#машины_aws

Для CloudFormation был разработан линтер cfn-lint, который на базе разных правил проверял шаблон на вшивость. Одной из моих любимых фишек этого линтера была возможность написать свое правило на том же языке, что и сам линтер, т.е. на Python.

А раз для написания правила используется верхнеуровневый язык программирования, то положить в это правило можно буквально все что угодно. Автор помнит времена, когда он злоупотреблял Boto3, чтобы в рамках правила делать вызовы на AWS API и делать более точечные проверки, например, если hardcoded ARN ссылается на существующий ресурс.

У таких свистоплясок есть очевидный недостаток. Например, если линт проходит в рамках CI, то у сборочного агента должен быть доступ в AWS, не говоря уже о том, что мы нагружаем линтер функциональностью, для которой он никогда не предназначался.

И вот я в очередном туре по кишкам CFN, изучая расширения, нашел расширение Hooks. Hooks проверяют разные типы ресурсов на соответствие определенным правилам, но в этот раз правила проверяются на стороне самого CloudFormation. Может показаться, что это бесполезное дело, ресурс дешевле проверить до развертывания, а не во время развертывания.

С другой стороны можно застраховаться от тех, кто катит CFN вручную и не применяет линтер, или если приходящие изменения в вашу инфраструктуру не под вашим контролем. Hooks это такой способ защититься от неприемлемых изменений, поскольку они не допускают абьюза со стороны ленивых девопсов.

Но для этого нужно побороть сначала свою лень и написать много правил на все случаи жизни. 🙂

​​AWS & Telegram

Belarus:

@aws_minsk AWS Minsk Community

Kazakhstan:

@aws_kz AWS User Group Kazakhstan Announcements
https://t.iss.one/+olvuuRvutxUwNDAy AWS User group Kazakhstan

Poland:

@aws_polska AWS Polska
@aws_pl AWS Notes Polska

Russia:

@aws_ru ☁️ AWS_RU
@aws_community AWS Community

Ukraine:

@AWS_UG_Ukraine AWS User Group Ukraine
@aws_ua AWS Україна
@aws_ua_notes AWS Notes Україна

Uzbekistan:

@AWSUserGroupTashkent AWS User Group | Tashkent
@AWSUserGroup AWS User Group Tashkent | Chat

General:

@awsamazon (English) AWS User Group ☁️
@awsweekly AWS Weekly
@aws_cdk AWS CDK
@aws_notes_chat AWS Notes chat
@aws_notes AWS Notes

Related to AWS:

@manandthemachine Человек и машина
@cloudandcybersecurity Cloud and Cybersecurity
@webapparch ⌨️ From Finance to SDE at Amazon

All AWS channels:
🔹 https://t.iss.one/addlist/BBAsMb5MiYZmYWRi

All AWS chats:
🔸 https://t.iss.one/addlist/DtTNUONzpUZjYTEy

🆕 Container Image Signing for ECR with AWS Signer:

https://aws.amazon.com/blogs/containers/announcing-container-image-signing-with-aws-signer-and-amazon-eks/

▫️ Using the Notation client with the AWS Signer plugin, you can implement a simple client-based workflow for signing and verifying your container images.
▫️ Using the Kyverno-Notation-AWS Signer solution, you can validate container images in Kubernetes.

#ECR #Signer #EKS

50% скидка на Associate экзамены AWS (Architect Associate, Developer Associate, SysOps Administrator Associate)
https://pages.awscloud.com/GLOBAL-ln-GC-Traincert-Associate-Certification-Challenge-Registration-2023.html

📖 Что почитать в дороге?
AWS Prescriptive Guidance — Patterns

↑↑↑ Опрос ↑↑↑ возник на фоне обсуждение статьи https://leanercloud.beehiiv.com/p/recommended-ecs-instead-kubernetes-latest-customer на Reddit — интересно узнать разброс мнений.

​​⚒️ lambda-debug is a tool that enables you to invoke Lambda functions in the cloud from any event source and intercept the requests with breakpoints locally.

https://github.com/ljacobsson/lambda-debug

🏠 Local debugging: Set breakpoints in your code and step through your functions invocations locally on native events triggered in the cloud.
👍 No code changes: No need to modify your code to enable debugging. Just add some dev dependencies and some configuration.
🔐 Same IAM permissions: Your functions will run with the same IAM permissions as they do in the cloud.
⚡ Fast iterations: No need to deploy your code to the cloud to test changes. Just save your code and invoke your functions in the cloud.

#Lambda

​​The world's most advanced cloud security conference — fwd:cloudsec 2023

Day 1
• https://www.youtube.com/watch?v=JCphc30kFSw
• https://www.youtube.com/watch?v=up4nfzeXYlU
Day 2
• https://www.youtube.com/watch?v=ZvdYgL6b9xE
• https://www.youtube.com/watch?v=B3t-mUU_fRU

#security #video

AWS outage in progress...

Increased Error Rates and Latencies

Jun 13 1:38 PM PDT We are beginning to see an improvement in the Lambda function error rates. We are continuing to work towards full recovery.

Jun 13 1:14 PM PDT We are continuing to work to resolve the error rates invoking Lambda functions. We're also observing elevated errors obtaining temporary credentials from the AWS Security Token Service, and are working in parallel to resolve these errors.

Jun 13 12:36 PM PDT We are continuing to experience increased error rates and latencies for multiple AWS Services in the US-EAST-1 Region. We have identified the root cause as an issue with AWS Lambda, and are actively working toward resolution. For customers attempting to access the AWS Management Console, we recommend using a region-specific endpoint (such as: https://us-west-2.console.aws.amazon.com). We are actively working on full mitigation and will continue to provide regular updates.

Jun 13 12:26 PM PDT We have identified the root cause of the elevated errors invoking AWS Lambda functions, and are actively working to resolve this issue.

Jun 13 12:19 PM PDT AWS Lambda function invocation is experiencing elevated error rates. We are working to identify the root cause of this issue.

Jun 13 12:08 PM PDT We are investigating increased error rates and latencies in the US-EAST-1 Region.

Degradation (4 services)
AWS CloudFormation
AWS Lambda
Amazon API Gateway
Amazon Connect

Total affected services: 72

Главный спонсор сегодняшнего выпуска:

https://aws.amazon.com/solutions/implementations/multi-region-application-architecture

​​🆕 Amazon EC2 M7a instances, powered by 4th generation AMD EPYC processors, deliver up to 50% higher performance compared to M6a instances:

https://aws.amazon.com/ec2/instance-types/m7a/

▫️ 4th Gen AMD EPYC™ 9004 Genoa
▫️ 96 CPU Cores / 192 Threads
▫️ Base Freq 2.4GHz / Boost Up to 3.7GHz
▫️ DDR5 4800
▫️ L3 Cache 384MB
▪️ AVX3-512
▪️ BFloat16 

#EC2 #AMD

​​EC2 Instance Connect Endpoint — присоединяемся по SSH/RDP к виртуалкам из приватной подсети (без публичного IP):

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Connect-using-EC2-Instance-Connect-Endpoint.html

Хорошая мысль, запоздавшая на надцать лет — сколько бастионов перебастионили. К сожалению, только IPv4. И почему это будет лучше старого-доброго SSM Session Manager пока ещё не знаю.

P.S. EICE денег не ест (только за Data Transfer).

#EC2

​​Свежий опрос Stack Overflow — Developer Survey 2023 :

https://survey.stackoverflow.co/2023/#overview

Коротко:
◽ Python вышел на второе место (HTML идёт лесом)
◽ PostgreSQL на первое
◽ AWS по-прежнему в лидерах с большим отрывом
◽ Oracle Cloud растёт и обогнал OVH
◽ IBM Cloud всё ещё не вылетел из опроса
◽ AWS CodeWhisperer в тройке главных AI devtools
◽ ChatGPT + Bing AI используют больше 100% разработчиков (проверьте сами) 😁

​​📌 Присоединяемся с помощью EC2 Instance Connect к RDS (да и вообще ко всему внутри VPC) без промежуточной виртуалки.

1️⃣ Обновляем AWS CLI до версии 2.12+

https://docs.aws.amazon.com/cli/latest/userguide/getting-started-version.html

Прямая ссылка для обладателей Windows:
🔗 https://awscli.amazonaws.com/AWSCLIV2-2.12.0.msi

2️⃣ Создаём (если ещё нет) EC2 Instance Connect Endpoint

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-ec2-instance-connect-endpoints.html

aws ec2 create-instance-connect-endpoint --region us-east-1 --subnet-id subnet-0123456789abcdef

Меняем --region и --subnet-id на свои значения.

После создание получим InstanceConnectEndpointId.

3️⃣ Присоединяемся к EC2 Instance Connect Endpoint

В официальной документации пока есть только присоединение к EC2 по --instance-id:

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-using-eice.html

Однако в AWS CLI перечислены и другие:

https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2-instance-connect/open-tunnel.html

Берём айпишник --private-ip-address нашей базы данных плюс её порт --remote-port и коннектимся:

aws ec2-instance-connect open-tunnel --private-ip-address 10.44.33.119 --instance-connect-endpoint-id eice-0123456789abcdef12 --remote-port 5432 --local-port 5432

Меняем --private-ip-address, --instance-connect-endpoint-id (полученное при создании), --remote-port и --local-port на свои значения.

В результате поднимется туннель:

Listening for connections on port 5432.
[1] Accepted new tcp connection, opening websocket tunnel.

4️⃣ Присоединяемся к локальному порту (localhost:5432 из примера выше — картинка ниже чисто для примера) и пользуемся.

Точно работает для адресов из других VPC, присоединённых через VPC Peering, для другого не пробовал — напишите, если (не) получится, как для RDS/Aurora, так и для OpenSearch либо других сервисов.


P.S. Кто читает лишь конец и не работает — обновите AWS CLI!

#EIC