Всем привет .

🔥 Выпущена версия 0.16.1 платформы для изучения SRE! 🔥
GitHub

📌 Что нового:

Лабораторная работа CKS 26: Установка Cilium с WireGuard
Решение для CKS 26 .
Видео-решение для CKS 26

Лабораторная работа CKA 08 обновлена до версии Kubernetes 1.31


Обновлён образ ping_pong

Тест CKAD Mock 02 обновлён. Добавлен вопрос 21
Решения для теста CKAD Mock 02 вопрос 21

Тест CKAD Mock 02: обновлён вопрос 02
Решение для вопроса 02 теста CKAD Mock 02

🧪 Доступные пробные экзамены:
CKA
CKAD
CKS
LFCS

Скрипты и видео с решениями экзаменов:

🎥 Трансляции на канале DKT:
Обсуждение подготовки и сдачи экзаменов CKA, CKS, CKAD:


Первый эпизод подготовки к экзамену CKAD

Постквантовая криптография наступает/-ила

Тема PQC (Post-Quantum Cryptography) сильно продвинулась в 2024-м году. Во-первых, 2024-м году NIST утвердил три главных алгоритма, с которыми предстоить жить, внедрять, переходить в будущем. Сложные названия переименовали для простоты.

◽ ML-KEM (Module-Lattice Key-Encapsulation Mechanism) — бывший CRYSTALS-Kyber

◽ ML-DSA (Module-Lattice Digital Signature) — бывший CRYSTALS-Dilithium

◽ SLH-DSA (Stateless Hash Digital Signature) — бывший Sphincs+

Во время re:Invent 2024 вышел достаточно объёмный план перехода AWS на PQC по всем фронтам:

https://aws.amazon.com/blogs/security/aws-post-quantum-cryptography-migration-plan/

Кто впервые слышит про PQC, то кратко — с прогрессом в области квантовых вычислений можно будет взламывать подавляющее большинство привычных методов шифрования на ура. Некоторые утверждают, что это свершившийся факт ещё пару лет назад.

Для простоты, если вы используете как бы безопасный сейчас TLS 1.2, то в недалёком будущем любой дурак из спецслужб с квантовым компьютером, имеющим достаточное количество кубит, сделает это на лету. И даже если это будет через десяток лет (и даже не один), то проблема в том, что уже сейчас можно записать, чтобы после расшифровать.

Поэтому так форсируется переход на алгоритмы, которые не получится взломать даже с помощью самых суровых квантовых компьютеров.

Интересно, что некоторые (безопасники Австралии) бегут впереди PQC-паровоза и уже сейчас предупреждают, что самые ходовые алгоритмы шифрования будут запрещены к использованию после 2030-го года:

🔹 AES-128 и AES-192
🔸 RSA — все
🔹 SHA-224 и SHA-256
🔸 HMAC-SHA256
🔹 DH и ECDH — все
🔸 ECDSA — все

Такие же планы есть у NIST, лишь на пяток лет позже. Уверен, что AWS внедрит это ещё раньше. Поэтому стоит держать в голове уже сейчас, выбирая себе допустимые алгоритмы шифрования, ежели у вас серьёзный по этой части проект.

Интересно отметить, что Google Chrome начиная с 131-й версии (которая должна быть у вас на момент написания поста) поддерживает ML-KEM.

Полезные ссылки:

https://aws.amazon.com/security/post-quantum-cryptography/

https://csrc.nist.gov/news/2024/postquantum-cryptography-fips-approved

#PQC #security

Всем привет!

В этот четверг, 19 декабря, пройдет стрим на тему AWS Re:Invent 2024 Quick Recap.

Sergey Kirgizov и Said Akhmed Agitaev ездили в Лас-Вегас, чтобы лично посетить конференцию. На стриме они поделятся своим опытом, впечатлениями, а также кратко расскажут об основных темах конференции.

📺 Встреча начнется в 14:00 CET (GMT+1) на YouTube-канале:
https://www.youtube.com/watch?v=YgQIFAxrrR4

А саму встречу будет вести Saidazizkhon Akbarov.

Не забудьте нажать на колокольчик, чтобы не пропустить начало! 🔔
Ждем вас и ваши комментарии!

☁️ RS AWS Club ☁️

Продолжаем серию практических встреч c Anton Kovalenko (Senior Solutions Architect, AWS Munich).

В эту пятницу, 20 декабря, нас ждет продолжение рефакторинга приложения с помощью Amazon Q Developer, а именно написание юнит тестов.

📺 Встреча пройдет в 15:00 CET (GMT+1) на YouTube канале:
https://www.youtube.com/watch?v=OE8Vz_1GB7U

Жмите колокольчик, чтобы не пропустить начало! 🔔

ARM & Graviton vs x86 & Intel/AMD

Есть важное отличие у ARM процессоров (Graviton) и x86 (Intel/AMD). У ARM процессоров нет Hyper-threading, то есть разбиения одного физического CPU на два логических, видимых для системы как обычные CPU.

Сделано это для того, чтобы загрузить процессор, пока он простаивает. А он действительно большую часть простаивает, т.к. операции загрузки из памяти (при промахе из кэша или ошибки предсказания переходов) занимают бесконечно много тактов по сравнению с непосредственно выполнением.

Разбиение на логические процессоры сделано на железном уровне и крайне эффективно, практически как надёжность S3 бакета. С одним важным НО — до 50% нагрузки. Потому что, если два логических шарятся на один физический, то оба логических можно загрузить лишь 50%+50% в одно и то же время.

Для облаков это имеет эффектом, что если у вас виртуалка на Intel или AMD, то при повышении постоянной нагрузки выше 50%, тормоза могут проявляться скачкообразно, а не линейно, как вы планируете.

На картинке пример от серверного процессора на ARM при кодировании видео для 192 физических процессоров AmpereOne и 192 логических x86 (не нашёл, Intel или AMD). Видно, что после 50% логические больше дать не могут, что логично. 😀

В то время, как ARM график продолжает расти. Что тоже логично — ведь больше реальных процессоров то в два раза больше.

Замечу, что подобный эффект проявляется на специфичных нагрузках, когда требуется максимальный compute. Однако при прочих равных лучше сразу ориентироваться на Graviton — и дешевле (либо эффективней для более новых моделей), и более предсказуемой, и быстрей.

P.S. Graviton 4 рвёт AmpereOne как тузик грелку.

#Graviton

Custom Billing Views

В дополнение к возможности выставлять инвойс отдельно на какой-то "кусочек" AWS Organizations, теперь можно давать доступ к группе аккаунтов для отдельных команд (или клиентов), владеющих несколькими AWS аккаунтами:

https://aws.amazon.com/blogs/aws-cloud-financial-management/introducing-custom-billing-views-tailored-cost-and-usage-view-relevant-for-your-stakeholders/

То есть, если у вас есть Dev-Test-Stage-Prod аккаунты (а если нет — читайте multi-account best practices), вы теперь можете дать определённому аккаунту доступ к биллингу на эти четыре аккаунта и видеть это в одном месте, а не бегать по каждому аккаунту.

Другая крутая фича, что позволяет custom billing views, это возможность дать какому-то аккаунту доступ чисто к биллингу. Стандартная ситуация — просят помочь разобраться с биллингом, чтобы порезать косты, но сделать это просто так не получается, т.к. для этого приходилось давать доступ в главный Management аккаунт со всеми вытекающими.

Теперь же можно выдать отдельный пустой аккаунт, где не будет ничего, кроме доступа к биллингу всей (или части) организации. Так и безопасники довольны, и косты можно посоветовать, как порезать.

P.S. А порезать можно примерно всегда. Проверено на живых людях. Причём процесс оптимизации даже может быть бесплатным, когда клиент платит % от сэкономленного.

#billing #cost_optimization

Deep dive on Amazon S3

https://www.youtube.com/watch?v=NXehLy7IiPM

S3:

🔸400 trillion objects amounting to exabytes of data
🔹150 million requests per second daily
🔸200 billion event notifications
🔹1 petabyte per second of traffic worldwide at peak

🔸tens of millions of hard drives, 20 terabytes each
🔹storage rack is about 1000 disks, 20 petabytes each

#S3 #video

AWS Notes итоги 2024 — 1.1 миллион просмотров!

Free course for learning OpenTofu:

https://training.linuxfoundation.org/express-learning/getting-started-with-opentofu-lfel1009/

#OpenTofu

Try again — the tools and techniques behind resilient systems

https://www.youtube.com/watch?v=rvHd4Y76-fs

You learn the most from your worst days.

Don't make availability worse trying to make it better.

There's any good reason not to Jitter if you're gonna do retries.

Avoid binary on/off circuit breakers — they can make system problems worse.

Don't kick your services when they're down — systems under stress need help, not more load.

Instead of sleeping for N seconds, sleep for a random number between zero and two N seconds.

Retries are like telling your overworked boss you need time off, and they give you 4x more work instead.

#design #video