Дек. 22

DevOps дайджест #28: Kubernetes 1.17, Kubernetes Admission Controllers, CoreOS Clair и Flan Scan

В выпуске: Kubernetes production best practices, Serverless — Lessons learned, What’s new in RHEL 8.1, поддержка CoreOS Clair в AWS ECR.

Kubernetes

Kubernetes 1.17: обзор основных новшеств

Кратко о новом:

topology-aware service routing (роутинг внутри одной A-Z, например);
одновременная работа IPv4/IPv6;
CSI Migration в beta;
автоматические labels для клауд провайдеров;
форматы вывода kubeadm (json, yaml, etc).

Kubernetes at Pinterest
Интересная статья о том, как Pinterest внедрял у себя Kubernetes с собственными CRDs. Сама статья не новая, просто мне попалась недавно.

Kubernetes made my latency 10x higher
Довольно провокативная статья от Galo Navarro, Principal Software Engineer в Adevinta, которая привлекла много внимания на Hacker News. Автор пытается донести, что прежде чем обвинять конкретный инструмент, нужно исследовать систему в целом. Также есть перевод от Флант.

Diving into Kubernetes MutatingAdmissionWebhook
В статье глубоко описан механизм реализации sidecar injector на основе MutatingAdmissionWebhook. Статья более advanced, будет интересно рассмотреть внутренную архитектуру Kubernetes webhook и как на них построить автоматическое добавление sidecar контейнера на основе аннотаций.

Kubernetes Admission Controllers

Kubernetes production best practices
Отличный список, который описывает множество аспектов деплоймента Kubernetes. Проверьтесь по чеклисту, будет полезно.

AWS

Announcing Image Scanning for Amazon ECR
Cканирование докер образов на основе CoreOS Clair теперь доступно из коробки для тех, кто ипользует docker registry от AWS.

CoreOS Clair теперь доступен в AWS Elastic Container Registry

Amazon CloudWatch Anomaly Detection is now available in all commercial AWS regions
Обнаружение аномалий для тех, кто использует метрики CloudWatch.

Increase AWS Single Sign-On security with multi-factor authentication using authenticator apps
Хорошая новость для тех, кто использует AWS Single Sign-On Identity Provider — добавлена поддержка Virtual MFA устройств.

Introducing Savings Plans
Анонсирована новая модель скидок, не привязанная к типам виртуальных машин для тех, кто использует On Demand Amazon EC2 и Fargate.

AWS supports Automated Draining for Spot Instance Nodes on Kubernetes Позволит более уверенно использовать Spot Instances для K8s (EKS или self-hosted). Реализовано с помощью aws-node-termination-handler.

Introducing Amazon EC2 M5n, M5dn, R5n, and R5dn instances featuring 100 Gbps of Network Bandwidth
Новые типы инстансов с улучшеной поддержкой сети (до 100 Gbps).

Introducing Availability of Amazon EC2 A1 Bare Metal Instances
Самый дешевый на сегодняшний день bare-metal instance от AWS на архитектуре ARM.

EC2 High Memory Instances with up to 24 TB of memory
Если не хватает памяти в AWS, стало возможным заказать сервера с 24 TB RAM.

New Digital Course on Coursera — AWS Fundamentals: Migrating to the Cloud
Новый курс на Coursera про миграцию в AWS.

Google Cloud

Introducing Batch on GKE
Google аноносировал интересное cloud-native решение для оптимизации запуска batch workloads. Таким образом batch привносит функциональность традиционного джоб шедуллера. Итак, добро пожаловать тестировать и использовать.

Accelerate GCP Foundation Buildout with automation
Зарелизили Cloud Foundation Toolkit — темплейты, которые помогут построить облачную инфраструктуру согласно best practice. Уже включены более 60 Терраформ модулей.

Полезно почитать

How to build a startup engineering team
Startups are hard. Engineering leadership is hard. People are hard. Когда я решу сделать свой стартап, прочитаю статью более детально. А на данный момент она будет полезна в том числе, чтобы понимать и видеть сторону менеджмента в стартапах.

Serverless — Lessons learned
Каждый должен сделать свой дизайн Serverless архитектуры, если у вас еще не было такого опыта, то лучше почитать статью и избежать основных ошибок. Статья довольно поверхносная, но в то же время абсолютно универсальная и подойдет для практически любой реализации.

8 facts about real-world container use
Статистика о том, как и в каком виде используются контейнеры в инфраструктурах. Куча графиков, сравнений, полезностей. Интересно посмотреть на тенденцию и провести паралель со своим подходом к использыванию. Статистика свежая.

The Service Mesh
Целый лендинг для того, чтобы описать, что же такое «Service Mesh». Лендинг от создателя Linkerd, кстати. Схемы, диаграмы, термины — очень интересно.

1500 microservices at @monzo; every line — enforced network rule

Что-то новое

Injecting Vault Secrets into Kubernetes Pods via a Sidecar
А ведь какое огромное количество костылей раньше было! Кстати, они реализовали sidecar enjection именно через Mutating Admission Webhook, также рассматривается в разделе о Kubernetes.

What’s new in RHEL 8.1: Kernel patching, more Insights, and right on time Неожиданно вовремя (как и планировали) выпустили RedHat 8.1. Новые фичи:

поддержка Live Patching для обновлений ядра;
улучшен ’in-place’ переход с предыдушей, 7-й версии;
поддержка rootless containers теперь официально (используются podman, skopeo, buildah утилиты, совместимые с Docker);
улучшения связынные с SELinux для контейнеров.

Introducing Flan Scan: Cloudflare’s Lightweight Network Vulnerability Scanner
Cloudflare заопенсорсили свой Flan Scan — сканер сетевых уязвимостей (обертка над nmap). Cloudflare также рассказали об их vulnerability management program в целом. По отзывам тех, кто его уже интегрировал: "умеет не только nmap запускать, но и искать уязвимости. На 1 айпишник уходит до 30 секунд (сканирует около 1000 портов на каждый айпи, можно настроить). Если у вас до 200 айпишников, на сканирование уйдет около одного часа.

Flan Scan sample report

AWS re:Invent 2019 Announcement Page
Для тех, кто не попал на AWS re:Invent 2019: посмотрите страничку со всеми докладами. Есть более короткий и хайповый список.

DevOps Fest 2020

20-21 марта в Киеве состоится DevOps Fest 2020. Хоть до конференции еще пару месяцев, но уже анонсировали несколько интересных спикеров:

Kohsuke Kawaguchi — создатель Jenkins, а до этого и Hudson (как я стар);
Baruch Sadogursky — из jFrog, вероятно доклад будет о Artifactory.

Сейчас продаются билеты Smart Bird, и вот еще скидка на −10%: D-DIGEST-10

Видео с конференций

Pavel Dmytrenko — Cluster API bootstrap k8s with k8s
Классный доклад о ClusterAPI, рассматривается со всех сторон + очень крутое демо. Рекомендую посмотреть, как минимум для того, чтобы знать о ClusterAPI.

Скоро добавим еще несколько видео :)

Спасибо

Это крайний дайджест в этом году. Спасибо, что читали, лайкали, репостили и писали коментарии. Каждый дайджест — это большой кусок работы и времени: его нужно сделать таким, чтобы было полезно и небыло лишнего. И, конечно, ничего не забыть. Это большая работа, и я очень рад разделить ее со своей командой. Мы это делаем для вас.

Co-authors

Vlad Voloshyn
Судя по тому, как Влад добавляет новости — он становится весомым соавтором дайджеста. Поэтому подпишитесь на его medium.
Dmytro Gorbunov
Oleksii Asiutin
Andrew Savelyev

Хочу поздравить с наступающим 2020 годом, и пожелать развиваться, не останавливаться на достигнутом. Изучать новые тулы, подходы, практики, имплементировать их в архитектуру и инфраструктуру, помогая вашему бизнесу расти. А мы будем по-прежнему доставать те важные зерна из огромного количества ежедневных изменений в DevOps-мире.

С наступающим 2020 годом!

← Предыдущий выпуск: DevOps дайджест #27