Всем привет .
Мы зарелизили 0.10.1 версию Opensource Platform for learning kubernetes and aws eks

Добавлены:
- Cka lab 3. Nginx ingress. Routing by header .
- Cka lab 3 solution
- Video for Cka lab 3 solution
- Cka lab 4. Nginx ingress. Routing 30% of requests to new version of app
- Cka lab 4 solution
- Video for Cka lab 4 solution

на данный момент подготовлены mock экзамены cka (mock1 mock2 ) , cks(mock1 ) , ckad (mock1 mock2 )

Для запуска платформы нужен личный акаунт AWS.
Все рессурсы создаются с terraform + terragrunt
по умолчанию используются ec2 spot и t4g.medium (graviton )
пример запуска


выпуск на devops kitchen talks , где обсуждали как готовиться к экзаменам CKA, CKS, CKAD в 2024 году

github платформы

канал с решениями мок экзаменов и лабораторных работ.

​​CodeBuild + GitHub Actions self-hosted runners 🎉

https://docs.aws.amazon.com/codebuild/latest/userguide/action-runner.html

CodeBuild's integration with GitHub Actions webhooks offers all compute platforms, including Lambda, GPU-enhanced and Arm-based instances.

#CodeBuild #GitHub_Actions

Terraform by IBM — Done.

https://www.hashicorp.com/blog/hashicorp-joins-ibm

#terraform

​​Качественная статья о положении дел HashiCorp.

https://medium.com/@fintanr/on-ibm-acquiring-hashicorp-c9c73a40d20c

Вот, что может случиться, когда в ведущем продукте меняется open source лицензия. От даты изменения типа лицензии до продажи компании прошло 9 месяцев.

#Terraform

Правильно понял, что спамерам дали простую возможность с помощью банального скрипта отправлять запросы каждый раз с нового айпишника?

https://aws.amazon.com/about-aws/whats-new/2024/04/removing-adding-auto-assigned-public-ipv4-address/

Well, now IBM owns both Terraform and Ansible, and definitely now it's time to combine these both to one new great IaC product - TERRIBLE™ !

Ещё один продукт от IBM теперь на GitHub под лицензией MIT и совершенно бесплатно.

https://github.com/microsoft/MS-DOS

​​AWS Monitoring with EventBridge

https://cloudonaut.io/aws-monitoring-with-eventbridge/

Monitoring:

▪️ AWS account root user login
▪️ AWS Health announcements
▪️ EC2 Auto Scaling
▪️ EBS Snapshots
▪️ SSM Automation
▪️ ECS Tasks
▪️ ECR Image Scan
▪️ ACM
▪️ AWS Backup
▪️ Elastic Beanstalk

#EvenBridge #monitoring

​​First release from Valkey (open source Redis) - version 7.2.5

https://valkey.io

❌ Redis is no longer licensed as Open Source.
🤝 Valkey is supported by major cloud giants including AWS, Google, Oracle.

#redis #valkey

It is not a bug, it is by design.

https://medium.com/@maciej.pocwierz/how-an-empty-s3-bucket-can-make-your-aws-bill-explode-934a383cb8b1

Краткое изложение — автор статьи в результате экспериментов получил счёт на 1000+ долларов за пустой (!) приватный (!) S3 бакет.

Прочитав документацию, он обнаружил, что всё верно, так может быть. Мало того, техподдержка подтвердила: да, это предполагаемое поведение — владелец бакета платит за обращения к нему, включая те, что дают ошибку аутентификации. То есть в том числе от анонимных пользователей (читай "через интернет").

И это только сейчас заметили?!?

Нет, на моей памяти раз в несколько лет эта тема поднимается. Например, вот свежее обсуждение на Reddit (2024):

https://www.reddit.com/r/aws/comments/1cg7ce8/how_an_empty_private_s3_bucket_can_make_your_bill/

А вот она же трёхлетней давности (2021):

https://www.reddit.com/r/aws/comments/mwpuys/exploitable_hole_in_s3_requester_pays_bucket_to/

Вот обобщение в виде Denial-of-Wallet attacks (2020):

https://portswigger.net/daily-swig/denial-of-wallet-attacks-how-to-protect-against-costly-exploits-targeting-serverless-setups

S3 Requester Pays

Кто сдавал на сертификацию :) знают про существование такого режима и даже предполагают, что его недавно сделали как раз для борьбы с подобными проблемами.

Нет, это древняя фича (2008):

https://aws.amazon.com/blogs/aws/bits-for-sale-amazon-s3-requester-payment-model/

Но главное, она не защитит от подобной проблемы, так как:

Bucket owner is charged for the request under the following conditions:
• Request authentication fails (HTTP code 403).
• The request is anonymous (HTTP code 403).

Как же защититься от этого?!?

Ответ читайте в нашей популярной книжке "Никак".
◾ Можно генерировать длинные имена S3 бакетов из случайных символов (бесплатно)
◾ Использовать AWS Shield Advanced (3k$/month)
◾ Написать <что угодно> в S3 bucket policy — не поможет (см. Request authentication fails)
◾ Разрешить доступ только из своей VPC (см. предыдущий пункт)
◾ Добавить в Readme "Я тебя найду по айпи!!" (недорого)

В общем, рекомендация почитать книжку оказывается наиболее актуальной.

But why?!?

It is not a bug, it is by design.

S3 — очень старый сервис, некоторые даже думают, первый (в реальности первый SQS). Когда его придумывали, не было проблемы с приватностью (этого добра всегда есть и будет в on-premise варианте), была обратная проблема — сделать публичным. По дизайну сервис S3 и, главное, S3 API — публичные. Это нужно зафиксировать.

Все объекты в бакете можно сделать публичными с помощью S3 ACL. Да, именно того, что лишь год назад был по дефолту выключен.

Концепция VPC , а после и понятие "приватные бакеты", появились существенно позже, в 2011-м году. То есть важно отметить, это больше "маркетинговое" название, ибо by design сами бакеты публичные или могут таким стать, а также уникальные (всегда можно определить наличие такого, просто попытавшись создать и получив ошибку, что имя "занято").

Короче, невозможно полностью и бесплатно защититься от Denial-of-Wallet attacks по определению.

И что, реально так всё плохо?

Нет. Стоит помнить — проблема была всегда. У AWS есть способы её детекта и разрешения, в том числе с помощью техподдержки. Случайно сгенерировать существенный биллинг непросто, т.к. это должны быть не миллионы. а миллиарды запросов. Плюс, конечно же, у вас обязательно должен быть настроен алерт на бюджет. :)

А как у других?

В Google:

Generally, you are not charged for operations that return 307, 4xx, or 5xx responses. The exception is 404 responses returned by buckets with Website Configuration enabled and the NotFoundPage property set to a public object in that bucket.

Итого, AWS есть, что улучшать. И публичное обсуждение старой архитектурной проблемы — отличный стимул.

#S3

​​Amazon Q Developer

https://aws.amazon.com/blogs/aws/amazon-q-developer-now-generally-available-includes-new-capabilities-to-reimagine-developer-experience/

Если вы игнорировали Q до этого момента, то теперь он реально полезен для рутинных дел, потому что подтягивает все ресурсы аккаунта (видимо из AWS Config и даже, если он не включён? 😀).

Например, можно посмотреть, где стопнутые инстансы во всём аккаунте по регионам (см. картинку).

Мало того, для неграмотных тех, кому лень читать AWC CLI документацию, теперь Q напишет нужную команду по запросу... Хм, все мои попытки со своей командой провалились, значит придётся поверить на слово (потом допилят, альфа версия, все дела) - см. в статье.

В общем, польза есть, пользуемся.

#Q

Добавлено в следующий спринт.

https://twitter.com/jeffbarr/status/1785386554372042890

​​Amazon CodeWhisper is now Amazon Q Developer

✅ All of the functionality that CodeWhisperer provides is part of Amazon Q Developer.

https://aws.amazon.com/q/developer/

⏳ The old CodeWhisperer website will remain live until mid May.

https://aws.amazon.com/codewhisperer/

#CodeWhisperer #Qdev

Всех, кто трудится — с Днём Труда!

💰 How AWS contributes to Amazon's profits

⚡️ Dropbox has been hacked - change your password and revoke your tokens.

📅 Date of Breach: April 24, 2024

What’s At Risk?

◘Emails & Usernames
◘Phone Numbers
◘Hashed Passwords
◘API Keys
◘OAuth Tokens
◘Multi-Factor Authentication Details

https://www.sec.gov/Archives/edgar/data/1467623/000146762324000024/dbx-20240429.htm

Immediate actions recommended:

1️⃣ Change your password NOW
2️⃣ Revoke and renew API keys and OAuth tokens
3️⃣ Review and strengthen MFA settings