kubectl describe

Хотілось би почути голос спільноти, і зрозуміти, чи є сенс зараз у технічному контенті.

З однієї сторони, ми продовжуємо жити, працювати, і донатити на перемогу. З іншої сторони, у багатьох можуть бути інші, важливіші справи.

Дайте мені знати, що ви про це думаєте.

AWS Multi-account Strategy

Абсолютно очевидним є тренд на декомпозицію одного величезного аккаунту з мільйоном сервісів на маленькі, і гранулярні AWS Accounts. Спершу звучить дико, але абсолютно точно має свій сенс.

Сенс рекомендації: працювати в одному аккаунті - це зло, навіть якщо у вас достатньо сегментації на рівні VPC, або EKS кластерів під енв - це аж ніяк не може бути безпечно, і, певною мірою, досить юзабельно.

Стратегічний вектор: account per app per env 😳

Хайлевельно, виходить ось така кухня:
1. Рекомендовано юзати примітив Organizations, всередині якого нарізати аккаунти
2. Нарізати аккаунти запропоновано через Control Tower

Бенефіти:
- повна сегментація аккаунтів (dev трафік ніяк не пролізе в prod, якщо звичайно не накрутити додаткових Transit Gateway, VPCe, etc)
- більш гнучкий рівень контролю доступів (видаємо команді, яка розробляє сервіс доступ в аккаунти з їх респонсібіліті)
- біллінг рахувати набагато простіше (дуже легко відповісти на питання, скільки грошей коштувала апка)
- security by design

Мінуси:
- доведеться платити декілька разів за ті ж кластери, VPC, Internet/NAT gateway - їх кількість кратно збільшиться
- складність менеджменту цією кухнею кратно зростає (збільшується складність --> складніші тули і підходи —> ріст зарплати 💸 —> більший донат на оборону України)

Цікаво, що цей підхід Amazon рекомендує всім корпоративним юзерам AWS, і дуже активно використовує сам. Чим ближче ви до MANGA компаній, тим більш корисним вам буде такий досвід.

Тепер посилання для продовження занурення в концепцію:

📄 Whitepaper:
https://docs.aws.amazon.com/pdfs/prescriptive-guidance/latest/transitioning-to-multiple-aws-accounts/transitioning-to-multiple-aws-accounts.pdf

📄 Мікро-дока:
https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/design-principles-for-your-multi-account-strategy.html

📄 AWS Control Tower Account Factory for Terraform:
https://github.com/aws-ia/terraform-aws-control_tower_account_factory

Як в GCP - не в курсі, колись давно бачив сегментацію на рівні Projects. Хто шарить як там в GCP - поділіться, пліз, в коментарях.

DOU

Пам’ятаю ще ті часи, коли в розділі “Зарплати” та “Робота” не було окремо DevOps, і доводилось орієнтуватись на SysAdmin. Але навіть це вже було досить потужно. Далі з’явився чудовий Djinni, де можна було тестувати потенційну стелю компенсацій, і знаходити найсмачніші вакансії нехитрими методами 🙂

На сьогодні DOU проводить величезні збори, донатить самостійно грандіозні суми, випускає статті про IT спеціалістів, які зі зброєю в руках захищають Україну.

Також DOU робить акцент на створенні спільнот і розвитку спеціальностей (технічні стріми, статті, дайджести - один з стрімів ми проводили разом на початку 2021 року), досить давно працює окремий розділ для QA, і тиждень назад зробили окремий розділ для DevOps спеціалістів:

@devops_dou 🎯

1) Підпишіться на @devops_dou - тому що це справжні друзі нашого ІТ, десь як Джонсонюк, може навіть і більше

2) Зверніть увагу, 8 лютого Uklon проводить онлайн-мітап (Istio, ArgoCD, SLO) - реєструйтесь, підтримаємо перший івент:
https://dou.ua/calendar/45982/

Також, якщо у вас є бажання допомогти в розвитку DevOps розділу на DOU - напишіть @dzzzvinka

Тихого і продуктивного робочого тижня всім нам 🤝

Whole Yandex Git repository leaked

Прикол, в яндексі досить потужно лікнув сорс код - 44.7 GB з купою репозиторіїв.

Комент секопсів цієї чудо-компанії:

… служба безопасности обнаружила в открытом доступе фрагменты кода из внутреннего репозитория. Но их содержимое отличается от текущей версии репозитория в сервисах «Яндекса». 🤡

… Репозитории нужны для работы с кодом и не предназначены для хранения персональных данных пользователей._ 🤡


Такий булшіт, ніби ніхто не знає, як працює git, і версія сорс коду після останнього коміту буде відрізнятись.

Відкрите питання - судячи з вектору шарених даних і їх вигляду, це скоріше за все, злив зсередини. Далі - більше, реверсінжинірінгом займатись набагато простіше, коли ти бачиш, як сервіс працює з середини 🙂

Для нас - декілька ауткамів:
1) Приберіть всі секрети з репо, якщо ще не зробили цього (Vault, AWS Secret Manager, etc)
2) Приберіть всі ідентифікатори баз, стореджів, ендпоінти кластерів, і доступ з паблік інтернету до них
3) Зробіть алерт на трафік git стореджу, щоб ви могли помітити, коли хтось робить git clone 44 gb з self-hosted Gitlab лол 🙂

https://news.ycombinator.com/item?id=34525936

Мітапи будуть!

Декілька новин перед вихідними:

1️⃣ Зверніть увагу на стрім мітапу:

https://www.youtube.com/live/bd7ofOND6ZQ?feature=share&t=680

Отримав такий фідбек про мітап On-air with Uklon: DevOps Edition: рекомендую глянути, непоганий практичний приклад як використовувати Istio для failure retry/recovery та як його використовувати для canary деплой в Argo, в тому числі з автоматичним роллбеком в разі погіршення метрик

Дякуємо Костянтину Томаху, Глібу Смолякову, та Олександру Чумаку. Не забуваємо про VP of Engineering, який так недавно з'явився в цій компанії 🙂

Окремо підкреслюю потужну, цікаву технічну складову, та українську мову 🇺🇦

2️⃣ Також чекаємо 15 лютого о 18:00 (дуже скоро) AWS re:Invent re:Cap з такою аджендою:
🔸 овервʼю найголовнішого з AWS re:Invent від Ігоря Іванюка, Sr. Solutions Architect в AWS;
🔸 панельна дискусія з AWS та N-iX:

Реєстрація на AWS re:Invent re:Cap за посиланням:
https://bit.ly/3X0nNQK

AWS re:Invent re:Cap буде збирати в БФ “Клуб Добродіїв”, для 2000 дітей на прифронтових територіях.

3️⃣ Наступного тижня буде DevOps дайджест на DOU (fingers crossed), опублікуємо на @devops_dou

DevOps Days Kyiv 2023: підкиньте ідей і спікерів

Всім вітання, пройшла перша сесія грумінгу майбутньої конференції, і виникло питання - кого реально було б цікаво послухати зараз? 

Декілька ідей: 
- Юра Рочняк згадав про інтерв'ю на DOU з досвідом екстреної міграції інфри ПриватБанку в клауд
- Була ідея знайти когось, хто допомагав (Microsoft?) захищатись від рашан-пенетрейшн і DDOS 
- Локальні бізнеси і їх проблеми у зв’язку з війною (Нова Пошта, АТБ, Uklon)

Дайте пліз зворотний зв'язок, кого, на вашу думку, було б цікаво послухати й нашим інженерам, і інженерам з UK/US (вони ж теж будуть донатити). 

Коротше, накидайте пліз ідей, кого б ви хотіли бачити, або десь бачили вже щось цікаве, наш унікальний досвід, який можна було б розшарити worldwide і нормально залучити зовнішньої фінансової допомоги. Цікавий досвід - більше донатів від міжнародного комьюніті. 

Все буде Україна!

До вашої уваги — те, заради чого ми всі тут зібралися! (жартуємо, або ні 😅)

Оновлений DevOps-дайджест повертається!

Над матеріалами працювала крута команда: Олексій Асютін, Влад Волошин, Олег Миколайченко, Дмитро Горбунов, Андрій Білоус. Хлопці відібрали найцікавіші матеріали, на які варто звернути увагу, тож гайда читати!

Terraform vs AWS CDK

Поки в нас летять кинджали і крилаті ракети разом з шахідами, ми продовжуємо працювати і знайшли прикольну штуку.

Зацініть, наскільки вона прикольна (опера в 3 діях):
1️⃣ Amazon просуває свій сервіс для роботи з git репозиторіями - AWS CodeCommit
2️⃣ Amazon просуває свій тулсет для IaC (AWS CDK —> CloudFormation)
3️⃣ AWS CDK не підтримує необхідних ресурсів для конфігурації AWS CodeCommit

А що ж Terraform? Підтримує.

Тобто, Amazon в своїй екосистемі не підтримує сумісність, а third-party (для них так виглядає Terraform) - підтримує.

Чи є у вас ще питання доцільності використання AWS CDK? 😂

Пруфи:
🔸Фіча AWS CodeCommit: https://docs.aws.amazon.com/codecommit/latest/userguide/approval-rule-templates.html (Approval Rule Templates - кому ж треба ці CODEOWNERS, фігня якась)
🔸Ресурс в Terraform: https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/codecommit_approval_rule_template
🔸Відкритий фіче-ріквест в AWS CDK: https://github.com/aws/aws-cdk/issues/18254

Це ще одне додаткове підтвердження, чому Terraform - стандарт ринку, Gitlab - стандарт ринку, і вам не треба змінювати ці рішення, щоб не наступати на неочевидні проблеми.

Якщо ви знаєте ще такі приклади, накиньте пліз в коментах (або зворотні приклади).

Працюємо далі!

4 ударні багаторазові FPV дрони з тепловізором

Шановне DevOps панство, прохання сьогодні підтримати підрозділ пілотів 45-го ОСБ з такими характеристиками:

- дальність 8км
- 3кг корисного навантаження
- низький шум
- Dual-HD + тепловізійний приціл

Приклади роботи (відео, фото) в пості:
https://t.iss.one/full_of_hatred/797

Збором займається Вова Рожков та Віталій Ратушний (інженери давно в темі, займаються цим серйозно) - модифікують дрони з ринку, підвищуючи їх ефективність і характеристики. Дрони повертаються на базу, тож реюзабельність присутня 🙂

Задумка в чому: всі чекають контрнаступ, тож давайте допоможемо, і підвищимо шанси на успіх 🇺🇦

Банка:
https://send.monobank.ua/jar/2FVDAiJvat

Снепшот поточного стану:
Accumulated - 76 553.91, Goal - 242 800

Приклад як завжди в коментах. Всім тихого робочого дня!