惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

有赞技术团队
有赞技术团队
量子位
B
Blog RSS Feed
Schneier on Security
Schneier on Security
L
LINUX DO - 最新话题
博客园 - 三生石上(FineUI控件)
Recent Announcements
Recent Announcements
Hacker News: Ask HN
Hacker News: Ask HN
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
Google DeepMind News
Google DeepMind News
N
News | PayPal Newsroom
阮一峰的网络日志
阮一峰的网络日志
Microsoft Security Blog
Microsoft Security Blog
Application and Cybersecurity Blog
Application and Cybersecurity Blog
T
Tailwind CSS Blog
MongoDB | Blog
MongoDB | Blog
大猫的无限游戏
大猫的无限游戏
PCI Perspectives
PCI Perspectives
aimingoo的专栏
aimingoo的专栏
D
Docker
T
The Exploit Database - CXSecurity.com
Last Week in AI
Last Week in AI
W
WeLiveSecurity
Stack Overflow Blog
Stack Overflow Blog
月光博客
月光博客
Vercel News
Vercel News
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
J
Java Code Geeks
O
OpenAI News
C
Cisco Blogs
Hacker News - Newest:
Hacker News - Newest: "LLM"
爱范儿
爱范儿
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
T
Threat Research - Cisco Blogs
Cisco Talos Blog
Cisco Talos Blog
酷 壳 – CoolShell
酷 壳 – CoolShell
Help Net Security
Help Net Security
Scott Helme
Scott Helme
The Hacker News
The Hacker News
Y
Y Combinator Blog
A
Arctic Wolf
V
V2EX
P
Proofpoint News Feed
Simon Willison's Weblog
Simon Willison's Weblog
A
About on SuperTechFans
S
Securelist
G
Google Developers Blog
Cyberwarzone
Cyberwarzone
The GitHub Blog
The GitHub Blog

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
Артефакты в масштабе: как мы построили реестр, который не ломает разработку
TimofeyYa (C · 2026-05-20 · via Все публикации подряд на Хабре

Артефакты в масштабе: как мы построили реестр, который не ломает разработку

Уровень сложностиСредний

Время на прочтение6 мин

Охват и читатели22

Кейс

Когда компания маленькая, все просто: пара разработчиков тянет образы напрямую с Docker Hub, и никто особо не задумывается, как это работает. Работает — и ладно.

Потом компания начинает расти. У нас, например, это происходило быстро: новые команды, новые продукты, новые процессы. Пришли безопасники с длинным списком требований, CI/CD-пайплайны стали падать в самый неподходящий момент. И тогда стало понятно: то, что работало на старте, больше не работает.

Меня зовут Тимофей Якунин, я менеджер облачного сервиса Evolution Artifact Registry в Cloud.ru. Прошел путь от фулстек-разработчика до руководителя отдела. Я больше пяти лет в облаке, строил разработку с нуля в двух облачных компаниях. Ниже — история о том, как мы прошли путь от простого хранилища до сервиса, на который завязаны и клиенты, и наша собственная инфраструктура.

Сначала про артефакты

Сухое определение: артефакт — это docker-образ, RPM-пакет, Debian-пакет, Helm-чарт и все в этом духе. Но мне нравится другая формулировка:

все, на что падает свет, становится артефактом.

Серьезно. В каждом процессе разработки что-то создается: собирается образ, компилируется библиотека, генерируется конфиг. Все это нужно хранить, версионировать, защищать и раздавать нужным людям в нужное время. Реестр артефактов — это инфраструктура вокруг всего этого.

Артефакты пронизывают абсолютно все процессы разработки: нет релиза без артефактов, нет деплоя без образов. Ошибки здесь — это не технические инциденты, это бизнес-риски.

Ситуация: у нас есть свой registry, но его не достаточно

Потребность в развитии хранилища артефактов появилась в тот момент, когда начала расти сама облачная платформа Cloud.ru Evolution. Рост платформы означал рост числа команд, сценариев использования и требований к надежности и безопасности. Нам стало нужно не просто хранилище образов, а полноценный сервис, который поддерживает разные процессы, масштабируется вместе с платформой и дает централизованный контроль.

Проблем было несколько, и каждая в какой-то момент могла остановить разработку.
Ниже — четыре ключевых направления, которые пришлось последовательно закрывать.

Проблема первая: мы зависели от интернета

Изначально типовой сценарий выглядел так: разработчик или пайплайн обращается к внешнему реестру, а нужный образ скачивается напрямую с Docker Hub или другого публичного источника.
Пока внешний сервис доступен, все работает нормально. Но как только возникают ограничения, недоступность провайдера или сетевой сбой, сборки начинают останавливаться, а команды — ждать.

Для нас это был не теоретический риск. Когда Docker Hub становился недоступен из России, сразу становилось видно, насколько хрупкой может быть такая схема. Даже кратковременный внешний сбой превращается в проблему для внутренних процессов.

Решением стал кеширующий реестр. Теперь запрос идет не напрямую во внешний мир, а через прокси-слой: первый запрос уходит наружу и сохраняется в кеше, а последующие отдаются уже из него. За счет этого повторные запросы обрабатываются в 3–5 раз быстрее, а при временной недоступности внешнего реестра работа не останавливается.

Но скорость — не единственное преимущество. Кеширующий реестр становится точкой контроля, через которую проходит весь внешний трафик зависимостей. А значит, именно здесь можно централизованно включать дополнительные механизмы безопасности и политики доступа.

Сейчас кеширующий реестр находится в стадии внутренней разработки и скоро появится в Public Preview. Как говорится, следите за обновлениями.

Проблема вторая: безопасность и контроль

Если разработчики тянут зависимости напрямую, у компании почти нет прозрачности. Образ с уязвимостью может попасть в сборку незаметно, пройти через пайплайн и доехать до продакшена без единой точки проверки.

Поэтому следующим шагом стало автоматическое сканирование CVE. Каждый образ проверяется при загрузке, а затем продолжает участвовать в непрерывном мониторинге, чтобы новые угрозы выявлялись и для уже сохраненных артефактов. Если обнаруживается критичная проблема, карантин не дает такому образу пройти дальше по цепочке поставки.

Но на этом контроль не заканчивается.

Кеширующий реестр важен не только как ускоритель, но и как точка принятия решений: что можно пропускать в инфраструктуру, а что нельзя. Именно здесь у нас появляется следующая важная возможность — SBOM-фильтр.

SBOM, или Software Bill of Materials, — это состав образа, то есть перечень зависимостей, которые в него вошли. SBOM-фильтр срабатывает во время pull-запроса: извлекает состав, сравнивает его с белыми и черными списками, проверяет CVE и лицензии. Если политика нарушена, клиент получает HTTP 403 Forbidden, и образ не выдается.

Такой механизм помогает не только в борьбе с известными уязвимостями. Он также снижает риски supply chain атак, когда вредоносный или нежелательный компонент попадает в сборку под видом обычной зависимости.

SBOM-фильтр тоже находится на стадии внутренней разработки и должен скоро выйти в Public Preview.

Отдельно важен лицензионный контроль.

Open source нельзя использовать без оглядки: некоторые лицензии, например GPL и AGPL, накладывают обязательства по раскрытию кода при распространении ПО. Если не отслеживать такие зависимости заранее, лицензия может стать проблемой уже на этапе сертификации, поставки продукта или подписания контракта.

Проверка через SBOM позволяет увидеть такой риск заранее, а не тогда, когда исправлять уже дорого и сложно.

Проблема третья: надежность

На каком-то этапе мы осознали масштаб ответственности, которая лежит на нас. На Evolution Artifact Registry завязана собственная инфраструктура Cloud.ru, завязаны клиенты, CI/CD-пайплайны десятков команд. Это больше не «один из сервисов» — это узел, который нельзя ронять.

Здесь особенно ярко работает dogfooding — мы используем собственный продукт внутри собственной инфраструктуры. Когда сервис испытывает проблемы, это напрямую бьет и по нам самим, поэтому требования к отказоустойчивости быстро становятся не абстрактными, а очень практическими.

Чтобы снизить риски, мы последовательно усиливали платформу: внедрили HPA, репликацию баз данных, Multi A-Z, мониторинг, трейсинг, балансировщики нагрузки и S3 stream. Именно S3 stream хорошо показывает, как точечное архитектурное изменение может дать большой эффект.

До его внедрения Gateway проксировал скачивание через себя: когда клиент тянул образ, данные проходили через сервис, создавая лишнюю нагрузку, утечки памяти и деградацию под пиком.
После внедрения S3 stream данные начали уходить напрямую из хранилища к клиенту, а Gateway стал только выдавать подписанную ссылку и код 302.

Docker-клиент умеет работать с таким сценарием сам, поэтому лишний трафик ушел с нашего сервиса.

В результате при пиковой нагрузке загрузка сервиса сократилась в 3 раза, а скорость ответа выросла более чем в 2 раза.

Это был не полный пересмотр архитектуры, а одно прицельное решение с заметным результатом.

Проблема четвертая: типов артефактов больше чем кажется

Изначально реестр артефактов поддерживал Docker-образы. Логично: Docker — самый очевидный артефакт.

Но команды работают не только с контейнерами. Есть виртуальные машины, которым нужны deb- и rpm-пакеты, есть CI/CD-пайплайны, которые читают базовые образы, пакеты и зависимости — и все это хочется хранить в одном месте с единым контролем безопасности.

Дорожная карта выглядит так:

На конференции GoCloud 2026 во время моего выступления меня спросили: какие форматы появятся в следующем году? Честно — не хочу планировать на пять лет вперед и раздавать обещания. Дорожная карта есть, но я предпочитаю двигаться итеративно: смотреть, что реально нужно, слушать тех, кто пользуется продуктом. Если вам чего-то не хватает — напишите нам в поддержку, это лучший способ повлиять на приоритеты.

Pypi-реестры уже вышли в Public Preview и доступны всем.

Что получилось

Сейчас Artifact Registry уже интегрирован с несколькими сервисами платформы Cloud.ru Evolution.
Например, с Evolution Container Apps реализован сценарий автодеплоя из реестра при публикации образов. С IaaS хранилище артефактов используется для дистрибуции deb- и rpm-пакетов для виртуальных машин. Также есть интеграции с Managed Kubernetes, Jupyter-ноутбуками и Workflow Studio.

Отдельный важный сценарий — Cloud.ru Evolution Stack, то есть гибридное облако, которое может работать без доступа в интернет. В такой конфигурации CI/CD получает базовые образы, Debian-пакеты, а также PyPI- и npm-зависимости напрямую из Artifact Registry. Это позволяет убрать критическую зависимость от внешних источников и сделать поставку артефактов более предсказуемой

Что мы поняли

Из финального слайда доклада — формулировки, с которыми трудно поспорить:

Главный вывод для нас простой: реестр артефактов — это не склад, а живой сервис.
Он требует мониторинга, масштабирования, отказоустойчивости и постоянной адаптации к росту команд, нагрузок и числа форматов.

Второй вывод — артефакты проходят через весь жизненный цикл разработки.
Без них нет сборки, релиза и деплоя, поэтому ошибки в этом слое быстро превращаются в бизнес-риски.

Третий вывод — безопасность в реестре должна быть встроенной, а не факультативной.
Если нет автоматического контроля, реестр легко превращается в конвейер поставки уязвимостей в продакшен. Ручные проверки здесь не масштабируются, поэтому нужны централизованное сканирование, SBOM и механизмы блокировки небезопасных артефактов.

И, наконец, быстрый, функциональный и надежный Artifact Registry напрямую влияет на эффективность команд. Чем меньше простоев, ожидания и разборов инцидентов, тем быстрее идут релизы и тем устойчивее работает вся платформа.

Если работаешь с артефактами, лучше смотреть на них не как на техническую мелочь, а как на часть критической инфраструктуры разработки. Именно в таком масштабе становятся видны настоящие требования к надежности, безопасности и удобству сервиса.

Если работаете с артефактами, скажите, если вам чего-то не хватает. Лучший способ понять, что делать дальше — спросить у тех, кто этим пользуется.