Posts on Michał Kuzdzal

Przyśpieszenie rolling restart i recovery shardów w Elasticsearch

Tue, 12 Aug 2025 13:19:19 +0200

Czasem trzeba zrobić rolling restart w klastrze Elasticsearch - wymienić sprzęt, zaktualizować wersję lub przenieść shardy na nowy węzeł. Bez odpowiedniego przygotowania proces może trwać długo i generować dużo niepotrzebnego ruchu.
Poniżej opisuję, co robię, żeby przyspieszyć restart i ograniczyć ruch shardów.

Puppet przejęty przez Perforce - co się zmieniło i jakie są inne alternatywy dla Puppet?

Fri, 08 Aug 2025 05:01:41 +0200

Puppet przez lata był jednym z filarów automatyzacji i konfiguracji w dużych środowiskach IT. W 2022 roku projekt został przejęty przez firmę Perforce, a pod koniec 2024 roku ogłoszono poważne zmiany w sposobie dystrybucji i licencjonowania.

ArgoCD App-of-Apps: Jak efektywnie zarządzać aplikacjami w Kubernetes?

Fri, 01 Aug 2025 14:42:00 +0200

W świecie Kubernetes, zarządzanie rosnącą liczbą aplikacji i ich konfiguracjami staje się wyzwaniem. Tradycyjne podejścia często prowadzą do powielania konfiguracji i trudności w utrzymaniu spójności w różnych środowiskach (staging i production). Właśnie tutaj z pomocą przychodzi wzorzec App-of-Apps (aplikacja aplikacji) w ArgoCD, który pozwala na skalowalne zarządzanie całym ekosystemem aplikacji z jednego, centralnego miejsca.

In-place Pod Resize i Sidecary w Kubernetes 1.33 – Co to zmienia?

Mon, 28 Jul 2025 13:18:00 +0200

TL;DR
#

Kubernetes 1.33 to kamień milowy, który znacząco podnosi elastyczność i bezpieczeństwo platformy. Kluczowe nowości to stabilne, natywne kontenery sidecar, które upraszczają złożone architektury, oraz funkcja in-place Pod resize, umożliwiająca zmianę alokacji zasobów (CPU i pamięci) w działających kontenerach bez konieczności ich restartu. Dodatkowo, domyślnie włączone przestrzenie nazw użytkowników podnoszą poziom izolacji, czyniąc Kubernetes jeszcze potężniejszym narzędziem dla każdego dewelopera i administratora.

HAProxy + Lua: Ochrona przed botami i atakami DDoS

Tue, 22 Jul 2025 14:33:00 +0200

Wstęp
#

W świecie rosnącego natężenia ruchu automatycznego (botów) i ataków DDoS staje się niezbędne wprowadzenie inteligentnych filtrów już na warstwie L7. W tym wpisie opiszę, jak dzięki prostemu skryptowi w Lua oraz mechanizmom HAProxy zbudowałem jedną z wielu warstw ochrony backendów przed nieporządanym ruchem.

Terraform i GitOps w GitLab CI/CD

Thu, 10 Jul 2025 12:31:00 +0200

Dziś opiszę, jak zintegrować Terraform z GitLab CI/CD, aby stworzyć wydajny i niezawodny proces GitOps.

Po co Terraform i GitOps?
#

Terraform pozwala opisywać infrastrukturę jako kod (IaC). Dzięki temu możesz ją wersjonować, łatwo powielać i audytować. GitOps dodaje do tego proces CI/CD, w którym każda zmiana w kodzie jest automatycznie wdrażana, eliminując ręczne modyfikacje i minimalizując ryzyko błędów. Trzymanie stanu w gitlabi pomoże też uniknąć potencjalnych problemów i konfliktów.

Uruchamianie Kali Linux na macOS w kontenerze Apple

Tue, 08 Jul 2025 16:35:00 +0200

Dzięki nowej konteneryzacji Apple (ogłoszonej podczas WWDC 2025) możesz teraz bezproblemowo uruchomić Kali Linux bezpośrednio na swoim Macu z Apple Silicon. To idealne rozwiązanie dla tych, którzy chcą szybko testować narzędzia bezpieczeństwa bez konieczności stawiania pełnej maszyny wirtualnej.

Kompilacja HAProxy 3.2.3 z obsługą QUIC (OpenSSL 3.1.5) na Debianie 12

Sun, 01 Jun 2025 09:31:00 +0200

Jeśli zależy Ci na wykorzystaniu pełni możliwości HAProxy, w tym najnowszych funkcji takich jak obsługa protokołu QUIC, często konieczna jest kompilacja z kodu źródłowego. Domyślne pakiety HAProxy dostępne w oficjalnych repozytoriach systemów (np. przez apt install haproxy) zazwyczaj nie zawierają wsparcia dla QUIC, ponieważ wymaga to użycia niestandardowej biblioteki OpenSSL. Co więcej, obsługa QUIC jest często dostępna w wersjach komercyjnych (HAProxy Enterprise), dlatego ręczna kompilacja jest najlepszym sposobem, aby uzyskać tę funkcjonalność w wersji darmowej.

ArgoCD - ingress ssl too many redirects

Sat, 06 Aug 2022 20:56:25 +0200

Jeżeli chcemy użyć ingressa z ArgoCD zetkniemy się z problemem pętli redirectów

curl -I https://argo.michal.kuzdzal.pl
HTTP/2 307
date: Sat, 06 Aug 2022 20:25:02 GMT
content-type: text/html; charset=utf-8
location: https://argo.michal.kuzdzal.pl/

Dzieje się tak ponieważ backend ArgoCD oczekuje, że sam nawiąże połączenie TLS, w innym przypadku zawsze przekierowuje połączenie na HTTPS.

Python - lokalny skrypt na zdalnej maszynie (ssh)

Tue, 29 Mar 2022 06:30:54 +0200

Czasem jest taka potrzeba uruchomienia jakiegoś lokalnego skryptu/programu na zdalnym hoście. Jeżeli nie chcemy kopiować i umieszczać na hoście tego skryptu możemy użyć ssh:

ssh user@host python3 < script.py

Natomiast jeżeli chcemy uruchomić skrypt z dodatkowymi parametrami:

Gitlab CI/CD - environment variable

Sun, 06 Mar 2022 20:33:04 +0100

Czasami jest potrzeba przekazania zmiennej env pomiędzy różnymi stagami pipelina. Od wersji 13 gitlaba możemy do tego użyć wbudowanego mechanizmu inherit environment variables. Zapisujemy naszą wartość w pliku .env i przekazujemy ją za pomocą mechanizmu artifacts:

Terraform - deploy LXD container

Wed, 23 Feb 2022 18:17:47 +0100

Terraform, numer jeden jeżeli chodzi o IaC (Infrastructure as Code). W bardzo przyjemny sposób można zarządzać infrastrukturą cloudową jak i on-premise.
W tym przypadku opiszę pokrótce jak deployować virtualną maszynę w LXD.

Varnish - cache serwer w k8s

Tue, 01 Feb 2022 22:15:00 +0100

Varnish, świetny serwer cache’u umożliwiający bardzo zaawansowaną konfigurację. Większość serwerów cdn dostępnych w internecie wykorzystuje właśnie varnisha na backendzie do serwowania statycznych danych. Osobiście użyłem go jako front przed ghostem, o którego de facto oparty jest ten blog.

k3s - nginx ingress

Wed, 05 Jan 2022 20:58:00 +0100

Domyślnym ingressem w k3s jest traefik. Osobiście wolne korzystać z nginx’a więc opiszę pokrótce jak zdeploywać go w clustrze k3s’a.

Instalacja k3s
#

Zaczniemy od instalacji samego k3s z wyłączonym traefikiem:

CI/CD - drone k8s deploy

Tue, 14 Dec 2021 13:36:00 +0100

Drone jest fajnym i lekkim toolem do Continuous Integration i Continuous Delivery/Deployment. Jak przy jego po mocy zdeployować coś do clustra k8s?
Z pomocą przychodzi projekt dostępny na GitHub’ie.

Przygotowanie
#

Stwórzmy pipeline, który utworzy nam testowy deployment gotowy do dalszej pracy:

Kubernetes - nfs storage

Sun, 28 Feb 2021 21:02:07 +0100

Do domowego laba k8s bardzo fajnie sprawdza się microk8s. Jest instalowany przez snapa, jego konfiguracja jest banalna i co najważniejsze posiada masę addonów, które ułatwiają odpalenie wiele rzeczy w sekundę. Jednym z takich addonów jest “storage”, który utworzy nam storage class w naszym clustrze alokując storage jako host directory.
Przydatne jednak może być podpięcie zewnętrznego storygu jak np. NFS.

Microk8s - FAIL: snap.microk8s.daemon-proxy

Fri, 25 Dec 2020 12:55:37 +0100

Podczas deployu microk8s w kontenerze LXD może pojawić się problem z daemon-proxy. Wówczas w statusie microk8s zobaczymy:

FAIL: Service snap.microk8s.daemon-proxy is not running

W logach samego procesu (journalctl -u snap.microk8s.daemon-proxy) widzimy:

Docker - filebeat autodiscovery

Tue, 08 Dec 2020 18:25:32 +0100

Przy pomocy beatów od elasticka i opcji autodiscovery mamy możliwość monitorowania kontenerów z poziomu hosta bez niepotrzebnej ingerencji do środka samych kontenerów. Autodoscoverer podczas startu beat’a skanuje odpalone kontenery i przypisuje im odpowiedni config.

Puppet - restart usługi po zmianie pliku

Mon, 05 Oct 2020 11:53:49 +0200

W przypadku puppeta sprawa jest bardzo prosta. Najpierw deklarujemy naszą usługę:

service { "stunnel4" :
 ensure => "running",
 enable => "true",
 require => Package["stunnel4"],
}

Następnie w pliku, którym chcemy striggerować nasz serwis dodajemy parametr ’notify':

file { '/etc/stunnel/stunnel.pem': ## {{{
 source => 'puppet:///modules/lb-hq-cm-ha/stunnel-mysql.pem',
 owner => root,
 group => root,
 mode => '0644',
 notify => Service['stunnel4'],
} ## }}}

Linki
#

Puppet service.

Git - cofnięcie ostatniego commitu

Thu, 01 Oct 2020 08:00:00 +0200

Przy pracy z gitem nie raz spotkamy się z sytuacją kiedy będziemy musieli wycofać ostatnio dodany commit. Z pomocą przychodzi reset z oderwaniem “głowy” o jeden commit do góry:

git reset --soft HEAD~1

Flaga –soft pozwala nam na zachowanie zmian w plikach.

Ansible - dodanie ścieżki $PATH

Wed, 30 Sep 2020 08:00:00 +0200

Przy budowaniu playbooków często musimy dodać jakąś ścieżkę globalnie do zmiennej PATH. Możemy tego dokonać np. przy użyciu modułu copy:

 - name: Add new $PATH.
 copy:
 dest: /etc/profile.d/my-path.sh
 content: 'PATH=$PATH:{{ /opt/my/path/ }}'

Linki
#

Ansible copy.

Ansible - instalacja pakietu jeśli nie istnieje

Tue, 29 Sep 2020 10:41:48 +0200

Exit code przydać nam się mogą w ansiblu do sprawdzania prostych warunków. W tym przypadku do zweryfikowania czy mamy zainstalowany pakiet repozytoriów puppetlabs.

- name: "Check if puppet is installed" 
 shell: dpkg-query -W puppet5-release
 register: is_puppet_installed
 failed_when: no
 changed_when: no
 
- name: "Download puppetlabs package"
 get_url: 
 url: https://apt.puppetlabs.com/puppet5-release-{{ ansible_distribution_release }}.deb
 dest: /tmp/puppet5-release-{{ ansible_distribution_release }}.deb
 when: is_puppet_installed.rc == 1

- name: "Install puppet repository"
 apt: deb="/tmp/puppet5-release-{{ ansible_distribution_release }}.deb" when: is_puppet_installed.rc == 1

Linki
#

Ansible error handling

Backup kontenerów LXD

Tue, 22 Sep 2020 20:27:02 +0200

LXD to tak naprawdę nakładka (api) na kontenery LXC.
Backup kontenerów możemy robić na kilka sposobów.

Snapshot
#

Snapshot to tak naprawdę nic innego, jak rsync file systemu danego kontenera. Snapshot nie zapisuje konfiguracji kontenera!\

HAProxy - logowanie do pliku

Mon, 20 Jul 2020 17:30:33 +0200

Haproxy nie umożliwia nam zapisywania logów bezpośrednio do pliku i trzeba w tym celu użyć np. rsysloga. Logi można wysyłać na zdalny serwer logów, lub odpalić taki serwer lokalnie.

Konfiguracja
#

Dodajmy konfigurację do rsysloga /etc/rsyslog.d/49-haproxy.conf

Let's encrypt - certyfikat wildcard

Sun, 12 Jul 2020 19:47:31 +0200

Od marca 2018 r. let’s encrypt wprowadził opcję generowania certyfikatów typu wildcard.

Generowanie certyfikatu
#

certbot certonly --manual --preferred-challenges dns --server https://acme-v02.api.letsencrypt.org/directory --manual-public-ip-logging-ok -d '*.kuzdzal.pl' -d kuzdzal.pl

W trakcje operacji zostaniemy poproszeni o dodanie rekordu TXT dla wskazanej domeny.

Zabbix - timeout executing script

Sat, 11 Jul 2020 20:54:05 +0200

Dzięki agentowi zabbixa możemy uruchamiać zewnętrzne programy/skrypty i przekazywać ich outputu bezpośrednio do serwera zabbixa. Umożliwia to opcja UserParameter.
Problem może pojawić się, jeżeli skrypt zwraca output po jakimś dłuższym czasie, wtedy zabbix server może nas przywitać błędem:

DevOps roadmap 2022

Fri, 10 Jul 2020 20:32:09 +0200

OVH - keepalived i publiczne ip (VRF)

Fri, 03 Jul 2020 20:38:08 +0200

Keepalived, narzędzie do zapewnienia loadbalancingu i wysokiej dostępności (HA).

Wstęp
#

Jak wiadomo w OVH, aby przypisać adresację publiczną, trzeba wygenerować w panelu adres mac, który następnie musimy przypisać serwerowi. Powstaje więc problem, jeżeli chcemy połączyć serwery keepalive’m musimy przypisać obu serwerom te same mac addressy, co może prowadzić do różnych problemów z warstwą L2.
Dodatkowo, jeżeli chcemy przypisać kilka publiczny adresów ip, niezbędne będzie zastosowanie VRF’ów (virtual routing and forwarding).

Docker - backup Bazy MySQL

Thu, 02 Jul 2020 21:11:01 +0200

Wykonanie dumpa bazy danych kontenera mysql z poziomu hosta:

docker exec NAZWA_KONTENERA /usr/bin/mysqldump -u root --password=root DATABASE > backup.sql

Odtworzenie dumpa:

cat backup.sql | docker exec -i NAZWA_KONTENERA /usr/bin/mysql -u root --password=root DATABASE

Linki
#

Docker exec,
Mysqldump.

XtraDB Cluster

Mon, 29 Jun 2020 16:34:08 +0200

Żeby zapewnić HA cluster powinien składać się, z nieparzystej liczby nodów (3, 5, 7…). Samo XtraDB jest forkiem MySQL Galera.

Wstęp
#

Poniżej przykładowa konfiguracja dla dwóch nodów (niezalecana):
xtradb-1 - 10.1.100.101
xtradb-2 - 10.1.100.102
Konfiguracja zakłada komunikację po adresach IP (samo resolvowanie dnsów przy bazach danych, jest niezalecane ze względu na performance).
Dodanie kolejnych nodów przebiega analogicznie.

Zbiór ciekawych linków

Fri, 19 Jun 2020 20:54:12 +0200

Ansible kurs od redhat’a,

Gra do nauki git’a,

Gra do nauki SQL’a,

Plugin do nauki VIM’a,

Wlasny serwer s3,

Darmowa książka Automate the Boring Stuff with Python,

Posts on Michał Kuzdzal

Przyśpieszenie rolling restart i recovery shardów w Elasticsearch

Puppet przejęty przez Perforce - co się zmieniło i jakie są inne alternatywy dla Puppet?

ArgoCD App-of-Apps: Jak efektywnie zarządzać aplikacjami w Kubernetes?

In-place Pod Resize i Sidecary w Kubernetes 1.33 – Co to zmienia?

TL;DR #

HAProxy + Lua: Ochrona przed botami i atakami DDoS

Wstęp #

Terraform i GitOps w GitLab CI/CD

Po co Terraform i GitOps? #

Uruchamianie Kali Linux na macOS w kontenerze Apple

Kompilacja HAProxy 3.2.3 z obsługą QUIC (OpenSSL 3.1.5) na Debianie 12

ArgoCD - ingress ssl too many redirects

Python - lokalny skrypt na zdalnej maszynie (ssh)

Gitlab CI/CD - environment variable

Terraform - deploy LXD container

Varnish - cache serwer w k8s

k3s - nginx ingress

Instalacja k3s #

CI/CD - drone k8s deploy

Przygotowanie #

Kubernetes - nfs storage

Microk8s - FAIL: snap.microk8s.daemon-proxy

Docker - filebeat autodiscovery

Puppet - restart usługi po zmianie pliku

Linki #

Git - cofnięcie ostatniego commitu

Ansible - dodanie ścieżki $PATH

Linki #

Ansible - instalacja pakietu jeśli nie istnieje

Linki #

Backup kontenerów LXD

Snapshot #

HAProxy - logowanie do pliku

Konfiguracja #

Let's encrypt - certyfikat wildcard

Generowanie certyfikatu #

Zabbix - timeout executing script

DevOps roadmap 2022

OVH - keepalived i publiczne ip (VRF)

Wstęp #

Docker - backup Bazy MySQL

Linki #

XtraDB Cluster

Wstęp #

Zbiór ciekawych linków

TL;DR
#

Wstęp
#

Po co Terraform i GitOps?
#

Instalacja k3s
#

Przygotowanie
#

Linki
#

Linki
#

Linki
#

Snapshot
#

Konfiguracja
#

Generowanie certyfikatu
#

Wstęp
#

Linki
#

Wstęp
#