CVE-2019-11043: вы, скорее всего, подвержены

Никогда такого не делал, и вот опять. Советую обратить внимание на уязвимость, которая скорее всего где-то у вас будет воспроизводиться. Это очень жесткий и простой эксплойт.

Итого, что нужно:
1) nginx
2) php-fmp
3) php файлик, который будет отдавать 200 OK
4) php -v <7.2.24 & <7.3.11

Итого, если у вас есть стандартная связка nginx + php-fpm и что-то на PHP7 с версиями, которые я указал, и еще есть /ping.php (или любой другой эндпоинт, который возвращает 200 OK) - нужно чинить ASAP. Таким образом можно экзекнуть любую команду в этом окружении.

Этой тулзой можно проверить:
https://github.com/neex/phuip-fpizdam

Более детально:
https://www.trendmicro.com/vinfo/hk-en/security/news/vulnerabilities-and-exploits/php-fpm-vulnerability-cve-2019-11043-can-lead-to-remote-code-execution-in-nginx-web-servers

Преимущественно аффектит старые приложения с не самой старой PHP (где есть куча непонятных php файлов), таким образом можно пропатчить какой-то файлик, посмотреть переменные окружения, слить креденшлы - что угодно. Расскажите знакомым, и проверьте у себя.

Всем безопасности!

Почему украинские DevOps-инженеры зарабатывают $5000, зачем они нужны бизнесу и как ими стать

Поделился своим виденьем: за что нам платят деньги, как зарабатывать больше, что учить, что не нужно учить, и самое важное - как принести пользу бизнесу.

Если вас спрашивают подобные вопросы - покажите эту статью.

Что я жду, как результат публикации:
- увеличение ЗП по отрасли
- увеличение количества анкет в DOU опросниках
- статья-хейт на прекрастном "девопс ох..ел вкрай и пов..бывался перед нищебродами"

Немного мяса еще докину:
- без экспертизы Kubernetes и клаудов очень сложно будет продавать
- без английского также очень сложно
- без глубокой экспертизы в какой-то очень узкой специализации

Еще немного топ-зарплат, о которых я лично знаю и уверен:
- SRE 8k
- DevOps консалтинг 12k (работа на износ 24/7)
- DevOps Architect 7k
- DevOps Engineer в двух компаниях 9k

P.S. Вы же понимаете, что я могу и не зарабатывать эти $5000. Просто знаю, слышал, друзья рассказывали.

https://mc.today/pochemu-ukrainskie-devops-inzhenery-zarabatyvayut-5000-zachem-oni-nuzhny-biznesu-i-kak-imi-stat/

Баку - не Бали: воркшоп в IT школе и его последствия

Пару лет назад меня пригласили в школу DAN IT рассказать на небольшом воркшопе о DevOps методологии, что это и зачем, и чем полезно.

Конечно, первым делом я зашел на slideshare, в поиске ввел "DevOps", выбрал несколько презентаций и пошел рушить стену между разработчиками и администраторами в головах юных студентов.

Пару раз включил видео на ютубе - что такое Docker, обзор AWS, как работает и для чего нужен Jenkins - ребята смотрели, и интересовались. Потом некоторые еще отписывали в личку через пару месяцев, спрашивали когда еще приду.

Как результат - я посадил голос, очень усомнился в своих знаниях методологии и процессов, и решил что пока что я к этому не готов. Деньги заплатили, не жалуюсь😁

В общем, к чему это я. Пишет мне @vashura_anna - HR с этой школы, и такая - погнали в Баку на 3 месяца, почитаешь курс по системному администрированию. А я уже от системного администрирования так далек, как системный администратор от CRD в Kubernetes.

Там есть куски по Linux, Windows, сети, и все что около этого. Это нужно хорошо знать и уметь рассказывать. Если канал читают системные администраторы, которые хотели бы пожить 3 месяца в Баку и прочитать курс - напишите Ане.

Конечно, я узнал сколько они хотят платить: до 3к долл/мес. Перелет, проживание, страховку и еду все оплачивают. Вроде хорошее предложение. Кому в тему - пишите Ане.

DevOps Fest 2020: 20-21 марта

Через 3 недели в Киеве большая конференция:
- Kohsuke Kawaguchi - создатель Jenkins
- Барух Садогурский с Jfrog, амбассадор CNCF
- Дмитрий Лавриненко (опять с непонятным названием должности)

Полная программа и регистрация по ссылке🔻
http://bit.ly/398q30c

Промо код на -10% для вас:
D-DEVOPSENGINEER-10

​​Understanding Kubernetes limits and requests by example

Отличная статья о ресурсах в Kuberentes с очень простыми примерами. Настолько просто и понятно, что и 5 минут достаточно для детального понимания requests и limits. 🔻

https://sysdig.com/blog/kubernetes-limits-requests

Как сделать инфраструктуру для стартапа, если в кармане $20

Поделился вариантом, как сделать инфраструктуру для стартапа за $20 так, чтобы не пришлось переделывать в ближайшем будущем и не ограничивать бизнес плохими решениями.

По сути, я рассмотрел 2 варианта:
🔸serverless
🔸managed Kubernetes

У каждого из них есть свои плюсы и минусы: serverless будет супер дорогой на росте пользователей, неправильной архитектуре или на выполнении задач, которым нужно много ресурсов.

Managed Kuberentes намного выше порог вхождения, но такой подход освобождает от vendor-lock.

И еще интересное решение - пробовать залазить на free tier. В  Google Cloud можно бесплатно крутить GKE 6 месяцев, а в AWS - Lambda + API Gateway 12 месяцев (на кредитах за регистрацию). За это время хорошо было бы набрать первых пользователей, и получить AWS/GCP for Startups. Как по мне - это идеальный вариант.

Очень интересный комментарий от Ярослава Молочко: я не учел стоимость специалиста, который знает Kubernetes, и архитектура стартапа до первого миллиона пользователей поменяется 10 раз. Поэтому, в первую очередь нужно выбирать архитектуру, которую легко менять. Я с этим полностью согласен.

Правило звучит так:
make it work -> make it right -> make it fast -> make it cheap

Перешлите статью стартаперам и фаундерам, если устали плейбуками настраивать единственный сервер в Hetzner, который падает от любого ветра. Напишите комментарий на AIN, в случае если я прав, если не прав, и если вы знаете хорошие варианты как можно построить инфраструктуру за $20 😉

https://ain.ua/2020/03/09/infrastruktura-za-20-doll/

Practical GitOps on Kubernetes with ArgoCD

Представляю вашему вниманию самого хардкорного DevOps спикера: это Игорь Бородин 😅

На его докладах люди никогда ничего не понимают, задают вопросы в стиле - "Это все непонятно, но выглядит круто, а зачем оно вообще нужно?", и прикапываются к его внешнему виду.

Я давно хотел поделиться с вами докладом с крутой демкой о ArgoCD и GitOps подходе, а сейчас даже есть повод. Пока во всем мире паника по поводу коронавируса, посмотрите доклад:

https://www.youtube.com/watch?v=LKOa2vMoy44

Игорь, с днем рождения! (ты уже надоел постоянно тащить на конференциях) 🔥

Github сильно поменял прайсинг

В блоге за сегодня появилась интересная новость: All of the core GitHub features are now free for everyone ⭐️

- private repos доступны всем
- количество тим мемберов не ограничено
- получается, что теперь можно создать организацию в Github, добавить всех коллег, сделать приватные репозитории - и все это бесплатно 🙂

Основные фичи (protected branches, codeowners, required revievers) доступны с оговорками, но в целом - прям очень хорошая новость.

Кстати, если вы платили $9 за пользователя, то теперь будете платить всего $4. Классно.

https://github.blog/2020-04-14-github-is-now-free-for-teams/

Новый дайджест и прогнозы

Всем привет! Из новостей - на выходных вышел новый дайджест:
https://dou.ua/lenta/digests/devops-digest-31/

Я добавил туда немного прогнозов. Более детально - в дайджесте.

Кратко о главном:
🔸 рынок разработки переигрался, теперь рулит работодатель
🔸 запустите cost optimization процесс сами, и придите к бизнесу с результатами
🔸 если ваш проект в зоне риска (туризм, офлайн, авиа, etc) - играйте на опережение и ищите альтернативные варианты
🔸 если есть звоночки в компании (сокращения, урезания, отозванные офферы) - пробуйте диверсифицировать доход, добавить новый источник
🔸 используйте время на карантине эффективно: проходите курсы, сдавайте на сертификаты, читайте книги и правильно питайтесь
🔸 мир прежним не будет, ключ к развитию - диверсификация и адаптация

Вебинары от DevOps Stage

Создатели DevOps Stage сделали серию вебинаров, для того чтобы небыло скучно на карантите. Начало - 27-го апреля. Как факультативное получение знаний - очень даже ок, стоимость - 500 гривен, есть промокод на -10%: DWS-10

https://codespace.com.ua/devops-stage-webinar-series/

QAGuild S03E08: Про DevOps и немного про релокацию в США

На прошлой неделе мы очень интересно поговорили с @automation_remarks о DevOps методологии, истоках, собеседованиях, карьере и зарплатах.

В целом, ребята спрашивали такие вопросы:
- основные DevOps компетенции
- как отличить хорошего DevOps инженера от плохого
- как построить карьеру, чтобы выстрелило
- опыт жизни в Калифорнии
- типы виз и релокация в США по L1/J1/O1
- нюансы подготовки кейса и стоимость О1

Еще я очень хотел поговорить о трендах на будущее, и т.к. не получилось - отпишу здесь. Вообще, в подкасте получилось маловато технических штук.

🔹 1. ClusterAPI как декларативный мультипровайдерный путь создания кластеров
🔹 2. Kubeflow & Kubeflow Pipelines для ML окружений
🔹 3. Pulumi как гибкий и расширяемый IaC
🔹 4. GitOps подход и конкретно ArgoCD имплементация

Палец вверх если у этих технологий действительно есть шанс, палец вниз если я это сам себе придумал, и краба - если пока еще не понятно.

Ссылку на подкаст я отправлю следующим постом ⬇️

QAGuild S03E08: Про DevOps и немного про релокацию в США

Пока вы жарили шашлыкян, мы записывали подкаст. В этот раз у нас в гостях был DevOps инженер🤭.

Обсудили темы от начала времен, как найти первую работу, какие инструменты учить. В конце узнали кучу полезного о переезде в США.

Приятного прослушивания🎧

https://automation-remarks.com/2020/qaguild-s03e08/index.html

DevOps Days Kyiv: From Home

Начиная с четверга и по субботу (14-16 мая), вечером, пройдет онлайн конференция DevOps Days Kyiv: каждый докладчик интересен по-своему, но закрывать мероприятие будет Kelsey Hightower из Google 🙂

Очень круто, что организаторам удалось пригласить настолько знаменитого докладчика.

Конференция бесплатная, регистрируйтесь по ссылке: 👇

https://devopsdays.com.ua/fromhome/

DevOps Fest Online - 5-6 июня 2020

DevOps Fest, который планировался как офлайн мероприятие таки состоится, но удаленно: и это супер круто, что организаторы сумели договориться с докладчиками.

Эта конференция платная (2 дня в 3 потока), билеты можно купить тут:
https://www.devopsfest.com.ua/

О стандартной скидке в 10% я, понятное дело, договорился:
D-DIGEST-10

И теперь самое главное:
У меня получилось договориться о трех (3️⃣!) призовых билетах для подписчиков нашего канала. Нужно сделать два шага:
🔹Пригласить в канал друга или коллегу, которому с нами будет интересно
🔹Заполнить форму: https://forms.gle/UDhx4aRj9wJNMKi9A

Победителей будем награждать в понедельник (18-го мая, в 20:00) билетом на все дни, доступом к видео, Q&A со спикерами и остальными плюшками.

kubectl apply -f pognali.yaml && kubectl apply -f vse-dlia-vas.yaml

DevOps дайджест #32: применение Helm, Kustomize, ArgoCD и релиз Vitess

В выпуске: Lens — Kubernetes IDE, новые регионы в AWS (Африка), изменения в Grafana 7.0, TPUs в Google Cloud и новая книга от Google SRE.

https://dou.ua/lenta/digests/devops-digest-32/

Поздравляем! 🔥

Ребята, которые возьмут участие в DevOps Fest:
1. @t_petro
2. @sashagorban
3. @Replmaster

Отпишите пожалуйста мне в личку, и я вышлю билеты.
Всем спасибо за участие 🙂

Grafana v7.0 released

Ключевые изменения:
1) Tracing + Jaeger datasource
2) AWS CloudWatch out of the box 🙂
3) New table panel, auto layout mode

Более детально в блоге:
https://grafana.com/blog/2020/05/18/grafana-v7.0-released-new-plugin-architecture-visualizations-transformations-native-trace-support-and-more/

Также, сейчас проходит GrafanaCon 2020 (May 13-29):
https://grafana.com/about/events/grafanacon/2020/

kubie: kubectx + kubens

Нашел очень интересную тулзу для CLI управления кубконфигами: kubie. Совсем маленькое приложение, которое объединяет в себе kubectx (для переключения контекста) и kubens (для переключения неймспейсов).

Переключиться можно легко и просто:

kubie ctx <context> -n <namespace>

Из интересного - разработчики планируют сделать интеграцию с Vault, чтобы динамически забирать оттуда конфиги. Очень удобной экосистемой обрастает Kubernetes: сейчас у меня это Lens + kubie 🙂

https://github.com/sbstp/kubie

serverless.tf - Doing serverless with Terraform

Набор практик и инструментов, модулей и интеграций (в будущем) как делать serverless в современном мире.

Пока что на стадии beta, т.е. Антону Бабенко можно помочь имплементировать задуманное 🙂

Уже сейчас есть качественные и правильные практики для AWS (в разделе Development Workflows): CodeDeploy + aliases (для rolling, canary, rollbacks стратегий).

На данном этапе заслуживает звездочки на Github и доверия на будущее 👍

https://github.com/antonbabenko/serverless.tf

Introducing Twingate

Twingate - корпоративный VPN сервис по концепции Zero Trust Networking, над которым я сейчас работаю. По сути, эта штука дает возможность заменить старый и ламучий OpenVPN, настроить интеграцию с разными SSO (например, Okta) и предоставлять доступ на основе ACL.

Если чуть детальнее, то работает это вот так. Допустим, есть VPC с внутренними ресурсами (админки, веб интерфейсы, базы данных, т.п.). Из вариантов доступа туда:
- bastion host
- OpenVPN

Bastion host нужно менеджить, пробрасывать через него порты, управлять фаерволлом и еще кучу всего. OpenVPN - это очень легко вначале, но очень геморойно и не супер стабильно на большом скейле. Наверное, все получали сертификаты в Slack 😞

Такие решения подходят и работают, но в современных инфраструктурах их бы строить не хотелось. В общем, третий вариант - это развернуть Twingate Access Node (в Docker) без External IP, в админке указать SSO провайдер и все. Работает.

Варианты реализации описаны в книге от Google - "Building Secure & Reliable Systems".

По моему мнению, в ближайшие год-два реализация корпоративного доступа с OpenVPN перейдет на подобные решения. Из наших конкурентов - Google BeyondCorp и Tailscale, посмотрите на них тоже 🙂

Более детально о Twingate можно почитать тут:
https://www.twingate.com/blog/introducing-twingate?utm_source=share&utm_medium=social&utm_campaign=Oleg

FYI: на страницу с ценами можно не смотреть, т.к. у нас еще в принципе нет биллинга 😁 (это значит, что уже можно брать и тестить)