Cloud Report 2020 от Cockroach Labs

The report generated a large amount of interest from the community and
sparked follow-up conversations with all three major cloud providers: AWS, Microsoft Azure (Azure), and GCP.

+
Статья в блоге
https://www.cockroachlabs.com/blog/aws-azure-gcp-respond-to-the-2020-cloud-report/

Отличная статья с пояснениями

Load balancing and scaling long-lived connections in Kubernetes
https://learnk8s.io/kubernetes-long-lived-connections

Всем кто пропустил, JUG (https://xn--r1a.website/channel_23derevo/178) и HighLoad (https://xn--r1a.website/HighLoadChannel/1173) переносят свои конференции, поэтому если у вас были брони или билеты, то отмените их, свяжитесь с организаторами по поводу возврата билетов, если вас не устраивает перенос и т.д.

Security along the Container-based SDLC

Большая подборка из 71 open-source инструментов, встраиваемых в Container-based SDLC: SAST, DAST, WAF, IAM, всевозможные сканнеры кофигураций, PKI (даже sandboxing есть). Заслуживает того, чтобы сохранить себе.

https://holisticsecurity.io/2020/02/10/security-along-the-container-based-sdlc

#tools

Distributed Tracing: Impact on Engineering Organizations
https://medium.com/@dm03514/distributed-tracing-impact-on-engineering-organizations-d2f775e94aae

Изменение стоимости вычислительных ресурсов AWS во времени

Работая с Амазоном важно понимать особенности формирования цены на виртуалки.

На другие ресурсы (хранение, стоимость чего-то в месяц и т.п.) стоимость может меняться (падать) в, так сказать, обычном порядке — огласили снижение цена на xx%% и в конце месяца в счёт попадёт новая цена.

Стоимость же виртуалок, будучи купленными, уже не меняется (скидочные планы не в счёт). Как бы логично предполагать, что, как же так, выходят новые, более крутые процессоры, а цена не падает. А вот как раз и падает, об этом и нужно знать.

В общем случае снижение цены проходит следующим способом. Выходит новое поколение процессоров - более крутых с большими возможностями. И виртуалки аналогичного количества процессоров+памяти, только более нового поколения, стоят ч̶у̶т̶ь̶ ̶д̶о̶р̶о̶ж̶е̶ дешевле!

Возьмём конкретный пример. У вас крутится база данных PostgreSQL, логично предположить, что она может крутиться многими годам. Например, возьмём, что вы её сделали лет пять назад и тогда это был простой вариант 4 ядра + 16ГБ памяти + MultiAZ, а соответственно (тогда) это был тип db.m3.xlarge.

https://aws.amazon.com/rds/previous-generation/

Посмотрим стоимость такой конфигурации (db.m3.xlarge), как она изменялась со временем и чему равна сейчас (без скидок и в N.Virginia):

https://aws.amazon.com/rds/postgresql/pricing/

db.m3.xlarge = $0.78
db.m4.xlarge = $0.73
db.m5.xlarge = $0.712

Как и было сказано ранее — цена падает. Новые виртуалки работают быстрей, эффективней и при этом дешевле!

Конечно, для того, чтобы получить такую выгоду, придётся обновить виртуалку, а рабочий прод никто трогать не хочет (плюс купленные ранее скидки не хочется терять).

Итого, факт — новое обычно дешевле и быстрей.

Или просто быстрей и стоит столько же, как, например, EC2 типы T2 и T3, которые стоят одинаково, в то время, как T3 на более новых и быстрых процессорах (а на самых мелких виртуалках у T3 два vCPU против одного у T2).

#cost_optimization

A tool to scan Kubernetes cluster for risky permissions
https://github.com/cyberark/KubiScan

🐧 Таких материалов на русском языке не так уж и много, так что бегом читать: CVE-2019-18683: Эксплуатация уязвимости в подсистеме V4L2 ядра Linux от a13xp0p0v.

По ссылке PoC эксплойт, демонстрация, обход KASLR, SMEP, SMAP, повышение привелегий и детальное объяснение всего происходящего.

#security #kernel #напочитать

Выложены доклады с ISPRASOPEN-2019 (открытая конференция института системного программирования РАН).
С конференциями ИСП РАН у меня всегда одна проблема - много того, что интересно, но зачастую ничего не понятно из-за целевой аудитории этих конференций.

Из интересного в этот раз для меня

Управляемые профилем оптимизации для мобильных устройств в компиляторе LLVM
https://www.youtube.com/watch?v=jB-qtKOt1PQ

Обнаружение неправильного использования переменных с использованием статического анализа в сочетании с машинным обучением
https://www.youtube.com/watch?v=mFQ84RMzQT0

Использование Kubernetes в качестве фреймворка для построения гибких и эффективных сценариев обработки научных данных
https://www.youtube.com/watch?v=xM9tWGjCxKY

Отличнейший доклад от Александра Попова из Positive Technologies
Фаззинг ядра Linux на практике
https://www.youtube.com/watch?v=pt9rlhFMRmc

Все доклады
https://www.youtube.com/playlist?list=PLNcc67qYVXQ2S80h02rN8ZCeUX_lzyVhn

Программа и слайды
https://www.isprasopen.ru/#Agenda

Люблю такое

The team has completed migration and adaptation of Kubernetes and related components, built not only a stable and highly available MIPS cluster but also completed the conformance test for Kubernetes v1.16.2.

Kubernetes on MIPS
https://kubernetes.io/blog/2020/01/15/kubernetes-on-mips/

Отличный набор лекций и лабораторных занятий по ядру линукса. Очень рекомендую каждому инженеру https://linux-kernel-labs.github.io/refs/heads/master/index.html

Возможно теперь меньше дыр будет, хотя маловероятно 😎
https://github.blog/2020-03-16-npm-is-joining-github/

#github #npm #javascript #js #nodejs

Друзья, в связи с печальными известиями о вирусе, наше сообщество не станет исключением и не будет проводить оффлайн мероприятие. Многие участники уже самостоятельно отзывают резерв мест на встрече, так что будем стараться проводить встречу онлайн, транслируясь в твитч. https://www.twitch.tv/devops40

(c) https://xn--r1a.website/devops40/47

⁠Если какие-то ваши сервисы по безопасности сканируют все регионы, то возникает вопрос — а что будет, когда, вот, вскоре, откроется новый регион Италия-Милан? Как учитывать такой факт, чтобы враги не просочились через вновь возникший новый AWS регион?

Ответ был дан год назад, когда с марта прошлого года все новые регионы отключены по умолчанию, а чтобы их включить, нужно их включать явно самому:

https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/

Потому за новые регионы в этом плане можно не переживать. А чтобы запретить старые-имеющиеся — можно использовать SCP.

#security #AWS_Regions

Red Hat Product Security Risk Report: 2019

Сравнительный анализ некоторых Java-декомпиляторов
https://habr.com/ru/company/solarsecurity/blog/489844/

Calico Networking with eBPF
https://www.youtube.com/watch?v=KHMnC3kj3Js

Немного о плюсах и минусах #aws

https://hassenchaieb.com/aws-good-parts/

#dynamodb #s3 #ec2 #lambda #sqs #kinesis #elb

DevOps-40 online meetup.

19:15 Лев Гончаров, T-Systems

У нас было 45 Ansible ролей, 10 YML программистов, 3 jenkins slaves, 5 лет потраченных на адаптацию пирамиды тестирования инфраструктуры. Чёртова Infrastructure As Code после нее вас развозит так, что вы похожи на хипстера из старой Ирландской новеллы, подвернутые джинсы, наклейка Ansible на ноутбуке. Не то что бы это был необходимый запас для проекта. Но если начал собирать модные инструменты, становится трудно остановиться. Единственное что вызывало у меня опасение — это Molecule. Нет ничего более беспомощного, безответственного и испорченного, чем DevOps инженер тестирующий YAML на Jenkins. Я знал, что рано или поздно мы перейдем и на эту дрянь…


20:00 Дмитрий Столяров, Флант. Q&A сессия по Kubernetes, CI/CD и DevOps

Сессия вопросов и ответов с одним из экспертов по kubernetes и devops Дмитрием Столяровым из компании Флант. Вы можете задать свои вопросы о:

внутреннем устройстве Kubernetes и лучших практиках конфигурирования кластера
интеграции кластера с различными клауд провайдерами
масштабировании и управлении ресурсами
организации процесса сборки и доставки (как на концептуальном, так и прикладном уровне)
использовании инструмента werf
мониторинге кластера и приложений
организации поддержки on call и инцидент-менеджменте

Задавайте вопросы в Телеграм чате @devops40discuss и на Twich c хэштегом #вопросфланту
Трансляция по адресу: https://www.twitch.tv/devops40

Слайды от Льва Гончарова.
Найти его и поговорить с ним об Ansible можно тут @ansible_dev.

Коллеги, напоминаем, что завтра, 19 марта пройдёт первое мероприятие от сообщества Monhouse.tech: митап «CI/CD процессы». Данное мероприятие будет проходить в онлайн формате, то есть будет организована онлайн трансляция на нашем YouTube канале. Для удобства предлагаю вам подписаться на канал и нажать «колокольчик», чтоб успеть к началу.
Итак, что вас ждёт на онлайн митапе по CI/CD процессам:

«Happiness driven CI/CD», Виктор Исаев, Arrival.

«CI/CD: от прототипа до прода», Олег Алексеев, независимый эксперт.

Ориентировочное время начала трансляции 18:45. Следите за возможными изменениями в нашем телеграм-канале.

Наш YouTube канал: https://www.youtube.com/channel/UCyQ9sLBi9F3Mo_LRQrJ6RNg/