Derek DeJonghe. NGINX Cookbook. Advanced Recipes for High-Performance Load Balancing. 2021.

Level up on NGINX with this free O'Reilly eBook, updated for 2021. Get sample configurations for the most popular NGINX deployments: load balancing, caching, security, cloud deployment, automation, containers and microservices, high availability, performance tuning, and more.

Dynamic Secrets with Terraform and Vault
https://medium.com/hashicorp-engineering/dynamic-secrets-with-terraform-and-vault-14c563d79f8e

MySQL Backup and Recovery Best Practices

https://www.percona.com/blog/2021/01/12/mysql-backup-and-recovery-best-practices

#mysql #percona #backup

Лучшие практики при написании безопасного Dockerfile

Выпустил следующую статью на Хабр, в которой постарался агрегировать лучшие практики по написанию безопасного Dockerfile. В статье:

- Почему COPY, лучше чем ADD
- Полезные лейблы (securitytxt)
- Как скачивать компоненты из Интернета при сборке образа, избегая MiTM атаки
- Почему нужно задавать USER в конце и как может помочь gosu
- Затронута тема минимальных и Distroless образов
- Безопасная работа с секретами (multi-stage сборка, фича BuildKit, проблемы рекурсивного копирования)
- Существующие анализаторы Dockerfile
- Разные полезные доп. материалы

https://habr.com/ru/company/swordfish_security/blog/537280/

#dev #docker

📚 SELinux System Administration Implement mandatory access control to secure applications, users, and information flows on Linux by Sven Vermeulen. 2020 #selinux #книга

⚙️ dd, bs= and why you should use conv=fsync. Интересный кейс, и ссылки внутри хорошие. #напочитать #dd #filesystem

Писателям тоже будет полезно.

https://www.transposit.com/blog/2020.01.30-writing-runbook-documentation-when-youre-an-sre

"Знакомство с типичными примерами использования встроенных функций Terraform / Хабр" https://m.habr.com/ru/post/537808/

"7 основных ошибок безопасности при переходе на облачные приложения / Хабр" https://m.habr.com/ru/post/537924/

🗜 Using iptables-nft: a hybrid Linux firewall. Для ситуаций, когда хочется от iptables-legacy уйти постепенно. И вот тут ещё немного простых примеров.

А я в своё время в блоге разбирался с nftables в этой заметке.

#nftables #iptables #напочитать

Комрадс, я тут тулзу запилил, чтобы изменения в результатах ответов sql запросов контролировать между коммитами. такой очень специальный дифф на основе статического анализатора. тэйк э лук :)

https://xn--r1a.website/nosingularity/676

Вау! Вот что я называю качественный онбординг. Ребята из GoCardless заопенсурсили доку для “быстрого старта” для разработчиков.

В ней описано:
- Как создать новый сервис. Через удобный интерфейс, из шаблона, с подключенными стандартными библиотеками и CI-конфигурацией.
- Как сконфигурировать свой сервис и дать ему необходимые ресурсы.
- Как происходит проверка PR’ов и запуск новых сервисов.
- Деплой приложения.

Есть на что посмотреть и на что ориентироваться. К сожалению, открыли не всю документацию. За скоупом остались настройки рабочего окружения, описание шаблонизатора сервисов Appetiser, описание работы с окружениями и сервисами, описание деплой системы dispatcher. Надеюсь, ребята продолжать выкладывать в открытый доступ свои наработки.

Я редко встречаю качественную документацию по онбордингу. Если вы знаете другие классные и публичные примеры, делитесь ими в комментариях.

💬 На глаза попался интересный список - лимиты, с которыми можно столкнуться при обслуживании тех или иных систем. Список составлялся на основе ответов из этого Твиттер треда:

Fun interview question for a senior SRE position: what’s a system limit that you first learned about when a service you were responsible for hit it and fell over? (Then ask them to recount the story).

В треде по мимо прочего есть разные истории успеха о том, как специалисты натыкались на те или иные грабли в виде лимитов. Хорошее чтиво для пятничного обеда, как по мне.

#напочитать #limits #system

А еще я каким-то образом вдруг сделал вклад в опенсорс и написал (ну не только я, а еще с помощью моих коллег из ситимобил) ansible роли для разворачивания victoriametrics.

https://github.com/VictoriaMetrics/ansible-playbooks

Подборка инструментов:
— http://amp.gs/MwJ5 показывает Configuration Drift между Terraform состоянием и текущей инфраструктурой в облаке, включая ресурсы неуправляемые вашей конфигурацией. Пока поддерживается AWS, в будущем еще будут Azure и GCP.
— http://amp.gs/MwJQ удаляет неиспользуемые ресурсы k8s. Аналог docker system prune.
— http://amp.gs/MwJc удобный virtualenv. С удовольствием пользуюсь для своих инфраструктурных проектов и разработки Python приложений.
— http://amp.gs/Mw08 выносим настройки для окружений/проектов/клиентов в env переменные и разносим по директориям.

I made a thing.

🐚🔧 logit is a CLI tool that takes JSON logs from stdin and transfers them into google cloud, AWS, syslog, sentry, anywhere you want, or just nicely formats them.

It all started from idea that an application should have only business-logic in it. Later, I faced an application that has a lot of code to handle logging into GCP, which is unstable and hard to maintain. And at some point that application started to break everything because google cloud library uses grpc, networking, all that stuff that rest of the application isn't need. And it all started to go wrong because the network is unstable, grpc breaks multiprocessing, not every environment (for instance, CI) has access to google cloud and so on. In short, a lot of headache just to log things. So, if you don't want to get there, consider using logit or rsyslog.