Чек-лист по разработке облачных приложений. Часть 2 — аспекты безопасности
Станислав Тибекин, CEO компании Nixys, продолжает серию переводов статей Эяля Эстрина из AWS про особенности создания cloud-native приложений.
В первой части автор рассказывал про бизнес-требования, инфраструктуру, автоматизацию, отказоустойчивость и экологичность. Во второй речь пойдёт о безопасности. Вы узнаете об основах IAM-систем, способах защиты сети и данных, управлении патчами и реагировании на инциденты.
#DevOps #перевод #CloudNative
Станислав Тибекин, CEO компании Nixys, продолжает серию переводов статей Эяля Эстрина из AWS про особенности создания cloud-native приложений.
В первой части автор рассказывал про бизнес-требования, инфраструктуру, автоматизацию, отказоустойчивость и экологичность. Во второй речь пойдёт о безопасности. Вы узнаете об основах IAM-систем, способах защиты сети и данных, управлении патчами и реагировании на инциденты.
#DevOps #перевод #CloudNative
🔥9👍4❤3🖕1
💻 А вот и заключительная часть серии постов про ключевые подходы к мониторингу SRE.
Four Golden Signals — это методология, которая позволяет установить базовый уровень прозрачности в мониторинге ваших систем.
🔍 Концепцию «Четырёх золотых сигналов» разработала команда Google SRE. Первое упоминание о Four Golden Signals содержится в их книге “Site Reliability Engineering”.
Эти метрики были созданы для связки классического мониторинга (показывающего, КОГДА возникла проблема) и наблюдаемости (англ. observability; показывающей, ПОЧЕМУ возникла проблема).
Подход Four Golden Signals подразумевает следующие метрики:
• Latency (задержка): время, необходимое для обслуживания запроса.
• Errors (ошибки): количество неудачных запросов в секунду.
• Traffic (трафик): количество пользователей или транзакций, проходящих через сервис.
• Saturation (насыщенность): загруженность системы.
Из полезного: здесь можно прочитать все три книги о SRE, которые написала команда Google.
#DevOps #SRE #мониторинг
Four Golden Signals — это методология, которая позволяет установить базовый уровень прозрачности в мониторинге ваших систем.
Эти метрики были созданы для связки классического мониторинга (показывающего, КОГДА возникла проблема) и наблюдаемости (англ. observability; показывающей, ПОЧЕМУ возникла проблема).
Подход Four Golden Signals подразумевает следующие метрики:
• Latency (задержка): время, необходимое для обслуживания запроса.
• Errors (ошибки): количество неудачных запросов в секунду.
• Traffic (трафик): количество пользователей или транзакций, проходящих через сервис.
• Saturation (насыщенность): загруженность системы.
Из полезного: здесь можно прочитать все три книги о SRE, которые написала команда Google.
#DevOps #SRE #мониторинг
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10👍4⚡3❤1🖕1
🖖 Всем пятничный DevOps! Мы снова проводим опрос, чтобы узнать вас, — наших подписчиков, — получше и публиковать только интересный и полезный контент. Ещё принесли две интересные статьи по теме опроса:
Как быть хорошим мейнтейнером: https://opensource.guide/ru/best-practices/
Тяжесть бытия мейнтейнера. Не старьё, а классика: http://antirez.com/news/129
Желаем приятных выходных. А тем, кто работает или дежурит — спокойных смен!
Как быть хорошим мейнтейнером: https://opensource.guide/ru/best-practices/
Тяжесть бытия мейнтейнера. Не старьё, а классика: http://antirez.com/news/129
Желаем приятных выходных. А тем, кто работает или дежурит — спокойных смен!
❤10👍5⚡1🖕1
Anonymous Poll
19%
Да.
3%
Да, являюсь мейнтейнером.
77%
Нет.
❤9🖕1
На DEV технический директор Кевин поделился своими неудачами и дал парочку практических советов о том, как озвученных ситуаций можно было избежать. Вспомнить джунские деньки, умилиться ошибкам и узнать что-то новое можно по этой ссылке.
UPD: Автор удалил статью и свой профиль. Такие дела :(
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11🥰4❤3🖕2😁1
О, вы как раз вовремя! Подборка новостей, статей и релизов уже ждёт вас.
🟡 Немного контекста. В 2023 году Oracle изменила модель формирования релизов MySQL. Теперь есть два вида веток: Innovation (новые функции каждые 3 месяца и поддержка только актуальной минорной версии) и LTS (стабильная версия с расширенным временем поддержки).
Так вот: Oracle зарелизила MySQL 9.0, который пока относится к ветке Innovation.
Что нового? Например, теперь при выполнении конструкции "EXPLAIN ANALYZE INTO" вы можете сохранить вывод в формате JSON в пользовательскую переменную, которая затем может использоваться в качестве аргумента в функциях для работы с JSON. Ещё добавили 15 переменных для настройки и инспектирования движка MLE, позволяющего использовать в хранимых процедурах и функциях код на языках, отличных от SQL. Полный список изменений — здесь.
LTS-релиз этой версии планируют выпустить через год. Тогда же и зарелизят MySQL 10.0.
⚫️ На InfoQ вышла статья про Platform-as-a-Runtime (PaaR, платформу как среду выполнения), созданную командой Wix. В двух словах: если вам нужно оптимизировать работу сотен микросервисов, то PaaR — это идеальное кастомное решение, выходящее за рамки привычного CI/CD.
🟡 На DevOps разобрали одну из основных проблем автоматизированного тестирования — нестабильных тестов. Автор рассказывает, почему появляются такие тесты, как их обнаружить и всё починить.
#DevOps #test #MySQL
🟡 Немного контекста. В 2023 году Oracle изменила модель формирования релизов MySQL. Теперь есть два вида веток: Innovation (новые функции каждые 3 месяца и поддержка только актуальной минорной версии) и LTS (стабильная версия с расширенным временем поддержки).
Так вот: Oracle зарелизила MySQL 9.0, который пока относится к ветке Innovation.
Что нового? Например, теперь при выполнении конструкции "EXPLAIN ANALYZE INTO" вы можете сохранить вывод в формате JSON в пользовательскую переменную, которая затем может использоваться в качестве аргумента в функциях для работы с JSON. Ещё добавили 15 переменных для настройки и инспектирования движка MLE, позволяющего использовать в хранимых процедурах и функциях код на языках, отличных от SQL. Полный список изменений — здесь.
LTS-релиз этой версии планируют выпустить через год. Тогда же и зарелизят MySQL 10.0.
⚫️ На InfoQ вышла статья про Platform-as-a-Runtime (PaaR, платформу как среду выполнения), созданную командой Wix. В двух словах: если вам нужно оптимизировать работу сотен микросервисов, то PaaR — это идеальное кастомное решение, выходящее за рамки привычного CI/CD.
🟡 На DevOps разобрали одну из основных проблем автоматизированного тестирования — нестабильных тестов. Автор рассказывает, почему появляются такие тесты, как их обнаружить и всё починить.
#DevOps #test #MySQL
👍8🔥4🤝4❤3
Если вспомнить работу репликации в MySQL, то реплики получают данные через бинарный лог — файл-журнал. Реплика копирует этот журнал себе и последовательно выполняет операции из него у себя.
Концепция репликации в ClickHouse схожа, однако за хранение этого журнала отвечает не сама база. Для хранения и координации действий репликации в ClickHouse требуется распределённое хранилище данных, которое может гарантировать согласованность состояния. Для этого ClickHouse использует один из двух вариантов: Zookeeper или ClickHouse Keeper.
Об этой и других особенностях репликации в ClickHouse вы можете узнать из новой статьи Петра, DevOps-инженера компании Nixys. А ознакомиться с первой частью серии можно по этой ссылке.
Приятного чтения!
#Хабр #статья_Nixys #ClickHouse
Please open Telegram to view this post
VIEW IN TELEGRAM
👍18❤5🔥1
К сегодняшней среде подготовили для вас свежий дайджест интересных новостей и материалов за неделю.
🟡 Коротко про две уязвимости в OpenSSH, которые нашли в июле.
На прошлой неделе команда Qualys выявила критическую уязвимость regreSSHion под номером CVE-2024-6387. Она позволяла добиться удалённого выполнения кода с правами root без прохождения аутентификации в Linux-системах, использующих библиотеку Gnu C (glibc).
Причиной её появления стало изменение, вошедшее в состав выпуска OpenSSH 8.5. В итоге 1 июля выпустили патч и проблему устранили. regreSSHion просуществовала почти 4 года.
Любопытно, что эту ошибку команда OpenSSH уже устраняла в 2006 году (тогда она получила номер CVE-2006-5051). Поэтому новая-старая уязвимость и получила такое кодовое имя.
Во время изучения regreSSHion выявили ещё одну уязвимость. Она позволяет добиться удалённого выполнения кода без прохождения аутентификации. Ей присвоили номер CVE-2024-6409.
Уязвимость есть в пакетах openssh:.
• дистрибутива Red Hat Enterprise Linux 9 (на основе OpenSSH 8.7)
• Fedora Linux 36 и 37 (на основе OpenSSH 8.7 и 8.8).
Она оказалась менее опасной, но всё равно неприятной. Чтобы её заблокировать, нужно в
⚫️ На InfoQ вышла статья о том, как сделать разработку вашего ПО более экологичной. Автор публикации Сара Бергман предлагает оставить за рамками статьи рассуждения об изменении климата и показывает уже готовые решения проблемы. По её словам:
Чтобы прочитать её статью — кликните сюда.
🟡 CNCF создала новую рабочую группу для разработки cloud native приложений. Она нужна для того, чтобы сократить дистанцию между разработчиками и проектами CNCF.
Группа создана в рамках отдела TAG App Delivery. Он собирает отзывы о функционале инструментов и приложений, передаёт их командам проектов и разрабатывает итоговую документацию.
Сопредседателями рабочей группы стали Дэниел Ох из Red Hat, Томас Витале из Systematic и Маурисио Салатино из Diagrid. Узнать больше о том, как функционирует новая группа, можно здесь.
#DevOps #OpenSSH #CNCF
🟡 Коротко про две уязвимости в OpenSSH, которые нашли в июле.
На прошлой неделе команда Qualys выявила критическую уязвимость regreSSHion под номером CVE-2024-6387. Она позволяла добиться удалённого выполнения кода с правами root без прохождения аутентификации в Linux-системах, использующих библиотеку Gnu C (glibc).
Причиной её появления стало изменение, вошедшее в состав выпуска OpenSSH 8.5. В итоге 1 июля выпустили патч и проблему устранили. regreSSHion просуществовала почти 4 года.
Во время изучения regreSSHion выявили ещё одну уязвимость. Она позволяет добиться удалённого выполнения кода без прохождения аутентификации. Ей присвоили номер CVE-2024-6409.
Уязвимость есть в пакетах openssh:.
• дистрибутива Red Hat Enterprise Linux 9 (на основе OpenSSH 8.7)
• Fedora Linux 36 и 37 (на основе OpenSSH 8.7 и 8.8).
Она оказалась менее опасной, но всё равно неприятной. Чтобы её заблокировать, нужно в
sshd_config выставить параметр "LoginGraceTime=0".⚫️ На InfoQ вышла статья о том, как сделать разработку вашего ПО более экологичной. Автор публикации Сара Бергман предлагает оставить за рамками статьи рассуждения об изменении климата и показывает уже готовые решения проблемы. По её словам:
Софт только выиграет от действий по сокращению выбросов CO2. А экологичная разработка является более дешёвой, производительной, надёжной и устойчивой.
Чтобы прочитать её статью — кликните сюда.
🟡 CNCF создала новую рабочую группу для разработки cloud native приложений. Она нужна для того, чтобы сократить дистанцию между разработчиками и проектами CNCF.
Группа создана в рамках отдела TAG App Delivery. Он собирает отзывы о функционале инструментов и приложений, передаёт их командам проектов и разрабатывает итоговую документацию.
Сопредседателями рабочей группы стали Дэниел Ох из Red Hat, Томас Витале из Systematic и Маурисио Салатино из Diagrid. Узнать больше о том, как функционирует новая группа, можно здесь.
#DevOps #OpenSSH #CNCF
🔥10👍5❤2🕊1
Когда мы особенно ярко чувствуем тесную связь разных компаний? Правильно: когда у одной из них случается сбой. Именно поэтому важно иметь надёжную IT-инфраструктуру, чтобы минимизировать проблемы не только у собственного, но и связанного с вашим бизнеса.
Виктор Водолазкин, Head of BDM компании Nixys, проведёт открытый вебинар, где расскажет про кастомизацию IT-инфраструктуры и покажет, как компании в сфере FoodTech справляются с нагрузками «в сезоны продаж».
Когда: 18 июля (четверг), в 15:00 мск
Кому будет полезно: CEO CIO, CVO. Техническим менеджерам, IT-руководителям. Представителям B2B и бизнеса с сезонными продажами.
На онлайн-трансляции Виктор разберёт клиентский кейс и ответит на все вопросы. Все участники вебинара получат промокод на скидку на разовые работы.
Чтобы зарегистрироваться — нажмите сюда.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14👍4❤3👨💻1
Если вы ещё не обновились до новых версий, то советуем сделать это как можно скорее.
Чтобы узнать больше о найденных ошибках и их исправлениях — кликайте сюда.
#DevOps #GitLab
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15❤4🔥4👨💻4🌚1
SLO (цель уровня обслуживания) — это соглашение в рамках SLA о конкретном показателе, который определяет качество обслуживания, предоставляемого конкретным сервисом или системой. Соглашения SLO формируют ожидания клиента и показывают команде DevOps, на какие показатели она должна ориентироваться и каких целей нужно достичь. Например, SLO может определять минимальное время доступности сервиса или максимальное время ответа на запрос.
1. Не выбирайте цель, основываясь только на текущих показателях
Да, понимание достоинств и пределов системы имеет важное значение. Но бездумная адаптация показателей может привести к тому, что вам придётся поддерживать систему, способную достигнуть целей только благодаря вашим чрезмерным героическим усилиям. Во многих случаях требует реорганизация.
2. Будьте проще
Сложные расчёты SLI могут скрыть изменения в производительности системы и усложнят поиск причины возникшей проблемы.
3. Избегайте абсолюта
Заманчиво иметь систему, которая может принимать неограниченно растущую нагрузку без увеличения задержки. Но это требование нереально. Система, которая стремится к таким идеалам, вероятно, потребует много времени и ресурсов на проектирование и создание, будет дорогой в эксплуатации… и, скорее всего, окажется неоправданно лучше той, которую пользователи уже были бы рады иметь.
4. Используйте как можно меньше SLO
Выберите достаточное количество SLO, чтобы обеспечить хорошее покрытие атрибутов системы. Защищайте выбранные вами SLO: если вы никогда не можете выиграть спор о приоритете конкретной SLO, вероятно, не стоит рассматривать эту SLO. Однако не все атрибуты системы можно преобразовать в SLO: трудно подсчитать, например, уровень "user delight" с помощью SLO.
5. Не торопитесь достичь совершенства
Лучше начать с плавающей цели, которую со временем можно сделать более точной, чем выбрать слишком строгую цель, а потом её ослабить в случае, если вы обнаружите, что она не достижима. Уточните SLO тогда, когда ваша команда узнает больше о поведении системы под нагрузкой.
#DevOps #SRE #Google
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10❤4👍1🤝1
🍔 Почему микросервисная архитектура идеально подходит для foodtech-приложений? Потому что её преимущества позволят удовлетворить бизнес-требования к IT-продуктам в этой сфере. Примеры — в карточках.
Об этих и других тонкостях цифровой трансформации в сфере FoodTech расскажет Виктор Водолазкин на открытом вебинаре, который состоится в четверг.
На вебинаре участники:
• обсудят тонкости и нюансы цифровой трансформации в сфере FoodTech;
• узнают, как справиться с нагрузками «в сезон продаж»;
• посмотрят пример кейса из сферы FoodTech с реальными результатами и цифрами;
• получат ответы на все свои вопросы.
Вебинар будет интересен CEO CIO, CVO, техническим менеджерам и IT-руководителям, представителям B2B и бизнеса с сезонными продажами.
📎 Начало трансляции: 18 июля в 15:00 по Москве
📎 Регистрация: по ссылке
Об этих и других тонкостях цифровой трансформации в сфере FoodTech расскажет Виктор Водолазкин на открытом вебинаре, который состоится в четверг.
На вебинаре участники:
• обсудят тонкости и нюансы цифровой трансформации в сфере FoodTech;
• узнают, как справиться с нагрузками «в сезон продаж»;
• посмотрят пример кейса из сферы FoodTech с реальными результатами и цифрами;
• получат ответы на все свои вопросы.
Вебинар будет интересен CEO CIO, CVO, техническим менеджерам и IT-руководителям, представителям B2B и бизнеса с сезонными продажами.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤6🔥5😴3
Упс! Мы превратили средовую жабу в подборку релизов и статей за прошедшую неделю.
🟡 Выкатили релиз ядра Linux 6.10. Новая версия включает более 14 тысяч исправлений от 1989 разработчиков.
Что интересного? К примеру, внедрили начальный вариант NTSYNC — драйвера синхронизации Windows NT, прекратили поддержку старых CPU Alpha и добавили системный вызов
Ещё Linux обзавёлся собственным BSoD, который реализовали через компоненты DRM Panic. Вы можете протестировать эту новую опцию с помощью маршрутаА в комментариях к этому посту мы показали, как выглядит синий экран смерти по-линуксовски.
Посмотреть все обновления вы сможете по этой ссылке. А по этой — скачать новую версию.
⚫️ В блоге Docker Джей Шмидт объяснил, в чём разница между инструкциями
🟡 CIS обновили бенчмарки для Kubernetes, NGINX, OpenShift и многих других. Посмотреть новые показатели можно здесь.
⚫️ Архитектор ПО Саурабх Дашора рассказал и показал, как Reddit обслуживает 100 тыс. запросов метаданных в секунду. Спойлер: помогает им в этом единое хранилище метаданных мультимедиа. Из статьи вы узнаете о нюансах разработки такого хранилища и о том, как команда Reddit решила проблемы при миграции и масштабировании.
#DevOps #Linux #Docker
🟡 Выкатили релиз ядра Linux 6.10. Новая версия включает более 14 тысяч исправлений от 1989 разработчиков.
Что интересного? К примеру, внедрили начальный вариант NTSYNC — драйвера синхронизации Windows NT, прекратили поддержку старых CPU Alpha и добавили системный вызов
mseal(), позволяющий процессам выставлять блокировку на изменение определённых частей своего адресного пространства.Ещё Linux обзавёлся собственным BSoD, который реализовали через компоненты DRM Panic. Вы можете протестировать эту новую опцию с помощью маршрута
echo c > /proc/sysrq-trigger. Посмотреть все обновления вы сможете по этой ссылке. А по этой — скачать новую версию.
⚫️ В блоге Docker Джей Шмидт объяснил, в чём разница между инструкциями
RUN, CMD и ENTRYPOINT. В статье вы найдёте наглядные примеры использования этих инструкций в режимах shell и exec. Чтобы начать читать — кликните сюда. 🟡 CIS обновили бенчмарки для Kubernetes, NGINX, OpenShift и многих других. Посмотреть новые показатели можно здесь.
⚫️ Архитектор ПО Саурабх Дашора рассказал и показал, как Reddit обслуживает 100 тыс. запросов метаданных в секунду. Спойлер: помогает им в этом единое хранилище метаданных мультимедиа. Из статьи вы узнаете о нюансах разработки такого хранилища и о том, как команда Reddit решила проблемы при миграции и масштабировании.
#DevOps #Linux #Docker
👍14❤6🔥4
Причина — последнее обновление от поставщика кибербезопасности CrowdStrike. Устройства и серверы, на которых оно установлено, «отключаются от сети и переходят в бесконечный цикл перезагрузки».
CrowdStrike осведомлен о сообщениях о сбоях на хостах Windows, связанных с программой Falcon. Симптомы включают в себя хосты, на которых возникает ошибка bugcheck\blue screen, связанная с датчиком Falcon— сообщила CrowdStrike.
Сообщения о сбоях в работе российских аэропортов пока в Минцифры РФ не поступали. Сбой также не коснулся российских АЭС и РЖД.
UPD: Глава CrowdStrike Джордж Куртц сообщил, что проблема с их софтом, которая привела к глобальному сбою Windows, выявлена, «изолирована» и скоро будет решена. Тем временем Microsoft уже восстановила работу некоторых сервисов.
Please open Telegram to view this post
VIEW IN TELEGRAM
😱14🤯4🥴4😁1
Как упростить развёртывание инфраструктуры в облаке? С помощью проверенных Terraform-модулей из репозитория nxs-marketplace-terraform. О них и пойдёт речь в новой статье Данила.
На примере развертывания S3-бакета и Managed Kubernetes с worker-нодами вы увидите, как готовые Terraform-модули от Nixys помогают ускорить работу и сократить вероятность ошибок. А ещё вы узнаете, зачем использовать динамические блоки в Terraform и почему файлы tfstate лучше хранить в S3.
Кликните сюда, чтобы начать читать.
#Хабр #статья_Nixys
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8👍5🔥2🥴2
💻 5 SQL-запросов, которые должен знать каждый инженер-программист.
✔️
📎 Совет: убедитесь, что столбцы, используемые в условиях команды, правильно проиндексированы. Это может значительно повысить производительность ваших запросов, позволяя базе данных быстро находить и извлекать совпадающие строки.
#DevOps #SQL
INNER JOIN: возвращает только те записи, которые имеют совпадающие значения в левой и правой таблицах.LEFT JOIN: возвращает все записи из левой таблицы и совпадающие записи из правой. Если совпадений не найдено, для столбцов правой таблицы возвращаются значения NULL.RIGHT JOIN: возвращает все записи из правой таблицы и совпадающие записи из левой. Если совпадения не найдено, для столбцов левой таблицы возвращаются значения NULL.FULL JOIN: извлекает все записи из левой и правой таблиц, показывая совпадающие записи, где это возможно. Для несовпадающих записей в столбцы из таблицы возвращаются NULL-значения.CROSS JOIN: каждая строка одной таблицы соединяется с каждой строкой второй таблицы, давая тем самым в результате все возможные сочетания строк двух таблиц. INNER JOIN идеально подходит для получения совпадающих данных из обеих таблиц, а LEFT JOIN гарантирует, что все записи из левой таблицы будут включены, даже если в правой таблице нет совпадений.#DevOps #SQL
Please open Telegram to view this post
VIEW IN TELEGRAM
❤14👍6🔥4🥴2