השבוע הפינה בחסות Active Directory, Security & Pizza
מתחילים את השבוע עם סיכום השבוע החולף בעננים. כמו תמיד כל מי שמעוניין לתרום או לציין נושא חשוב שפספסנו, מוזמן לפנות אלינו: support@israelclouds.com
סיכום השבוע בתחום מחשוב ענן בערוצי IsraelClouds ובעולם:
דבר העורך
הממשלה הודיעה כי לא תחדש את ההסכם עם מיקרוסופט אחרי עשרות שנים בהן שלטה מיקרוסופט בתוכנות המשרדיות של משרדי הממשלה, החליט מנהל הרכש הממשלתי באגף החשב הכללי, כי משנת 2019 לא יחודש ההסכם עם מיקרוסופט. ההסכם כלל רכישת רישיונות ל-Office, למערכת ההפעלה Windows ולתוכנות לשרתים המשמשות את יחידות הממשלה.
האם מדובר במניפולציה של הממשלה לצורך שיפור תנאי העסקה? רבים חושבים כי לממשלה אין אלטרנטיבה ראויה וכי בסופו של דבר החוזה מול מיקרוסופט יחודש. בכל זאת, היום יש כמה חלופות למוצרים של מיקרוסופט, ביניהן חבילת התוכנות המשרדיות בקוד פתוח Open Office ו- GSuite של גוגל, הנמכרת בעלות נמוכה ומיועדת לעסקים ולמגזר הציבורי. חלופה אפשרית בתחום מערכות ההפעלה היא מעבר למערכת מבוססת Linux, בה נעשה שימוש על ידי משרד ההגנה האמריקאי שאף דיווח על חיסכון משמעותי בעקבות השימוש בה.
גוגל קלאוד (GCP) הודיעה על השקת שירות מודול אבטחה (HSM) מנוהל בענן - והצטרפה ל- AWS ו-Microsoft Azure אשר מספקות מוצרי אבטחה דומים מזה תקופה.
שירות ה- HSM בענן מבצע אינטגרציה עם שירות Cloud Key Management של Google המאפשר הגנה על נתונים בשירותים כגון BigQuery, Google Compute Engine, Google Cloud Storage ו- DataProc עם מפתח המוגן על ידי חומרה.
יש שיגידו כי גוגל משתרכת מאחור, ושירות זה מגיע באיחור משמעותי לעומת המתחרות, שהרי מיקרוסופט הכריזה על Azure Key Vault, שירות ענן המארח את ה- HSM בגיבוי ענן לניהול מפתחות הצפנה, כבר בתחילת שנת 2015, וגם כלי ה- CloudSM של AWS זמין כבר תקופה ארוכה.
עם זאת, גוגל עובדת על פרויקטים חדשניים אחרים בתחום הענן: מוקדם יותר החודש, הודיעה החברה על השקת שירותי AI מובנים עבור תחום גיוס עובדים, וכמו גם תמיכה ב-Tesla P4 GPUs של NVIDIA, עבור יישומי ML עמוסי גרפיקה.
עדכוני עננים:
Azure
http://bit.ly/microsoft_azure_updates
AWS
http://bit.ly/Amazon_AWS_updates
GCP
http://bit.ly/Google_GCP_updates
קבוצת הפייסבוק וואטסאפ של קהילת מחשוב הענן בישראל
שאלות ותשובות מהאקו-סיסטם שלנו השבוע:
Azure
1. שאלה
Domain controller עם כתובת 10.0.0.2 שעובר דרך asr לכתובת 10.0.0.4, האם הוא יתפקד תקין ברמת ה dns, active directory לאחר שעלה עם כתובת ה- ip החדשה?
תשובה
אם אתה משתמש בו גם כ dns -ב dhcp options -תצטרך כמובן לעדכן שם, וגם צריך לעדכן ב site and services אם אתה משנה subnet
AWS
1. שאלה
ניסיתי להעלות pod של ג'נקינס בקוברניטיס דרך helm, אבל ה- pod במצב pending עם הודעת שגיאה pod has unbound PersistentVolumeClaims, איך אפשר לפתור זאת?
תשובה
תבדוק מה חוזר לך ב-
kubectl describe persistentvolumeclaim ThePVCName
2. שאלה
אני בונה API בעזרת Api GateWay של אמזון ופונקציות Lambda. כרגע התוכנית היא להשתמש ב- DynamoDB לאחסון הנתונים, הבעיה העיקרית היא שכדי לעדכן כמות גדולה של נתונים ב- DynamoDb המחיקה/עדכון יגררו עלויות גבוהות/ירידה בביצועים, שזה מחיר יקר מידי.
האופציה היא להחזיק הרבה טבלאות לפי תאריך ולמחוק לפי הצורך, הבעיה היא שאני אקבל ARN חדש ולפונקציות לא תהיה הרשאה לטבלה החדשה (בהנחה שאני לא משתמש ב *) וגם יהיו כאן עלויות של הכנסה של הנתונים.
השאלה היא האם יש בסיס נתונים NoSQL שתומך ב- truncate או מחיקה מאסיבית של נתונים ועדיין יהיה שירות מנוהל ויוכל להתחבר ל- VPC שלי כדי לא לספוג עלויות תקשרות גבוהות וגם לצורך הגנה. אני לא מעוניין להתקין ולתחזק שרת כמו MongoDB.
תשובה
למה לא להשתמש במחיקה האוטומאטית עם ttl?
3. שאלה
בעיה ב-VPN ל-AWS. מוגדר לי TUNNEL תקין מפורטי ל-AWS, כל ה-VLANS שרציתי על הרשת המקומית מדברים יפה מול AWS. הוספתי עוד POLICY חדש מה-SSL VPN של הפורטי שלי לכוון AWS ועדיין כל מי שמתחבר ב-VPN אל הפורטי, לא מצליח להגיע לשם.
בכל מקום ב-AWS לצורך הבדיקות הוספתי גישה ב-all traffic מ 0.0.0.0/0 ועדיין לא עובד (רק לצורך הבדיקה- ומחקתי). מה פספסתי עוד? עברתי על ACL, SECURITY GROUPS. אין לי עוד רעיונות
תשובה
למיטב זכרוני טווח הכתובות של ה- sslvpn לא מופיע בטבלת ניתוב ולכן לא ניתן לבצע redistribute לתוך bgp אלא אם כן אתה מכניס ניתוב סטטי ל- null0 או משהו בסגנון. לעומת זאת ipsec vpn (dialup דווקא כן מופיע כממשק לאחר התחברות ואז ניתן להפיץ בצורה דינמית ותקינה.