AWS Notes

ALB + HTTP/2 + gRPC: https://aws.amazon.com/blogs/aws/new-application-load-balancer-support-for-end-to-end-http-2-and-grpc/ #ALB

Serverless - одна из технологий, которая кардинально изменила методы создания и архитектуры современных приложений. AWS Lambda - сервис реализующий эту концепцию был запущен в начале 2015 года и с тех пор получил огромное количество обновлений. Недавно был представлен Extensions for AWS Lambda - совершенно новый подход по интеграции Lambda с привычными вам инструментами мониторинга, наблюдения, безопасности и управления. Несколько дней назад мы опубликовали статью на русском языке об этом подходе: https://aws.amazon.com/ru/blogs/rus/building-extensions-for-aws-lambda-in-preview/

​​AWS Confidential Computing Амазон выкатил новую фичу AWS Nitro Enclaves: https://aws.amazon.com/blogs/aws/aws-nitro-enclaves-isolated-ec2-environments-to-process-confidential-data/ Что такое Confidential Computing? Достаточно популярны и известны подходы к защите данных путём их шифрования at-rest и in-transit. Однако есть ещё третья часть, самая сложная и проблемная — in-use. Ведь при выполнении приложения сохранённые и присланные данные должны быть расшифрованы и тут их враги всегда имеют возможность подменить или утащить. Исторический экскурс Решить этот вопрос программно невозможно по определению. Для решения такой задачи в 2015-м году (Core 6-го поколения) у Intel появились расширения Intel SGX: https://habr.com/ru/company/intel/blog/385171/ На базе этого решения два года назад в Ажуре появилась первая реализация Azure Confidential Computing: https://software.intel.com/content/www/us/en/develop/blogs/microsoft-azure-confidential-computing-with-intel-sgx.html Виртуалки на базе Ubuntu 14 с драйвером Intel SGX под Java тогда не шибко радовали простотой/стабильностью эксплуатации, но таки работали. В частности на них работал популярный опенсорсный защищённый мессенжер Signal, который переехал на эту технологию для защиты данных пользователей, гарантирующей, что никто никогда физически не получит информации о ваших контактах (что реально круто). https://signal.org/blog/private-contact-discovery/ Спустя год после Intel (в 2016-м) у AMD появилась своя реализация AMD SEV, которая в отличие от Intel SGX была ориентирована на виртуалки: https://habr.com/ru/company/eset/blog/308968/ Шли годы, смеркалось. У AWS по-прежнему не было своего варианта для особо озабоченных безопасностью пользователей. Даже у GCP уже в бете стали доступны Confidential VMs на последних AMD Epyc с реализацией AMD SEV: https://habr.com/ru/company/southbridge/blog/518564/ И вот, наконец, наши — AWS Nitro Enclaves! Название «AWS Confidential Computing» придумано мною — просто для аналогии с другими. Совершенно изолированный Docker Борьба с уязвимостями Docker бесконечна. Но с помощью Nitro Enclaves (сокращённо NE) она может быть решена! Поднимаем виртуалку с поддержкой NE, в ней с помощью nitro-cli конвертируем наш докер-образ в eif-формат и запускаем абсолютно изолированный докер! Что не совсем корректно, т.к. всё же это отдельная виртуалка, но по сути именно так. На текущий момент можно запустить лишь один анклав (или как правильно это называть?) на виртуалку, но в будущем обещают больше. Как это работает? Deep Dive в технологию ждём на реинвенте. Кстати, напоминаю, что он в этом году бесплатный онлайн - регистрируйтесь! https://register.virtual.awsevents.com/ ...продолжение следует. #Nitro

​​Сравнение возможностей хранения файлов для Лямбды: https://aws.amazon.com/blogs/compute/choosing-between-aws-lambda-data-storage-options-in-web-apps/ #Lambda

SAML аутентификация для Кибаны: https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/saml.html #ES

🔸🔷🔴CloudSecDocs - very cool website about AWS, GCP, Azure and Container Security For this moment: - Access Management - Infrastructure Security - Logging & Monitoring - Compute - Storage - Dev - Offensive / Pentest - Devops cloudsecdocs.com #aws #azure #gcp

​​AWS Community Day Amsterdam Online: https://awscommunityday.nl Отличные доклады, солидные спикеры, присоединяйтесь! 27 октября в 14:40 по Минску/Москве (13:40 по Киеву).

​​Шаринг CloudWatch дашбордов: https://aws.amazon.com/blogs/mt/communicate-monitoring-information-by-sharing-amazon-cloudwatch-dashboards/ Крутая фича, появившаяся в 2020-м году. Очень стоит как минимум попробовать. Для кого-то возможность так легко шарить графики (и логи тоже, кстати) может стать весомым аргументом в пользу использования CloudWatch как основного средства логирования/мониторинга/алертинга. #CloudWatch

Один ALB балансер для всех ингрессов: https://aws.amazon.com/blogs/containers/introducing-aws-load-balancer-controller/ Раньше на каждый ингресс создавался отдельный ALB, теперь же можно использовать один (общий для разных/нескольких ингрессов), как для ELB (Classic балансера). #ALB #EKS

https://pages.awscloud.com/EMEA_FIELD_WEBINAR_DevdayMAD_20201015_7010z000001LtjX_On-Demand-Confirmation.html?sc_channel=em&sc_campaign=emea20_devdayonlineq4&sc_medium=em_309568&sc_content=REG_event_ev_field&sc_geo=emea&sc_country=mult&sc_outcome=reg&sc_publisher=aws&trkCampaign=emea20_devdayonlineq4&trk=em_thankyousurvey_loc-309568_emea20_devdayonlineq4 , запись с последнего devday

Новые максимумы CloudFormation: 100 → 200 mappings 64 → 200 mapping attributes 60 → 200 outputs🔥 60 → 200 parameters🔥🔥🔥 200 → 500 resources🔥 460,800bytes → 1Mb size of template https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cloudformation-limits.html Это заняло долго, почти десять лет. Максимальные 60 параметров всегда было больно, 200 — это серьёзное улучшение. Однако, соглашусь с гуру CloudFormation, что, скорей, это из-за CDK, использующего его под капотом, а не попытка оживить CloudFormation. #CloudFormation

Чем дальше в лес, тем толще CloudFormation! https://www.youtube.com/watch?v=8Zo_om-liTg #CloudFormation #video

​​Экспорт RDS снэпшотов на S3: https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ExportSnapshot.html Аналогично для Aurora: https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/USER_ExportSnapshot.html #RDS #S3

Используем существующий Cognito с Amplify: https://aws.amazon.com/blogs/mobile/use-existing-cognito-resources-for-your-amplify-api-storage-and-more/ #Amplify

Master-аккаунт #Organizations переименовали в Management-аккаунт. https://docs.aws.amazon.com/organizations/latest/userguide/document-history.html Как несложно догадаться — в рамках борьбы с master ветками и прочими нетолерантными терминами. === В связи с этим интересно узнать, что вы думаете по этому поводу. Стоит избавляться от подобных названий? (master → main или как в данном случае master → management) #опрос

По-настоящему приватная Лямбда с поддержкой AWS PrivateLink: https://aws.amazon.com/blogs/aws/new-use-aws-privatelink-to-access-aws-lambda-over-private-aws-network/ Теперь можно вызывать Лямбду из своей VPC или on-prem без выхода в интернет. #Lambda #PrivateLink

==================================================== Хочу поделиться хорошей статьей, но для начала немного истории: Летом прошлого года у AWS_RU(https://t.me/aws_ru) сообщества был Meetup в Райффайзен банке (запись https://habr.com/ru/company/raiffeisenbank/blog/458420/) на котором Петр Борисенко из Synergy team рассказывал как они начали использовать AWS IoT для нового проекта. Сейчас система закончена и Synergy team выпустила несколько статей с подробным рассказом об архитектуре своей системы. Приятного чтения! Вторая часть https://habr.com/ru/company/synergy/blog/524348/ Первая часть https://habr.com/ru/company/synergy/blog/517798/

Amazon EventBridge с хорошими улучшениями: https://aws.amazon.com/blogs/compute/improved-failure-recovery-for-amazon-eventbridge/ #EventBridge