ДевОпс Инженер
4.31K members
3 photos
137 links
ДепОпс, какой он есть - авторский канал @mukolaich - DevOps Engineer в AnchorFree.

Я рассматриваю самые топовые технологии и решения, рассказываю о реальных архитектурных проблемах.
Контейнеры, оркестраторы, скейлинг, мониторинг, etc ...
Download Telegram
to view and join the conversation
Modern applications at AWS

CTO из Amazon делится своим подходом и виденьем о том, как делать приложения.

Интересные моменты, которые я заметил - one DB per microservice, и безопасность - it’s not SecOps job, it’s everyone’s job.
В статье есть чему поучиться, рекомендую к прочтению.

https://www.allthingsdistributed.com/2019/08/modern-applications-at-aws.html
M3DB Documentation by Uber

Uber зарелизили документацию для своей реализации long-retantion TSDB. Я зашел, посмотрел, и понял что мне нравится. Не сама документация как факт релиза, а выбранный путь ее доставки.

Смотрите:
https://m3db.github.io/m3/m3db/

Очень даже симпатично, удобно, и трендово - внушает доверие, и усиливает интерес к технологии.

Как они это сделали: MkDocs + Github Pages. Очень классный подход как менеджить документацию. Подойдет не для всех кейсов, т.к. Github Pages - public accessible (но можно вкрутить и в private репозитории).

https://www.mkdocs.org/user-guide/deploying-your-docs/#github-pages
DevOpsStage 2019: какие доклады посмотреть

Ребята! Спасибо всем кто пришел, задавал вопросы, общался и получал новые знания. Дальше идем на конференцию XP Days (я запощу анонс завтра, тоже с промо и самым крутым спикером).

Теперь о том, как занять вечер с пользой: посмотрите эти доклады сейчас, а если не сейчас, то на выходных.

0. Envoy as TCP proxy (https://youtu.be/vXsJlSOOn0o) - конечно, это мой доклад, который я анонсировал немногим ранее. История о том, как мы решили проблему трафика между сервисами в небезопасном интернете, обзор решений + еще хайринг к нам в Pango 🙂
1. Kubernetes Navigation Stories (https://youtu.be/JX2eoK5GT6A) - интересно о Kubernetes в thredUP (большой онлайн-секонд с разработкой в Украине).
2. Hacking Terraform for fun and profit (https://youtu.be/osQx1sbjFLw) - Антон Бабенко о Terraform, много хороших рекомендаций по этому докладу.
3. Make Architects aligned with business needs (https://youtu.be/UfuyLl0st_4) - Дима Лавриненко о том, как стать архитектором (мы с ним выступали параллельно, и он в шутку порекомендовал мой трек 😁)
4. Premature automatization (https://youtu.be/q3zueXj_LGY) - Сева Поляков о том, как не нужно делать автоматизацию. Я попал под конец доклада, и очень даже зашло.

Continuous improvement 🔼
Что случилось с Docker Enterprise

Для того, чтобы понять что случилось с Docker, ссылки желательно читать именно в такой последовательности.

В двух словах:
- Mirantis купил Docker Enterprise, для того чтобы развивать свой Kubernetes-as-a-Service. Даже учитывая, что треть компаний из Fortune 100 использовала Docker Enterprise - он был не особо прибыльным
- Docker Inc. продала Docker Enterprise за $35 Million для рекапитализации и усиления своей финансовой позиции
- Docker’s Next Chapter: они сфокусируются на улучшении взаимодействия с программистами, будут строить новые процессы и улучшения в области сборки контейнеров, их дистрибуции и запуска
- У Docker Inc. теперь новый CEO

Жмите палец вверх если считаете что это хорошая новость, палец вниз если плохая, и краба - если не определились.
Что случилось с Helm 3.0.0 😂

Helm 3.0.0 has been released! И это большая, очень хорошая новость. Вот основные изменения:

- Removal of Tiller - его больше нет, и его устанавливать в кластер не нужно. Его функции распределили: рендерингом темплейтов занимается клиент, а релиз конфигурация и информация хранится в Kubernetes API. Tiller теперь просто не нужен.
- Improved Upgrade Strategy - теперь Helm понимает и видит больше изменений как в upgrade, так и в rollback. Покрыто много кейсов, в которых раньше было больно.
- Release Names - теперь можно делать релизы с одинаковым
названием в разных неймспейсах.

https://helm.sh/blog/helm-3-released/
Рекомендую🔻
DevOps дайджест #27: Docker Enterprise, Helm 3.0, ClusterAPI и дайте свой email

Новый дайджест! ❤️

В выпуске: скандалы-интриги-расследования о Docker Enterprise, почему лучше не использовать очереди в PostgreSQL, как получить первый опыт работы с клаудами, почему у Gitlab скоро будет больше вакансий, как быстро запустить что угодно на Google Cloud Run, посмотреть доклад Envoy as TCP Proxy и много-много интересностей.

https://dou.ua/lenta/digests/devops-digest-27/
XP Days: Yaroslav Molochko

Сегодня много кто был на XP Days, и конференция как всегда держит марку и уровень. Завтра второй день, и я хочу посоветовать классный доклад: Self-healing in prod do you really need AI for that?

По инсайдерской информации знаю, что будет реальный опыт, как очень просто развалить супер-хай-авейлбл-селф-хилинг Hashicorp Vault кластер в Kubernetes с etcd бекендом (выглядит так, что это невозможно, а на самом деле — карточный домик).

Приходите слушать историю о том, как не нужно крутить Vault в продакшне, реальный кейс на реальных событиях и lessons learned.

Так что рекомендую:
Track B, 12:10 Yaroslav Molochko Head of Engineering: "Self-healing in prod do you really need AI for that?"

https://xpdays.com.ua/programs/self-healing-in-prod-do-you-really-need-ai-for-that/
Diving into Kubernetes MutatingAdmissionWebhook

Во время командировки в офис в Bay Area начала происходить какая-то неразбериха: хотя я работаю на одном проекте, но знаю второй - мне дали еще третий на пару дней, посмотреть что и как.

На этом проекте была задача, достаточно не плохая - проект в GCP, и они используют Cloud SQL. Во многих helm чартах есть cloudsql sidecar, через который остальные контейнеры в поде ходят в базу данных.

Так вот, копипаста была во многих местах, быстрый вариант с kustomize или темплейтированием они не захотели, а захотели делать как крутые операторы: аннотациями.

Примерно так:
1) В деплойменте создается под
2) На поде висит аннотация "cloudsql-sidecar: true"
3) Kubernetes инджектит сайдкар в этот под

Я начал читать как это сделано у istio/linkerd/etc, и для этой задачи есть выделенный примитив: MutatingAdmissionWebhook.

Из существующих реализаций адекватной выглядит только эта:
https://github.com/tumblr/k8s-sidecar-injector

А для того, чтобы понять как оно работает, лучше почитать много теории:
https://medium.com/ibm-cloud/diving-into-kubernetes-mutatingadmissionwebhook-6ef3c5695f74

В результате все завелось, все довольны, все счастливы. Estimates - день на POC, день на интеграцию, и через какое-то время день на ривью.
Kubernetes Kyiv meetup

18 декабря, в среду в 101 Tower пройдет Kubernetes Kyiv meetup 😇

Вход свободный, будет 2 доклада:
1) Pavel Dmytrenko - Cluster API: bootstrap Kubernetes clusters using Kubernetes
2) Vadym Surzhyk - Tekton and Argo: Kubernetes-native CI/CD pipelines

Пока места еще есть, регистрация тут:
https://www.meetup.com/Kubernetes-Kyiv/events/266802247/

Рекомендую и сам буду 👍 (hosted by CNCF and Pango, кстати)
Kubernetes 1.17: обзор основных новшеств

Вышел Kubernetes 1.17. Что там нового появилось и изменилось - можно почитать на хабре.

Кратко:
- topology-aware service routing (роутинг внутри одной A-Z, например)
- одновременная работа IPv4/IPv6
- CSI Migration в beta
- автоматические labels для клауд провайдеров
- форматы вывода kubeadm (json, yaml, etc)

https://habr.com/ru/company/flant/blog/476998/
DevOps дайджест #28

В выпуске: Kubernetes 1.17, Kubernetes Admission Controllers, Flan Scan, Kubernetes production best practices, Serverless — Lessons learned, What’s new in RHEL 8.1, поддержка CoreOS Clair в AWS ECR.

Крайний в этом году 🔻

https://dou.ua/lenta/digests/devops-digest-28/
Amazon EKS Price Reduction

Начиная с 21 января каждый кластер EKS стоит в 2 раза дешевле:

As of the 21st of January, the price will reduce from $0.20 per hour for each Amazon EKS cluster to $0.10 per hour. This new price is for all new and existing Amazon EKS clusters.

https://aws.amazon.com/ru/blogs/aws/eks-price-reduction/
GoTo DevOps: DevOps Conferences 2020

Интересный сборник DevOps-related  конференций с фильтрами по местоположению, времени и стоимости. Можно подписаться и получать уведомления:

https://www.gotodevops.org/
CVE-2019-11043: вы, скорее всего, подвержены

Никогда такого не делал, и вот опять. Советую обратить внимание на уязвимость, которая скорее всего где-то у вас будет воспроизводиться. Это очень жесткий и простой эксплойт.

Итого, что нужно:
1) nginx
2) php-fmp
3) php файлик, который будет отдавать 200 OK
4) php -v <7.2.24 & <7.3.11

Итого, если у вас есть стандартная связка nginx + php-fpm и что-то на PHP7 с версиями, которые я указал, и еще есть /ping.php (или любой другой эндпоинт, который возвращает 200 OK) - нужно чинить ASAP. Таким образом можно экзекнуть любую команду в этом окружении.

Этой тулзой можно проверить:
https://github.com/neex/phuip-fpizdam

Более детально:
https://www.trendmicro.com/vinfo/hk-en/security/news/vulnerabilities-and-exploits/php-fpm-vulnerability-cve-2019-11043-can-lead-to-remote-code-execution-in-nginx-web-servers

Преимущественно аффектит старые приложения с не самой старой PHP (где есть куча непонятных php файлов), таким образом можно пропатчить какой-то файлик, посмотреть переменные окружения, слить креденшлы - что угодно. Расскажите знакомым, и проверьте у себя.

Всем безопасности!
Почему украинские DevOps-инженеры зарабатывают $5000, зачем они нужны бизнесу и как ими стать

Поделился своим виденьем: за что нам платят деньги, как зарабатывать больше, что учить, что не нужно учить, и самое важное - как принести пользу бизнесу.

Если вас спрашивают подобные вопросы - покажите эту статью.

Что я жду, как результат публикации:
- увеличение ЗП по отрасли
- увеличение количества анкет в DOU опросниках
- статья-хейт на прекрастном "девопс ох..ел вкрай и пов..бывался перед нищебродами"

Немного мяса еще докину:
- без экспертизы Kubernetes и клаудов очень сложно будет продавать
- без английского также очень сложно
- без глубокой экспертизы в какой-то очень узкой специализации

Еще немного топ-зарплат, о которых я лично знаю и уверен:
- SRE 8k
- DevOps консалтинг 12k (работа на износ 24/7)
- DevOps Architect 7k
- DevOps Engineer в двух компаниях 9k

P.S. Вы же понимаете, что я могу и не зарабатывать эти $5000. Просто знаю, слышал, друзья рассказывали.

https://mc.today/pochemu-ukrainskie-devops-inzhenery-zarabatyvayut-5000-zachem-oni-nuzhny-biznesu-i-kak-imi-stat/
Баку - не Бали: воркшоп в IT школе и его последствия

Пару лет назад меня пригласили в школу DAN IT рассказать на небольшом воркшопе о DevOps методологии, что это и зачем, и чем полезно.

Конечно, первым делом я зашел на slideshare, в поиске ввел "DevOps", выбрал несколько презентаций и пошел рушить стену между разработчиками и администраторами в головах юных студентов.

Пару раз включил видео на ютубе - что такое Docker, обзор AWS, как работает и для чего нужен Jenkins - ребята смотрели, и интересовались. Потом некоторые еще отписывали в личку через пару месяцев, спрашивали когда еще приду.

Как результат - я посадил голос, очень усомнился в своих знаниях методологии и процессов, и решил что пока что я к этому не готов. Деньги заплатили, не жалуюсь😁

В общем, к чему это я. Пишет мне @vashura_anna - HR с этой школы, и такая - погнали в Баку на 3 месяца, почитаешь курс по системному администрированию. А я уже от системного администрирования так далек, как системный администратор от CRD в Kubernetes.

Там есть куски по Linux, Windows, сети, и все что около этого. Это нужно хорошо знать и уметь рассказывать. Если канал читают системные администраторы, которые хотели бы пожить 3 месяца в Баку и прочитать курс - напишите Ане.

Конечно, я узнал сколько они хотят платить: до 3к долл/мес. Перелет, проживание, страховку и еду все оплачивают. Вроде хорошее предложение. Кому в тему - пишите Ане.
DevOps Fest 2020: 20-21 марта

Через 3 недели в Киеве большая конференция:
- Kohsuke Kawaguchi - создатель Jenkins
- Барух Садогурский с Jfrog, амбассадор CNCF
- Дмитрий Лавриненко (опять с непонятным названием должности)

Полная программа и регистрация по ссылке🔻
http://bit.ly/398q30c

Промо код на -10% для вас:
D-DEVOPSENGINEER-10
​​Understanding Kubernetes limits and requests by example

Отличная статья о ресурсах в Kuberentes с очень простыми примерами. Настолько просто и понятно, что и 5 минут достаточно для детального понимания requests и limits. 🔻

https://sysdig.com/blog/kubernetes-limits-requests
Как сделать инфраструктуру для стартапа, если в кармане $20

Поделился вариантом, как сделать инфраструктуру для стартапа за $20 так, чтобы не пришлось переделывать в ближайшем будущем и не ограничивать бизнес плохими решениями.

По сути, я рассмотрел 2 варианта:
🔸serverless
🔸managed Kubernetes

У каждого из них есть свои плюсы и минусы: serverless будет супер дорогой на росте пользователей, неправильной архитектуре или на выполнении задач, которым нужно много ресурсов.

Managed Kuberentes намного выше порог вхождения, но такой подход освобождает от vendor-lock.

И еще интересное решение - пробовать залазить на free tier. В  Google Cloud можно бесплатно крутить GKE 6 месяцев, а в AWS - Lambda + API Gateway 12 месяцев (на кредитах за регистрацию). За это время хорошо было бы набрать первых пользователей, и получить AWS/GCP for Startups. Как по мне - это идеальный вариант.

Очень интересный комментарий от Ярослава Молочко: я не учел стоимость специалиста, который знает Kubernetes, и архитектура стартапа до первого миллиона пользователей поменяется 10 раз. Поэтому, в первую очередь нужно выбирать архитектуру, которую легко менять. Я с этим полностью согласен.

Правило звучит так:
make it work -> make it right -> make it fast -> make it cheap

Перешлите статью стартаперам и фаундерам, если устали плейбуками настраивать единственный сервер в Hetzner, который падает от любого ветра. Напишите комментарий на AIN, в случае если я прав, если не прав, и если вы знаете хорошие варианты как можно построить инфраструктуру за $20 😉

https://ain.ua/2020/03/09/infrastruktura-za-20-doll/