- AWS User Group митап? Где?
- Где-где? В Караганде!

Приглашаем всех любителей облачных технологий и профессионалов IT на первый AWS митап в Караганде.

☁️ 23 апреля, 18:30
☁️ Место: IT-hub "Терриконовая Долина"
☁️ Бесплатно
☁️ Регистрация

➖➖➖➖➖➖
АГЕНДА
➖➖➖➖➖➖

▪️ Знакомство с AWS
Спикер: Алина Шедрикс, Lead Systems Engineer, EPAM
Amazon Web Services (AWS) предоставляет широкий спектр облачных сервисов, которые могут значительно улучшить процессы разработки, развертывания и масштабирования вашего приложения. В этом докладе мы погрузимся в мир AWS, исследуем его основные сервисы, такие как EC2, S3, Lambda, и другие, и узнаем, как они могут быть использованы для создания мощных и надежных приложений в облаке.

▪️ Secrets of Serverless Architecture Revealed
Спикер: Игорь Шарфмессер, Senior Solutions Architect, AWS
В этом докладе мы рассмотрим основные принципы серверлесс архитектуры, выявим ее преимущества и недостатки, а также обсудим лучшие практики для создания и развертывания серверлесс приложений. Вы узнаете, как использовать серверлесс для улучшения производительности, экономии ресурсов и упрощения разработки.

▪️ Как построить идеальный CI/CD pipeline
Спикер: Виктор Ведмич, Senior Developer Advocate, AWS
В 2024 году все знают о CI/CD, но каждый раз, начиная новый проект, мы ищем ответы на многие вопросы: какова наилучшая стратегия ветвления (branch strategy), где и как я должен внедрить quality gate, когда заканчивается CI и где начинается CD, какие именно шаги должны быть в CI/CD pipeline, чтобы сократить время подготовки к изменениям (lead time - LT) и среднее время восстановления (MTTR). Мы рассмотрим схему CI/CD pipeline, определим метрики, которые помогут измерить CI/CD и увеличить частоту развертывания, и сделать эти развертывания без downtime для пользователей.


❗️ Подробности и регистрация по ссылке:
https://wearecommunity.io/events/aws-user-group-mitap

Мероприятие бесплатное, но количество мест ограничено, поэтому не забудьте зарегистрироваться заранее.

Коты нашего проекта.

#пятничное

​​ECS vs EKS — когда что выбрать?

https://www.youtube.com/watch?v=JeNuZ7qYpA4

00:00:00 - Start
00:00:51 - Интро Андрей (Andrey Devyatkin)
00:01:59 - Интро Владимира (Vladimir Samoylov @cageyv)
00:03:02 - О программе AWS Community Builders
00:11:10 - ECS (УСЫ)
00:19:39 - ECS и EKS: инфраструктура
00:20:57 - ECS и EKS: Агенты и сети
00:23:17 - ECS и EKS: Control plane
00:30:22 - ECS и EKS: Доступы и аудит
00:37:37 - ECS и EKS: Запуск и работа контейнеров
00:44:17 - Как решить X задачу в ECS?
00:49:29 - ECS: Service Mesh
00:54:48 - Iprobe
00:58:02 - ECS: Scaling
01:11:31 - ECS: Стоимость
01:14:03 - Что такое "Fargate"?
01:21:46 - ECS: Выводы
01:29:05 - ECS: Как локально запускать?

© DevOps Kitchen Talks

#ECS #EKS #video

​​Popularity of IaC tools by Datadog

Charts from "State of DevSecOps" report:

https://www.datadoghq.com/state-of-devsecops/

#IaC

​​How to monitor AWS WAF logging centrally in near real-time through using Amazon Managed Grafana

https://aws.amazon.com/de/blogs/mt/how-to-monitor-aws-waf-logging-centrally-using-amazon-managed-grafana/

#AMG

IBM Terraform

https://www.reuters.com/markets/deals/ibm-nearing-buyout-deal-hashicorp-wsj-reports-2024-04-23/

И приз за предсказание отправляется... @bazilio91

Почему мне кажется, что это будет redhat или похожее

и @identw

Red hat же вроде сам куплен IBM'ом

Поздравляю всех, ура!

Всем привет .
Мы зарелизили 0.10.1 версию Opensource Platform for learning kubernetes and aws eks

Добавлены:
- Cka lab 3. Nginx ingress. Routing by header .
- Cka lab 3 solution
- Video for Cka lab 3 solution
- Cka lab 4. Nginx ingress. Routing 30% of requests to new version of app
- Cka lab 4 solution
- Video for Cka lab 4 solution

на данный момент подготовлены mock экзамены cka (mock1 mock2 ) , cks(mock1 ) , ckad (mock1 mock2 )

Для запуска платформы нужен личный акаунт AWS.
Все рессурсы создаются с terraform + terragrunt
по умолчанию используются ec2 spot и t4g.medium (graviton )
пример запуска


выпуск на devops kitchen talks , где обсуждали как готовиться к экзаменам CKA, CKS, CKAD в 2024 году

github платформы

канал с решениями мок экзаменов и лабораторных работ.

​​CodeBuild + GitHub Actions self-hosted runners 🎉

https://docs.aws.amazon.com/codebuild/latest/userguide/action-runner.html

CodeBuild's integration with GitHub Actions webhooks offers all compute platforms, including Lambda, GPU-enhanced and Arm-based instances.

#CodeBuild #GitHub_Actions

Terraform by IBM — Done.

https://www.hashicorp.com/blog/hashicorp-joins-ibm

#terraform

​​Качественная статья о положении дел HashiCorp.

https://medium.com/@fintanr/on-ibm-acquiring-hashicorp-c9c73a40d20c

Вот, что может случиться, когда в ведущем продукте меняется open source лицензия. От даты изменения типа лицензии до продажи компании прошло 9 месяцев.

#Terraform

Правильно понял, что спамерам дали простую возможность с помощью банального скрипта отправлять запросы каждый раз с нового айпишника?

https://aws.amazon.com/about-aws/whats-new/2024/04/removing-adding-auto-assigned-public-ipv4-address/

Well, now IBM owns both Terraform and Ansible, and definitely now it's time to combine these both to one new great IaC product - TERRIBLE™ !

Ещё один продукт от IBM теперь на GitHub под лицензией MIT и совершенно бесплатно.

https://github.com/microsoft/MS-DOS

​​AWS Monitoring with EventBridge

https://cloudonaut.io/aws-monitoring-with-eventbridge/

Monitoring:

▪️ AWS account root user login
▪️ AWS Health announcements
▪️ EC2 Auto Scaling
▪️ EBS Snapshots
▪️ SSM Automation
▪️ ECS Tasks
▪️ ECR Image Scan
▪️ ACM
▪️ AWS Backup
▪️ Elastic Beanstalk

#EvenBridge #monitoring

​​First release from Valkey (open source Redis) - version 7.2.5

https://valkey.io

❌ Redis is no longer licensed as Open Source.
🤝 Valkey is supported by major cloud giants including AWS, Google, Oracle.

#redis #valkey

It is not a bug, it is by design.

https://medium.com/@maciej.pocwierz/how-an-empty-s3-bucket-can-make-your-aws-bill-explode-934a383cb8b1

Краткое изложение — автор статьи в результате экспериментов получил счёт на 1000+ долларов за пустой (!) приватный (!) S3 бакет.

Прочитав документацию, он обнаружил, что всё верно, так может быть. Мало того, техподдержка подтвердила: да, это предполагаемое поведение — владелец бакета платит за обращения к нему, включая те, что дают ошибку аутентификации. То есть в том числе от анонимных пользователей (читай "через интернет").

И это только сейчас заметили?!?

Нет, на моей памяти раз в несколько лет эта тема поднимается. Например, вот свежее обсуждение на Reddit (2024):

https://www.reddit.com/r/aws/comments/1cg7ce8/how_an_empty_private_s3_bucket_can_make_your_bill/

А вот она же трёхлетней давности (2021):

https://www.reddit.com/r/aws/comments/mwpuys/exploitable_hole_in_s3_requester_pays_bucket_to/

Вот обобщение в виде Denial-of-Wallet attacks (2020):

https://portswigger.net/daily-swig/denial-of-wallet-attacks-how-to-protect-against-costly-exploits-targeting-serverless-setups

S3 Requester Pays

Кто сдавал на сертификацию :) знают про существование такого режима и даже предполагают, что его недавно сделали как раз для борьбы с подобными проблемами.

Нет, это древняя фича (2008):

https://aws.amazon.com/blogs/aws/bits-for-sale-amazon-s3-requester-payment-model/

Но главное, она не защитит от подобной проблемы, так как:

Bucket owner is charged for the request under the following conditions:
• Request authentication fails (HTTP code 403).
• The request is anonymous (HTTP code 403).

Как же защититься от этого?!?

Ответ читайте в нашей популярной книжке "Никак".
◾ Можно генерировать длинные имена S3 бакетов из случайных символов (бесплатно)
◾ Использовать AWS Shield Advanced (3k$/month)
◾ Написать <что угодно> в S3 bucket policy — не поможет (см. Request authentication fails)
◾ Разрешить доступ только из своей VPC (см. предыдущий пункт)
◾ Добавить в Readme "Я тебя найду по айпи!!" (недорого)

В общем, рекомендация почитать книжку оказывается наиболее актуальной.

But why?!?

It is not a bug, it is by design.

S3 — очень старый сервис, некоторые даже думают, первый (в реальности первый SQS). Когда его придумывали, не было проблемы с приватностью (этого добра всегда есть и будет в on-premise варианте), была обратная проблема — сделать публичным. По дизайну сервис S3 и, главное, S3 API — публичные. Это нужно зафиксировать.

Все объекты в бакете можно сделать публичными с помощью S3 ACL. Да, именно того, что лишь год назад был по дефолту выключен.

Концепция VPC , а после и понятие "приватные бакеты", появились существенно позже, в 2011-м году. То есть важно отметить, это больше "маркетинговое" название, ибо by design сами бакеты публичные или могут таким стать, а также уникальные (всегда можно определить наличие такого, просто попытавшись создать и получив ошибку, что имя "занято").

Короче, невозможно полностью и бесплатно защититься от Denial-of-Wallet attacks по определению.

И что, реально так всё плохо?

Нет. Стоит помнить — проблема была всегда. У AWS есть способы её детекта и разрешения, в том числе с помощью техподдержки. Случайно сгенерировать существенный биллинг непросто, т.к. это должны быть не миллионы. а миллиарды запросов. Плюс, конечно же, у вас обязательно должен быть настроен алерт на бюджет. :)

А как у других?

В Google:

Generally, you are not charged for operations that return 307, 4xx, or 5xx responses. The exception is 404 responses returned by buckets with Website Configuration enabled and the NotFoundPage property set to a public object in that bucket.

Итого, AWS есть, что улучшать. И публичное обсуждение старой архитектурной проблемы — отличный стимул.

#S3