השבוע הפינה בחסות: INTEL & AWS Meetup Innovation Series
מתחילים את השבוע עם סיכום השבוע החולף בעננים. כמו תמיד, כל מי שמעוניין לתרום או לציין נושא חשוב שפספסנו, מוזמן לפנות אלינו: support@israelclouds.com
סיכום השבוע בתחום מחשוב ענן בארץ ובעולם:
מנכ"ל GCP נאשם בתביעה השלישית של חברה גרמנית המנסה להביא את אורקל לבית המשפט
אורקל נתבעת בבית משפט על כך שניפחה לכאורה, נתוני הכנסות מענן וחייבה לקוחות להצטרף לשירותי הענן שלה בניגוד לרצונם. את התלונה הגישה חברת Union Asset Management AGהגרמנית בבית משפט בקליפורניה. בתביעה מצוין כי למנהלים הבכירים בחברה הייתה מוטיבציה לנפח את הנתונים, משום שהם מתוגמלים על הכנסות החברה. בין הנתבעים גם מנכ"ל ענן גוגל כיום, תומאס קוריאן, שבעבר ניהל את הענן של אורקל.
בתביעה נטען כי אורקל גרמה ללקוחותיה לחרוג מגבולות רישיונות השימוש שלהם, וכשמצאה חריגות, איימה בעונשים כבדים. לאחר מכן הציעה ללקוחותיה שהיא תפחית או תבטל את עונשיהם, אם ירכשו מנוי לשירות ענן לטווח קצר, שללקוחות לא היה עניין בו.
מתקפה זדונית מתוחכמת על שרתים העוקפת את חומת האש
במהלך חיפוש אחר תוכנות זדוניות בשרתי תשתיות ענן המתארחים ב-AWS, התגלתה מתקפה מתוחכמת על השרתים, המשתמשת בשילוב ייחודי של טכניקות כדי להתחמק מזיהוי, ומאפשרת לנוזקות לתקשר בחופשיות עם הפקודות ועם שרתי הפיקוד שלה באמצעות חומת האש, שבנסיבות רגילות, אמורה למנוע מהתקשורת הזו להגיע לשרת הנגוע.
תוכנה זו התגלתה אומנם בשרתים של AWS, אולם הבעיה אינה ב-AWS בלבד, ונחשפה כאן שיטה לתעבורת אינטרנט לגיטימית, שיכולה לעקוף את מרבית חומות האש. לאחר ניתוח של המערכת הזו, התגלו גם מארחים נגועים של לינוקס וגם מערכת של ווינדוס שנפרצה בדרך דומה.
בכנס RSA הושקו התקני אימות ביומטריים ללא סיסמה עבור Microsoft Azure AD
שני אמצעי אבטחה ביומטריים חדשים לשימוש באמצעות USB עבור Microsoft Azure Active Directory יוצגו בכנס RSA השנה. FeitianTechnologies תציג אפשרות אימות באמצעות טביעת אצבע, כדי למנוע את הצורך מאימות באמצעות סיסמה. בנוסף, eWBM תחשוף את מפתח האבטחה האחרון שלה, המזהה אף הוא טביעת אצבע. אמצעי האבטחה הללו מייתרים את הצורך באימות באמצעות סיסמאות, שאינן משמשות עוד כמנגנון אבטחה יעיל.
שמחים להציג: פלטפורמת JFrog DevOps החדשה
פלטפורמת DevOps של JFrog, היא חלק מרצונה של החברה להגשים את חזונה בנוגע לעדכוני תוכנה הזורמים כל הזמן, בכל מקום ובמינימום מאמץ. הפלטפורמה החדשה מאחדת את כל מוצרי JFrog מקצה לקצה ל"one-stop DevOps".מהדורה זו כוללת ניהול חבילות משופר ויכולת חיפוש משופרת, המפשטת את חוויית החיפוש. כמו כן, מוצג כאן ממשק משתמש מאוחד, הרשאות מאוחדות ונתונים מאוחדים, יחד עם מערכת לאוטומציה משופרת ולזרימה יעילה של מידע. בפלטפורמה זו אפשר להשתמש בין אם מפעילים פתרון DevOps עצמאי (on-prem), בענן, בסביבה היברידית או בסביבה מרובת עננים. כך שהשימוש במוצר מתאים לכל סביבת עבודה ומאפשר עבודה יעילה ויכולת בחירה.
הקבוצות של קהילת מחשוב הענן בישראל
שאלות ותשובות מהאקו-סיסטם שלנו השבוע:
שאלה 1:
היי חברים,
יש לנו eks שהיינו שמחים שכל הבקשות מתוך ה-pods ייצאו מכתובת IP אחת. כרגע כל פעם שקם לו node הוא מקבל public ip ואז הבקשות ממנו נחסמות אצל לקוחות שיש להם white list שלנו. איך עושים זאת? תודה
תשובה 1:
אתה יוצר 2-3 subnets (כמספר ה-az שאתה עובד בהם), קורא להם private subnet, את ה-nodes של eks מרים לתוך הסאבנטים האלה (ההגדרה ב-auto scale group). ב-route table של כל אחד מהם מנתב את הטראפיק - 0.0.0.0/0 דרך nat gw שאתה יוצר. עכשיו זאת הטעות שכולם עושים תמיד ושורפים מלא זמן, את ה-nat gw אתה יוצר ב-public subnet, שה-route table שלו הוא 0.0.0.0/0 ל-igw. בד״כ יוצרים את זה ב-private ואז לא מבינים למה השרתים לא יוצאים לאינטרנט. אם אתה עובד הרבה עם s3 או עוד שירותים, תיצור vpc endpoint, זה יצמצם לך בהרבה את ה-processing fee של ה-nat gw.
יש עוד פתרון, שזה להצמיד elastic ip ל-nodes.
שאלה 2:
אני מקים אצלנו כרגע POC לעניין, הסיטואציה בגדול היא כזאת:
יש לי קלאסטר של Nginx שמתפקד כLB לשירותים שלנו, יש לי כל מיני סרוויסים שעושים בו שימוש (פודים של K8S וגם VM's רגילים שנותנים שירות), כמות הפודים והVM's היא דינאמית ועולה ויורדת לפי צורך. אני צריך שירות שידע לעדכן לי את הקובץ קונפיג של הNGINX בהתאם לפוד/VM שזמין לתת שירות
תשובה 2:
לקובספריי יש פתרון יפה שמחליף load balancer בפתרונות on prem
“Kubespray includes support for an nginx-based proxy that resides on each non-master Kubernetes node”
https://github.com/kubernetes-sigs/kubespray/blob/master/docs/ha-mode.md
באופן כללי זה כלי נהדר להתקין איתו קלאסטר on prem. אנחנו משתמשים בו בסביבות מרובות ללא אינטרנט והוא מעולה. עדיף כמובן LB אמיתי, אבל אם אין....
שאלה 3:
אהלן קהילה, מחפש פתרון להנגשת מסמכים עם מידע חסוי לצוותי שטח ללא צורך בהורדת הקובץ למכשיר ואפשרות להצפנת הקבצים והעברתם במייל.
תשובה 3:
או להוריד את RU למינימום.. או להעתיק את ה-DATA ל-STORAGE ולמחוק את השירות
רוצים להתעדכן בתכנים נוספים בנושאי ענן וטכנולוגיות מתקדמות? הירשמו עכשיו לניוזלטר שלנו ותמיד תישארו בעניינים > להרשמה