Какие CI/CD инструменты используете? (Можно выбрать несколько вариантов)
Anonymous Poll
27%
Argo CD
14%
AWS CodePipeline/CodeBuild
7%
Azure DevOps
7%
CircleCI
36%
GitHub Actions
50%
GitLab
2%
Google Cloud Build
42%
Jenkins
1%
Tekton
10%
Не знаю / не использую / Bash / посмотреть результаты. 👀
❤2
Forwarded from AWS Weekly (Max Skutin)
🌤 Issue #67 | 16 April 2023
▪️ AppFlow +6 connectors
▪️ AppSync EventBridge support
▪️ Backup +3 new regions
▪️ Chime SDK
▫️ updated video background blur and replacement
▫️ updates Service Level Agreement
▪️ CodeWhisperer is now generally available
▪️ Competency Media & Entertainment Competency
▪️ Config advanced queries supports 27 new resource types
▪️ Connect
▫️ agents to handle voice calls, chats, and tasks concurrently
▫️ Voice ID multiple fraudster watchlists per Voice ID domain
▪️ EC2
▫️
▫️
▫️
▪️ EC2 Image Builder vulnerability detection with Amazon Inspector for custom images
▪️ EC2 Serial Console EC2 bare metal instances
▪️ ECS/Batch Split Cost Allocation Data
▪️ ECS Linux containers AL2023 and gMSA
▪️ ECS on Fargate supports extensible ephemeral storage for Windows Tasks
▪️ EKS Kubernetes version 1.26
▪️ Elemental MediaConnect Gateway
▪️ Elemental MediaConvert media metrics
▪️ Firewall Manager +6 WAF features
▪️ FSx for Lustre is now available in three additional regions
▪️ FSx for NetApp ONTAP is now available in three additional regions
▪️ FSx for Windows File Server is now available in the 3 additional regions
▪️ GameLift adds support for Unreal Engine 5
▪️ Glue visual ETL new native Redshift capabilities
▪️ Ground Station Wideband Digital Intermediate Frequency
▪️ GuardDuty +3 threat detections to Alert Customers on Suspicious DNS Traffic
▪️ IoT Core MQTT5 Shared Subscriptions and new CloudWatch metrics
▪️ Lambda SnapStart for Java functions in 6 additional regions
▪️ MSK is now available in Hyderabad, Spain, and Zurich Regions
▪️ MWAA Apache Airflow version 2.5
▪️ Pinpoint PrivateLink support
▪️ QuickSight Row Level Security tags with OR condition
▪️ RDS Optimized Reads up to 2X faster queries on RDS for PostgreSQL
▪️ Redshift enhances string query performance by up to 63x
▪️ Rekognition Face Liveness to deter fraud in facial verification
▪️ SageMaker Inference Recommender improves usability and launches new features
▪️ Service Management Connector AWS Support and Automation integrations in Jira Cloud
▪️ WAF
▫️ increases web ACL capacity units limits
▫️ larger request body inspections for CloudFront distributions
▪️ Well-Architected Framework strengthens prescriptive guidance
▪️ AppFlow +6 connectors
▪️ AppSync EventBridge support
▪️ Backup +3 new regions
▪️ Chime SDK
▫️ updated video background blur and replacement
▫️ updates Service Level Agreement
▪️ CodeWhisperer is now generally available
▪️ Competency Media & Entertainment Competency
▪️ Config advanced queries supports 27 new resource types
▪️ Connect
▫️ agents to handle voice calls, chats, and tasks concurrently
▫️ Voice ID multiple fraudster watchlists per Voice ID domain
▪️ EC2
▫️
I4i available in additional regions▫️
Inf2 optimized for generative AI| GA▫️
Trn1n optimized for network-intensive generative AI models | GA▪️ EC2 Image Builder vulnerability detection with Amazon Inspector for custom images
▪️ EC2 Serial Console EC2 bare metal instances
▪️ ECS/Batch Split Cost Allocation Data
▪️ ECS Linux containers AL2023 and gMSA
▪️ ECS on Fargate supports extensible ephemeral storage for Windows Tasks
▪️ EKS Kubernetes version 1.26
▪️ Elemental MediaConnect Gateway
▪️ Elemental MediaConvert media metrics
▪️ Firewall Manager +6 WAF features
▪️ FSx for Lustre is now available in three additional regions
▪️ FSx for NetApp ONTAP is now available in three additional regions
▪️ FSx for Windows File Server is now available in the 3 additional regions
▪️ GameLift adds support for Unreal Engine 5
▪️ Glue visual ETL new native Redshift capabilities
▪️ Ground Station Wideband Digital Intermediate Frequency
▪️ GuardDuty +3 threat detections to Alert Customers on Suspicious DNS Traffic
▪️ IoT Core MQTT5 Shared Subscriptions and new CloudWatch metrics
▪️ Lambda SnapStart for Java functions in 6 additional regions
▪️ MSK is now available in Hyderabad, Spain, and Zurich Regions
▪️ MWAA Apache Airflow version 2.5
▪️ Pinpoint PrivateLink support
▪️ QuickSight Row Level Security tags with OR condition
▪️ RDS Optimized Reads up to 2X faster queries on RDS for PostgreSQL
▪️ Redshift enhances string query performance by up to 63x
▪️ Rekognition Face Liveness to deter fraud in facial verification
▪️ SageMaker Inference Recommender improves usability and launches new features
▪️ Service Management Connector AWS Support and Automation integrations in Jira Cloud
▪️ WAF
▫️ increases web ACL capacity units limits
▫️ larger request body inspections for CloudFront distributions
▪️ Well-Architected Framework strengthens prescriptive guidance
👍1
Какие CI/CD инструменты используете?
(Можно выбрать несколько вариантов, голосование за AWS CodePipeline/CodeBuild, Azure DevOps, CircleCI, Google Cloud Build и Tekton было выше)
(Можно выбрать несколько вариантов, голосование за AWS CodePipeline/CodeBuild, Azure DevOps, CircleCI, Google Cloud Build и Tekton было выше)
Anonymous Poll
9%
Argo Workflows
4%
Bamboo
8%
Bitbucket Pipelines
1%
Concourse CI
5%
Flux CD
34%
GitHub Actions
45%
GitLab CI
34%
Jenkins
14%
TeamCity
18%
Не голосую - посмотреть результаты. 👀
👍6
IAM Roles, прикреплённые к виртуалкам, работают через EC2 Instance Profiles. Это даёт некоторую специфику, например, когда роль убирается у виртуалки, а она ещё некоторое время продолжает отрабатывать права, что были у виртуалки ранее с уже отсутствующей ролью.
Как это происходит и почему в деталях описано здесь:
https://www.uptycs.com/blog/aws-iam-roles-instance-profiles
AWS знает про такое поведение, так задумано. Короче —всё нормально, расходимся.
#IAM #EC2
Как это происходит и почему в деталях описано здесь:
https://www.uptycs.com/blog/aws-iam-roles-instance-profiles
AWS знает про такое поведение, так задумано. Короче —всё нормально, расходимся.
#IAM #EC2
Uptycs
An Unholy Marriage: AWS Instance Profile & IAM Role
Explore the intricate dynamics between AWS instance profile & IAM roles. Dive deep into quirks, behaviors & impact on EC2 instances for improved security.
👍13
📆 Ровно через неделю,
https://wearecommunity.io/events/aws-user-group-3city-allstars
Приглашённые звёзды и их доклады:
⭐ Viktor Vedmich: Senior Developer Advocate at AWS — "Chaos engineering Why breaking things should be practiced"
⭐ Denis Astahov: AWS Hero, Solutions Architect at OpsGuru — "Why you should use AWS Organization"
⭐ Pawel Piwosz: AWS Community Builder, DevOps Institute Ambassador, Lead Systems Engineer at Epam Systems — "Security for IaC with Terraform and Cloudformation(Live demo)"
Мероприятие бесплатное, пройдёт онлайн 24 апреля в 17:00 GMT+2 (18:00 по Минску/Москве).
Присоединяйтесь!
24 апреля начнётся AWS All Stars Meetup:https://wearecommunity.io/events/aws-user-group-3city-allstars
Приглашённые звёзды и их доклады:
⭐ Viktor Vedmich: Senior Developer Advocate at AWS — "Chaos engineering Why breaking things should be practiced"
⭐ Denis Astahov: AWS Hero, Solutions Architect at OpsGuru — "Why you should use AWS Organization"
⭐ Pawel Piwosz: AWS Community Builder, DevOps Institute Ambassador, Lead Systems Engineer at Epam Systems — "Security for IaC with Terraform and Cloudformation(Live demo)"
Мероприятие бесплатное, пройдёт онлайн 24 апреля в 17:00 GMT+2 (18:00 по Минску/Москве).
Присоединяйтесь!
👍19🔥5🤨2
Forwarded from AWS Weekly (Max Skutin)
▪️ Amazon Corretto Quarterly Updates | aarch64 Alpine Linux is GA
▪️ Amplify Flutter web and desktop support |
GA▪️ Amplify Push Notifications for mobile and cross platform apps
▪️ Backup SAP HANA databases on EC2
▪️ Chime SDK Hindi and Thai languages for live transcription
▪️ CloudFormation Template Sync Controller for Flux
▪️ CodeCatalyst
▫️ Dev Environment dashboard |
Preview▫️ General Availability
▪️ Competency Manufacturing and Industrial
▪️ Comprehend improves accuracy of document classification using layout data
▪️ Connect Customer Profiles now shows cases information in the agent workspace
▪️ Control Tower +7 additional Regions
▪️ DocumentDB ODBC driver to connect from BI tools
▪️ DynamoDB up to 50 concurrent table restores
▪️ EC2 Ubuntu Pro operating system in a subscription-included model
▪️ EFS up to 10 GiB/s of throughput
▪️ Elastic Disaster Recovery simplifies launch settings management
▪️ EMR enhanced error details
▪️ EMR Serverless job-level billed resources for efficient cost management
▪️ Glue monitor usage of Glue resources
▪️ GuardDuty support for AWS Lambda
▪️ Inspector deep inspection of EC2 instances
▪️ IoT Core for LoRaWAN public network and roaming with Everynet |
Preview▪️ Kafka Distro for OpenTelemetry support
▪️ Lake Formation Apache Hive Metastore resources
▪️ Lambda Python 3.10 runtime
▪️ Migration Hub Refactor Spaces +7 regions
▪️ Partner Central redesigned opportunity management
▪️ Personalize
▫️ enables popularity tuning for similar item recommendations
▫️ integration with SageMaker Data Wrangler
▫️ Kafka Sink connector to ingest real-time data with ease
▪️ RDS events now include tags for filtering and routing
▪️ Redshift
▫️ MERGE SQL command |
GA▫️ centralized access control for data sharing with Lake Formation
▫️ Dynamic Data Masking |
GA▪️ SageMaker organize models in the Model Registry with Collections
▪️ SageMaker Studio Lab combats bots with CAPTCHA
▪️ SAM CLI local testing support for API Gateway Lambda authorizers
▪️ Snowball Edge Compute Optimized S3 compatible storage
▪️ Systems Manager Incident Manager collaboration with MS Teams
▪️ VPC Prefix Lists +3 regions
▪️ WAF
▫️ Captcha JavaScript API support
▪️ WAF Ready Partner Offerings
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7
How to create and manage Redshift clusters, as well as store, process, and analyze large data scopes?
How does AWS QuickSight facilitate data-driven decisions in companies?
📍Join the Data Analytics Meetup by N-iX!
Rostyslav Fedyshyn, Solution Architect | Head of Data & Analytics Practice at N-iX
and Oleksiy Ivanchenko, Solution Architect at AWS, will give deep answers to these questions and share best practices on:
• setting up and optimizing Redshift;
• using Redshift in real projects and optimal integration with other services;
• how QuickSight allows you to share analytical results with colleagues, which contributes to better decision-making and team collaboration.
Don't miss it!
April 26 at 18:00 (GMT+3)
Online
Participation is free of charge: https://bit.ly/3H8SyOG
See you there!
How does AWS QuickSight facilitate data-driven decisions in companies?
📍Join the Data Analytics Meetup by N-iX!
Rostyslav Fedyshyn, Solution Architect | Head of Data & Analytics Practice at N-iX
and Oleksiy Ivanchenko, Solution Architect at AWS, will give deep answers to these questions and share best practices on:
• setting up and optimizing Redshift;
• using Redshift in real projects and optimal integration with other services;
• how QuickSight allows you to share analytical results with colleagues, which contributes to better decision-making and team collaboration.
Don't miss it!
April 26 at 18:00 (GMT+3)
Online
Participation is free of charge: https://bit.ly/3H8SyOG
See you there!
❤🔥2
Forwarded from Boris Golynski
YouTube
AWS User group 3City - AWS All Stars meetup
AGENDA
- Viktor Vedmich - Amazon Web Services, Senior Developer Advocate, DevOps evangelist, speaker, system architect, trainer (Munich, Germany)
"Chaos engineering Why breaking things should be practiced."
- Denis Astahov - AWS Hero, Solutions Architect…
- Viktor Vedmich - Amazon Web Services, Senior Developer Advocate, DevOps evangelist, speaker, system architect, trainer (Munich, Germany)
"Chaos engineering Why breaking things should be practiced."
- Denis Astahov - AWS Hero, Solutions Architect…
🔥8👍7
cfn-teleport
A command-line tool which can move CloudFormation resources between stacks.
https://github.com/udondan/cfn-teleport
cfn-teleport --source
#CloudFormation
A command-line tool which can move CloudFormation resources between stacks.
https://github.com/udondan/cfn-teleport
cfn-teleport --source
Stack1 --target Stack2 --resource Bucket21D68F7E8 --resource Bucket182C536A1 --yes#CloudFormation
👍8
Уже третий эпизод - и только о AWS организациях!
В первой части поговорили о Organization Units, во второй - о service control policies (SCPs). В новом выпуске продолжаем обсуждать безопасность: начали с IAM Access Analyzer, затронули то, как работает SOO и работу c SSO через CLI. А на сладкое поделились с вами проверенными практиками написания SCP политик, способами защиты root account и MFA, а также описали важные шаги в случае, если MFA была утеряна.
Тема настолько обширная, что, кажется, будет продолжение в 4 выпуске. Будем рады ответить на вопросы!
#podcast
Послушать можно тут:
- Apple Podcasts
- Google Podcasts
- Spotify
- PodBean
- YandexMusic
В первой части поговорили о Organization Units, во второй - о service control policies (SCPs). В новом выпуске продолжаем обсуждать безопасность: начали с IAM Access Analyzer, затронули то, как работает SOO и работу c SSO через CLI. А на сладкое поделились с вами проверенными практиками написания SCP политик, способами защиты root account и MFA, а также описали важные шаги в случае, если MFA была утеряна.
Тема настолько обширная, что, кажется, будет продолжение в 4 выпуске. Будем рады ответить на вопросы!
#podcast
Послушать можно тут:
- Apple Podcasts
- Google Podcasts
- Spotify
- PodBean
- YandexMusic
👍15🔥3
Forwarded from AWS Weekly (Max Skutin)
▪️ AppSync TypeScript and source maps in JavaScript resolvers
▪️ Athena Provisioned Capacity
▪️ CloudWatch Logs data protection in all Commercial Regions
▪️ CloudWatch new console capabilities and data visualizations
▪️ Connect
▫️ Contact Lens evaluation capabilities is now generally available
▫️ reduces Japan toll-free inbound minute rate
▫️ reduces South Korea DID rates
▪️ DataSync Discovery general availability
▪️ EC2
▫️ C6id, M6id, R6id instances are now available in additional regions
▫️ now supports AMD SEV-SNP
▪️ Elemental Link UHD Dolby Digital and Digital Plus
▪️ Fault Injection Simulator EC2 Instance disk fill
▪️ Firewall Manager multiple administrators
▪️ Global Accelerator +2 edge locations
▪️ Glue Crawlers creating partition indexes
▪️ IoT Core Device Advisor MQTT over WebSocket
▪️ IoT TwinMaker data overlays and text annotations in 3D scenes
▪️ Keyspaces supports IN operator for SELECT queries
▪️ Lambda Java 17
▪️ License Manager upgrading of EC2 Instances from Ubuntu to Ubuntu Pro OS
▪️ Location Service long distance matrix routing
▪️ Managed Grafana workspace configuration with version 9.4
▪️ MQ RabbitMQ 3.10.20 and 3.9.27
▪️ MSK multi-VPC private connectivity and cross-account access
▪️ Network Firewall ingress TLS inspection +8 regions
▪️ OpenSearch Service OpenSearch Ingestion
▪️ QuickSight two suites of data ingestion APIs
▪️ RDS M7g and R7g db instances
▪️ Resource Access Manager fine-grained customer managed permissions
▪️ Route 53 Resolver endpoints for hybrid cloud are now available in three new AWS Regions
▪️ S3 now applies two security best practices to all new buckets by default
▪️ SageMaker
▫️ accelerates local ML code conversion to remote jobs
▫️ hosted TensorBoard experience
▪️ Support in Korean
▪️ Systems Manager CDK applications support
▪️ Verified Access is now generally available
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
⭐️ Top AWS Week Updates
Прошедшая неделя была богата заметными AWS новостями.
🔹 Athena теперь имеет Provisioned Capacity, важная и полезная вещь. Однако попытка "включил и выключил — приключение на 20 минут" закончится аналогично, т.к. минимальная мощность 24 DPU, а время 8 часов, то есть около 60$.
🔸 В CloudWatch обновилась консоль и да, это важно. Вы ведь тоже ненавидите CloudWatch за те проклятые часы, когда накликанные дашборды уходили в небытиё из-за окончания сессии? Так вот, произошло чудо и туда таки завезли автосохранение (а в следующем году мог бы быть юбилей ненависти — 15 лет).
🔹 В FIS сервис завезли симуляцию переполнения диска — первая проблема по популярности (проблемы сети/DNS, понятно, вне конкуренции).
🔸 Пишущим на Java (мои соболезнования) в Lambda добавили поддержку Java 17.
🔹 Амазоновская Grafana проапдейтилась до 9.4 версии, ура! Кто кликал там всё вручную — придётся страдать и завидовать. Миграции не предусмотрено, просто при создании workspace можно выбрать версию 8.4 или 9.4.
🔸 Новость про поддержку в RDS инстансов
🔹 Амазоновская Kafka (MSK) теперь может работать cross-account и cross-VPC — реально круто.
🔸 В OpenSearch завезли OpenSearch Ingestion, просто супер. Что, уже можно выбрасывать свои костыли и всякие Лямбды для заброса логов с S3? Эээ, не спешите, посмотрите на ценник. $200 в месяц. Кому-то нормально, конечно, но если костыли работают очень давно, то это уже не костыли, а "исторически сложившаяся архитектура".
🔹 В RAM добавились кастомные политики расшаривания. То есть можно ограничить расшаренное в какой-то аккаунт, отдавая лишь кусочек нужного функционала. Не шибко применимо на сейчас, но супер круто на потом.
🔸 В S3 наконец-то сделали по дефолту ACL выключенным, а бакеты приватными, ура, свершилось! Хотя ещё в четверг пробовал, не было. Теперь можно удалять раздражающие блоки
🔹 Amazon Verified Access вышел в GA. Классный, крутой и полезный сервис. Если бы не цена. 200$ в месяц за то, что ваши девопсы не осилили настроить AWS ALB + SSO через Cognito — такое себе удовольствие.
🔸 В поддержку добавили корейский. Это не важно? Ну, как сказать. Тот нечастый случай, когда завидуешь гражданам КНДР.
🔹 В EC2 для AMD виртуалок завезли поддержку SEV-SNP. Если кому-то этот странный набор букв кажется не слишком важным, то, поверьте, это очень важно — расскажу в следующем посте.
#top #week
2023 April 23-29Прошедшая неделя была богата заметными AWS новостями.
🔹 Athena теперь имеет Provisioned Capacity, важная и полезная вещь. Однако попытка "включил и выключил — приключение на 20 минут" закончится аналогично, т.к. минимальная мощность 24 DPU, а время 8 часов, то есть около 60$.
🔸 В CloudWatch обновилась консоль и да, это важно. Вы ведь тоже ненавидите CloudWatch за те проклятые часы, когда накликанные дашборды уходили в небытиё из-за окончания сессии? Так вот, произошло чудо и туда таки завезли автосохранение (а в следующем году мог бы быть юбилей ненависти — 15 лет).
🔹 В FIS сервис завезли симуляцию переполнения диска — первая проблема по популярности (проблемы сети/DNS, понятно, вне конкуренции).
🔸 Пишущим на Java (мои соболезнования) в Lambda добавили поддержку Java 17.
🔹 Амазоновская Grafana проапдейтилась до 9.4 версии, ура! Кто кликал там всё вручную — придётся страдать и завидовать. Миграции не предусмотрено, просто при создании workspace можно выбрать версию 8.4 или 9.4.
🔸 Новость про поддержку в RDS инстансов
m7g/r7g здесь была ещё 2 недели назад, но другим рассказали страшную правду лишь сейчас.🔹 Амазоновская Kafka (MSK) теперь может работать cross-account и cross-VPC — реально круто.
🔸 В OpenSearch завезли OpenSearch Ingestion, просто супер. Что, уже можно выбрасывать свои костыли и всякие Лямбды для заброса логов с S3? Эээ, не спешите, посмотрите на ценник. $200 в месяц. Кому-то нормально, конечно, но если костыли работают очень давно, то это уже не костыли, а "исторически сложившаяся архитектура".
🔹 В RAM добавились кастомные политики расшаривания. То есть можно ограничить расшаренное в какой-то аккаунт, отдавая лишь кусочек нужного функционала. Не шибко применимо на сейчас, но супер круто на потом.
🔸 В S3 наконец-то сделали по дефолту ACL выключенным, а бакеты приватными, ура, свершилось! Хотя ещё в четверг пробовал, не было. Теперь можно удалять раздражающие блоки
aws_s3_bucket_public_access_block и aws_s3_bucket_ownership_controls для каждого бакета.🔹 Amazon Verified Access вышел в GA. Классный, крутой и полезный сервис. Если бы не цена. 200$ в месяц за то, что ваши девопсы не осилили настроить AWS ALB + SSO через Cognito — такое себе удовольствие.
🔸 В поддержку добавили корейский. Это не важно? Ну, как сказать. Тот нечастый случай, когда завидуешь гражданам КНДР.
🔹 В EC2 для AMD виртуалок завезли поддержку SEV-SNP. Если кому-то этот странный набор букв кажется не слишком важным, то, поверьте, это очень важно — расскажу в следующем посте.
#top #week
👍12🔥5🥰3
Confidential Computing
Confidential Computing, если говорить упрощённо, это способ запуска своей виртуалки или приложения таким образом, что остальные части — гипервизор, хостовая ОС или условный BIOS (в общем, всё, что "выше" и можно подвести под термин "Cloud Provider") — не имеют доступа к вашей информации. Реализуется это на уровне процессора, когда память шифруется на лету, т.е. в DRAM сохраняется уже в зашифрованном виде и расшифровывается при чтении. Ключи шифрования не покидают процессор и вы можете проконтролировать этот процесс.
История
Intel в 2015-м году выпустил первые процессоры с Intel SGX, технологией, позволяющей на программном уровне внутри ОС или виртуалки создать шифрованную область, которая аппаратно защищена от любых других процессов.
AMD выбрала другой путь и в 2016-м выпустила процессоры с AMD SEV, шифрующие всю память на уровне виртуалки. Это намного удобней — нет специальных драйверов и разработки на уровне приложений. Кроме того такой подход позволяет обезопасить уже имеющиеся нагрузки (легаси) да и просто "облачней".
Каждый из конкурирующих вариантов имел проблемы. Intel SGX ломали столько раз, что Intel даже задеприкейтила эту технологию, начиная с десктопных процессоров 11-го поколения. AMD SEV не шифровал регистры при переключении, потому через год появился AMD SEV-ES. Проигрывая Intel по части отсутствия контроля целостности памяти, в 20-м году с выходом Zen3 появился функционал AMD SEV-SNP, который закрыл эту проблему.
Intel тоже активно работал, штопая дыры и клепая версии Intel SGX. Первая позволяла защитить лишь маленькую область данных 128/256МБ, потому появилась Intel SGX Scalable, увеличив объём до 1 ТБ. Технология Intel SGX осталась в серверных процессорах и имеет на текущий момент уже третью версию драйвера. Догоняя AMD в популярном подходе шифрования на уровне виртуалки, она выпустила Intel TDX, доступный в последнем поколении серверных процессоров.
Итого на сегодня для реализации Confidential Computing для x86 имеем:
▫️ AMD SEV-SNP, построенная на базе AMD SEV и AMD SEV-ES — начиная с Zen3 (2021)
▫️ Intel TDX, построенная на базе Intel SGX — начиная с 4th Gen Intel Xeon Scalable processors (2022)
▪️ А что же для ARM? У ARM давно есть технология TrustZone, однако она имеет ограничения схожие с Intel SGX. В будущих процессорах ARM v9 это будет реализовано с помощью ARM CCA (Confidential Computing Architecture), то есть на текущий момент это лишь планы (2023+).
▪️ Наконец, Nvidia тоже с недавнего времени старается решить этот вопрос и год назад реализовала функционал Confidential Computing в NVIDIA H100 Tensor Core GPU (2022).
Итого, четыре крупных игрока, три из которых уже имеют решения для Confidential Computing.
А что же AWS? Амазон пошёл другим путём, по принципу сходным с Intel SGX, реализовав технологию AWS Nitro Enclaves, позволяющую создать защищённую область внутри EC2 виртуалки. Её тоже можно удалённо аттестировать, однако в отличие от Intel, у AWS имеется техническая возможность получить доступ к данным внутри, поэтому реализовать ZeroTrust подход невозможно, т.к. в трастовых всегда будет AWS как провайдер. В том числе поэтому спектр применения AWS Nitro Enclaves достаточно узкий.
👉 Продолжение следует.
#ConfidentialComputing
Confidential Computing, если говорить упрощённо, это способ запуска своей виртуалки или приложения таким образом, что остальные части — гипервизор, хостовая ОС или условный BIOS (в общем, всё, что "выше" и можно подвести под термин "Cloud Provider") — не имеют доступа к вашей информации. Реализуется это на уровне процессора, когда память шифруется на лету, т.е. в DRAM сохраняется уже в зашифрованном виде и расшифровывается при чтении. Ключи шифрования не покидают процессор и вы можете проконтролировать этот процесс.
История
Intel в 2015-м году выпустил первые процессоры с Intel SGX, технологией, позволяющей на программном уровне внутри ОС или виртуалки создать шифрованную область, которая аппаратно защищена от любых других процессов.
AMD выбрала другой путь и в 2016-м выпустила процессоры с AMD SEV, шифрующие всю память на уровне виртуалки. Это намного удобней — нет специальных драйверов и разработки на уровне приложений. Кроме того такой подход позволяет обезопасить уже имеющиеся нагрузки (легаси) да и просто "облачней".
Каждый из конкурирующих вариантов имел проблемы. Intel SGX ломали столько раз, что Intel даже задеприкейтила эту технологию, начиная с десктопных процессоров 11-го поколения. AMD SEV не шифровал регистры при переключении, потому через год появился AMD SEV-ES. Проигрывая Intel по части отсутствия контроля целостности памяти, в 20-м году с выходом Zen3 появился функционал AMD SEV-SNP, который закрыл эту проблему.
Intel тоже активно работал, штопая дыры и клепая версии Intel SGX. Первая позволяла защитить лишь маленькую область данных 128/256МБ, потому появилась Intel SGX Scalable, увеличив объём до 1 ТБ. Технология Intel SGX осталась в серверных процессорах и имеет на текущий момент уже третью версию драйвера. Догоняя AMD в популярном подходе шифрования на уровне виртуалки, она выпустила Intel TDX, доступный в последнем поколении серверных процессоров.
Итого на сегодня для реализации Confidential Computing для x86 имеем:
▫️ AMD SEV-SNP, построенная на базе AMD SEV и AMD SEV-ES — начиная с Zen3 (2021)
▫️ Intel TDX, построенная на базе Intel SGX — начиная с 4th Gen Intel Xeon Scalable processors (2022)
▪️ А что же для ARM? У ARM давно есть технология TrustZone, однако она имеет ограничения схожие с Intel SGX. В будущих процессорах ARM v9 это будет реализовано с помощью ARM CCA (Confidential Computing Architecture), то есть на текущий момент это лишь планы (2023+).
▪️ Наконец, Nvidia тоже с недавнего времени старается решить этот вопрос и год назад реализовала функционал Confidential Computing в NVIDIA H100 Tensor Core GPU (2022).
Итого, четыре крупных игрока, три из которых уже имеют решения для Confidential Computing.
А что же AWS? Амазон пошёл другим путём, по принципу сходным с Intel SGX, реализовав технологию AWS Nitro Enclaves, позволяющую создать защищённую область внутри EC2 виртуалки. Её тоже можно удалённо аттестировать, однако в отличие от Intel, у AWS имеется техническая возможность получить доступ к данным внутри, поэтому реализовать ZeroTrust подход невозможно, т.к. в трастовых всегда будет AWS как провайдер. В том числе поэтому спектр применения AWS Nitro Enclaves достаточно узкий.
👉 Продолжение следует.
#ConfidentialComputing
❤10👍4
☁️ Confidential Computing на AWS
https://aws.amazon.com/about-aws/whats-new/2023/04/amazon-ec2-amd-sev-snp/
Многие годы скептики переезда в облака и, в частности, в AWS, имели три железных аргумента:
1️⃣ Не доверяю этим вашим облакам, которые где-то там. Только настоящее железо у себя в серверной!
Появление AWS Outposts закрыло этот аргумент — можно поставить себе в серверную кусочек собственного и при этом настоящего AWS.
https://aws.amazon.com/outposts/
2️⃣ А ключи шифрования-то лежат у облачного провайдера, захочет — расшифрует!
Появление AWS XKS закрыло и этот аргумент — теперь в качестве AWS KMS можно использовать собственный ключ, который не будет покидать вашей серверной.
https://aws.amazon.com/blogs/aws/announcing-aws-kms-external-key-store-xks/
3️⃣ Всё равно провайдер, если захочет или если от него потребуют — получит доступ к вашим данным!
Появление поддержки AMD SEV-SNP закрыло и этот аргумент — создав виртуалку
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/snp-attestation.html
И это реально круто. 💪
💰 Круто и недорого — за поддержку AMD SEV-SNP придётся доплатить 10% от стоимости виртуалки, а значит минимальная обойдётся в 60$/месяц. Теперь можно выполнять даже самые жестокие требования регуляторов.
🌤️ Но главное, повторюсь, у скептиков переезда в AWS из-за опасений по части безопасности не осталось аргументов — есть любые варианты. Можно спорить о цене и других моментах, но вопрос с безопасностью железно закрыт во всех смыслах.
👉 Продолжение следует
Часть 1 - Confidential Computing
#ConfidentialComputing
29 апреля 2023 компания AWS официально вступила в клуб Confidential Computing.https://aws.amazon.com/about-aws/whats-new/2023/04/amazon-ec2-amd-sev-snp/
Многие годы скептики переезда в облака и, в частности, в AWS, имели три железных аргумента:
1️⃣ Не доверяю этим вашим облакам, которые где-то там. Только настоящее железо у себя в серверной!
Появление AWS Outposts закрыло этот аргумент — можно поставить себе в серверную кусочек собственного и при этом настоящего AWS.
https://aws.amazon.com/outposts/
2️⃣ А ключи шифрования-то лежат у облачного провайдера, захочет — расшифрует!
Появление AWS XKS закрыло и этот аргумент — теперь в качестве AWS KMS можно использовать собственный ключ, который не будет покидать вашей серверной.
https://aws.amazon.com/blogs/aws/announcing-aws-kms-external-key-store-xks/
3️⃣ Всё равно провайдер, если захочет или если от него потребуют — получит доступ к вашим данным!
Появление поддержки AMD SEV-SNP закрыло и этот аргумент — создав виртуалку
c6a/m6a/r6a в Ирландии или Огайо, её можно аттестовать и убедиться, что AWS не имеет доступа к данным в ней на аппаратном уровне.https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/snp-attestation.html
И это реально круто. 💪
💰 Круто и недорого — за поддержку AMD SEV-SNP придётся доплатить 10% от стоимости виртуалки, а значит минимальная обойдётся в 60$/месяц. Теперь можно выполнять даже самые жестокие требования регуляторов.
🌤️ Но главное, повторюсь, у скептиков переезда в AWS из-за опасений по части безопасности не осталось аргументов — есть любые варианты. Можно спорить о цене и других моментах, но вопрос с безопасностью железно закрыт во всех смыслах.
👉 Продолжение следует
Часть 1 - Confidential Computing
#ConfidentialComputing
👍19🎉3❤1
Forwarded from AWS Weekly (Max Skutin)
▪️ AppSync GraphQL Private API
▪️ Aurora Serverless v1 PostgreSQL 13
▪️ Aurora Serverless v2 +4 regions
▪️ Backup cross-region backups +4 regions
▪️ Batch dashboard customization on the console
▪️ CloudWatch Metric Streams filtering by metric name
▪️ CloudWatch Synthetics Synthetics NodeJS runtime version 4.0
▪️ Compute Optimizer
▫️ filtering by tags
▫️ identifies and filters Microsoft SQL Server workloads
▪️ Сonfig +23 resource types
▪️ Connect forecasting, capacity planning, and scheduling is now available in Canada Central
▪️ Console Mobile Application launches push notifications
▪️ Console Web User Notifications general availability
▪️ Device Farm Rooted Android Private Devices
▪️ Direct Connect new location in Phoenix
▪️ EC2 VSS application-consistent backups now supports PowerShell logging
▪️ EFS Replication is now available in all AWS Regions
▪️ Elemental MediaConnect SRT failover support
▪️ Elemental MediaConvert video passthrough
▪️ EMR on EKS
▫️ self-hosted notebooks for managed endpoints
▫️ vertical autoscaling to auto-tune application resources
▪️ GuardDuty Malware Protection on-demand scanning
▪️ Health now publishes service health events to EventBridge in primary and backup Regions
▪️ Inspector now allows customers to search its vulnerability intelligence database
▪️ IoT Core TLS 1.3 support through Configurable Endpoints
▪️ Kendra content-based query suggestions
▪️ Local Zones in Auckland is GA
▪️ MSK Kafka version 3.4.0
▪️ Network Firewall
▫️ Reject action in stream exception policy
▫️ Suricata HOME_NET variable override
▪️ OpenSearch Service Multi-AZ with Standby
▪️ QuickSight launches dataset parameters to optimize slicing and dicing experiences
▪️ RDS for PostgreSQL pgvector for simplified ML model integration
▪️ Redshift ra3.xlplus instances in Middle East, Europe and Asia Pacific Regions
▪️ Rekognition
▫️ face occlusion detection to improve identity verification accuracy
▫️ improves accuracy of content moderation for images and videos
▪️ Resilience Hub Trusted Advisor and Amazon DynamoDB support
▪️ Route 53 Application Recovery Controller Zonal shift + 18 Regions
▪️ SageMaker ml.inf2 and ml.trn1 instances for model deployment
▪️ Sagemaker Data Wrangler image data preparation
▪️ Security Hub
▫️ +4 integration partners
▫️ detailed tracking of finding changes with finding history feature
▪️ SimSpace Weaver Snapshots generally available
▪️ SNS
▫️ FIFO topics +5 regions
▫️ message data protection +5 regions
▪️ VPC IP Address Manager (IPAM) +2 regions
▪️ Well-Architected Tool Service Catalog AppRegistry integration
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤1
Микросервисы → Монолит
Статья от Amazon Prime Video, где рассказывается, как удалось уменьшить расходы в десять раз после перехода с микросервисов на монолитную архитектуру:
https://www.primevideotech.com/video-streaming/scaling-up-the-prime-video-audio-video-monitoring-service-and-reducing-costs-by-90
Статья достаточно скудная на факты, потому попробую изложить свою версию развития событий исходя из данного текста.
v.0.0.0
— Привет, Дмитро. Тут задача срочная прилетела — клиенту нужно запилить сервис по проверке качества роликов. А вы, помню, уже как-то что-то делали для тестирования видео?
— Было дело, накрапали костылик для внутренних нужд, чтобы отчёты слать аналитикам.
— Вот и отлично, приступайте.
— А какая нагрузка планируется?
— Подробностей не знаю, если что, чего-нибудь помощней поставим.
— Не, мы ж на Лямбдах всё написали.
— О, отлично, передам маркетингу — у нас будет Serverless-решение!
v.0.1.0
— Макс, что по нагрузке?
— Всё должно работать рилтайм и в перспективе держать тысячи параллельных задач на обработку.
— <censored>! Мы ж никогда пробовали на таких объёмах.
— Поздно, уже всё продано, продолжайте делать.
— А денег у клиента хватит?
— Деньги не проблема, главное сделать быстро!
v.1.0.0
— Дмитро, у нас проблемы. Клиент увидел счёт за прошлый месяц и офигел.
— Я предупреждал. И это лишь 5% от полной нагрузки.
— А почему так дорого?
— Так мы ж каждый кадр видео на S3 гоняем Лямбдами по несколько раз с помощью дорогущих Step Functions.
— И как это исправить?
— Никак, нужно всё переделывать. Проанализировать результаты под нагрузкой, попробовать различные варианты, спроектировать...
— ...А если нужно вчера?
— Ну, можно всё тупо засунуть в один контейнер и масштабировать как монолит с помощью ECS. Ещё и дешевле получится.
— О, супер, так и сделаем. И продадим как версию 2.0. А я напишу маркетингу, пусть они статейку накатают, как мы сэкономили клиенту кучу денег, перейдя на монолит с микросервисов. Все будут обсуждать только это и никто не вспомнит, как мы облажались с первой версией.
#serverless #monolith #design
Статья от Amazon Prime Video, где рассказывается, как удалось уменьшить расходы в десять раз после перехода с микросервисов на монолитную архитектуру:
https://www.primevideotech.com/video-streaming/scaling-up-the-prime-video-audio-video-monitoring-service-and-reducing-costs-by-90
Статья достаточно скудная на факты, потому попробую изложить свою версию развития событий исходя из данного текста.
v.0.0.0
— Привет, Дмитро. Тут задача срочная прилетела — клиенту нужно запилить сервис по проверке качества роликов. А вы, помню, уже как-то что-то делали для тестирования видео?
— Было дело, накрапали костылик для внутренних нужд, чтобы отчёты слать аналитикам.
— Вот и отлично, приступайте.
— А какая нагрузка планируется?
— Подробностей не знаю, если что, чего-нибудь помощней поставим.
— Не, мы ж на Лямбдах всё написали.
— О, отлично, передам маркетингу — у нас будет Serverless-решение!
v.0.1.0
— Макс, что по нагрузке?
— Всё должно работать рилтайм и в перспективе держать тысячи параллельных задач на обработку.
— <censored>! Мы ж никогда пробовали на таких объёмах.
— Поздно, уже всё продано, продолжайте делать.
— А денег у клиента хватит?
— Деньги не проблема, главное сделать быстро!
v.1.0.0
— Дмитро, у нас проблемы. Клиент увидел счёт за прошлый месяц и офигел.
— Я предупреждал. И это лишь 5% от полной нагрузки.
— А почему так дорого?
— Так мы ж каждый кадр видео на S3 гоняем Лямбдами по несколько раз с помощью дорогущих Step Functions.
— И как это исправить?
— Никак, нужно всё переделывать. Проанализировать результаты под нагрузкой, попробовать различные варианты, спроектировать...
— ...А если нужно вчера?
— Ну, можно всё тупо засунуть в один контейнер и масштабировать как монолит с помощью ECS. Ещё и дешевле получится.
— О, супер, так и сделаем. И продадим как версию 2.0. А я напишу маркетингу, пусть они статейку накатают, как мы сэкономили клиенту кучу денег, перейдя на монолит с микросервисов. Все будут обсуждать только это и никто не вспомнит, как мы облажались с первой версией.
#serverless #monolith #design
About Amazon
Entertainment
We create and provide access to world-class entertainment through Amazon Originals, Prime Video, Audible, Amazon Games, Twitch, Amazon Music, Prime Gaming, and more. Amazon’s digital entertainment products enable customers to access the latest apps and games…
😁20👏16💯3👍2🔥2❤1
Анализ статьи Amazon Prime Video
Во-первых, мои поздравления команде маркетинга Amazon — браво, великолепная работа! Кратко, минимум информации, точно в больное место и в результате каждый может сделать для себя (не)правильные выводы.
Во-вторых, если у вас есть сомнения в компетенциях управляющих процессом разработки в Amazon, то сначала спросите, что по этому поводу думаетGoogle ChatGPT или просто посмотрите список самых успешных IT компаний.
Целью команды Amazon Prime Video было максимально быстро получить рабочий вариант. С отлаженным процессом разработки на Serverless можно выдавать готовые решения за несколько спринтов, в том числе для сложных и нагруженных систем.
Главный плюс Serverless — не условная "бесплатность", это уже побочный эффект. Главный плюс — скорость разработки и возможность справляться с неизвестной или непрогнозируемой нагрузкой.
Анализ статьи с цитатами из текста
1️⃣ Была задача получить решение максимально быстро и они сделали это. Serverless прекрасно вписывается в этот подход и команда имеет опыт разработки Serverless решений.
«We designed our initial solution as a distributed system using serverless components (for example, AWS Step Functions or AWS Lambda), which was a good choice for building the service quickly.»
2️⃣ Они получили опыт эксплуатации первой тестовой версии и реальные данные по нагрузке. Выяснилось, что быстро разработанное Serverless-решение имеет ограничения по масштабированию да при этом ещё и дорогое.
«In theory, this would allow us to scale each service component independently. However, the way we used some components caused us to hit a hard scaling limit at around 5% of the expected load. Also, the overall cost of all the building blocks was too high to accept the solution at a large scale.»
3️⃣ На основе полученных данных они получили возможность сформировать конкретные требования как по масштабированию, так и по стоимости. В результате чего переработали решение, выбрав монолитную архитектуру вместо распределённой.
«We initially considered fixing problems separately to reduce cost and increase scaling capabilities. We experimented and took a bold decision: we decided to rearchitect our infrastructure.
We realized that distributed approach wasn’t bringing a lot of benefits in our specific use case, so we packed all of the components into a single process. This eliminated the need for the S3 bucket as the intermediate storage for video frames because our data transfer now happened in the memory. We also implemented orchestration that controls components within a single instance.»
4️⃣ Изменения затронули лишь исполнительную часть, общая схема не изменилась, поэтому переход Serverless → ECS был быстрым.
«Conceptually, the high-level architecture remained the same. We still have exactly the same components as we had in the initial design (media conversion, detectors, or orchestration). This allowed us to reuse a lot of code and quickly migrate to a new architecture.»
Выводы
Имея свободу в изменении в том числе архитектурного решения, можно и быстро разрабатывать, и получать эффективные проекты.
Однако каждый может сделать и свои выводы — ещё раз респект маркетингу Amazon. Кстати, им точно стоит развить успех и помочь коллегам из AWS с придумыванием адекватных названий для сервисов.
P.S. Самая уместная (из немногих) статья по данной теме:
https://adrianco.medium.com/so-many-bad-takes-what-is-there-to-learn-from-the-prime-video-microservices-to-monolith-story-4bd0970423d4
#design #development #marketing
Во-первых, мои поздравления команде маркетинга Amazon — браво, великолепная работа! Кратко, минимум информации, точно в больное место и в результате каждый может сделать для себя (не)правильные выводы.
Во-вторых, если у вас есть сомнения в компетенциях управляющих процессом разработки в Amazon, то сначала спросите, что по этому поводу думает
Целью команды Amazon Prime Video было максимально быстро получить рабочий вариант. С отлаженным процессом разработки на Serverless можно выдавать готовые решения за несколько спринтов, в том числе для сложных и нагруженных систем.
Главный плюс Serverless — не условная "бесплатность", это уже побочный эффект. Главный плюс — скорость разработки и возможность справляться с неизвестной или непрогнозируемой нагрузкой.
Анализ статьи с цитатами из текста
1️⃣ Была задача получить решение максимально быстро и они сделали это. Serverless прекрасно вписывается в этот подход и команда имеет опыт разработки Serverless решений.
«We designed our initial solution as a distributed system using serverless components (for example, AWS Step Functions or AWS Lambda), which was a good choice for building the service quickly.»
2️⃣ Они получили опыт эксплуатации первой тестовой версии и реальные данные по нагрузке. Выяснилось, что быстро разработанное Serverless-решение имеет ограничения по масштабированию да при этом ещё и дорогое.
«In theory, this would allow us to scale each service component independently. However, the way we used some components caused us to hit a hard scaling limit at around 5% of the expected load. Also, the overall cost of all the building blocks was too high to accept the solution at a large scale.»
3️⃣ На основе полученных данных они получили возможность сформировать конкретные требования как по масштабированию, так и по стоимости. В результате чего переработали решение, выбрав монолитную архитектуру вместо распределённой.
«We initially considered fixing problems separately to reduce cost and increase scaling capabilities. We experimented and took a bold decision: we decided to rearchitect our infrastructure.
We realized that distributed approach wasn’t bringing a lot of benefits in our specific use case, so we packed all of the components into a single process. This eliminated the need for the S3 bucket as the intermediate storage for video frames because our data transfer now happened in the memory. We also implemented orchestration that controls components within a single instance.»
4️⃣ Изменения затронули лишь исполнительную часть, общая схема не изменилась, поэтому переход Serverless → ECS был быстрым.
«Conceptually, the high-level architecture remained the same. We still have exactly the same components as we had in the initial design (media conversion, detectors, or orchestration). This allowed us to reuse a lot of code and quickly migrate to a new architecture.»
Выводы
Имея свободу в изменении в том числе архитектурного решения, можно и быстро разрабатывать, и получать эффективные проекты.
Однако каждый может сделать и свои выводы — ещё раз респект маркетингу Amazon. Кстати, им точно стоит развить успех и помочь коллегам из AWS с придумыванием адекватных названий для сервисов.
P.S. Самая уместная (из немногих) статья по данной теме:
https://adrianco.medium.com/so-many-bad-takes-what-is-there-to-learn-from-the-prime-video-microservices-to-monolith-story-4bd0970423d4
#design #development #marketing
Medium
So many bad takes — What is there to learn from the Prime Video microservices to monolith story
The Prime Video team published this story: Scaling up the audio/video monitoring service and reducing costs by 90%, and the internet piled…
👍20🤡4👏1