Очень полезный маленький гайд по очередям. Прочитайте, чтобы не изобретать свои https://sudhir.io/the-big-little-guide-to-message-queues/

A Medium post with some benchmarks of gp2 vs gp3 AWS volumes

Putting it into the author's words: "There is no such thing as free lunch". You have cosider tradeoffs. When you're getting cheaper disks, you may see lower performance. This is not a critical issue, this is something you have to always keep in mind.

#aws

How GitOps Improves the Security of Your Development Pipelines

Наткнулся на свежую статью, приводящую примеры того, как методология GitOps может улучшить безопасность вашей среды. К основным примерам относятся аудит и ограничение доступа CI/CD системы. Про проблемы классического подхода DevOps и решения GitOps также можно прочитать в статьях:

- How secure is your CICD pipeline?
- How GitOps Raises the Stakes for Application Security

Однако, как и везде, есть подводные камни. Хорошая статья на тему рисков, связанных с GitOps:

- Securing GitOps Pipeline

В основном здесь все сводится к угрозам системы контроля версий, но не стоит также забывать про RBAC. Ведь, несмотря на широкое ограничение доступа согласно методологии, оператор GitOps все еще может стать отправной точкой для злоумышленника. Еще одна проблема - сильная зависимость от кода и уход от подходов, связанных с контролем Run-time через тот же OPA. Как показывает практика, статические анализаторы далеко не всегда хороши в определении полной картины проблем, связанных с ИБ.

Пока комьюнити ищет золотую середину в подходах, предлагаю вам также прочитать следующий материал:

- GitOps Security with k8s-security-configwatch by Sysdig
- Access Control & Security (GitOps and Kubernetes Book) (у кого есть полная версия книги, буду рад почитать)

Кстати, если вы не знакомы с методологией, то мне нравится перевод от Flant.

#ops #k8s

Move over, Bashsible. Bashernets is the next in line!

#kubernetes #bash

A list of blogs about Go programming language rated by writing quality, technical depth, and usefulness.

Also, here on Reddit people are suggesting even more online resources.

#go #programming

A basic introduction into strategic planning and Wardley mapping by Simon Wardley himself:

- Read on Twitter
- Read on UnrollApp

#culture

My former collegue created a tool to set arbitrary tags for AWS EBS volumes, which are created by Kubernetes Persistent Volume Claims

#aws #kubernetes

​​​​​​​​​​HUG Kyiv #11: Terraform is comming!

Program:
- Nicolai Antiferov will tell about
Non-obvious things with a lock file in Terraform 0.14
- And Anton Babenko with 5+ Ways to Know the Cost of AWS Infrastructure Using Terraform.

Will be 26th Jan, 19:00 (Kyiv TZ) in Zoom and YouTube
Link accessible after registration

#event

​​Some feedback on an upgrade to Terraform 0.14 by Patrick Picard.

Apart from provider configuration, this article focuses on the new sensitive output feature and some possible issues with it.

#terraform #hashicorp

​​I've been looking forward to reading "It Doesn't Have to Be Crazy at Work for a while now. And today it's discounted on Amazon US for only $2.99!

#books

​​Two day ago was HUG Kyiv #11, and here is record and slides (links in denoscription)

Enjoy!

#slides

MS Excel now is Turing complete

It means that it's time to return MS Excel to your resume and write next pet project on really popular language :)

#programming

Разбор падения Slack от 4 января:

https://slack.engineering/slacks-outage-on-january-4th-2021/

Весьма полезное чтиво – хронология, детали, выводы. Кроме ставшего классическим /proc/sys/fs/file-max, есть и специфичные амазоновские причины.

Масштабирование AWS Transit GateWay (TGW)

TGW менеджится Амазоном, потому повлиять на него мы не можем. В то время, как часть проблем у Slack возникла из-за того, что резко возросший трафик через их корневой TGW, через который завязаны их окружения, давал ошибки, не успевая масштабироваться, добавляя проблем во время падения Slack. Амазоновцы вручную боролись с этой ситуацией:

However, our TGWs did not scale fast enough. During the incident, AWS engineers were alerted to our packet drops by their own internal monitoring, and increased our TGW capacity manually.

Чтобы такого избежать, нужно "прогревать" TGW, аналогично тому, как такое предусмотрено для ELB:

https://aws.amazon.com/articles/best-practices-in-evaluating-elastic-load-balancing/#pre-warming

Shared VPC vs different VPCs

Другой момент – отрицательные стороны от использования отдельных VPC. Если бы у Slack использовалась Shared VPC – и для окружения, и для мониторинга, то трафик бы не упёрся бы в узкое горлышко TGW (его скорости масштабирования), через который и соединяются отдельные VPC.

#TGW #Shared_VPC #design

​​A bit of original content for you today.

I’ve wrote an article about my brief experiments with Crossplane.

This is a toolset, which allows you to manage infrastructure as Kubernetes objects.

I promised to write it up last year, but got a chance to actually publish it just now.

Hope you enjoy the reading!

#kubernetes #iac

HCP Consul, a fully managed service mesh, is now generally available on AWS.

It means that you can create a Consul cluster with HashiCorp Cloud Platform, which will run in your AWS cloud environment.

Prices are currently available for Development clusters and start at $0.027/hour. New users will get a free month offering.

#hashicorp #aws

Interesting thread about Nginx Service Mesh by Daniele Polencic

So yeah, Nginx had a service mesh too!

- Read on Threadapp
- Read on Twitter

I'm not sure, if anybody gonna use it for real, though

#kubernetes #nginx #networking

​​A list of awesome Prometheus alerts, divided by the nature. I.e. there are alerts for data bases, proxies and load balancers, storage, etc.

You can just copy-paste these into your monitoring code. Just keep in mind that the thresholds may be different for your particular case!

#observability #monitoring #prometheus

Если кто не знал, то завтра стартует конференция Fosdem`21.
Держите ссылку, смотрите расписание
http://amp.gs/5PTs

​​iamlive - a tool, which generates a basic IAM policy from AWS client-side monitoring (CSM)

iamlive can generate policies based on aws cli commands that you execute. Also, you can configure it to only append required policies for the failed calls. There is a quick GIF demo in the README

Should be useful for everybody who works with AWS

#aws #iam

And we continue with the tools list.

hcltomd is a tool, which as you may guess, converts Terraform variables from HCL into a Markdown table, which you can put into your documentation or a README file.

It would be useful if you're creating Terraform modules for external customers as well asif the people ouside your team are using your modules.

#terraform #hcl #hashicorp #docs