AWS Notes

🆕 AWS Lambda MicroVMs = Lambda + Dockerfile + Firecracker 🎉 TL;DR: Lambda Function: stateless → максимум 15 минут. Lambda MicroVM: stateful → максимум 8 часов. https://aws.amazon.com/blogs/aws/run-isolated-sandboxes-with-full-lifecycle-control-aws-lambda-introduces-microvms/ Идея — каждому юзеру, сессии или AI-агенту выдаём отдельную Firecracker MicroVM на время работы. Причём не "Lambda с Dockerfile", а stateful sandbox с lifecycle control: launch → suspend → resume → terminate Как собирается: 1. Код + Dockerfile (zip) → S3. 2. Lambda запускает Dockerfile, поднимает приложение и делает снэпшот памяти и диска. 3. Каждый run-microvm стартует независимую MicroVM из сделанного снэпшота. 4. На каждую MicroVM выдаётся свой HTTPS endpoint. Что получаем: - VM-level isolation: отдельный kernel, memory space и disk state - быстрый старт и resume из snapshot - сохранение memory + disk state до 8 часов - HTTP/1.1, HTTP/2, gRPC, WebSockets и SSE - обязательная JWE-аутентификация на endpoint - Internet egress по умолчанию или VPC egress через network connector Платим за: - выбранный baseline - peak usage выше baseline - snapshot read/write operations - snapshot storage - data transfer При suspend биллинг лишь за storage. Размеры на старте: - baseline: 0.5–8 GB RAM и 0.25–4 vCPU - peak: до 32 GB RAM и 16 vCPU - disk: до 32 GB - пока только ARM64 - регионы: us-east-1, us-east-2, us-west-2, eu-west-1, ap-northeast-1 Для чего задумано: - AI/code execution sandboxes - Claude/agent sessions - browser IDE - Jupyter/data analytics - CI/CD workers - vulnerability scanning #Lambda

🆕 AWS Continuum 🎉 https://aws.amazon.com/blogs/security/introducing-aws-continuum-security-at-machine-speed/ Continuum for code vulnerabilities operates in four continuous phases.

Discovery: Security teams tackle a backlog of vulnerabilities, and many are already using frontier models to find more. Continuum starts by ingesting that existing backlog and performing its own vulnerability scan of your environment. This creates a more comprehensive view of vulnerabilities and the associated attack paths.

Prioritization: Continuum uses context to evaluate, enrich, and prioritize every finding. Is the affected component deployed, is it reachable, is it in a production path, and what would the business impact be if exploited? The result is an evidence-backed list of priorities, allowing Continuum and your team to focus on what’s most important.

Validation: Continuum validates findings to surface false positives before they waste your team’s time. It contextualizes vulnerabilities against your environment. It then constructs working exploit examples in a sandboxed environment that provide concrete, reproducible evidence of the issue.

Mitigation and remediation: Continuum assesses existing defenses around a validated issue, including blocking and compensating controls along with detection mechanisms. It then draws on its understanding of the codebase, context, and findings to recommend mitigation or remediation of the vulnerability with a network change, policy change, or code patch. The patch recommendation is validated using the same system that confirmed the vulnerability. It also provides blast radius visibility and rollback paths where feasible.

#Continuum #security

RFC-042 Junior as Claude Code Proxy Problem Claude Code is great. Claude Code invoice is not. Current architecture Developer → Claude Code Enterprise → code Proposed architecture Developer → Junior → Personal Claude Code Subscription → code Implementation Vacancy requirements: - Experience: not required - Claude Max subscription: required (own device, own card) Benefits - Zero API costs - BYOT (Bring Your Own Tokens) approach - Human-managed LLM Gateway Known limitations - Rate limit after 18:00 and on weekends - Autoscaling exclusively via the hiring plan - Token context window: ~30s (5s after lunch) - Bus factor: 0 Open questions - Do we need a junior-of-the-junior for redundancy? - Should we add a second junior for high availability? Decision Approved. Looks cloud-native enough.

ВСТРЕЧА 18 ИЮНЯ в 15:00 CEST в Microsoft Teams Продолжаем наш цикл встреч, посвященных AI Dark Factory — модели разработки, где рой автономных AI-агентов ведёт задачи через весь цикл: от тикета до кода, ревью и тестов. Запись первой встречи про саму концепцию фабрики: https://www.youtube.com/watch?v=LCAV1HfvdGE. Вторая встреча будет про экономику фабрики: ✦ из чего складывается реальный счёт фабрики — токены, циклы (loops), минуты CI/CD-раннеров — и почему выбор модели решает больше, чем цена за токен ✦ API-гигиена: как срезать до 40% токенов, выкидывая мусор из ответов внешних тулов ✦ сжатие промптов через Mermaid-диаграммы ✦ индексация кодбазы вместо чтения файлов целиком ✦ роутинг моделей: почему важнее считать циклы, а не цену токена ✦ кеширование раннеров и окружений СПИКЕРЫ: ▪️Uladzimir Klyshevich, Director, AI Technology Solutions в EPAM Systems ▪️Ira Skrypnik, Senior Product Manager в EPAM Systems РЕГИСТРАЦИЯ: https://wearecommunity.io/events/inside-the-dark-factory-tokenomics

Как дать доступ к RDS базе в другой VPC (с таким же CIDR) в другом AWS аккаунте — восемнадцатый способ VPC resource gateways 🎉 https://aws.amazon.com/blogs/networking-and-content-delivery/vpc-resource-gateways-implementation-patterns-and-use-cases/ Resource Gateway + Resource Endpoint теперь самый дешёвый способ (с поправкой когда VPC Peering не вариант) прокинуть доступ к RDS в другой VPC — без NLB, без PrivateLink, без смс и регистрации. Чтобы увидеть доступные варианты на сейчас для таких кейсов табличка сравнения прилагается в комментариях. Краткая сводка для выбора нужного варианта соединения: Cheapest and CIDR OK VPC Peering Specific private TCP resource Resource Gateway direct Same resource to 5+ VPCs Resource via Service Network Service auth/governance VPC Lattice Service Network hub/on-prem TGW Enterprise global WAN Cloud WAN Classic SaaS/provider endpoint NLB + PrivateLink #VPC

Service: Amazon Bedrock Region: 🇺🇸 US East (N. Virginia) Fable 5 and Mythos 5 Access To support compliance with the US Government export control directive, Anthropic has asked us to revoke access to Claude Fable 5 and Claude Mythos 5 for all users in all regions. All other models, including Opus4.8, are not affected and you can continue using them in full confidence. Please view the Anthropic statement for further details: https://www.anthropic.com/news/fable-mythos-access

In terraform plan we trust! #friday

More AI-generated code doesn't make your team faster. It might actually slow you down.

https://x.com/awscloud/status/2064449711155589396 #AI #YouAreAbsolutelyRight #friday

ВСТРЕЧА 15 ИЮНЯ в 17:00 CEST Где: в Microsoft Teams Приглашаем на встречу SPEC-DRIVEN DEVELOPMENT (OpenSpec) + BDD (Gherkin) + TDD + RULES РЕГИСТРАЦИЯ: https://wearecommunity.io/events/sdd-bdd-tdd ОПИСАНИЕ: AI-агента можно рассматривать как умного и трудолюбивого разработчика, который при этом может забывать особенности вашего приложения, подходы команды и стандарты разработки. Поэтому ваша роль как разработчика — создать для него условия работы, компенсирующие эти недостатки: грамотно ставить задачи, фиксировать важный контекст, контролировать результат и следить за качеством. Каждый инструмент в этой связке закрывает свою часть процесса. Спецификация (SDD) объясняет, почему и что нужно сделать. BDD-сценарии описывают, как проверить результат. TDD помогает подтвердить корректность кода. А Rules фиксируют стандарты и договоренности, по которым должен работать AI-агент на проекте. СПИКЕР: ▪️Сергей Котликов, Engineering Manager в ITS Partner. 20 лет в ИТ, в прошлом тимлид и Java Backend-разработчик.

Graviton 5 инстансы m9g доступны в AWS консоли: https://aws.amazon.com/ec2/instance-types/m9g/ Цены на 9% выше m8g при на 25% большей производительности, что делает m9g самым эффективным выбором по параметру производительность/цена. #Graviton

Можно ли говорить "не видишь, я работаю", когда Claude Code шуршит агентами по логам и кодовой базе, а ты смотришь ютюбчик? #философское #агенты #пятничное

🆕 AWS FinOps Agent 🎉 https://aws.amazon.com/blogs/aws-cloud-financial-management/aws-finops-agent-is-now-public-preview/

AWS FinOps Agent investigates cost anomalies the moment they appear and routes findings to the owner automatically.

https://aws.amazon.com/finops-agent/

You can try AWS FinOps Agent today in the US East (N. Virginia) Region.

The agent itself runs in the US East (N. Virginia) Region, and it can manage costs across AWS Regions and accounts when set up in the management account.

During the preview period, you can use the AWS FinOps Agent at no charge, with a monthly usage limit. Standard charges apply for other AWS Services used in connection with the AWS FinOps Agent.

#AI #agents

Если тебе прилетела нотификация от AWS:

Our records indicate that one or more applications in this account made AWS API calls using the AWS SDK for Java 1.x within the last 30 days. The AWS SDK for Java 1.x reached end of support on December 31, 2025

И ты судорожно ищешь, где у тебя в зависимостях закралась древняя Java SDK 1.x — расслабься, пятница, в конце концов. У тебя всё ОК. И даже круче — ты используешь лучшие практики и правильно делаешь. Почти гарантированно все алерты в твоих окружениях будут от: userAgent - aws-internal/3 - aws-sdk-java/1.12.797 Linux/... OpenJDK_64-Bit_Server_VM/17.0.19 Что значит, что они генерируются изнутри AWS aws-internal/3 при логине через IAM Identity Center и переключении в роль AssumeRoleWithSAML. То есть древняя SDK for Java 1.x не у тебя, а у AWS. P.S. В AWS явно не читали классику:

Главное, в ходе следственных действий не выйти на самих себя.

— Успеете до дедлайна? — Успеем, но дедлайн придётся перенести. #пятничное

EKS + Kubernetes 1.36 🎉 Спустя официального релиза 1.36 прошло чуть больше месяца и теперь на AWS снова актуальная версия. 💪 Сделанный в прошлый раз прогноз на эту версию был достаточно точным (ошибка 3 дня). https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html Версия 1.37 должна официально выйти 26 августа, так что поставлю, что 1.37 на AWS появится 7 сентября. На текущий момент на AWS доступны для установки: ▫️ EKS Auto Mode: версии 1.33 - 1.36. ▫️ Custom configuration: версии 1.30 - 1.36. Рекомендации по версиям EKS: ❌ EKS 1.29 и древнее — не поддерживаются. ❎ EKS 1.30-1.31 — поддерживаются за дополнительную плату. ❗️EKS 1.30 — перестанет поддерживаться совсем 23 июля (будет принудительно обновлён до 1.31) ❗️EKS 1.31 — перестанет поддерживаться совсем 26 ноября (будет принудительно обновлён до 1.32) ⚠️ EKS 1.33 — начнёт взимать дополнительную плату 29 июля. ⚠️ EKS 1.34 — начнёт взимать дополнительную плату 2 декабря. ✔️ EKS 1.35 — минимально рекомендуемая на текущий момент (на дефолтной поддержке до 27 марта 2027 года). ✅ EKS 1.36 — можно спать спокойно до 2 августа 2027 года. #EKS

Приглашаем на встречу AI И КИБЕРБЕЗОПАСНОСТЬ в рамках Клуба по проектированию и разработке AI-систем. Когда: 3 июня 2026 в 17:00 CEST Где: Microsoft Teams РЕГИСТРАЦИЯ: https://wearecommunity.io/events/ai-in-cybersecurity ОПИСАНИЕ: ▪️Mythos, Daybreak - откуда столько хайпа? ▪️CopyFail и другие баги, найденные с помощью ИИ ▪️Что со всем этим может сделать обычный пользователь Claude Code / Codex СПИКЕР: ▪️Vladimir Fedotov, Security Architect II в EPAM Systems

Всех c с началом лета! 🔥 Выпущена 0.31.1 версия платформы для изучения SRE! 🔥 GitHub 📌 Что нового: - k8i kubectl plugin был добавлен в официальные плагины kubectl krew - Добавлена лабораторная работа 03 EKS.Application Autoscaling with KEDA and Prometheus based on rps . - добавлена субкоманда analize к k8i kubectl plugin . показывает все воркloады, запущенные на выбранном наборе узлов. Для каждого воркloада отображается namespace, тип, имя, количество подов и агрегированные CPU/память (requests, limits, usage). 🧪 Доступные пробные экзамены: CKA CKAD CKS ICA KCNA KCSA LFCS 🧪 Доступные лабораторные работы Скрипты и видео с решениями экзаменов: документация ping-pong сервера Отличного настроения и незабываемого лета . Пусть ваш прод живёт без падений!

ExtendDB = DynamoDB для своего железа https://aws.amazon.com/blogs/database/introducing-extenddb-an-open-source-dynamodb-compatible-adapter-with-pluggable-storage-backends/ Для хранения используется PostrgreSQL, то есть ExtendDB это только адаптер: ExtendDB + PostrgreSQL = DynamoDB Написана, понятное дело, на Rust. И теперь можно DynamoDB local можно списывать в утиль. #DynamoDB