Air-gapped Firewall

#friday

Не надо раздражаться!

#пятничное

Распределённое БЕСПЛАТНОЕ хранилище данных на CloudShell

Кто вдруг не знает, CloudShell даёт бесплатно не только запускать, но и хранить 1 ГБ информации на дисках.

Да, 1 ГБ это не шибко много. НО. В каждом аккаунте и в каждом регионе. Нонче это 25 регионов.

Итого, нужно всего 4 аккаунта на 100 ГБ места. НАХАЛЯВУ!

https://github.com/dan-v/cloudshell-store

Built-in Disaster Recovery: информация максимально устойчива к падению чего-то угодно, ибо распределена по всем регионам сразу.

P.S. DNS on Route53 проехали. Переходим на NFS on CloudShell. 😁

Крупнейший взлом Trivy, продолжение

Прошлый раз были, оказывается, лишь цветочки.

https://socket.dev/blog/trivy-under-attack-again-github-actions-compromise

В результате новой атаки были подменены 75 из 76 тэгов версий Trivy. Все, кто использовал версию кроме 0.35.0 (или просто все, начиная от 0.18.0 с промежуточными), получили вредоносный коммит, который крадёт:

- AWS/GCP/Azure креды
- SSH-ключи
- git-credentials
- Kubernetes service account tokens и секреты
- GitHub Secret, переданные в GitHub Runner
- Крипто-кошельки

Пострадали более 10000 GitHub workflow-файлов, которые используют trivy-action по тегу версии.

Что делать прямо сейчас

Если у вас есть исполнения с:

uses: aquasecurity/trivy-action@<любая версия кроме 0.35.0>

считайте, что ваши данные уже записаны "где не надо".

Безопасные варианты только два:
- Тег @0.35.0
- Пин по SHA: aquasecurity/trivy-action@57a97c7e7821a5776cebc9bb87c984fa69cba8f1

Как признак проблем - проверить в GitHub логах запросы к репозиторию tpcp-docs, который использовался в такой схеме врагами.

Лучи поддержки команде Trivy. Всем, кто использовал trivy-action в последнее время — перепроверить и в любом случае лучше обновить секреты.

It might become an alternative to LocalStack

Floci - Light, fluffy, and always free - AWS Local Emulator

https://github.com/hectorvent/floci

Всех приветствуем!

🔥 Выпущена 0.29.1 версия платформы для изучения SRE! 🔥
GitHub

📌 Что нового:
- добавлена поддержка 1.35 k8s
- добавлена статья Vibe Coding → Spec-Driven: How AI Development Found an Engineering Approach
- добавлена статья From Spot.io to Karpenter: Node Management Migration Experience in Kubernetes
- добавлена лаба 01 Istio.Installing Istio
- добавлена лаба 02 Istio.Dark Launch

окружения.
- обновлён список полезных ссылок.


🧪 Доступные пробные экзамены:
CKA
CKAD
CKS
ICA
KCNA
KCSA
LFCS

🧪 Доступные лабораторные работы


Скрипты и видео с решениями экзаменов:

документация ping-pong сервера

Отличного настроения и пусть ваш прод живёт без падений!

🎙 Новый выпуск подкаста «AWS на русском»!

LLM глупеет от перегрузки контекста. Как гармошка: сжал — всё плотненько, растянул — потерял смысл 🪗

Разложили Agentic AI на атомы с Фёдором Павловым (все 12 AWS сертификатов!):

🔹 3 принципа: автономность, агентность, асинхронность
🔹 4 строительных блока: промптинг, RAG, tools (MCP), memory
🔹 Short-term vs long-term vs RAG — почему LLM «глупеет» от перегрузки контекста
🔹 8 паттернов — от tool-based до multi-agent collaboration

💡 Long-term memory сжимает старые данные через саму LLM — сохраняя только то, что модели действительно важно

🎧 Слушай:
YouTube → https://www.youtube.com/watch?v=VIDEO_ID&list=PLxtckYH8Cdy_WT5tcCITt_f61Zr2qQJbL
Spotify → https://open.spotify.com/show/4kOoih4FvHqyK5mLF3E42J
Apple → https://podcasts.apple.com/by/podcast/aws-на-русском/id1600771698
Podbean → https://awsinrussian.podbean.com/

🚀 Join our AWS Cloud Developer course and gain practical experience working with various AWS services and technologies during an intensive 2-month program!

🎯 Become familiar with over 15 AWS services and confidently apply your skills in real-world projects by the end of the course.

▪️Start date: April 13, 2026
▪️Free / Online
▪️In English

COURSE HIGHLIGHTS

☁️ Build a single-page application (SPA) using AWS S3 and CloudFront
☁️ Develop serverless APIs with AWS API Gateway and Lambda
☁️ Integrate with databases and S3
☁️ Master asynchronous microservices communication using SQS and SNS
☁️ Explore authorization with Lambda Authorizers and Cognito
☁️ Learn containerization with Docker and Elastic Beanstalk
☁️ Implement backend-for-frontend using API Gateway

Find out more details and enroll:
https://wearecommunity.io/events/aws-cloud-dev-2026q2

🆕 S3 + EFS = S3 Files 🎉

https://aws.amazon.com/blogs/aws/launching-s3-files-making-s3-buckets-accessible-as-file-systems/

Можно примонтировать бакет и работать как с файловой системой.

Стоимость взимается за:

1. Хранение на S3.
2. High-performance storage $0.30/GB в месяц.
3. High-performance storage чтение $0.03/GB в месяц.
4. Просто чтение с S3 бесплатно.
5. Запись $0.06/GB в месяц.

Что для обычного профиля работы может стоить порядка 5$ за 1TB диск (не считая стоимости за S3).

#S3 #S3Files

Моё пятничное расписание.

#пятничное

MiniStack — открытая альтернатива (MIT лицензия) к LocalStack (возможность работать с локально с сервисами AWS как контейнерами):

https://ministack.org/

40+ AWS сервисов:

ACM | ALB | API Gateway | AppSync | AutoScaling
CloudFormation | Cloud Front | Cloud Map | CloudWatch Logs | Cognito | CodeBuild
DynamoDB
EC2 | ECR | EBS | ECS | ElastiCache | ELB |EMR | EventBridge
Firehose
Glue
IAM
KMS | Kinesis
Lambda
RDS | Route53
S3 | S3 Files | Secrets Manager | SES | SSM Params | Step Functions | STS
WAF

$ docker run -p 4566:4566
ministackorg/ministack
$ aws --endpoint-url=http://localhost:4566 s3 mb s3://my-bucket
make_bucket: my-bucket
$ aws --endpoint-url=http://localhost:4566 rds create-db-instance \
--db-instance-identifier mydb --engine postgres \
--master-username admin --master-user-password secret
✓ Postgres container running on localhost:15432

- какой у вас SLA?
- четыре восьмерки
- вы хотели сказать четыре девятки?
- нет

при этом в то же время)

RS School запускает КЛУБ ПО ПРОЕКТИРОВАНИЮ И РАЗРАБОТКЕ AI-СИСТЕМ

Нам, людям, часто не хватает живого общения и возможности посмотреть, как работают другие инженеры. Мы хотим делать то, что обычно называлось парным программированием или командным проектированием у доски.

ЧТО БУДЕМ РАЗБИРАТЬ

Среди тем нашего клуба:
▪️Spec-Driven Development и BMAD.
▪️Исходный код и архитектура агентских систем (OpenClaw, утекшие исходники Claude Code).
▪️Проблемы безопасности и организация памяти (memory management).
▪️Подходы, которые идеальны для пет-проектов, но разваливаются в серьезном энтерпрайзе, и наоборот.
▪️Идеи вроде LLM Wiki и AutoResearch Андрея Карпатого.
▪️…И многое другое.

ИЩЕМ СПИКЕРОВ

Приглашаем всех, кто хочет поделиться своим реальным опытом разработки AI-систем.
______________________
Регистрация на встречу 29 апреля:
https://wearecommunity.io/events/ideal-agentic-dev-flow-1

Регистрация на встречу 6 мая:
https://wearecommunity.io/events/ideal-agentic-dev-flow-2

CloudFront VPC origins + WebSocket 🎉

https://aws.amazon.com/about-aws/whats-new/2026/05/amazon-cloudfront-websockets-vpc-origins/

Упрощение архитектуры для вебсокет приложений с compliance требованиями — теперь вебсокеты пробрасываются через CloudFront VPC origins сразу в приватную подсеть, а не публичную, как до этого.

Кто пропустил, в 2024-м появились CloudFront VPC origins, позволяющие CloudFront origins работать напрямую CloudFront => VPC. Но они не умели в вебсокеты, теперь умеют.

Реализуется путём создания специальной AWS managed Security Group с префиксом CloudFront-VPCOrigins-Service-SG, которая прикрепляется к ALB/NLB/EC2 в приватной подсети и через которую работает CloudFront.

#CloudFront