Всем привет .
Мы зарелизили 0.10.1 версию Opensource Platform for learning kubernetes and aws eks
Добавлены:
- Cka lab 3. Nginx ingress. Routing by header .
- Cka lab 3 solution
- Video for Cka lab 3 solution
- Cka lab 4. Nginx ingress. Routing 30% of requests to new version of app
- Cka lab 4 solution
- Video for Cka lab 4 solution
на данный момент подготовлены mock экзамены cka (mock1 mock2 ) , cks(mock1 ) , ckad (mock1 mock2 )
Для запуска платформы нужен личный акаунт AWS.
Все рессурсы создаются с terraform + terragrunt
по умолчанию используются ec2 spot и t4g.medium (graviton )
пример запуска
выпуск на devops kitchen talks , где обсуждали как готовиться к экзаменам CKA, CKS, CKAD в 2024 году
github платформы
канал с решениями мок экзаменов и лабораторных работ.
Мы зарелизили 0.10.1 версию Opensource Platform for learning kubernetes and aws eks
Добавлены:
- Cka lab 3. Nginx ingress. Routing by header .
- Cka lab 3 solution
- Video for Cka lab 3 solution
- Cka lab 4. Nginx ingress. Routing 30% of requests to new version of app
- Cka lab 4 solution
- Video for Cka lab 4 solution
на данный момент подготовлены mock экзамены cka (mock1 mock2 ) , cks(mock1 ) , ckad (mock1 mock2 )
Для запуска платформы нужен личный акаунт AWS.
Все рессурсы создаются с terraform + terragrunt
по умолчанию используются ec2 spot и t4g.medium (graviton )
пример запуска
выпуск на devops kitchen talks , где обсуждали как готовиться к экзаменам CKA, CKS, CKAD в 2024 году
github платформы
канал с решениями мок экзаменов и лабораторных работ.
GitHub
cks/tasks/cka/labs/03 at master · ViktorUJ/cks
Open-source Platform for learning kubernetes and aws eks and preparation for for Certified Kubernetes exams (CKA ,CKS , CKAD) - ViktorUJ/cks
CodeBuild + GitHub Actions self-hosted runners 🎉
https://docs.aws.amazon.com/codebuild/latest/userguide/action-runner.html
CodeBuild's integration with GitHub Actions webhooks offers all compute platforms, including Lambda, GPU-enhanced and Arm-based instances.
#CodeBuild #GitHub_Actions
https://docs.aws.amazon.com/codebuild/latest/userguide/action-runner.html
CodeBuild's integration with GitHub Actions webhooks offers all compute platforms, including Lambda, GPU-enhanced and Arm-based instances.
#CodeBuild #GitHub_Actions
Forwarded from AWS User Group Kazakhstan Announcements Channel (Nurbek Sadykov)
Напоминаем, что скоро начнется митап организованный в рамках ☁️ AWS User Group Almaty.
📍 Место: Ходжанова 2/2, MOST IT Hub Almaty, 3 этаж.
⏰ Время: 19:00
Ждем вас!
@aws_kz
📍 Место: Ходжанова 2/2, MOST IT Hub Almaty, 3 этаж.
⏰ Время: 19:00
Ждем вас!
@aws_kz
Please open Telegram to view this post
VIEW IN TELEGRAM
Качественная статья о положении дел HashiCorp.
https://medium.com/@fintanr/on-ibm-acquiring-hashicorp-c9c73a40d20c
Вот, что может случиться, когда в ведущем продукте меняется open source лицензия. От даты изменения типа лицензии до продажи компании прошло 9 месяцев.
#Terraform
https://medium.com/@fintanr/on-ibm-acquiring-hashicorp-c9c73a40d20c
Вот, что может случиться, когда в ведущем продукте меняется open source лицензия. От даты изменения типа лицензии до продажи компании прошло 9 месяцев.
#Terraform
Правильно понял, что спамерам дали простую возможность с помощью банального скрипта отправлять запросы каждый раз с нового айпишника?
https://aws.amazon.com/about-aws/whats-new/2024/04/removing-adding-auto-assigned-public-ipv4-address/
https://aws.amazon.com/about-aws/whats-new/2024/04/removing-adding-auto-assigned-public-ipv4-address/
Amazon
AWS supports dynamically removing and adding auto assigned public IPv4 address
Forwarded from Alexandr Kryuchkov
Well, now IBM owns both
Terraform
and Ansible
, and definitely now it's time to combine these both to one new great IaC product - TERRIBLE™
!Ещё один продукт от IBM теперь на GitHub под лицензией MIT и совершенно бесплатно.
https://github.com/microsoft/MS-DOS
https://github.com/microsoft/MS-DOS
GitHub
GitHub - microsoft/MS-DOS: The original sources of MS-DOS 1.25, 2.0, and 4.0 for reference purposes
The original sources of MS-DOS 1.25, 2.0, and 4.0 for reference purposes - microsoft/MS-DOS
Forwarded from AWS Weekly (Max Skutin)
▪️ AppFabric
▫️ 1Password support
▫️ SentinelOne Singularity Cloud
▪️ Bedrock
▫️ Custom Model Import
▫️ Guardrails new safety & privacy controls
▫️ Meta Llama 3
▫️ Model evaluation | GA
▫️ Titan Image Generator model | GA
▫️ Watermark detection for Titan Image Generator
▪️ Bedrock Agents
▫️ Anthropic Claude 3 Haiku and Sonnet
▫️ Return of Control
▪️ Bedrock Knowledge Bases
▫️ multiple data sources
▫️ simplifies asking questions on a single document
▪️ CloudWatch Container Insights Accelerated Compute Observability on EKS
▪️ CloudWatch RUM +5 additional regions | GA
▪️ CodeBuild managed GitHub Action runners
▪️ CodeCatalyst
▫️ task breakdown assistance for issues assigned to Amazon Q
▫️ Workflow approvals
▪️ CodePipeline stage level manual and automated rollback
▪️ DataSync supports disabling task schedules
▪️ Direct Connect 25 Gbps hosted connection capacities
▪️ DynamoDB NoSQL Workbench revamped operation builder UI
▪️ EC2 dynamically removing and adding auto assigned public IPv4 address
▪️ Flink Managed Service restore running applications to pre-update state
▪️ GameLift includes containers support | Preview
▪️ Inspector agentless vulnerability assessments for EC2 | GA
▪️ Management Console NLB in Resource Map
▪️ OpenSearch Service support for Hebrew and HanLP language analyzers
▪️ Organizations Data Lifecycle Manager default policies
▪️ QuickSight cross sheet filters and controls
▪️ RDS for Db2 Local time zone support
▪️ RDS for Oracle Kerberos authentication in additional regions
▪️ RDS Performance Insights execution plan for RDS SQL Server
▪️ Route 53 Profiles
▪️ SageMaker Clarify foundation model evaluations
▪️ Time Sync Service Microsecond-Accurate time to 87 additonal EC2 instance types
▪️ Transfer Family lists files from remote SFTP servers using SFTP connectors
▪️ WorkSpaces Web +2 new larger instance types
Please open Telegram to view this post
VIEW IN TELEGRAM
AWS Monitoring with EventBridge
https://cloudonaut.io/aws-monitoring-with-eventbridge/
Monitoring:
▪️ AWS account root user login
▪️ AWS Health announcements
▪️ EC2 Auto Scaling
▪️ EBS Snapshots
▪️ SSM Automation
▪️ ECS Tasks
▪️ ECR Image Scan
▪️ ACM
▪️ AWS Backup
▪️ Elastic Beanstalk
#EvenBridge #monitoring
https://cloudonaut.io/aws-monitoring-with-eventbridge/
Monitoring:
▪️ AWS account root user login
▪️ AWS Health announcements
▪️ EC2 Auto Scaling
▪️ EBS Snapshots
▪️ SSM Automation
▪️ ECS Tasks
▪️ ECR Image Scan
▪️ ACM
▪️ AWS Backup
▪️ Elastic Beanstalk
#EvenBridge #monitoring
First release from Valkey (open source Redis) - version 7.2.5
https://valkey.io
❌ Redis is no longer licensed as Open Source.
🤝 Valkey is supported by major cloud giants including AWS, Google, Oracle.
#redis #valkey
https://valkey.io
❌ Redis is no longer licensed as Open Source.
🤝 Valkey is supported by major cloud giants including AWS, Google, Oracle.
#redis #valkey
It is not a bug, it is by design.
https://medium.com/@maciej.pocwierz/how-an-empty-s3-bucket-can-make-your-aws-bill-explode-934a383cb8b1
Краткое изложение — автор статьи в результате экспериментов получил счёт на 1000+ долларов за пустой (!) приватный (!) S3 бакет.
Прочитав документацию, он обнаружил, что всё верно, так может быть. Мало того, техподдержка подтвердила: да, это предполагаемое поведение — владелец бакета платит за обращения к нему, включая те, что дают ошибку аутентификации. То есть в том числе от анонимных пользователей (читай "через интернет").
И это только сейчас заметили?!?
Нет, на моей памяти раз в несколько лет эта тема поднимается. Например, вот свежее обсуждение на Reddit (2024):
https://www.reddit.com/r/aws/comments/1cg7ce8/how_an_empty_private_s3_bucket_can_make_your_bill/
А вот она же трёхлетней давности (2021):
https://www.reddit.com/r/aws/comments/mwpuys/exploitable_hole_in_s3_requester_pays_bucket_to/
Вот обобщение в виде Denial-of-Wallet attacks (2020):
https://portswigger.net/daily-swig/denial-of-wallet-attacks-how-to-protect-against-costly-exploits-targeting-serverless-setups
S3 Requester Pays
Кто сдавал на сертификацию :) знают про существование такого режима и даже предполагают, что его недавно сделали как раз для борьбы с подобными проблемами.
Нет, это древняя фича (2008):
https://aws.amazon.com/blogs/aws/bits-for-sale-amazon-s3-requester-payment-model/
Но главное, она не защитит от подобной проблемы, так как:
Bucket owner is charged for the request under the following conditions:
• Request authentication fails (HTTP code 403).
• The request is anonymous (HTTP code 403).
Как же защититься от этого?!?
Ответ читайте в нашей популярной книжке "Никак".
◾ Можно генерировать длинные имена S3 бакетов из случайных символов (бесплатно)
◾ Использовать AWS Shield Advanced (3k$/month)
◾ Написать
◾ Разрешить доступ только из своей VPC (см. предыдущий пункт)
◾ Добавить в Readme "Я тебя найду по айпи!!" (недорого)
В общем, рекомендация почитать книжку оказывается наиболее актуальной.
But why?!?
S3 — очень старый сервис, некоторые даже думают, первый (в реальности первый SQS). Когда его придумывали, не было проблемы с приватностью (этого добра всегда есть и будет в on-premise варианте), была обратная проблема — сделать публичным. По дизайну сервис S3 и, главное, S3 API — публичные. Это нужно зафиксировать.
Все объекты в бакете можно сделать публичными с помощью S3 ACL. Да, именно того, что лишь год назад был по дефолту выключен.
Концепция VPC , а после и понятие "приватные бакеты", появились существенно позже, в 2011-м году. То есть важно отметить, это больше "маркетинговое" название, ибо by design сами бакеты публичные или могут таким стать, а также уникальные (всегда можно определить наличие такого, просто попытавшись создать и получив ошибку, что имя "занято").
Короче, невозможно полностью и бесплатно защититься от Denial-of-Wallet attacks по определению.
И что, реально так всё плохо?
Нет. Стоит помнить — проблема была всегда. У AWS есть способы её детекта и разрешения, в том числе с помощью техподдержки. Случайно сгенерировать существенный биллинг непросто, т.к. это должны быть не миллионы. а миллиарды запросов. Плюс, конечно же, у вас обязательно должен быть настроен алерт на бюджет. :)
А как у других?
В Google:
Generally, you are not charged for operations that return 307, 4xx, or 5xx responses. The exception is 404 responses returned by buckets with Website Configuration enabled and the NotFoundPage property set to a public object in that bucket.
Итого, AWS есть, что улучшать. И публичное обсуждение старой архитектурной проблемы — отличный стимул.
#S3
https://medium.com/@maciej.pocwierz/how-an-empty-s3-bucket-can-make-your-aws-bill-explode-934a383cb8b1
Краткое изложение — автор статьи в результате экспериментов получил счёт на 1000+ долларов за пустой (!) приватный (!) S3 бакет.
Прочитав документацию, он обнаружил, что всё верно, так может быть. Мало того, техподдержка подтвердила: да, это предполагаемое поведение — владелец бакета платит за обращения к нему, включая те, что дают ошибку аутентификации. То есть в том числе от анонимных пользователей (читай "через интернет").
И это только сейчас заметили?!?
Нет, на моей памяти раз в несколько лет эта тема поднимается. Например, вот свежее обсуждение на Reddit (2024):
https://www.reddit.com/r/aws/comments/1cg7ce8/how_an_empty_private_s3_bucket_can_make_your_bill/
А вот она же трёхлетней давности (2021):
https://www.reddit.com/r/aws/comments/mwpuys/exploitable_hole_in_s3_requester_pays_bucket_to/
Вот обобщение в виде Denial-of-Wallet attacks (2020):
https://portswigger.net/daily-swig/denial-of-wallet-attacks-how-to-protect-against-costly-exploits-targeting-serverless-setups
S3 Requester Pays
Кто сдавал на сертификацию :) знают про существование такого режима и даже предполагают, что его недавно сделали как раз для борьбы с подобными проблемами.
Нет, это древняя фича (2008):
https://aws.amazon.com/blogs/aws/bits-for-sale-amazon-s3-requester-payment-model/
Но главное, она не защитит от подобной проблемы, так как:
Bucket owner is charged for the request under the following conditions:
• Request authentication fails (HTTP code 403).
• The request is anonymous (HTTP code 403).
Как же защититься от этого?!?
◾ Можно генерировать длинные имена S3 бакетов из случайных символов (бесплатно)
◾ Использовать AWS Shield Advanced (3k$/month)
◾ Написать
<что угодно>
в S3 bucket policy — не поможет (см. Request authentication fails)◾ Разрешить доступ только из своей VPC (см. предыдущий пункт)
◾ Добавить в Readme "Я тебя найду по айпи!!" (недорого)
В общем, рекомендация почитать книжку оказывается наиболее актуальной.
But why?!?
It is not a bug, it is by design.
S3 — очень старый сервис, некоторые даже думают, первый (в реальности первый SQS). Когда его придумывали, не было проблемы с приватностью (этого добра всегда есть и будет в on-premise варианте), была обратная проблема — сделать публичным. По дизайну сервис S3 и, главное, S3 API — публичные. Это нужно зафиксировать.
Все объекты в бакете можно сделать публичными с помощью S3 ACL. Да, именно того, что лишь год назад был по дефолту выключен.
Концепция VPC , а после и понятие "приватные бакеты", появились существенно позже, в 2011-м году. То есть важно отметить, это больше "маркетинговое" название, ибо by design сами бакеты публичные или могут таким стать, а также уникальные (всегда можно определить наличие такого, просто попытавшись создать и получив ошибку, что имя "занято").
Короче, невозможно полностью и бесплатно защититься от Denial-of-Wallet attacks по определению.
И что, реально так всё плохо?
Нет. Стоит помнить — проблема была всегда. У AWS есть способы её детекта и разрешения, в том числе с помощью техподдержки. Случайно сгенерировать существенный биллинг непросто, т.к. это должны быть не миллионы. а миллиарды запросов. Плюс, конечно же, у вас обязательно должен быть настроен алерт на бюджет. :)
А как у других?
В Google:
Generally, you are not charged for operations that return 307, 4xx, or 5xx responses. The exception is 404 responses returned by buckets with Website Configuration enabled and the NotFoundPage property set to a public object in that bucket.
Итого, AWS есть, что улучшать. И публичное обсуждение старой архитектурной проблемы — отличный стимул.
#S3
Medium
How an empty S3 bucket can make your AWS bill explode
Imagine you create an empty, private AWS S3 bucket in a region of your preference. What will your AWS bill be the next morning?
Amazon Q Developer
https://aws.amazon.com/blogs/aws/amazon-q-developer-now-generally-available-includes-new-capabilities-to-reimagine-developer-experience/
Если вы игнорировали Q до этого момента, то теперь он реально полезен для рутинных дел, потому что подтягивает все ресурсы аккаунта (видимо из AWS Config и даже, если он не включён? 😀).
Например, можно посмотреть, где стопнутые инстансы во всём аккаунте по регионам (см. картинку).
Мало того,для неграмотных тех, кому лень читать AWC CLI документацию, теперь Q напишет нужную команду по запросу... Хм, все мои попытки со своей командой провалились, значит придётся поверить на слово (потом допилят, альфа версия, все дела) - см. в статье.
В общем, польза есть, пользуемся.
#Q
https://aws.amazon.com/blogs/aws/amazon-q-developer-now-generally-available-includes-new-capabilities-to-reimagine-developer-experience/
Если вы игнорировали Q до этого момента, то теперь он реально полезен для рутинных дел, потому что подтягивает все ресурсы аккаунта (видимо из AWS Config и даже, если он не включён? 😀).
Например, можно посмотреть, где стопнутые инстансы во всём аккаунте по регионам (см. картинку).
Мало того,
В общем, польза есть, пользуемся.
#Q
Amazon CodeWhisper is now Amazon Q Developer
✅ All of the functionality that CodeWhisperer provides is part of Amazon Q Developer.
https://aws.amazon.com/q/developer/
⏳ The old CodeWhisperer website will remain live until mid May.
https://aws.amazon.com/codewhisperer/
#CodeWhisperer #Qdev
✅ All of the functionality that CodeWhisperer provides is part of Amazon Q Developer.
https://aws.amazon.com/q/developer/
⏳ The old CodeWhisperer website will remain live until mid May.
https://aws.amazon.com/codewhisperer/
#CodeWhisperer #Qdev
⚡️ Dropbox has been hacked - change your password and revoke your tokens.
📅 Date of Breach: April 24, 2024
What’s At Risk?
◘Emails & Usernames
◘Phone Numbers
◘Hashed Passwords
◘API Keys
◘OAuth Tokens
◘Multi-Factor Authentication Details
https://www.sec.gov/Archives/edgar/data/1467623/000146762324000024/dbx-20240429.htm
Immediate actions recommended:
1️⃣ Change your password NOW
2️⃣ Revoke and renew API keys and OAuth tokens
3️⃣ Review and strengthen MFA settings
📅 Date of Breach: April 24, 2024
What’s At Risk?
◘Emails & Usernames
◘Phone Numbers
◘Hashed Passwords
◘API Keys
◘OAuth Tokens
◘Multi-Factor Authentication Details
https://www.sec.gov/Archives/edgar/data/1467623/000146762324000024/dbx-20240429.htm
Immediate actions recommended:
1️⃣ Change your password NOW
2️⃣ Revoke and renew API keys and OAuth tokens
3️⃣ Review and strengthen MFA settings