惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

GbyAI
GbyAI
博客园 - 三生石上(FineUI控件)
S
Securelist
U
Unit 42
The Cloudflare Blog
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
Simon Willison's Weblog
Simon Willison's Weblog
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
B
Blog
T
Tenable Blog
The Hacker News
The Hacker News
The Register - Security
The Register - Security
IT之家
IT之家
博客园 - 【当耐特】
Spread Privacy
Spread Privacy
P
Privacy & Cybersecurity Law Blog
博客园_首页
T
Tailwind CSS Blog
人人都是产品经理
人人都是产品经理
C
Cybersecurity and Infrastructure Security Agency CISA
Know Your Adversary
Know Your Adversary
NISL@THU
NISL@THU
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
阮一峰的网络日志
阮一峰的网络日志
T
Tor Project blog
C
CERT Recently Published Vulnerability Notes
Apple Machine Learning Research
Apple Machine Learning Research
Stack Overflow Blog
Stack Overflow Blog
T
Threat Research - Cisco Blogs
T
The Exploit Database - CXSecurity.com
V
Vulnerabilities – Threatpost
A
Arctic Wolf
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
V
V2EX
aimingoo的专栏
aimingoo的专栏
大猫的无限游戏
大猫的无限游戏
Scott Helme
Scott Helme
L
LINUX DO - 热门话题
Cyberwarzone
Cyberwarzone
V
Visual Studio Blog
月光博客
月光博客
爱范儿
爱范儿
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
美团技术团队
G
GRAHAM CLULEY
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
H
Heimdal Security Blog
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
NXS Universal Chart v3.1.0: умный autoRollout, новые subcharts и MCP сервер
Петр Рукин · 2026-05-27 · via Все публикации подряд на Хабре

Средний

7 мин

8.6K

Команда nxs-universal-chart готовит к выпуску версию 3.1.0. Этот релиз аккумулирует все изменения, вошедшие в промежуточные сборки v3.0.10 - v3.0.21, а также новые фичи. Ниже — разбор ключевых нововведений и исправлений.


В начале хотелось бы выразить благодарность всем участникам, которые создают PR и issue на GitHub. Отдельно хотелось бы отметить самых активных контрибьюторов, чьи правки вошли в новый релиз:


Контекст: что такое nxs-universal-chart

Для тех, кто ещё не знаком: nxs-universal-chart - это Helm-чарт, позволяющий деплоить практически любое приложение в Kubernetes или OpenShift без написания собственных шаблонов. Вместо десятков YAML-файлов на каждый микросервис вы описываете ресурсы через единый values.yaml, а чарт самостоятельно генерирует Deployment, Service, Ingress и другие необходимые ресурсы. 

Главное изменение: умные чексуммы в autoRolloutChecksums

Пожалуй, самое практически значимое изменение v3.1.0 - переработка механизма autoRolloutChecksums. Раньше при включении этой опции чарт генерировал чексумм-аннотации для всех ConfigMap, Secret и SealedSecret в релизе. Это приводило к неприятному побочному эффекту: изменение любого ConfigMap вызывало рестарт всех ворклоадов, даже тех, которые этот ConfigMap не использовали.

Теперь autoRolloutChecksums анализирует, какие конфигурационные ресурсы реально привязаны к конкретному ворклоаду — через envConfigmaps, envSecrets, envsFromConfigmap, envsFromSecret или типизированные volumes — и генерирует чексуммы только для них. Глобальные envs и secretEnvs по-прежнему попадают в аннотации всех ворклоадов, что логично: они действительно используются повсюду.

Для команд, у которых в одном релизе живут десятки микросервисов с общей конфигурацией, это устраняет целый класс ложных rollout-ов. В GitOps-сценариях с Argo CD или Flux эффект ещё заметнее: меньше бессмысленных diff-ов, меньше ненужных синхронизаций.

Расширение экосистемы: 12 новых субчартов

Версия 3.x перешла на модульную архитектуру с OCI-hosted субчартами (nuc-*), и в v3.1.0 экосистема стала значительно шире. К ранее существовавшим субчартам для Traefik, Istio, cert-manager, Knative, KServe, Prometheus-стека, Gateway API, VictoriaMetrics, Vault и Argo CD добавились:

  • Инфраструктура данных :

    • nuc-clickhouse,

    • nuc-elk,

    • nuc-rabbitmq,

    • nuc-strimzi-kafka-operator

  • Базы данных через операторы:

    • nuc-mongodb-percona-operator,

    • nuc-mysql-percona-operator,

    • nuc-cloudnativepg,

    • nuc-valkey.

  • Оркестрация и безопасность:

    • nuc-fluxcd для GitOps через Flux CD,

    • nuc-envoy-gatewayI,

    • nuc-external-secrets для интеграции с внешними хранилищами секретов,

    • nuc-keycloak-operator

Каждый субчарт включается через свой флаг nuc-<name>.enabled: true в values.yaml и не влияет на рендеринг, пока явно не активирован.

Новые shared-дефолты для ворклоадов

Версия 3.1.0 вводит набор новых «generic» параметров, которые позволяют задать дефолты один раз и забыть о копировании между десятками деплойментов:

  • generic.nodeSelector - общий селектор нод для всех ворклоадов. Типичный сценарий: у вас есть пул nodepool: apps, и вы хотите, чтобы все поды приложения попадали именно туда. Раньше приходилось дублировать nodeSelector в каждом Deployment; теперь достаточно одной строки.

  • generic.resources - дефолтные requests/limits для контейнеров. Это особенно актуально для команд, где политика «никаких подов без ресурсных лимитов» уже стала частью admission-контроллера: можно задать разумные дефолты глобально и переопределять только там, где нужно.

  • generic.podSecurityContext и generic.containerSecurityContext - общие security-контексты с опцией mergeWithGeneric: true, позволяющей не заменять, а дополнять глобальные настройки на уровне конкретного ворклоада.

  • generic.automountServiceAccountToken - возможность отключить автомонтирование токена сервисного аккаунта для всех подов по умолчанию. В эпоху zero-trust это базовая гигиена, и хорошо, что теперь она поддерживается чартом «из коробки».

  • servicesGeneral - общие labels и annotations для всех Service-ресурсов, включая автоматически генерируемые governing-сервисы для StatefulSet.

Projected-тома и imagePullSecrets для ServiceAccount

Типизированные volumes пополнились поддержкой projected — теперь в volumes[].type: projected можно описать комбинированный volume, объединяющий данные из нескольких источников (ServiceAccountToken, ConfigMap, Secret, DownwardAPI) в одну точку монтирования. Функция востребована в сценариях с workload identity и IRSA/pod identity в облаках.

Кроме того, появилась возможность указывать imagePullSecrets непосредственно в ресурсе ServiceAccount через serviceAccountDefaultImagePullSecretName, serviceAccountGeneral.imagePullSecrets и per-SA оверрайды. Это упрощает работу с приватными реестрами в мультитенантных кластерах, где pull-секреты привязываются к сервисному аккаунту, а не к каждому поду отдельно.

Исправления

Ряд исправлений в v3.1.0 направлен на повышение устойчивости чарта к «неидеальным» values:

  • Раньше, если внутри deployments, cronJobs, jobs или hooks встречались null-записи (например, при условном включении через Helmfile или ArgoCD ApplicationSet), рендеринг мог упасть с ошибкой шаблонизации. Теперь null-записи корректно пропускаются.

  • Исправлена логика наследования cronJobsGeneral.suspend и cronJobsGeneral.singleOnly: ранее per-CronJob значение false или null не могло переопределить general-дефолт, что приводило к неожиданному поведению при попытке возобновить конкретный CronJob, когда общий флаг suspend был включён.

  • Исправлен рендеринг envConfigmaps и envSecrets: при наличии null-элементов или пустых записей чарт мог генерировать пустой блок envFrom, что Kubernetes принимал, но что засоряло манифесты. Теперь пустые записи пропускаются, а множественные ссылки сохраняются корректно.

  • Исправлена ошибка, при которой ConfigMap и Secret, аннотированные хуками по умолчанию, не удалялись при helm uninstall.

  • Исправлен автоматический сбор чексумм для General.envConfigmaps и General.envSecrets — ранее ссылки, заданные на уровне general, могли не попадать в rollout-аннотации.

CI/CD: GitHub Actions «из коробки»

В репозитории появилась полноценная конфигурация GitHub Actions — lint, security-сканирование, smoke-тесты, юнит-тесты и e2e прогоны теперь запускаются автоматически на каждый PR.

Каталог samples

Добавлен каталог samples/ с готовыми примерами конфигураций для основных сценариев деплоя. Примеры покрыты smoke-тестами, так что они гарантированно рендерятся без ошибок и могут служить отправной точкой для новых проектов. Также добавлены примеры для новых субчартов: nuc-fluxcd, nuc-external-secrets, nuc-mongodb-percona-operator, nuc-envoy-gateway и nuc-valkey.

Документация

Обновлена документация по всем dependency-субчартам, задокументировано поведение deploymentsGeneral и cronJobsGeneral в части environment-источников (включая обработку пустых значений и порядок переопределения), очищены примерочные values-файлы — убраны пустые необязательные карты, заполнены обязательные поля конкретными значениями.

Однако, после работы с несколькими subcharts мы пришли к выводу, что новому пользователю будет максимально тяжело разобраться с этим многообразием values. Поэтому, кроме стандартной документации мы решили расширить функционал ознакомления с проектом.

MCP сервер

Model Context Protocol (MCP) — открытый стандарт от Anthropic, позволяющий AI-ассистентам (Claude, Cursor, Copilot и другим MCP-совместимым клиентам) обращаться к внешним инструментам напрямую из диалога. Мы решили, что для большой базы values это будет хорошим решением, поэтому выпустили MCP-сервер для nxs-universal-chart.

  • Генерация values.yaml

    Вы описываете на естественном языке то, что хотите задеплоить, и получаете готовый values файл, совместимый со схемой чарта:

Напиши values файл для деплоя WordPress с MySQL через Percona XtraDB Cluster, Redis-кешем на базе Valkey, TLS от cert-manager и ингрессом nginx. Namespace — production.

Сервер знает полный контракт values.yaml, все субчарты (nuc-mysql-percona-operator, nuc-valkey, nuc-certificates и остальные) и генерирует конфиг, который проходит валидацию по values.schema.json без правок вручную.

  • Валидация Helm-чартов

    После генерации или при работе с уже существующим values.yaml сервер предоставляет несколько инструментов проверки:

    • Schema-валидация — проверяет values.yaml по встроенному values.schema.json чарта и сразу сообщает о некорректных типах, лишних полях или нарушении обязательных ограничений, ещё до запуска Helm.

    • helm lint — прогоняет стандартный линтер Helm по вашему файлу значений и возвращает предупреждения и ошибки в диалог.

    • helm template — рендерит итоговые манифесты локально, чтобы можно было проверить, что именно попадёт в кластер.

    • kubeconform — валидирует отрендеренные манифесты на соответствие официальным схемам Kubernetes и CRD-схемам из каталога, выявляя устаревшие API и несовместимые поля.

Весь цикл происходит в одном диалоге без переключения между терминалом и редактором.

  • Документация по Helm-чартам

    Сервер умеет обращаться к актуальной версии чартов и вытаскивать из них информацию о:

    • Поддерживаемых ресурсах Kubernetes

    • JSON схемам

    • Зависимостях

    А также осуществлять поиск по README.md, docs/, values.yaml, values.schema.json, и шаблонам.

Сайт nuc.nixys.ru

Вместе с MCP-сервером мы запускаем nuc.nixys.ru - браузерный инструмент для всех, кто работает с nxs-universal-chart и nuc-субчартами.

На сайте доступно несколько инструментов:

  • Каталог субчартов - справочник по всем nuc-* зависимостям с описанием ресурсов, флагов включения и примерами values.

  • UI-генератор values.yaml - визуальная форма для пошаговой сборки конфигурации чарта без знания схемы.

  • Templates - набор готовых values для разных стеков и ситуаций;

  • Migrate from Docker Compose - рендер docker-compose yaml файлов в манифесты NUC в режиме реального времени.

Кому стоит обновляться

Если вы используете nxs-universal-chart v3.0.x в production, обновление до v3.1.0 рекомендуется в первую очередь тем, кто:

  • Страдает от лишних рестартов из-за autoRolloutChecksums - это решено на архитектурном уровне и не требует изменений в values.

  • Использует GitOps и наблюдает «шумные» diff-ы - меньше ложных чексуммов означает меньше ненужных синхронизаций.

  • Активно использует CronJob с general-дефолтами - исправления suspend/singleOnly устраняют неочевидные баги.

  • Планирует интеграцию с Percona-операторами, CloudNativePG, ELK, ClickHouse или Envoy Gateway - субчарты уже готовы к использованию.

Обновление обратно совместимо: все существующие values продолжат работать без изменений. Новые параметры опциональны и имеют безопасные значения по умолчанию.

Заключение

Как и ранее, будем рады услышать ваши мысли и увидеть предложения по улучшению на GitHub, а также в нашем сообществе в Telegram. Увидимся!