#машины_aws

Кто не смог присутствовать лично, могут посмотреть мое выступление в записи.

Здраствуите! If you wanna hear about AWS CDK from a bald guy in a forest, well you are in for a treat 😂: https://youtu.be/7hKHNfubYMA

​​AWS Confidential Computing - продолжение

Итак, кто пропустил первую часть, коротко:

▪️ Azure Confidential Computing реализовано на базе расширений процессора Intel SGX
▪️ Google Confidential Computing под капотом шифрует память виртуалок на AMD EPYC с помощью расширений AMD SEV
▪️ Амазон реализовал свою версию AWS Confidential Computing без привязки к процессору с помощью волшебства Annapurna Labs и возможностей его проекта Nitro.

AWS Nitro Enclaves (NE) — первый взгляд

https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave.html

Главные характеристики NE:

• во-первых, это виртуалка
• запускается как гостевая из вашего EC2-инстанса
• у неё нет никаккого persistent storage
• в неё нельзя залогиниться
• у неё нет айпишника, потому к ней никак не получится подключиться из сети
• всё, что у неё есть для общения с родительской виртуалкой (ваш EC2 инстанс) — это virtual socket (см. картинку)

Образ для NE конвертируется из докерного и запускается специальной утилитой. В результате поднимается ещё одна виртуалка "сбоку", но в рамках параметров вашей EC2 по процессору/памяти. Условно можно считать, что NE-виртуалка поднимается в другом AWS аккаунте, потому никакой возможности достучаться туда или изменить у вас нет по определению, что как раз и позволяет использовать данный подход для Confidential Computing.

Вместе с NE был анонсирован и ACM for Nitro Enclaves (ACM-NE):

https://aws.amazon.com/about-aws/whats-new/2020/10/announcing-aws-certificate-manager-for-nitro-enclaves/

То, что теперь можно поднять виртуалку, к которой у вас нет доступа, решает застарелую проблему реализации End-to-End шифрования на AWS. Раньше для этого приходилось покупать сертификаты или использовать дорогущий CloudHSM за $2000 в месяц. Теперь же, благодаря тому, что контекст NE недоступен, но при этом он таки ваш, Амазон может выдать вашему приложению свой приватный ключ!

На текущий момент это справедливо лишь для Linux и Nginx версии 1.18+.

Для того, чтобы получить заветный амазоновский ключ нужно выполнить команду associate-enclave-certificate-iam-role, которая на выходе даст бакет и путь к файлу, где деньги лежат. Скачать его получится, однако приватный ключ внутри файла зашифрован и расшифровать его сможет лишь процесс, запущенный в NE.

...продолжение следует.

#ACM #NE

Через два года добавится ещё один AWS Region — Швейцария, Цюрих!

https://aws.amazon.com/blogs/aws/in-the-works-new-aws-region-in-zurich-switzerland/

Регион планируется к сдаче во второй половине 2022-го года.

#AWS_Regions

Самоучитель по AWS от Stelligent:

https://stelligent.com/2020/10/27/open-sourcing-our-devops-training-platform-stelligent-u/

Стоящие внимания лабы от одной из крупнейших контор, специализирующихся на AWS Devops. Данный материал в том числе используется для обучения их инженеров.

Прямая ссылка на GitHub:

https://github.com/stelligent/stelligent-u

Однозначно в закладки

#learning #devops

🔸AWS Secure Environment Accelerator

The AWS Secure Environment Accelerator is a tool designed to help deploy and operate secure multi-account AWS environments on an ongoing basis. The configuration file enables the completely automated deployment of customizable architectures within AWS without changing a single line of code.

https://github.com/aws-samples/aws-secure-environment-accelerator

#aws

RabbitMQ теперь и на AWS:

https://aws.amazon.com/blogs/aws/amazon-mq-update-new-rabbitmq-message-broker-service/

#MQ

Capacity Rebalancing для EC2 Spot виртуалок:

https://aws.amazon.com/blogs/compute/proactively-manage-spot-instance-lifecycle-using-the-new-capacity-rebalancing-feature-for-ec2-auto-scaling/

При включении CapacityRebalance: true и получении виртуалкой сигнала о том, что она будет убита через две минуты, автоскелинг сразу же сам поднимет ещё одну спот-виртуалку. В результате чего, когда обречённая на смерть виртуалка будет убита, в группе будет нужное количество spot-виртуалок. В то время как без этого автоскелинг срабатывал лишь через некоторое время, когда убитая виртуалка не отвечала на HealthCheck-и.

Весьма востребованная фича для случаев небольшого количества виртулок в автогруппе и/или когда время инициализации свежеподнятых виртуалок значительное.

Пока доступна лишь для EC2. Будем надеяться, что на реинвенте обрадуют и для Fargate.

#EC2 #Spot

​​Плодитесь и размножайтесь или ещё один AWS Region через полтора года — южная Индия, Хайдарабад:

https://aws.amazon.com/blogs/aws/in-the-works-aws-region-in-hyderabad-india/

Регион планируется к сдаче в середине 2022-го года.

#AWS_Regions

EventBridge получил две крутые фичи — возможность сохранять эвенты и воспроизводить их:

https://aws.amazon.com/blogs/aws/new-archive-and-replay-events-with-amazon-eventbridge/

Сохранять можно все, по паттерну, навсегда или указав срок их хранения. При воспроизведении нужно указать период времени, когда они были получены.

Данный функционал был весьма востребован, точно знаю, что многие написали свои реализации этого. Очень жаль, что нет публичного Roadmap для EventBridge, чтобы не плодить своих велосипедов и видеть, над каким функционалом нужного сервиса трудится команда Амазона.

#EventBridge

AWS Roadmaps

На текущий момент у AWS доступны следующие публичные роадмэпы:

1️⃣ AWS CloudFormation:
https://github.com/aws-cloudformation/aws-cloudformation-coverage-roadmap/projects/1

2️⃣ Containers (ECS/EKS/Fargate):
https://github.com/aws/containers-roadmap/projects/1

3️⃣ Elastic Beanstalk:
https://github.com/aws/elastic-beanstalk-roadmap/projects/1

4️⃣ AWS CDK:
https://github.com/orgs/aws/projects/7

5️⃣ AWS App Mesh:
https://github.com/aws/aws-app-mesh-roadmap/projects/1

6️⃣ Spot Instances:
https://github.com/aws/ec2-spot-instances-integrations-roadmap/projects/1

7️⃣ AWS Proton:
https://github.com/aws/aws-proton-public-roadmap/projects/1

#Roadmap

Все таки раздают ваучеры на AWS Certified Cloud Practitioner https://pages.awscloud.com/AWS_Global_Certification_Challenge_Practice_Exam_Voucher.html

Cоветы по защите ресурсов AWS от производителя:

https://aws.amazon.com/premiumsupport/knowledge-center/security-best-practices/

#security

Archive Access tier и Deep Archive Access tier для S3 Intelligent-Tiering:

https://aws.amazon.com/blogs/aws/s3-intelligent-tiering-adds-archive-access-tiers/

В добавление к Infrequent Access теперь можно включить последующее автоматическое перемещение объектов в S3 Glacier через 90 дней и в S3 Glacier Deep Archive через 180 дней.

#S3 #cost_optimization

Очень доходчиво о выборе железа для AI/ML
https://youtu.be/YWaXaIiwPxw

Нативный экспорт DynamoDB на S3 для аналитики:

https://aws.amazon.com/blogs/aws/new-export-amazon-dynamodb-table-data-to-data-lake-amazon-s3/

#DynamoDB

​​В полку балансеров прибыло — Gateway Load Balancer (GWLB):

https://aws.amazon.com/blogs/aws/introducing-aws-gateway-load-balancer-easy-deployment-scalability-and-high-availability-for-partner-appliances/

GWLB используется как решение масштабирования своего ПО, предназначенного для инспекции трафика — например, для случаев, когда есть жёсткие/обзятальеные/корпоративные требования на фильтрацию трафика из интернета.

#GWLB

​​Для финтеха у Амазона теперь есть свой специальный стартапный уголок:

https://aws.amazon.com/startups/FinTech/

#startups

Модульность в AWS SDK третьей версии:

https://aws.amazon.com/blogs/developer/modular-packages-in-aws-sdk-for-javascript/

То есть можно загрузить отдельный модуль, например, для S3 (а не весь пакет со всеми сервисами целиком):

const { S3 } = require("@aws-sdk/client-s3");
const s3Client = new S3({});
await s3Client.createBucket(params);

Можно добавить, что "прямо как в AWS CDK". Интересно отметить, что AWS SDK уходит от монорепы, в то время как CDK туда стремится. Демократия, однако.

#SDK