WireGuard на 10 Gbps: pinning IRQ и cpuset
Как из 2.4 Gbps на дефолте получить честные 8.5 Gbps в WireGuard на bare-metal — без магии, только pinning и numa-aware.
DevOps
Nginx vs Caddy в 2026: TLS, производительность, fingerprint
Сравниваю Caddy 2.8 и nginx 1.27 на одинаковом железе: где Caddy экономит время, где nginx экономит CPU.
VictoriaMetrics + vmagent: лёгкая замена Prometheus для остатков ресурсов
Переехал с Prometheus 2.55 на VictoriaMetrics 1.106 — RAM упал в 4 раза, диск в 7, а PromQL остался.
fail2ban: правильные regex для современного nginx
Боевые фильтры fail2ban под HTTP/2, HTTP/3 и фронт за реверс-прокси, которые реально ловят, а не пропускают.
CAKE qdisc: rate-limit без боли
Заменяю HTB+SFQ на CAKE и наконец-то забываю про подбор burst, quantum и прочих параметров.
Docker cpuset vs cpus: разница и когда что использовать
Разбираем, чем --cpuset-cpus отличается от --cpus, и почему вам почти всегда нужен именно cpuset.
Prometheus + Grafana: минимальный observability на одной VPS
Поднимаем рабочий мониторинг на 1 vCPU / 2 GB без kubernetes, helm и прочих ужасов.
iptables vs nftables: миграция без боли
Как перевести боевой сервер с iptables на nftables, не положив прод и не запутавшись в синтаксисе.
Kernel tuning для VPS под высокую нагрузку: что реально работает
Список sysctl, который я применяю на каждой нагруженной VPS — без карго-культа и без копипасты с habr 2015 года.
Conntrack тюнинг для высокой нагрузки: грабли которые я собрал
Что делать, когда nf_conntrack: table full, dropping packet сыпется в dmesg, и как этого избежать в первый раз.