftp-sftpFTP и SFTP - передача файловFTP, старый протокол с control + data соединениями (active/passive modes), без шифрования…
  • gpg-pgpGPG/PGP - подпись, шифрование, web of trustGPG = open-source реализация OpenPGP. Пара ключей (RSA/ECDSA), публичный для verify/encry…
  • ipsec-ikeIPsec и IKEv2 - стандарт корпоративных VPNIPsec - L3-VPN-стандарт. ESP инкапсулирует и шифрует, IKEv2 обменивается ключами. Tunnel-…
  • kerberosKerberos - сетевой single sign-onKerberos - SSO-система с тикетами на временной криптографии. Один раз вводишь пароль (`ki…
  • ldap-basicsLDAP - directory services основыLDAP - запрос к иерархическому справочнику. DN = координата объекта (cn=user,ou=People,dc…
  • nfsNFS - сетевая файловая системаNFS - сетевая ФС от Sun. v3 - stateless, v4.1+ - stateful с делегациями и pNFS. /etc/expo…
  • openvpnOpenVPN - TLS-based VPNOpenVPN - userspace TLS-VPN на сертификатах X.509. Режимы: tun (L3, default) или tap (L2)…
  • ospfOSPF - Open Shortest Path First**OSPF** - link-state IGP внутри одной автономной системы. Каждый роутер знает полную топ…
  • quic-http3QUIC и HTTP/3 - современный транспорт поверх UDPQUIC - транспорт поверх UDP. TLS 1.3 встроен (1 RTT, 0-RTT для resume). Multiplexing без…
  • radiusRADIUS - аутентификация для сети, VPN, Wi-FiRADIUS - старый AAA-протокол UDP/1812+1813 (auth+accounting). Использование - аутентифика…
  • smtp-mtaSMTP и MTA - доставка emailSMTP - текстовый протокол доставки почты. 25/tcp - server-to-server, 587 - submission (кл…
  • sshSSH - secure shellSSH - зашифрованный канал к удалённому хосту: shell, копирование файлов, port-forwarding.…
  • wireguardWireGuard - современный UDP-VPNWireGuard - UDP-VPN в ядре Linux. Пара ключей Curve25519, peers с AllowedIPs (это и ACL,…

kb/security.mdБезопасность

10
  • auditdauditd - syscall и file auditauditd пишет события ядра в /var/log/audit/audit.log: file watches (-w), syscall rules (-…
  • cis-benchmark-hardeningCIS Benchmark и system hardening (lynis, OpenSCAP)CIS Benchmark - стандарт hardening Linux. Lynis - быстрый локальный audit со скором, Open…
  • fail2banfail2ban - автобан по логамfail2ban читает логи (sshd, nginx, postfix), регэкспом ловит N неудачных попыток за окно,…
  • firewalld-vs-nftablesfirewalld vs nftables - что выбратьfirewalld - daemon-обёртка с zones, services, rich-rules; backend с RHEL 8 - nftables. Чи…
  • pamPAM - Pluggable Authentication ModulesPAM - фреймворк аутентификации в Linux. Программы (sudo, login, sshd) не проверяют пароли…
  • selinux-policySELinux policy - типы, домены, audit2allowSELinux: каждый процесс имеет домен, каждый объект - тип. Policy определяет какие домены…
  • ssh-hardeningSSH hardening - закрытие сервераSSH hardening: ключи only (PasswordAuthentication no), отключить root-login, AllowUsers/A…
  • tls-certificatesTLS-сертификаты - X.509, цепочка доверия, Let's EncryptTLS cert - X.509 объект с public key + identity (CN/SAN) + подписью CA. Цепочка: leaf → i…
  • unattended-upgradesАвтообновления безопасности (unattended-upgrades, dnf-automatic, livepatch)Debian/Ubuntu - unattended-upgrades, RHEL - dnf-automatic. Auto только security-updates,…
  • secrets-managementУправление секретами - Vault, k8s Secrets, sealed-secretsСекреты не в git, не в env-vars в коде. Опции: HashiCorp Vault (универсал, dynamic creds)…

kb/containers.mdКонтейнеры (бонус)бонус

10

Раздел вне основного курса, для расширения кругозора.

  • cni-pluginsCNI plugins - сеть Kubernetes (calico, cilium, flannel)CNI - спека плагина: дай pod IP и сеть. Реализации: flannel (VXLAN L2-overlay), calico (B…
  • image-signing-cosignCosign и подпись container images (sigstore)cosign подписывает container images. Sigstore = ekosistema: rekor (transparency log), ful…
  • docker-storage-driversDocker storage drivers - overlay2, btrfs, zfsStorage driver - как Docker хранит image-layers и контейнер-changes на диске. overlay2 de…
  • helm-chartsHelm charts - пакетный менеджер для KubernetesHelm - пакетный менеджер k8s. Chart - папка с Chart.yaml, values.yaml и templates/ (Go-te…
  • kubelet-internalskubelet - архитектура агента ноды Kuberneteskubelet - демон на каждой ноде. Получает PodSpec через API, запускает контейнеры через CR…
  • kubernetes-pod-lifecycleKubernetes pod lifecycle - от Pending до TerminatedPod проходит фазы Pending → Running → Succeeded/Failed/Unknown. Init-containers выполняют…
  • kubernetes-services-and-ingressKubernetes Service и Ingress - сетевая публикация подовService - стабильный VIP перед группой подов (label selector). Типы: ClusterIP (внутри),…
  • kubernetes-storageKubernetes storage - PV, PVC, StorageClass, CSIPV - физический volume. PVC - запрос pod'а. StorageClass + CSI - шаблон для dynamic provi…
  • oci-specOCI spec - стандарт контейнеровOCI - три спеки: Image (слои + manifest), Runtime (config.json + rootfs для runc), Distri…
  • runc-and-runscrunc, runsc, kata - container runtimesrunc - стандартный OCI-runtime, namespaces+cgroups+seccomp. runsc/gVisor - userspace-ядро…

kb/observability.mdObservability и мониторинг

10
  • alerting-rules-alertmanagerAlertmanager: route tree, inhibit, dedup, on-callAlertmanager - принимает alerts от Prometheus, дедупит, группирует, роутит по route tree…
  • cardinality-explosionCardinality explosion: как убить Prometheus и как чинитьCardinality = uniq(metric × labels). Каждый series ≈ 3 KB RAM, 10M series = 30 GB RAM, Pr…
  • pyroscope-continuous-profilingContinuous profiling: Pyroscope, eBPF, flame graphs в продеContinuous profiling - always-on CPU/memory profiler в проде через eBPF. 1-2% overhead. F…
  • tracing-basicsDistributed tracing: span, context propagation, samplingTracing - граф spans (parent-child) одного логического запроса через сервисы. Context пер…
  • loki-grafana-loggingLoki: label-based логи, LogQL, Promtail/Vector pipelineLoki - log aggregation с label-based индексом (не full-text как Elastic). Дёшево на S3-st…
  • opentelemetryOpenTelemetry: signals, OTLP, Collector pipelineOpenTelemetry - CNCF-стандарт для metrics+traces+logs в одном SDK. OTLP протокол (gRPC ил…
  • prometheus-basicsPrometheus: scrape, TSDB, PromQL и production-pitfallsPrometheus - сервер мониторинга: сам опрашивает приложения по HTTP, собирает числовые мет…
  • service-discovery-prometheusService discovery в Prometheus: k8s, Consul, file_sd, relabelProm discoverит targets через k8s API, Consul, file_sd (static). relabel_configs - до scr…
  • sli-slo-error-budgetSLI / SLO / error budget: SRE-метрики без шумаSLI - метрика для пользователя (availability, p99 latency). SLO - цель за период (99.9% з…
  • metric-typesТипы метрик: counter, gauge, histogram, summary4 типа метрик: counter (только вверх), gauge (любое значение), histogram (buckets для p99…
$ 165 / 165 статей-cd ../lessons-curl /api/kb
Footer
linuxlab-
Copyright © 2026 LinuxLab. Все права защищены.
Учебники
Цены
О платформе
Конфиденциальность и куки