kubectl describe

Хотілось би почути голос спільноти, і зрозуміти, чи є сенс зараз у технічному контенті.

З однієї сторони, ми продовжуємо жити, працювати, і донатити на перемогу. З іншої сторони, у багатьох можуть бути інші, важливіші справи.

Дайте мені знати, що ви про це думаєте.

AWS Multi-account Strategy

Абсолютно очевидним є тренд на декомпозицію одного величезного аккаунту з мільйоном сервісів на маленькі, і гранулярні AWS Accounts. Спершу звучить дико, але абсолютно точно має свій сенс.

Сенс рекомендації: працювати в одному аккаунті - це зло, навіть якщо у вас достатньо сегментації на рівні VPC, або EKS кластерів під енв - це аж ніяк не може бути безпечно, і, певною мірою, досить юзабельно.

Стратегічний вектор: account per app per env 😳

Хайлевельно, виходить ось така кухня:
1. Рекомендовано юзати примітив Organizations, всередині якого нарізати аккаунти
2. Нарізати аккаунти запропоновано через Control Tower

Бенефіти:
- повна сегментація аккаунтів (dev трафік ніяк не пролізе в prod, якщо звичайно не накрутити додаткових Transit Gateway, VPCe, etc)
- більш гнучкий рівень контролю доступів (видаємо команді, яка розробляє сервіс доступ в аккаунти з їх респонсібіліті)
- біллінг рахувати набагато простіше (дуже легко відповісти на питання, скільки грошей коштувала апка)
- security by design

Мінуси:
- доведеться платити декілька разів за ті ж кластери, VPC, Internet/NAT gateway - їх кількість кратно збільшиться
- складність менеджменту цією кухнею кратно зростає (збільшується складність --> складніші тули і підходи —> ріст зарплати 💸 —> більший донат на оборону України)

Цікаво, що цей підхід Amazon рекомендує всім корпоративним юзерам AWS, і дуже активно використовує сам. Чим ближче ви до MANGA компаній, тим більш корисним вам буде такий досвід.

Тепер посилання для продовження занурення в концепцію:

📄 Whitepaper:
https://docs.aws.amazon.com/pdfs/prescriptive-guidance/latest/transitioning-to-multiple-aws-accounts/transitioning-to-multiple-aws-accounts.pdf

📄 Мікро-дока:
https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/design-principles-for-your-multi-account-strategy.html

📄 AWS Control Tower Account Factory for Terraform:
https://github.com/aws-ia/terraform-aws-control_tower_account_factory

Як в GCP - не в курсі, колись давно бачив сегментацію на рівні Projects. Хто шарить як там в GCP - поділіться, пліз, в коментарях.

DOU

Пам’ятаю ще ті часи, коли в розділі “Зарплати” та “Робота” не було окремо DevOps, і доводилось орієнтуватись на SysAdmin. Але навіть це вже було досить потужно. Далі з’явився чудовий Djinni, де можна було тестувати потенційну стелю компенсацій, і знаходити найсмачніші вакансії нехитрими методами 🙂

На сьогодні DOU проводить величезні збори, донатить самостійно грандіозні суми, випускає статті про IT спеціалістів, які зі зброєю в руках захищають Україну.

Також DOU робить акцент на створенні спільнот і розвитку спеціальностей (технічні стріми, статті, дайджести - один з стрімів ми проводили разом на початку 2021 року), досить давно працює окремий розділ для QA, і тиждень назад зробили окремий розділ для DevOps спеціалістів:

@devops_dou 🎯

1) Підпишіться на @devops_dou - тому що це справжні друзі нашого ІТ, десь як Джонсонюк, може навіть і більше

2) Зверніть увагу, 8 лютого Uklon проводить онлайн-мітап (Istio, ArgoCD, SLO) - реєструйтесь, підтримаємо перший івент:
https://dou.ua/calendar/45982/

Також, якщо у вас є бажання допомогти в розвитку DevOps розділу на DOU - напишіть @dzzzvinka

Тихого і продуктивного робочого тижня всім нам 🤝

Whole Yandex Git repository leaked

Прикол, в яндексі досить потужно лікнув сорс код - 44.7 GB з купою репозиторіїв.

Комент секопсів цієї чудо-компанії:

… служба безопасности обнаружила в открытом доступе фрагменты кода из внутреннего репозитория. Но их содержимое отличается от текущей версии репозитория в сервисах «Яндекса». 🤡

… Репозитории нужны для работы с кодом и не предназначены для хранения персональных данных пользователей._ 🤡


Такий булшіт, ніби ніхто не знає, як працює git, і версія сорс коду після останнього коміту буде відрізнятись.

Відкрите питання - судячи з вектору шарених даних і їх вигляду, це скоріше за все, злив зсередини. Далі - більше, реверсінжинірінгом займатись набагато простіше, коли ти бачиш, як сервіс працює з середини 🙂

Для нас - декілька ауткамів:
1) Приберіть всі секрети з репо, якщо ще не зробили цього (Vault, AWS Secret Manager, etc)
2) Приберіть всі ідентифікатори баз, стореджів, ендпоінти кластерів, і доступ з паблік інтернету до них
3) Зробіть алерт на трафік git стореджу, щоб ви могли помітити, коли хтось робить git clone 44 gb з self-hosted Gitlab лол 🙂

https://news.ycombinator.com/item?id=34525936

Мітапи будуть!

Декілька новин перед вихідними:

1️⃣ Зверніть увагу на стрім мітапу:

https://www.youtube.com/live/bd7ofOND6ZQ?feature=share&t=680

Отримав такий фідбек про мітап On-air with Uklon: DevOps Edition: рекомендую глянути, непоганий практичний приклад як використовувати Istio для failure retry/recovery та як його використовувати для canary деплой в Argo, в тому числі з автоматичним роллбеком в разі погіршення метрик

Дякуємо Костянтину Томаху, Глібу Смолякову, та Олександру Чумаку. Не забуваємо про VP of Engineering, який так недавно з'явився в цій компанії 🙂

Окремо підкреслюю потужну, цікаву технічну складову, та українську мову 🇺🇦

2️⃣ Також чекаємо 15 лютого о 18:00 (дуже скоро) AWS re:Invent re:Cap з такою аджендою:
🔸 овервʼю найголовнішого з AWS re:Invent від Ігоря Іванюка, Sr. Solutions Architect в AWS;
🔸 панельна дискусія з AWS та N-iX:

Реєстрація на AWS re:Invent re:Cap за посиланням:
http://bit.ly/3X0nNQK

AWS re:Invent re:Cap буде збирати в БФ “Клуб Добродіїв”, для 2000 дітей на прифронтових територіях.

3️⃣ Наступного тижня буде DevOps дайджест на DOU (fingers crossed), опублікуємо на @devops_dou

DevOps Days Kyiv 2023: підкиньте ідей і спікерів

Всім вітання, пройшла перша сесія грумінгу майбутньої конференції, і виникло питання - кого реально було б цікаво послухати зараз? 

Декілька ідей: 
- Юра Рочняк згадав про інтерв'ю на DOU з досвідом екстреної міграції інфри ПриватБанку в клауд
- Була ідея знайти когось, хто допомагав (Microsoft?) захищатись від рашан-пенетрейшн і DDOS 
- Локальні бізнеси і їх проблеми у зв’язку з війною (Нова Пошта, АТБ, Uklon)

Дайте пліз зворотний зв'язок, кого, на вашу думку, було б цікаво послухати й нашим інженерам, і інженерам з UK/US (вони ж теж будуть донатити). 

Коротше, накидайте пліз ідей, кого б ви хотіли бачити, або десь бачили вже щось цікаве, наш унікальний досвід, який можна було б розшарити worldwide і нормально залучити зовнішньої фінансової допомоги. Цікавий досвід - більше донатів від міжнародного комьюніті. 

Все буде Україна!

До вашої уваги — те, заради чого ми всі тут зібралися! (жартуємо, або ні 😅)

Оновлений DevOps-дайджест повертається!

Над матеріалами працювала крута команда: Олексій Асютін, Влад Волошин, Олег Миколайченко, Дмитро Горбунов, Андрій Білоус. Хлопці відібрали найцікавіші матеріали, на які варто звернути увагу, тож гайда читати!

Terraform vs AWS CDK

Поки в нас летять кинджали і крилаті ракети разом з шахідами, ми продовжуємо працювати і знайшли прикольну штуку.

Зацініть, наскільки вона прикольна (опера в 3 діях):
1️⃣ Amazon просуває свій сервіс для роботи з git репозиторіями - AWS CodeCommit
2️⃣ Amazon просуває свій тулсет для IaC (AWS CDK —> CloudFormation)
3️⃣ AWS CDK не підтримує необхідних ресурсів для конфігурації AWS CodeCommit

А що ж Terraform? Підтримує.

Тобто, Amazon в своїй екосистемі не підтримує сумісність, а third-party (для них так виглядає Terraform) - підтримує.

Чи є у вас ще питання доцільності використання AWS CDK? 😂

Пруфи:
🔸Фіча AWS CodeCommit: https://docs.aws.amazon.com/codecommit/latest/userguide/approval-rule-templates.html (Approval Rule Templates - кому ж треба ці CODEOWNERS, фігня якась)
🔸Ресурс в Terraform: https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/codecommit_approval_rule_template
🔸Відкритий фіче-ріквест в AWS CDK: https://github.com/aws/aws-cdk/issues/18254

Це ще одне додаткове підтвердження, чому Terraform - стандарт ринку, Gitlab - стандарт ринку, і вам не треба змінювати ці рішення, щоб не наступати на неочевидні проблеми.

Якщо ви знаєте ще такі приклади, накиньте пліз в коментах (або зворотні приклади).

Працюємо далі!

4 ударні багаторазові FPV дрони з тепловізором

Шановне DevOps панство, прохання сьогодні підтримати підрозділ пілотів 45-го ОСБ з такими характеристиками:

- дальність 8км
- 3кг корисного навантаження
- низький шум
- Dual-HD + тепловізійний приціл

Приклади роботи (відео, фото) в пості:
https://xn--r1a.website/full_of_hatred/797

Збором займається Вова Рожков та Віталій Ратушний (інженери давно в темі, займаються цим серйозно) - модифікують дрони з ринку, підвищуючи їх ефективність і характеристики. Дрони повертаються на базу, тож реюзабельність присутня 🙂

Задумка в чому: всі чекають контрнаступ, тож давайте допоможемо, і підвищимо шанси на успіх 🇺🇦

Банка:
https://send.monobank.ua/jar/2FVDAiJvat

Снепшот поточного стану:
Accumulated - 76 553.91, Goal - 242 800

Приклад як завжди в коментах. Всім тихого робочого дня!

OpenCost — open source cost monitoring

Власне, OpenCost - це тула, яка допомагає отримати ще більшу візібіліті по витратам всередині вашого Kubernetes кластеру.

Чудово вирішує нескінчені ріквести «А скільки це коштує?» або «Порахуйте мені вартість цього сервісу за 2022 рік». Достатньо дати кастомеру, PM, або іншому клієнту цей інтерфейс - і вже буде приблизне бачення, про які суми йдеться.

Корисно буде не всім, принаймні у нашому кейсі - доволі неточні підрахунки (в нас є і знижки, і апфронт пейменти, яких не відображає Billing API), тож ця штука теж не може видати ідеальний результат, який можна було б одразу ріпортити.

Так чи так, комусь підійде, хтось трохи підрихтує сетап, і якусь частину задач до команди вийде мінімізувати.

Встановлюється через helm, інтегрується з Prometheus, рахує по неймспейсам/деплойментам/подам через апішку клауд провайдерів.

З коробки підтримує основні клауди + кастом on-prem:
- AWS/EKS
- Azure/AKS
- GCP/GKE
- On-prem clusters via custom pricing sheets

https://www.opencost.io/

Потрібен голос спільноти!

Щойно пройшов регулярний сінк по DevOps Days, і ми бачимо, що на жаль, на ринку хайрінг фріз, компанії заморожують бюджети на інтеграції з конференціями, і жмуть донати.

В той же самий час, з організаційної сторони лайнапи готові, спікери готові, всі готові. Тобто, виглядає так, що ми потенційно зможемо провести конференцію, але без великої і потужної котлети грошей від спонсорів (які далі прямують у гуманітарні фонди).

Або ми можемо перенести конференцію на осінь цього року, і методично говорити з великими компаніями, щоб вони розпакували свою донатилку. Тоді це могло б бути більш ефективно. Нагадаю, що минулого року вдалось залучити €100 000 від спонсорів.