Podcasts about docker kubernetes

2023-06-13 Weekly News - Episode 198Watch the video version on YouTube at https://youtube.com/live/r1L8Aec5-mk?feature=share Hosts:  Gavin Pickin - Senior Developer at Ortus Solutions Grant Copley - Senior Developer at Ortus Solutions Thanks to our Sponsor - Ortus SolutionsThe makers of ColdBox, CommandBox, ForgeBox, TestBox and all your favorite box-es out there. A few ways  to say thanks back to Ortus Solutions: Like and subscribe to our videos on YouTube.  Help ORTUS reach for the Stars - Star and Fork our ReposStar all of your Github Box Dependencies from CommandBox with https://www.forgebox.io/view/commandbox-github  Subscribe to our Podcast on your Podcast Apps and leave us a review Sign up for a free or paid account on CFCasts, which is releasing new content every week BOXLife store: https://www.ortussolutions.com/about-us/shop Buy Ortus's Books 102 ColdBox HMVC Quick Tips and Tricks on GumRoad (http://gum.co/coldbox-tips) Learn Modern ColdFusion (CFML) in 100+ Minutes - Free online https://modern-cfml.ortusbooks.com/ or buy an EBook or Paper copy https://www.ortussolutions.com/learn/books/coldfusion-in-100-minutes   Patreon Support ()We have 40 patreons: https://www.patreon.com/ortussolutions. News and AnnouncementsOrtus Training - ColdBox Zero to HeroOctober 4th and 5thVenue Confirmation in Progress - will be less than 2 miles from the Mirage.Registration will be open soon!CF Camp Pre Conference Workshop DiscountWe can offer a 30% discount by using the code "OrtusPre30".Thank you for your ongoing support!https://www.eventbrite.com/e/cfcamp-pre-conference-workshops-by-ortus-solutions-tickets-641489421127 New Releases and UpdatesColdBox 6.9.0 ReleasedWe are excited to announce the release of ColdBox 6.9.0 LTS, packed with new features, improvements, and bug fixes. In this version, we focused on enhancing the debugging capabilities, improving the ScheduledTasks module, and fixing an important issue related to RestHandler. Let's dive into the details of these updates.https://www.ortussolutions.com/blog/coldbox-690-released Lucee 6 Beta 2Following a long last few weeks of final development, testing and bug fixing, the Lucee team is really proud to present Lucee 6 BETA 2https://dev.lucee.org/t/lucee-6-0-451-beta-2/12673 Lucee 6.0 Launch at @cf_camp

2023-06-06 Weekly News - Episode 197Watch the video version on YouTube at https://youtube.com/live/EgfBsmtKEWc?feature=share Hosts:  Gavin Pickin - Senior Developer at Ortus Solutions Brad Wood - Senior Developer at Ortus Solutions Thanks to our Sponsor - Ortus SolutionsThe makers of ColdBox, CommandBox, ForgeBox, TestBox and all your favorite box-es out there. A few ways  to say thanks back to Ortus Solutions: Like and subscribe to our videos on YouTube.  Help ORTUS reach for the Stars - Star and Fork our ReposStar all of your Github Box Dependencies from CommandBox with https://www.forgebox.io/view/commandbox-github  Subscribe to our Podcast on your Podcast Apps and leave us a review Sign up for a free or paid account on CFCasts, which is releasing new content every week BOXLife store: https://www.ortussolutions.com/about-us/shop Buy Ortus's Books 102 ColdBox HMVC Quick Tips and Tricks on GumRoad (http://gum.co/coldbox-tips) Learn Modern ColdFusion (CFML) in 100+ Minutes - Free online https://modern-cfml.ortusbooks.com/ or buy an EBook or Paper copy https://www.ortussolutions.com/learn/books/coldfusion-in-100-minutes   Patreon Support ()We have 40 patreons: https://www.patreon.com/ortussolutions. Big thanks for Kevin Wright who just made a huge BUMP to their Patreon Pledge AmountNews and AnnouncementsOrtus Training - ColdBox Zero to HeroOctober 4th and 5thVenue Confirmation in Progress - will be less than 2 miles from the Mirage.Registration will be open soon!CF Camp Pre Conference Workshop DiscountWe can offer a 30% discount by using the code "OrtusPre30".Thank you for your ongoing support!https://www.eventbrite.com/e/cfcamp-pre-conference-workshops-by-ortus-solutions-tickets-641489421127 ICYMI - Into the Box - RecapITB Recap Video - https://www.youtube.com/watch?v=XVoIZkJd8HE New Releases and UpdatesLucee 5.4.0.65 Release CandidateRemember - Lucee's Minors are MAJOR releasesThe Lucee team is proud to present our next release candidate for the 5.x series.The 5.4 series bumps the minor version (from 5.3), as we had to update some of the underlying java libraries and extensions as the older versions have CVEs or are no longer maintained.All of the java libraries which have been updated in 6 have also been updated in 5.4, with the exception of hsqldb which in this RC is still 2.7.0This includes an important performance fix 7 with logging since 5.3.10.120 (fixed in 5.3.10.125)https://dev.lucee.org/t/lucee-5-4-0-65-release-candidate/12657CommandBox Next - Add Rewrite Map feature similar to Apache Add a new rewrite-map() handler which declares a named map, file it uses (absolute path), and case sensitivity flag Add a new rewrite-map-exists() predicate just for the fun of it which will tell you if a given key exists in the map (apache doesn't have this) Add a new %{map:name-name:mapKey|defaultValue} exchange attribute which mostly follows Apache's syntax.  The only limitation is nested exchange attributes must use [] instead of {} due to an Undertow parsing issue I reported to them yesterday). https://ortussolutions.atlassian.net/browse/COMMANDBOX-1592 CommandBox - Have you say on MariaDBDuring my refactoring of Runwar/CommandBox I was looking at the little MariaDB4j integration that was built into runwar (added about 7 years ago in 2016). There were never first-class settings for it in CommandBox so you would have had to use the runwar.args setting to activate. It also required you to include the MariaDB4j jars yourself in the classpath. (Note this is separate from the MariaDB CommandBox module 4 Jan Janek made).The settings it supported were: enable port base directory data directory SQL file to import So my question is, does anyone use the built in MariaDB4j integration in Runwar? If I removed it, would anyone care? If I put in first-class settings and documented it, would people use it? Does it sound useful? Worthless?https://community.ortussolutions.com/t/mariadb4j-support-in-commandbox-runwar/9666 ICYMI - Adobe ColdFusion 2023 released!!!!We are thrilled to announce the highly anticipated release of Adobe ColdFusion 2023!  Packed with cutting-edge features and enhanced performance, this release takes ColdFusion to new heights of innovation.Experience accelerated development, robust security measures, and seamless integration with modern technologies. From rapid application development to scalable enterprise solutions, Adobe ColdFusion empowers developers to build dynamic web applications with ease. Discover the limitless possibilities and stay ahead in the digital era.Upgrade to the latest version now and harness the true potential of ColdFusion. Elevate your coding experience with Adobe ColdFusion – the ultimate platform for unmatched productivity and success. LDAP and SAML integration Central Configuration Server GraphQL client HTML to PDF Cloud Services JWT integration in CF Whats new - https://helpx.adobe.com/coldfusion/using/whats-new.htmlhttps://coldfusion.adobe.com/2023/05/coldfusion2023-release/ Webinar / Meetups and WorkshopsOnline CF Meetup - "The Many Ways to Run CF (and Lucee)", with Charlie ArehartThursday June 8th - 12pm US Eastern TimeDepending on your experience you may tend to favor running CF and your CFML the way you've "always done it" (perhaps by installing CF, or perhaps via Commandbox). But did you know there are in fact several ways to deploy CF (or Lucee), including ways to run CFML without even needing to do that? In this session, veteran CF consultant Charlie Arehart will identify these, starting first with WHY it's useful to have different ways to be able to deploy CF/Lucee and CFML.Then he will discuss and demonstrate those several ways--whether you prefer to run CF on your own machine or another (whether hosted or in the cloud), to include even being able to run CFML WITHOUT need of CF (or Lucee) to be "installed" at all. He will cover such topics as installers (GUI and console-based), silent installation (and updates), Commandbox, WAR file deployment, container-based (Docker/Kubernetes) deployment, serverless deployment, as well as CLI-based execution of CFML, and execution via cffiddle and trycf, among others.Buckle up, buttercup, for a fast tour of this varied landscape.https://www.meetup.com/coldfusionmeetup/events/293987033/ "OctoPerf: The Load Testing Tool for Modern Web Apps", Guillaume BetailloulouxThursday June 15th at 12pm US Eastern Time, UTC-4:OctoPerf offers an integrated development Interface that you can use from any browser to execute load tests against your application. Find out how you can set up a full-blown test campaign with meaningful user journeys in under 20 minutes.https://www.meetup.com/coldfusionmeetup/events/294018310/ Adobe Upcoming EventsAdobe ColdFusion Workshop WEDNESDAY, JUNE 21, 20239:00 AM CESTOnline Eventhttps://adobe-coldfusion-1day-workshop.meetus.adobeevents.com/ Webinar - Adobe ColdFusion (2023 release) in Docker on Google Cloud Platform FRIDAY, JUNE 23, 202310:00 AM PDTOnline Eventhttps://docker-gcp-coldfusion.meetus.adobeevents.com/ Adobe ColdFusion Workshop WEDNESDAY, JUNE 28, 20239:00 AM EDTOnline Eventhttps://aodbe-coldfusion-1daytraining.meetus.adobeevents.com/ Webinar- Road to Fortuna Series: New Administrator Features in Adobe ColdFusion 2023 WEDNESDAY, JULY 26, 202310:00 AM PDTOnline Eventhttps://administrator-features-adobe-coldfusion.meetus.adobeevents.com/ Adobe ColdFusion Workshop WEDNESDAY, AUGUST 9, 20239:00 AM EDTOnline Eventhttps://adobecf-1day-workshop.meetus.adobeevents.com/ Webinar - Road to Fortuna Series: Exploring the New Google Cloud Platform Features FRIDAY, AUGUST 25, 202310:00 AM PDTOnline Eventhttps://google-cloud-platform-adobe-coldfusion.meetus.adobeevents.com/ CFCasts Content Updateshttps://www.cfcasts.comRecent Releases 2023 ForgeBox Module of the Week Series - 1 new Video https://cfcasts.com/series/2023-forgebox-modules-of-the-week  2023 VS Code Hint tip and Trick of the Week Series - 1 new Video https://cfcasts.com/series/2023-vs-code-hint-tip-and-trick-of-the-week  Watch sessions from previous ITB years Into the Box 2022 - https://cfcasts.com/series/itb-2022  Into the Box 2021 - https://cfcasts.com/series/into-the-box-2021  Into the Box 2020 - https://cfcasts.com/series/itb-2020  Into the Box 2019 - https://cfcasts.com/series/into-the-box-2019  Coming Soon Into the Box 2023 Videos will soon be available for purchase as an EXCLUSIVE PREMIUM package. Subscribers will get access to premium packages after a 6 month exclusive window. More ForgeBox and VS Code Podcast snippet videos ColdBox Elixir from Eric Getting Started with Inertia.js from Eric Conferences and TrainingCFCamp - Pre-Conference - Ortus has 4 TrainingsJune 21st, 2023Held at the CFCamp venue at the Marriott Hotel Munich Airport in Freising. Eric - TestBox: Getting started with BDD-TDD Oh My! Luis - Coldbox 7 - from zero to hero Dan - Legacy Code Conversion To The Modern World Brad - CommandBox Server Deployment for the Modern Age https://www.cfcamp.org/pre-conference.html CF Camp Pre Conference Workshop DiscountWe can offer a 30% discount by using the code "OrtusPre30".Thank you for your ongoing support!https://www.eventbrite.com/e/cfcamp-pre-conference-workshops-by-ortus-solutions-tickets-641489421127 Brad's Video - https://www.youtube.com/watch?v=oD4JBOmIL2ELuis's Video - https://www.youtube.com/watch?v=F1_8xhHjJMM CFCampJune 22-23rd, 2023Marriott Hotel Munich Airport, FreisingCheck out all the great sessions: https://www.cfcamp.org/sessions.htmlCheck out all the great speakers: https://www.cfcamp.org/cfcamp-conference-2023/speakers.html Register now: https://www.cfcamp.org/THAT ConferenceHowdy. We're a full-stack, tech-obsessed community of fun, code-loving humans who share and learn together.We geek-out in Texas and Wisconsin once a year but we host digital events all the time.WISCONSIN DELLS, WI / JULY 24TH - 27TH, 2022A four-day summer camp for developers passionate about learning all things mobile, web, cloud, and technology.https://that.us/events/wi/2023/Our very own Daniel Garcia is speaking there https://that.us/activities/R3eAGT1NfIlAOJd2afY7Adobe CF Summit WestLas Vegas 2-4th of October.Get your early bird passes now. Session passes @ $99 Professional passes @ $199. Early bird open only till June 15th, 2023!Call for Speakers is OPENhttps://cfsummit.adobeevents.com/ https://cfsummit.adobeevents.com/speaker-application/Ortus Training - ColdBox Zero to HeroOctober 4th and 5thVenue Confirmation in Progress - will be less than 2 miles from the Mirage.Registration will be open soon!More conferencesNeed more conferences, this site has a huge list of conferences for almost any language/community.https://confs.tech/Blogs, Tweets, and Videos of the Week5/28/23 - Blog - Ben Nadel - Code Kata: Simple Dependency Injection (DI) With ColdFusionWhen this blog boots-up, I explicitly wire-together all of the ColdFusion components that get cached in memory. The domain model for this blog isn't very big, so configuring the application right in the onApplicationStart() event-handler isn't much of a lift. That said, as a fun code kata - as much as anything else - I wanted to start migrating the configuration over to use more declarative dependencies. To that end, I wanted to build myself a simple dependency injection (DI) container.https://www.bennadel.com/blog/4469-code-kata-simple-dependency-injection-di-with-coldfusion.htm 6/1/23 - Blog - Ben Nadel - The 16th Annual Regular Expression Day - June 1st 2023It's that time of year again! The days are getting longer; the weather is getting nicer; the babies are all being born at the zoo; and, people are going bonkers over the undeniable power of Regular Expression pattern matching! Which must mean, it's Regular Expression Day! This is the time of year in which we take a moment to reflect on how much better off we are having patterns in our lives. And in celebration of that, I'm going to learn something new about using Regular Expressions in JavaScript: named capture groups.https://www.bennadel.com/blog/4471-the-16th-annual-regular-expression-day-june-1st-2023.htm 6/3/23 - Blog - Ben Nadel - Using Nested Locks To Synchronize Background Data Cleanup In ColdFusionAs I'm building out the Dig Deep Fitness MVP, I'm having to implement functionality that I might ordinarily implement in a more robust fashion given better resources (ie, when someone else is paying for the servers). For example, I would normally use Redis to build a one-time token service. But, when writing the same functionality exclusively in ColdFusion, I have to get a little more low-level when implementing the locking (that Redis would normally apply). Specifically, I wanted to think about how to handle locking when I have a background process that needs to clean-up and expunge expired data.https://www.bennadel.com/blog/4472-using-nested-locks-to-synchronize-background-data-cleanup-in-coldfusion.htm 6/5/23 - Tweet - HTMX.org - HTMX threw some shade on Allaire ColdFusion - let's speak up!how many young web developers today can even conceive of a world so based that technology logos could look like this & nobody cringed?people wore this stuff on tee shirts, unembarassed, walking around, living in the moment, high fivingnever forget what they took from youhttps://twitter.com/htmx_org/status/1665728145511657476?s=20.6/6/23 - Blog - Ben Nadel - Building A Magic Link Passwordless Login In ColdFusionAs I build out the Dig Deep Fitness MVP (Minimum Viable Product), I'm trying to do the least amount of work that allows me to start delivering actual value. So, when it comes to user authentication, I didn't want to create a robust account management system. Instead, I ended up building a passwordless login system using magic links. I wanted to share my approach in ColdFusion in case anyone has suggestions on how to improve it or harden it against attacks.https://www.bennadel.com/blog/4473-building-a-magic-link-passwordless-login-in-coldfusion.htm 6/6/23 - Blog - Michael Born - Ortus Solutions - Introducing: The Ortus ORM ExtensionWe are excited to announce the Ortus ORM Extension, a new effort to improve the CFML ecosystem by modernizing Hibernate ORM support on the Lucee CFML server. The Ortus ORM extension is an open-source fork of the Lucee Hibernate extension and is a leap forward in modernizing native support for the Hibernate ORM engine in (Lucee) CFML applications. It also is another addition to our professional open-source offerings, so this extension will be professionally supported under any of our support plans and can also be supported by the community via our Patreon program.https://www.ortussolutions.com/blog/introducing-the-ortus-orm-extension CFML JobsSeveral positions available on https://www.getcfmljobs.com/Listing over 71 ColdFusion positions from 47 companies across 34 locations in 5 Countries.3 new jobs listed this weekFull-Time - ColdFusion Developer at Hyderabad, Telangana - India Company: Purview ServicesPosted Jun 05https://www.getcfmljobs.com/jobs/index.cfm/india/ColdFusion-Developer-at-Hyderabad-Telangana/11579 Full-Time - Application Developer at Lawrence, Kansas - United States Company: Kansas Geological Survey - Kansas UniversityPosted May 27https://www.getcfmljobs.com/jobs/index.cfm/united-states/CFApplicationDev-at-Lawrence-KS/11578 Full-Time - Lucee/ColdFusion Developer at United States - United States Company: BatesvillePosted May 26https://www.getcfmljobs.com/jobs/index.cfm/united-states/LuceeColdFusion-Developer-at-United-States/11577 Other Job Links KGS at Kansas University https://employment.ku.edu/jobs/staff/application-developer/25131br There is a jobs channel in the CFML slack team, and in the Box team slack now too ForgeBox Module of the WeekCBOpenAICBOPENAI is a module that provides a simple API to access OpenAI's variety of AI services. Grant's presentation: https://docs.google.com/presentation/d/1xXlGBs_kNZhrAgS8xxJ4T5NFev2nH4FAaZ3DXYt8wqQ/edit#slide=id.p1 https://www.forgebox.io/view/cbopenai VS Code Hint Tips and Tricks of the WeekVSCODE POWER MODE!!!Power Mode is one of the most requested extensions for VS Code. Unfortunately, they said it couldn't be done...However, after seeing this list and realizing that VS Code was the only modern editor without it, I knew I had to try. I couldn't let VS Code live in the shadow of its big brother or Atom.I present you, VSCODE POWER MODE!!! (now with atom-like explosions and an improved combo meter!)https://github.com/hoovercj/vscode-power-mode Thank you to all of our Patreon SupportersThese individuals are personally supporting our open source initiatives to ensure the great toolings like CommandBox, ForgeBox, ColdBox,  ContentBox, TestBox and all the other boxes keep getting the continuous development they need, and funds the cloud infrastructure at our community relies on like ForgeBox for our Package Management with CommandBox. You can support us on Patreon here https://www.patreon.com/ortussolutionsDon't forget, we have Annual Memberships, pay for the year and save 10% - great for businesses. Bronze Packages and up, now get a ForgeBox Pro and CFCasts subscriptions as a perk for their Patreon Subscription. All Patreon supporters have a Profile badge on the Community Website All Patreon supporters have their own Private Forum access on the Community Website All Patreon supporters have their own Private Channel access BoxTeam Slack https://community.ortussolutions.com/Top Patreons () John Wilson - Synaptrix Tomorrows Guides Jordan Clark Gary Knight Mario Rodrigues Giancarlo Gomez  David Belanger   Dan Card Jeffry McGee - Sunstar Media Dean Maunder Nolan Erck  Abdul Raheen Kevin Wright - Big thanks for Kevin Wright who just made a huge BUMP to their Patreon Pledge Amount And many more PatreonsYou can see an up to date list of all sponsors on Ortus Solutions' Websitehttps://ortussolutions.com/about-us/sponsors Thanks everyone!!! ★ Support this podcast on Patreon ★

We sit down with Pat and Alex's former co-worker Ryan Young, a Kubernetes and Docker expert who is now currently the Chief Architect and SliceUP. We break down what containers are, how they're useful, when to use them, and where the future of containers is heading. Support the showLike us? Give us a review on Podchaser or Apple Podcasts to let us know! Follow Breaking Down the Bytes! Linkedin | Twitter | Facebook | Discord Want to give feedback? Fill out our survey Email us! - breakingbytespod@gmail.com Follow Pat and Kyle! Twitter: Pat | Kyle

¿Qué es Docker y qué son los contenedores? ¿Y Kubernetes para qué sirve? ¿Por qué todo el mundo habla de ellos? ¿Eso no es cosa de los de sistemas? ¿De qué me sirven a mi si solo hago programación? ¿Los necesito para algo si mi aplicación no va a escalar hasta el infinito?... De todo esto hemos hablado con uno de los mayores "cracks" en programación de España: Eduard Tomàs y Avellana. Eduard es un todo terreno del desarrollo de software con experiencia en proyectos de todas las envergaduras con diferentes tecnologías. Ha sido premiado por Microsoft como MVP durante los últimos 10 años. Es Certified Kubernetes Application Developer y tiene una amplísima experiencia con esta tecnología. Y, por supuesto, es el tutor del mejor y más completo curso de Docker y Kubernetes del mercado. Enlaces Relacionados: El blog de Eduard Docker Docker Desktop Kubernetes Rancher Desktop El curso de Docker y Kubernetes de Eduard en campusMVP --- Send in a voice message: https://anchor.fm/campusmvp/message

In this episode, we will dive a little further into containers. Providing tips on best practices and advice on how to get started! Check out my previous episode on the basics of containers: Container Technology (Docker, Kuberneties..etc) ====Guest==== Stephen K. --- Send in a voice message: https://anchor.fm/level99/message

About AnnaAnna has nearly ten years of experience researching and advising organizations on cloud adoption with a focus on security best practices. As a Gartner Analyst, Anna spent six years helping more than 500 enterprises with vulnerability management, security monitoring, and DevSecOps initiatives. Anna's research and talks have been used to transform organizations' IT strategies and her research agenda helped to shape markets. Anna is the Director of Thought Leadership at Sysdig, using her deep understanding of the security industry to help IT professionals succeed in their cloud-native journey.Anna holds a PhD in Materials Engineering from the University of Michigan, where she developed computational methods to study solar cells and rechargeable batteries.How do I adapt my security practices for the cloud-native world?How do I select and deploy appropriate tools and processes to address business needs?How do I make sense of new technology trends like threat deception, machine learning, and containers?Links: Sysdig: https://sysdig.com/ “2022 Cloud-Native Security and Usage Report”: https://sysdig.com/2022-cloud-native-security-and-usage-report/ Twitter: https://twitter.com/aabelak LinkedIn: https://www.linkedin.com/in/aabelak/ Email: anna.belak@sysdig.com TranscriptAnnouncer: Hello, and welcome to Screaming in the Cloud with your host, Chief Cloud Economist at The Duckbill Group, Corey Quinn. This weekly show features conversations with people doing interesting work in the world of cloud, thoughtful commentary on the state of the technical world, and ridiculous titles for which Corey refuses to apologize. This is Screaming in the Cloud.Corey: Today's episode is brought to you in part by our friends at MinIO the high-performance Kubernetes native object store that's built for the multi-cloud, creating a consistent data storage layer for your public cloud instances, your private cloud instances, and even your edge instances, depending upon what the heck you're defining those as, which depends probably on where you work. It's getting that unified is one of the greatest challenges facing developers and architects today. It requires S3 compatibility, enterprise-grade security and resiliency, the speed to run any workload, and the footprint to run anywhere, and that's exactly what MinIO offers. With superb read speeds in excess of 360 gigs and 100 megabyte binary that doesn't eat all the data you've gotten on the system, it's exactly what you've been looking for. Check it out today at min.io/download, and see for yourself. That's min.io/download, and be sure to tell them that I sent you.Corey: This episode is sponsored by our friends at Oracle HeatWave is a new high-performance query accelerator for the Oracle MySQL Database Service, although I insist on calling it “my squirrel.” While MySQL has long been the worlds most popular open source database, shifting from transacting to analytics required way too much overhead and, ya know, work. With HeatWave you can run your OLAP and OLTP—don't ask me to pronounce those acronyms again—workloads directly from your MySQL database and eliminate the time-consuming data movement and integration work, while also performing 1100X faster than Amazon Aurora and 2.5X faster than Amazon Redshift, at a third of the cost. My thanks again to Oracle Cloud for sponsoring this ridiculous nonsense.Corey: Welcome to Screaming in the Cloud. I'm Corey Quinn. Once upon a time, I went to a conference talk at, basically, a user meetup. This was in the before times, when that wasn't quite as much of a deadly risk because of a pandemic, and mostly a deadly risk due to me shooting my mouth off when it wasn't particularly appreciated.At that talk, I wound up seeing a new open-source project that was presented to me, and it was called Sysdig. I wasn't quite sure on what it did at the time and I didn't know what it would be turning into, but here we are now, what is it, five years later. Well, it's turned into something rather interesting. This is a promoted episode brought to us by our friends at Sysdig and my guest today is their Director of Thought Leadership, Anna Belak. Anna, thank you for joining me.Anna: Hi, Corey. I'm very happy to be here. I'm a big fan.Corey: Oh, dear. So, let's start at the beginning. Well, we'll start with the title: Director of Thought Leadership. That is a lofty title, it sounds like you sit on the council of the Lords of Thought somewhere. Where does your job start and stop?Anna: I command the Council of the Lords of thought, actually. [laugh].Corey: Supply chain issues mean the robe wasn't available. I get it, I get it.Anna: There is a robe. I'm just not wearing it right now. So, the shortest way to describe the role is probably something that reports into engineering, interestingly, and it deals with product and marketing in a way that is half evangelism and half product strategy. I just didn't feel like being called any of those other things, so they were like, “Director of Thought Leadership you are.” And I was like, “That sounds awesome.”Corey: You know, it's one of those titles that people generally don't see a whole lot of, so if nothing else, I always liked those job titles that cause people to sit up and take notice as opposed to something that just people fall asleep by the time you get halfway through it because, in lieu of a promotion, people give you additional adjectives in your title. And we're going to go with it. So, before you wound up at Sysdig, you were at Gartner for a number of years.Anna: That's right, I spent about six years at Gartner, and there half the time I covered containers, Kubernetes, and DevOps from an infrastructure perspective, and half the time I spent covering security operations, actually, not specifically with respect to containers, or cloud, but broadly. And so my favorite thing is security operations, as it relates to containers and cloud-native workloads, which is kind of how I ended up here.Corey: I wouldn't call that my favorite thing. It's certainly something that is near and dear to the top of mind, but that's not because I like it, let's put it [laugh] that way. It's one of those areas where getting it wrong is catastrophic. Back in 2017, when I went to that meetup in San Francisco, Sysdig seemed really interesting to me because it looked like it tied together a whole bunch of different diagnostic tools, LSOF, strace, and the rest. Honestly—and I mean no slight to the folks who built out this particular tool—it felt like DTrace, only it understood the value of being accessible to its users without basically getting a doctorate in something.I like the idea, and it felt like it was very much aimed at an in-depth performance analysis story or an observability play. But today, it seems that you folks have instead gone in much more of a direction of DevSecOps, if the people listening to this, and you, will pardon the term. How did that happen? What was that product evolution like?Anna: Yeah, I think that's a fair assessment, actually. And again, no disrespect to DTrace of which I'm also a fan. So, we certainly started out in the container observability space, essentially because this whole Docker Kubernetes thing was exploding in popularity—I mean, before it was exploding, it was just kind of like, peaking out—and very quickly, our founder Loris, who is the co-founder of Wireshark, was like, “Hey, there's a visibility issue here. We can't see inside these things with the tools that we have that are built for host instrumentation, so I'm going to make a thing.” And he made a thing, and it was an awesome thing that was open-sourced.And then ultimately, what happened is, the ecosystem of containers and communities evolved, and more and more people started to adopt it. And so more people needed kind of a more, let's say, hefty, serious tool for observability, and then what followed was another tool for security because what we actually discovered was the data that we're able to collect from the system with Sysdig is incredibly useful for noticing security problems. So, that caused us to kind of expand into that space. And today we are very much a tool that still has an observability component that is quite popular, has a security component which is it's fairly broad: We cover CSPM use cases, we cover [CIEM 00:05:04] use cases, and we are very, kind of let's say, very strong and very serious about our detection response and runtime security use cases, which come from that pedigree of the original Sysdig as well.Corey: You can get a fairly accurate picture of what the future of technology looks like by taking a look at what my opinion of something is, and then doing the exact opposite of that. I was a big believer that virtualization, “Complete flash in the pan; who's going to use that?” Public cloud, “Are you out of your tree? No one's going to trust other companies with their holy of holies.” And I also spent a lot of time crapping on containers and not actually getting into them.Instead, I leapfrogged over into the serverless land, which I was a big fan of, which of course means that it's going to be doomed sooner or later. My security position has also somewhat followed similar tracks where, back when you're running virtual machines that tend to be persistent, you really have to care about security because you are running full-on systems that are persistent, and they run all kinds of different services simultaneously. Looking at Lambda Functions, for example, in the modern serverless world, I always find a lot of the tooling and services and offerings around security for that are a little overblown. They have a defined narrow input, they have a defined output, there usually aren't omnibus functions shoved in here where they have all kinds of different code paths. And it just doesn't have the same attack surface, so it often feels like it's trying to sell me something I don't need. Security in the container world is one of those areas I never had to deal with in anger, as a direct result. So, I have to ask, how bad is it?Anna: Well, I have some data to share with you, but I'll start by saying that I maybe was the opposite of you, so we'll see which one of us wins this one. I was an instant container fangirl from the minute I discovered them. But I crapped out—Corey: The industry shows you were right on that one. I think the jury [laugh] is pretty much in on this one.Anna: Oh, I will take it. But I did crap on Lambda Functions pretty hard. I was like, “Serverless? This is dumb. Like, how are we ever going to make that work?” So, it seems to be catching on a little bit, at least it. It does seem like serverless is playing the function of, like, the glue between bits, so that does actually make a lot of sense. In retrospect, I don't know that we're going to have—Corey: Well, it feels like it started off with a whole bunch of constraints around it, and over time, they've continued to relax those constraints. It used to be, “How do I package this?” It's, “Oh, simple. You just spent four days learning about all the ins and outs of this,” and now it's, “Oh, yeah. You just give it a Docker file?” “Oh. Well, that seems easier. I could have just been stubborn and waited.” Hindsight.Anna: Yeah, exactly. So, containers as they are today, I think are definitely much more usable than they were five-plus years ago. There are—again there's a lot of commercial support around these things, right? So, if you're, you know, like, a big enterprise client, then you don't really have time to fool around in open-source, you can go in, buy yourself a thing, and they'll come with support, and somebody will hold your hand as you figure it out, and it's actually quite, quite pleasant. Whether or not that has really gone mainstream or whether or not we've built out the entire operational ecosystem around it in a, let's say, safe and functional way remains to be seen. So, I'll share some data from our report, which is actually kind of the key thing I want to talk about.Corey: Yeah, I wanted to get into that. You wound up publishing this somewhat recently, and I regret that as of the time of this recording, I have not yet had time to go into it in-depth, and of course eviscerate it in my typical style on Twitter—although that may have been rectified by the time that this show airs, to be very clear—but it's the Sysdig “2022 Cloud-Native Security and Usage Report”.Anna: Please at me when you Twitter-shred it. [laugh].Corey: Oh, when I read through and screenshot it, and I'd make what observations that I imagine are witty. But I'm looking forward to it; I've done that periodically with the Flexera, “State of the Cloud” report for last few years, and every once in a while, whatever there's a, “We've done a piece of thought leadership, and written a report,” it's, “Oh, great. Let's make fun of it.” That's basically my default position on things. I am not a popular man, as you might imagine. But not having had the chance to go through it in-depth, what did this attempt to figure out when the study was built, and what did you learn that you found surprising?Anna: Yeah, so the first thing I want to point out because it's actually quite important is that this report is not a survey. This is actual data from our actual back end. So, we're a SaaS provider, we collect data for our customers, we completely anonymize it, and then we show in aggregate what in fact we see them doing or not doing. Because we think this is a pretty good indicator of what's actually happening versus asking people for their opinion, which is, you know, their opinion.Corey: Oh, I love that. My favorite lies that people tell are the lies they don't realize that they're telling. It's, I'll do an AWS bill analysis and, “Great. So, tell me about all these instances you have running over in Frankfurt.” “Oh, we don't have anything there.”I believe you're being sincere when you say this, however, the data does show otherwise, and yay, now we're in a security incident.Anna: Exactly.Corey: I'm a big believer of going to the actual source for things like this where it's possible.Anna: Exactly. So, I'll tell you my biggest takeaway from the whole thing probably was that I was surprised by the lack of… surprise. And I work in cloud-native security, so I'm kind of hoping every single day that people will start adopting these modern patterns of, like, discarding images, and deploying new ones when they found a vulnerability, and making ephemeral systems that don't run for a long time like a virtual machine in disguise, and so on. And it appears that that's just not really happening.Corey: Yeah, it's always been fun, more than a little entertaining, when I wind up taking a look at the aspirational plans that companies have. “Great, so when are you going to do”—“Oh, we're going to get to that after the next sprint.” “Cool.” And then I just set a reminder and I go back a year later, and, “How's that coming?” “Oh, yeah. We're going to get to that next sprint.”It's the big lie that we always tell ourselves that right after we finished this current project, then we're going to suddenly start doing smart things, making the right decisions, and the rest. Security, cost, and a few other things all tend to fall on the side of, you can spend infinite money and infinite time on these things, but it doesn't advance what your business is doing, but if you do none of those things, you don't really have a business anymore. So, it's always a challenge to get it prioritized by the strategic folks.Anna: Exactly. You're exactly right because what people ultimately do is they prioritize business needs, right? They are prioritizing whatever makes them money or creates the trinkets their selling faster or whatever it is, right? The interesting thing, though, is if you think about who our customers would be, like, who the people in this dataset are, they are all companies who are probably more or less born in the cloud or at least have some arm that is born in the cloud, and they are building software, right? So, they're not really just your average enterprises you might see in a Gartner client base which is more broad; they are software companies.And for software companies, delivering software faster is the most important thing, right, and then delivering secure software faster, should be the most important thing, but it's kind of like the other thing that we talk about and don't do. And that's actually what we found. We found that people do deliver software faster because of containers and cloud, but they don't necessarily deliver secure software faster because as is one of our data points, 75% of containers that run in production have critical or high vulnerabilities that have a patch available. So, they could have been fixed but they weren't fixed. And people ask why, right? And why, well because it's hard; because it takes time; because something else took priority; because I've accepted the risk. You know, lots of reasons why.Corey: One of the big challenges, I think, is that I can walk up and down the expo hall at the RSA Conference, which until somewhat recently, you were not allowed to present that or exhibit at unless you had the word ‘firewall' in your talk title, or wound up having certain amounts of FUD splattered across your banners at the show floor. It feels like there are 12 products—give or take—for sale there, but there are hundreds of booths because those products have different names, different messaging, and the rest, but it all feels like it distills down to basically the same general categories. And I can buy all of those things. And it costs an enormous pile of money, and at the end of it, it doesn't actually move the needle on what my business is doing. At least not in a positive direction, you know? We just set a giant pile of money on fire to make sure that we're secure.Well, great. Security is never an absolute, and on top of that, there's always the question of what are we trying to achieve as a business. As a goal—from a strategic perspective—security often looks a lot like, “Please let's not have a data breach that we have to report to people.” And ideally, if we have a lapse, we find out about it through a vector that is other than the front page of The New York Times. That feels like it's a challenging thing to get prioritized in a lot of these companies. And you have found in your report that there are significant challenges, of course, but also that some companies in some workloads are in fact getting it right.Anna: Right, exactly. So, I'm very much in line with your thinking about this RSA shopping spree, and the reality of that situation is that even if we were to assume that all of the products you bought at the RSA shopping center were the best of breed, the most amazing, fantastic, perfect in every way, you would still have to somehow build a program on top of them. You have to have a process, you have to have people who are bought into that process, who are skilled enough to execute on that process, and who are more or less in agreement with the people next door to them who are stuck using one of the 12 trinkets you bought, but not the one that you're using. So, I think that struggle persists into the cloud and may actually be worse in the cloud because now, not only are we having to create a processor on all these tools so that we can actually do something useful with them, but the platform in which we're operating is fundamentally different than what a lot of us learned on, right?So, the priorities in cloud are different; the way that infrastructure is built is a little different, like, you have to program a YAML file to make yourself an instance, and that's kind of not how we are used to doing it necessarily, right? So, there are lots of challenges in terms of skills gap, and then there's just this eternal challenge of, like, how do we put the right steps into place so that everybody who's involved doesn't have to suffer, right, and that the thing that comes out at the end is not garbage. So, our approach to it is to try to give people all the pieces they need within a certain scope, so again, we're talking about people developing software in a cloud-native world, we're focused kind of on containers and cloud workloads even though it's not necessarily containers. So that's, like, our sandbox, right? But whoever you are, right, the idea is that you need to look to the left—because we say ‘shift left'—but then you kind of have to follow that thread all the way to the right.And I actually think that the thing that people most often neglect is the thing on the right, right? They maybe check for compliance, you know, they check configurations, they check for vulnerabilities, they check, blah, blah, blah, all this checking and testing. They release their beautiful baby into the world, and they're like, okay, I wash my hands of it. It's fine. [laugh]. Right but—Corey: It has successfully been hurled over the fence. It is the best kind of problem, now: Someone else's.Anna: It's gone. Yeah. But it's someone else's—the attacker community, right, who are now, like, “Oh, delicious. A new target.” And like, that's the point at which the fun starts for a lot of those folks who are on the offensive side. So, if you don't have any way to manage that thing's security as it's running, you're kind of like missing the most important piece, right? [laugh].Corey: One of the challenges that I tend to see with a lot of programmatic analysis of this is that it doesn't necessarily take into account any of the context because it can't. If I have, for example, a containerized workload that's entire job is to take an image from S3, run some analysis or transformation on it then output the results of that to some data store, and that's all it's allowed to talk to you, it can't ever talk to the internet, having a system that starts shrieking about, “Ah, there's a vulnerability in one of the libraries that was used to build that container; fix it, fix it, fix it,” doesn't feel like it's necessarily something that adds significant value to what I do. I mean, I see this all the time with very purpose-built Lambda Functions that I have doing one thing and one thing only. “Ah, but one of the dependencies in the JSON processing library could turn into something horrifying.” “Yeah, except the only JSON it's dealing with is what DynamoDB returns. The only thing in there is what I've put in there.”That is not a realistic vector of things for me to defend against. The challenge then becomes when everything is screaming that it's an emergency when you know, due to context, that it's not, people just start ignoring everything, including the, “Oh, and by the way, the building is on fire,” as one of—like, on page five, that's just a small addendum there. How do you view that?Anna: The noise insecurity problem, I think, is ancient and forever. So, it was always bad, right, but in cloud—at least some containers—you would think it should be less bad, right, because if we actually followed these sort of cloud-native philosophy, of creating very purp—actually it's called the Unix philosophy from, like, I don't know, before I was born—creating things that are fairly purposeful, like, they do one thing—like you're saying—and then they disappear, then it's much easier to know what they're able to do, right, because they're only able to do what we've told them, they're able to do. So, if this thing is enabled to make one kind of network connection, like, I'm not really concerned about all the other network connections it could be making because it can't, right? So, that should make it easier for us to understand what the attack surface actually is. Unfortunately, it's fairly difficult to codify and productize the discovery of that, and the enrichment of the vulnerability information or the configuration information with that.That is something we are definitely focusing on as a vendor. There are other folks in the industry that are also working on this kind of thing. But you're exactly right, the prioritization of not just a vulnerability, but a vulnerability is a good example. Like, it's a vulnerability, right? Maybe it's a critical or maybe it's not.First of all, is it exposed to the outside world somehow? Like, can we actually talk to this system? Is it mitigated, right? Maybe there's some other controls in place that is mitigating that vulnerability. So, if you look at all this context, at the end of the day, the question isn't really, like, how many of these things can I ignore? The question is at the very least, which are the most important things that I actually can't ignore? So, like you're saying, like, the buildings on fire, I need to know, and if it's just, like, a smoldering situation, maybe that's not so bad. But I really need to know about the fire.Corey: This episode is sponsored in part by LaunchDarkly. Take a look at what it takes to get your code into production. I'm going to just guess that it's awful because it's always awful. No one loves their deployment process. What if launching new features didn't require you to do a full-on code and possibly infrastructure deploy? What if you could test on a small subset of users and then roll it back immediately if results aren't what you expect? LaunchDarkly does exactly this. To learn more, visit launchdarkly.com and tell them Corey sent you, and watch for the wince.Corey: It always becomes a challenge of prioritization, and that has been one of those things that I think, on some level, might almost cut against a tool that works at the level that Sysdig does. I mean, something that you found in your report, but I feel like, on some level, is one of those broadly known, or at least unconsciously understood things is, you can look into a lot of these tools that give incredibly insightful depth and explore all kinds of neat, far-future, bleeding edge, absolute front of the world, deep-dive security posture defenses, but then you have a bunch of open S3 buckets that have all of your company's database backups living in them. It feels like there's a lot of walk before you can run. And then that, on some level, leads to the wow, we can't even secure our S3 buckets; what's the point of doing anything beyond that? It's easy to, on some level, almost despair, want to give up, for some folks that I've spoken to. Do you find that is a common thing or am I just talking to people who are just sad all the time?Anna: I think a lot of security people are sad all the time. So, the despair is real, but I do think that we all end up in the same solution, right? The solution is defense in depth, the solution is layer control, so the reality is if you don't bother with the basic security hygiene of keeping your buckets closed, and like not giving admin access to every random person and thing, right? If you don't bother with those things, then, like, you're right, you could have all the tools in the world and you could have the most advanced tools in the world, and you're just kind of wasting your time and money.But the flipside of that is, people will always make mistakes, right? So, even if you are, quote-unquote, “Doing everything right,” we're all human, and things happen, and somebody will leave a bucket open on accident, or somebody will misconfigure some server somewhere, allowing it to make a connection it shouldn't, right? And so if you actually have built out a full pipeline that covers you from end-to-end, both pre-deployment, and at runtime, and for vulnerabilities, and misconfigurations, and for all of these things, then you kind of have checks along the way so that this problem doesn't make it too far. And if it does make it too far and somebody actually does try to exploit you, you will at least see that attack before they've ruined everything completely.Corey: One thing I think Sysdig gets very right that I wish this was not worthy of commenting on, but of course, we live in the worst timeline, so of course it is, is that when I pull up the website, it does not market itself through the whole fear, uncertainty, and doubt nonsense. It doesn't have the scary pictures of, “Do you know what's happening in your environment right now?” Or the terrifying statistics that show that we're all about to die and whatnot. Instead, it talks about the value that it offers its customers. For example, I believe its opening story is, “Run with confidence.” Like, great, you actually have some reassurance that it is not as bad as it could be. That is, on the one hand, a very uplifting message and two, super rare. Why is it that so much of the security industry resorts to just some of the absolute worst storytelling tactics in order to drive sales?Anna: That is a huge compliment, Corey, and thank you. We try very hard to be kind of cool in our marketing.Corey: It shows. I'm tired of the 1990s era story of, “Do you know where the hackers are?” And of course, someone's wearing, like, a ski mask and typing with gloves on—which is always how I break into things; I don't know about you—but all right, we have the scary clip art of the hacker person, and it just doesn't go anywhere positive.Anna: Yeah. I mean, I think there certainly was a trend for a while have this FUD approach. And it's still prevalent in the industry, in some circles more than others. But at the end of the day, Cloud is hard and security is hard, and we don't really want to add to the suffering; we would like to add to the solution, right? So, I don't think people don't know that security is hard and that hackers are out there.And you know, there's, like, ransomware on the news every single day. It's not exactly difficult to tell that there's a challenge there, so for us to have to go and, like, exacerbate this fear is almost condescending, I feel, which is kind of why we don't. Like, we know people have problems, and they know that they need to solve them. I think the challenge really is just making sure that A) can folks know where to start and how to build a sane roadmap for themselves? Because there are many, many, many things to work on, right?We were talking about context before, right? Like, so we actually try to gather this context and help people. You made a comment about how having a lot of telemetry might actually be a little bit counterproductive because, like, there's too much data, what do I do well—Corey: Here's the 8000 findings we found that you fail—great. Yeah. Congratulations, you're effectively the Nessus report as a company. Great. Here you go.Anna: Everything is over.Corey: Yeah.Anna: Well, no shit, Nessus, you know. Nessus did its thing. All right. [laugh].Corey: Oh, Nessus was fantastic. Nessus was—for those who are unaware, Nessus was an open-source scanner made by the folks at Tenable, and what was great about it was that you could run it against an environment, it would spit out all the things that it found. Now, one of the challenges, of course, is that you could white-label this and slap whatever logo you wanted on the top, and there were a lot of ‘security consultancies' that use the term incredibly… lightly, that would just run a Nessus report, drop off the thick print out. “Here's the 800 things you need to fix. Pay me.” And wander on off into the sunset.And when you have 800 things you need to fix, you fix none of them. And they would just sit there and atrophy on the shelf. Not to say that all those things weren't valid findings, but you know, the whole, you're using an esoteric, slightly deprecated TLS algorithm on one of your back-end services, versus your Elasticsearch database does not have a password set. Like, there are different levels of concern here. And that is the problem.Anna: Yeah. That is in fact one of the problems we're aggressively trying to solve, right? So, because we see so much of the data, we're actually able to piece together a lot of context to gives you a sense of risk, right? So, instead of showing all the data to the customer—the customer can see it if they want; like, it's all in there, you can look at it—one of the things we're really trying to do is collect enough information about the finding or the event or the vulnerability or whatever, so we can kind of tell you what to do.For example, one you can do this is super basic, but if you're looking at a specific vulnerability, like, let's say it's like Log4j or whatever, you type it in, and you can see all your systems affected by this thing, right? Then you can, in the same tool, like, click to the other tab, and you can see events associated with this vulnerability. So, if you can see the systems that the vulnerability is on and you can see there's weird activity on those systems, right? So, if you're trying to triage some weird thing in your environment, during the Log4j disaster, it's very easy for you to be like, “Huh. Okay, these are the relevant systems. This is the vulnerability. Like, here's all that I know about this stuff.”So, we kind of try to simplify as much as possible—my design team uses the word ‘easify,' which I love; it's a great word—to easify, the experience of the end-user so that they can get to whatever it is they're trying to do today. Like, what can I do today to make my company more secure as quickly as possible? So, that is sort of our goal. And all this huge wealth of information we gather, we try to package for the users in a way that is, in fact, digestible. And not just like, “Here's a deluge of suffering,” like, “Look.” [laugh]. You know?Corey: This is definitely complicated in the environment I tend to operate in which is almost purely AWS. How much more complex is get when people start looking into the multi-cloud story, or hybrid environments where they have data center is talking to things within AWS? Because then it's not just the expanded footprint, but the entire security model works slightly differently in all of those different environments as well, and it feels like that is not a terrific strategy.Anna: Yeah, this is tough. My feelings on multi-cloud are mostly negative, actually.Corey: Oh, thank goodness. It's not just me.Anna: I was going to say that, like, multi-cloud is not a strategy; it's just something that happens to you.Corey: Same with hybrid. No one plans to do hybrid. They start doing a cloud migration, realize halfway through some things are really hard to move, give up, plant the flag, declare victory, and now it's called hybrid.Anna: Basically. But my position—and again, as an analyst, you kind of, I think, end up in this position, you just have a lot of sympathy for the poor people who are just trying to get these stupid systems to run. And so I kind of understand that, like, nothing's ideal, and we're just going to have to work with it. So multi-cloud, I think is one of those things where it's not really ideal, we just have to work with it. There's certainly advantages to it, like, there's presumably some level of mythical redundancy or whatever. I don't know.But the reality is that if you're trying to secure a pile of junk in Azure and a pile of junk in AWS, like, it'd be nice if you had, like, one tool that told you what to do with both piles of junk, and sometimes we do do that. And in fact, it's very difficult to do that if you're not a third-party tool because if you're AWS, you don't have much incentive to, like, tell people how to secure Azure, right? So, any tool in the category of, like, third-party CSPM—Gartner calls them CWPP—kind of, cloud security is attempting to span those clouds because they always have to be relevant, otherwise, like, what's the point, right?Corey: Well, I would argue cynically there's also the VC model, where, “Oh, great. If we cover multiple cloud providers, that doubles or triples our potential addressable market.” And, okay, great, I don't have those constraints, which is why I tend to focus on one cloud provider where I tend to see the problems I know how to solve as opposed to trying to conquer the world. I guess I have my bias on that one.Anna: Fair. But there's—I think the barrier to entry is lower as a security vendor, right? Especially if you're doing things like CSPMs. Take an example. So, if you're looking at compliance requirements, right, if your team understands, like, what it means to be compliant with PCI, you know, like, [line three 00:28:14] or whatever, you can apply that to Azure and Amazon fairly trivially, and be like, “Okay, well, here's how I check in Azure, and here's how I check in Amazon,” right?So, it's not very difficult to, I think, engineer that once you understand the basic premise of what you're trying to accomplish. It does become complicated as you're trying to deal with more and more different cloud services. Again, if you're kind of trying to be a cloud security company, you almost have no choice. Like, you have to either say, “I'm only doing this for AWS,” which is kind of a weird thing to do because they're kind of doing their own half-baked thing already, or I have to do this for everybody. And so most default to doing it for everybody.Whether they do it equally well, for everybody, I don't know. From our perspective, like, there's clearly a roadmap, so we have done one of them first and then one of them second and one of the third, and so I guarantee you that we're better in some than others. So, I think you're going to have pluses and minuses no matter what you do, but ultimately what you're looking for is coverage of the tool's capabilities, and whether or not you have a program that is going to leverage that tool, right? And then you can check the boxes of like, “Okay. Does it do the AWS thing? Does it do this other AWS thing? Does it do this Azure thing?”Corey: I really appreciate your taking the time out of your day to speak with me. We're going to throw a link to the report itself in the [show notes 00:29:23], but other than that, if people want to learn more about how you view these things, where's the best place to find you?Anna: I am—rarely—but on Twitter at @aabelak. I am also on LinkedIn like everybody else, and in the worst case, you could find me by email, at anna.belak@sysdig.com.Corey: And we will of course put links to that in the [show notes 00:29:44]. Thank you so much for taking the time to speak with me today. I appreciate it.Anna: Thanks for having me, Corey. It's been fun.Corey: Anna Belak, Director of Thought Leadership at Sysdig. I'm Cloud Economist Corey Quinn and this is streaming on the cloud. If you've enjoyed this podcast, please leave a five-star review on your podcast platform of choice, whereas if you've hated this podcast, please leave a five-star review on your podcast platform of choice, along with an angry comment telling me not only why this entire approach to security is awful and doomed to fail, but also what booth number I can find you at this year's RSA Conference.Corey: If your AWS bill keeps rising and your blood pressure is doing the same, then you need The Duckbill Group. We help companies fix their AWS bill by making it smaller and less horrifying. The Duckbill Group works for you, not AWS. We tailor recommendations to your business and we get to the point. Visit duckbillgroup.com to get started.Announcer: This has been a HumblePod production. Stay humble.

Вместе со Станиславом Флусовым из "ГК Монополия" (https://t.me/sflusov) рассмотрим пример простого контейнеризованного  приложения. Как безопасно хранить и использовать переменные окружения, и чем нам могут помочь Docker и Kubernetes в этой задаче? Обсудим плюсы и минусы контейнеризованных баз данных, в каких случаях нам может понадобится такое хранилище и что случится с SQL Server в Docker-контейнере? Присоединяйтесь к обсуждению выпусков в канале книжного клуба: https://t.me/bookclubdotnet Книга .NET Microservices: Architecture for Containerized .NET Applications (https://aka.ms/microservicesebook) В выпуске - Defining your multi-container application with docker-compose.yml (116 - 127 стр.): https://docs.microsoft.com/en-us/dotnet/architecture/microservices/multi-container-microservice-net-applications/multi-container-applications-docker-compose - Use a database server running as a container (127 - 133 стр.): https://docs.microsoft.com/en-us/dotnet/architecture/microservices/multi-container-microservice-net-applications/database-server-container Выпуск на других платформах: https://bookclub-dotnet.mave.digital/ep-9 Выпуск на YouTube: https://www.youtube.com/watch?v=ZumadYjN6dw&list=PLbxr_aGL4q3SAMvtA4ZTPdHPrX0YRutxy Канал книжного клуба: https://t.me/bookclubdotnet Сайт книжного клуба: https://bookclub.dotnet.ru Доклад Станислава Флусова про миграцию приложения с MS SQL Server на PostgreSQL: https://www.youtube.com/watch?v=C5SUvakzJG8

Ссылка на чат, где обитают ведущие: https://t.me/DevOpsMinskChat Timings: 00:00:00 Начало 00:00:25 Витя играет с инструментом 00:01:00 Как Витя греется в Германии 00:02:20 Ремонтируем Apple на дому (1) 00:05:43 Kubernetes убивает Docker (2) 00:06:45 Что такое dockershim 00:09:08 Опрос готовы ли люди к запрету docker 00:14:03 Как мне поменять runtime на текущем k8s кластере 00:17:55 Как собирать логи k8s в продакшене (3) 00:24:00 Работа onCall (4) 00:23:50 Умерла камера 00:37:44 Как доставлять инфраструктуру с приложением? (5) 00:51:20 Обращение к зрителям Links: 1) https://dev.by/news/apple-budet-prodavat-originalnye-detali-vladeltsam-gadzhetov-dlya-samostoyatelnogo-remonta 2)https://kubernetes.io/blog/2021/11/12/are-you-ready-for-dockershim-removal https://habr.com/ru/company/flant/news/t/589503/ 3)https://codersociety.com/blog/articles/kubernetes-logging 4)https://grafana.com/blog/2021/11/09/announcing-grafana-oncall https://github.com/grafana/dashboard-linter 5)https://danielmangum.com/posts/infrastructure-in-your-software-packages Сказать спасибо: https://www.patreon.com/devopskitchentalks Музыка: https://www.bensound.com/

This week's guest is Dr. Chris Weichel, CTO of GitPod. GitPod is an all-in-one online development environment with a complete version of VSCode in the browser.We also spend some time talking about Chris' Human-Computer interaction research.

[קישור לקובץ mp3] בפרק מספר 422 של רברס עם פלטרפורמה - אני מתכבד לארח באולפן הוירטואלי שלי את ארז מטולה(רן) אז אם אתם מזהים את הקול הזה, זה בגלל שאתם מאזינים ממש-ממש-ממש אדוקים - עם ארז נפגשנו לפני 10 שנים - או יותר, אולי אפילו 11 שנים [מפה לשם כמעט 12…] - והקלטנו פרק, אז, על נושא של Penetration Testing [058 אבטחת מידע בתכנה software security, כולל הפתיח ההיסטורי למטיבי שמע], והנה אנחנו נפגשים שוב אחרי 10 או 11 שנים, כדי לראות מה התעדכן. רמז - הרבה . . . אז לפני שנכנס לעולם ה-Pen-Testing, ארז - ספר לנו, ככה בכמה מילים, עליך - (ארז) בשמחה - אני נמצא בתחום הזה של ה-Security בערך מאז שאני זוכר את עצמי . . . עוד בתור ילד, התעסקתי עם כל מיני שפות פיתוח ועם לפרוץ למשחקים ולעשות כל מיני דברים [לכאורה].היה לי ברור שזה הכיוון שלי, עוד בתור ילד היה לי ברור שאני איכשהו אשלב בין עולם המחשבים ועולם האבטחה - “הפריצות” אז קראנו לזה, עוד לא הייתה הגדרה לכזה דבר.ובאמת, בשביל לעשות את זה בצורה רצינית, היה לי ברור שגם צריך לעשות את זה בצורה “נכונה” ו”אקדמאית”, נקרא לזה.אז לאחר שלמדתי תואר ראשון ותואר שני בתחום, אמרתי “רגע, מה אני עוד יכול לעשות?”אולי אני אלך לעבוד בחברת פיתוח, כי בסך הכל אני מפתח תוכנה - אבל מצד שני, אני מאוד אוהב את ה-Security . . .אז אמרתי - רגע, בדיוק נולד תחום חדש שנקרא Application Security - אני מדבר איתך על לפני 20 שנה, כן? כשנכנסתי לעניינים - ואמרתי “איזה מגניב!”זה תחום שמשלב בין Security לפיתוח - בדיוק החיתוך הזה - ווואלה, נשמע לי מאוד מגניב, משהו שאני מאוד מתחבר אליו. ומאז גם התחלתי להתעסק עם כל מיני דברים שקשורים לכלים שפיתחתי, למחקרים שביצעתי, הרצאות שעשיתי במקומות כמו Black Hat ו-DevConאפילו יצא לי לכתוב ספר בנושא, שנקרא Managed Code Rootkitsומאז מאוד פיתחתי את התחום והשתדלתי לקחת סביבי הרבה מאוד אנשים שיטפלו בנושא הזהולפני משהו כמו 10 שנים הקמתי חברה בשם AppSec Labs - זו חברה שמתמחה בתחום ה-Application Security, ומה שאנחנו עושים בעצם זה בדיוק זה: אנחנו 15 איש, עושים Penetration Testing, עושים Code Review, מייעצים איך לכתוב אפליקציות בצורה בטוחה . . . כאשר המטרה המרכזית שלנו, בסופו של דבר, היא לגרום לעולם להיות מקום בטוח יותר, בהקשר של Software.(רן) מצויין, באמת הסטוריה ארוכה ומכובדת - לא הרבה יודעים, אבל גם אני התחלתי את הקריירה שלי כ-Pen-Tester, באיזשהו שלב . . . אחרי שסיימתי את הלימודים, זה היה אחד הדברים הראשונים שעשיתי, ואח”כ עברתי לכיוונים אחרים של Frontend ו-Backend ותשתיות - והיום Data Science, אבל כן, יש לי עדיין פינה חמה בלב לעולם ה-Pen-Testing וגם אני הייתי ב-Black Hat וכאלה, מכיר את החבורה . . .אבל בכל אופן, למי שאולי לא מכיר - הזכרנו את המילה הזו מספר פעמים: Pen-Testing: מה המשמעות? מה זה Pen-Testing? מה המשמעות של להיות Pen-Tester?(ארז) Pen-Testing זה, בצורה הכי נקרא-לזה-ככה-“מסונתזת”-שלו, זו מערכת, שיכולה להיות מערכת We-App או Mobile-App . . .ויכול להיות Pen-Test תשתיתי בכלל - Pen-Test לשרת קבצים, ל-IAS, ל-Apache . . . לא משנה מה, תמיד יש Target.בשורה התחתונה - המטרה היא להפיק דוח, להפיק רשימת Vulnerabilities, בעיות שנמצאו במערכת - על מנת שהצד השני - בדרך כלל בעל המערכת - יוכל להבין בפני מה הוא עומד.אם בעל המערכת יודע שיש לו איזושהי מערכת, ואין לו כל כך מושג אילו בעיות יש שם - אז הדבר הכי קרוב לפורץ אמיתי, שיפרוץ לו למערכת וינצל את זה - זה לקחת מישהו, נקרא לזה “מהטובים” - Penetration Tester, שבצורה מסודרת ומבוקרת ובתיאום עם אותו גורם, יבצע לו [עבורו] סוג של “סימולציה של האיש הרע”רק שבמקום שהוא באמת ינצל את הפרצות האלה ויעשה עם זה משהו, הוא פשוט בא ואחרי זה אומר לו “הנה, תראה - אלו הן הבעיות שמצאתי והנה, מההבנה שלי את הבעיות, אני גם יכול להגיד לך איך כדאי לך לטפל ולתקן אותן”.(רן) בסדר גמור, מעולה - אז אפשר לחשוב על Pen-Tester כעל “שודד טוב”: מישהו שמדמה פריצה אבל בסופו של דבר נותן לך דוח ולא גונב לך את הכסף, או את שאר הדברים . . .אז המקצוע הזה, כמו שאמרת, התחיל כבר לפני 20 שנה או יותר - אבל בוא נדבר על מה שקורה היום, זאת אומרת - מה התחדש, לפחות נאמר ב 5-10 שנים האחרונות, מבחינה טכנולוגית, מבחינה מתודולוגית . . . מה חדש בזמן האחרון?(ארז) אז קודם כל המון השתנה . . . אם אני אקביל את זה למה שהיה אז, בפגישה הקודמת שלנו לפני ~15 שנה, אז העולם היה מאוד פשוט . . .אז היתה לך טכנולוגיה אחת, בדרך כלל, שרת Web אחד . . . הכל היה מאוד הומוגני.הרוב היה רץ על IAS-ים, בדרך כלל מה שכתבו היו Web-Apps עם ASP . . . בהמשך התחיל NET.אם כבר היו אפקליציות Web-יות אז הן היו רק Java . . . היה מאוד מצוצמם.בדרך כלל, מי שעשה Penetration Testing בתקופה ההיא היו סוג של לקוחות מאוד-מאוד ממוקד - זה יכול להיות . . . בדרך כלל בנקים או תעשיות בטחוניות וכאלה.היום,Literally, כולם עושים Penetration Testing - כי כולם מבינים שזה צורך מאוד חשובוזה איזשהו שינוי מאוד מהותי שאנחנו רואים היום - שכולם עושים כל הזמן, כולם עושים להכל, לא רק לאותן אפליקציות שהן, ככה חשופות.ואם נסתכל רגע על ההבדל המשמעותי - אני אגיד את זה במשפט אחד ואני אפתח את זה: בשורה התחתונה, היום הרבה יותר מורכב לבצע Penetration Testing ממה שבוצע בעבר.היום, למשל, כשאנחנו מסתכלים על Target - אני, ברשותך, אתמקד בעולם שאני מכיר ושוחה ומומחה בו, תחום ה - Applications . . . אם אני מסתכל על Applications - ואגב Applications זה מושג מאוד רחב: זה יכול להיות Web-Apps, זה יכול להיות Mobile-Apps, זה יכול להיות IOTs, זה יכול להיות REST APIs, ו . . . You-name-it . . . כל עולם ה-Softwareבקיצור, הום הרבה יותר מורכב לבצע Penetration Testing, כי הפרופיל של ה-Penetration Tester הוא כזה שהוא צריך להיות הרבה יותר ורסטיליהוא לא יכול להכיר רק טכנולוגיה אחת, הוא לא יכול לבוא ולהגיד “אני יודע רק טכנולגויה אחת - אני יודע רק לבדוק Web-App מסוג Java!”הוא צריך להכיר טכנולוגיות שונות, הוא צריך לדעת את ההבדלים . . . מה ההבדל בין אפליקציה שנגיד מותקנת On-Prem - שזה, אגב, היה בעבר בעיקר On-Prem - לבין, פתאום, אפליקציות שהן . . . היום כמעט שאין On-Prem, רק בסביבות מיוחדות אתה תראה On-Prem.היום הרוב זה SaaS - אם ניקח את זה עוד שלב קדימה, היום הכל כמעט בנוי מעל תשתיות Cloudו-SaaS לא בהכרח אומר Cloud, יכול להיות שיש מישהו שיש לו SaaS שלא בהכרח משתמש בכל ה-Advanced Features שיש ל-Cloud Providers, כמו Storage של Encryption Keys וכמו שירותים שאתה “זורק את הקוד שלך” ויש לך איזה Lambda Function . . . אתה זורק את הקוד ואתה לא צריך בכלל תשתיות . . .אלו דברים שמאוד השתנו - ולכל סוג של מערכת, לפי ה-Deployment שלה ולפי הטכנולוגיה שלה, יש ממש סט של בעיות שאותו Pen-Tester צריך להכיר.בשורה התחתונה - ב-Pen-Testing, יש לך זמן קבוע - זה לא, ככה, “תבדוק כמה שאתה רוצה”, תמיד יש זמן קבוע - בסופו של דבר, Pen-Testing זו פעילות מסחרית, שיש לה זמן מוקצב, ואחד מהאתגרים הכי גדולים שיש ל-Pen-Tester, מעבר לטכנולוגיה, זה לדעת איך הוא “משחק נכון” עם השעות - איך הוא עושה פיזור נכון, אופטימלי, של השעות שלואיפה הוא שם את השעות אל מול ההסתברות הגבוהה למציאת Vulnerabilities - הייתי אומר שזה שם המשחק היום.(רן) אז אני מנסה, ככה, לדמיין איך נראה היום שלך, או של אחד העובדים בחברה שלך . . . אז נגיד, יש לקוח עם חוזה חדש ועכשיו יש לך, לצורך העניין, איזשהו “בנק-שעות” שאותו אתה הולך להשקיע ב-Pen-Testing - מה, זה מתחיל באנליזה? ארכיטקטורה של המערכת? שיחה עם מהנדסים, או שאתה מתייחס לזה כמו אל קופסא שחורה? זו השאלה ראשונה - עד כמה המערכת צריכה להיות “שקופה” אליך?שאלה שנייה היא האם יש איזשהו סט-כלים, Tools-of-Trade, שאיתם אתה תמיד מתחיל ראשון - ואז משם ממשיך הלאה, לפי הממצאים?(ארז) שאלה מצויינת, שאלות מצויינות . . . יש כמה שאלות שמתחבאות במה שהעלת . . .אני אתחיל, קודם כל, מאיזושהי הצהרה - בשורה התחתונה, כשעושים Penetration Testing, אפשר להגיד שהעולם מתחלק לשלושה סוגים - סוג אחד זה Black-Box, סוג שני זה White-Box, בצד השני של הסקאלה; ובאמצע נמצא Gray-Box.אני מאוד מאמין ב-Gray-Box . . . ואני אתחיל רגע בהסבר של מה כל אחד אומר . . .אז Black-Box אומר “קח את המערכת, עזוב'תי באמ'שלך ותחזור אלי עם דוח” - זה ממש, בשפה פשוטה . . .במקרה הטוב אתה מקבל Username ו-Password, יש לך נגיד את ה-URL של המערכת ו-User ו-Password וזהו, לא משתפים איתך פעולה.זו גישה אנכרוניסטית, לדעתי . . . היא מתאימה מאוד למצב שבו אתה יודע לחלוטין שבדקת את המערכת ואין שום דבר ויש סבירות מאוד נמוכה שימצאו [משהו] ועוד הרבה מאוד סיבות למה שתעשה Black-Box, יש עוד כמה . . .בשורה התחתונה, היא לא אופטימלית - אתה יכול לבזבז כמות שעות אדירה על דברים שאתה יכול לחלץ, את אותו Vulnerability, בשיחה של חמש דקות עם מתכנת, בסדר? . . . .או בלהסתכל בדיוק, לעשות Pin-point, ללכת ל-Class המתאים בקוד, כשאתה יודע איפה כנראה מסתתרת הלוגיקה שאתה רוצה לבחון - ופשוט להסתכל על הקוד ולהבין מה קורה שם.מהצד השני נמצא White-Box, שזה בעצם אומר “תן לי את הקוד, בוא נעשה White-Box Testing - תן לי את הקוד, אני בעיקר אסתכל עליו, אשאל שאלות, אסתכל על ה-Sequence Data וכו'” . . . ונמצא בעיות - נסתכל על ה-Design ונמצא בעיות.ויש את האמצע - האמצע זה ה-Gray-Box, שבעצם אומר “בוא נעשה את שניהם - בוא נשתמש בשני המכשירים, גם במכשיר ה-Pen-Testing ‘ה-Black-box-י' וגם במכשיר ‘ה-White-box-י', על מנת לאתר Vulnerabilities”שם המשחק הוא שבהינתן זמן נתון - קבוע, Fixed - אני רוצה למצוא את מקסימום ה=Vulnerabilitiesאני, כ-Pen-Tester, מאוד ארצה- כמו רופא שיכול לנתח ויש לו סט של מכשירים, שיכול להרים פעם את האיזמל הזה ופעם את ההוא וכו'אני רוצה לבוא ולהגיד שהייתי מאוד שמח, בהינתן בעיה נתונה שאני רוצה לבחון, לחשוב ולהגיד רגע, האם אני ניגש אליה במסלול . . .עם המכשיר של ה-Black, כי זה יותר נכון לבדוק אותה עם Black?אולי יותר נכון להסתכל עליה ב-White?או אולי נכון להתחיל Black, לעבור ל-White, לחזור ל-Black, לחזור ל-White . . . וככה בעצם, בצורה מאוד יעילה, לאתר את הבעיותוזה מוביל אותי לשאלה ששאלת - מהי המתודולוגיה של צורת הבדיקה? הPipline הוא כזה:עוד לפני שמתחיל Penetration Testing, נהוג לעשות משהו שנקרא Scoping - ו-Scoping זה תהליך שהוא חצי-עסקי וחצי-טכנולוגי - תהליך שבו מדברים עם הלקוח, עוד לפני שיש הצעת מחיר, לפני שיודעים מה בכלל הולכים לבדוק וכו' - ושואלים אותו “תגיד, מה מעניין אותך? מה היית רוצה לבדוק? בוא - שרטט לי גבולות גזרה, שרטט לי את הרכיבים שלך . . . האם ה-Web-App כן ב-Scope או לא ב-Scope? ה-REST API, שמדבר עם השירות-צד-שלישי שלך - כן להכניס אותו או לא להכניס אותו?”קודם כל, מחליטים איתו מה בכלל רוצים, מהם הגבולות גזרה, מבינים מה המורכבות של המערכת, כמה דפים יש לכל מערכת . . . כי הרי מערכת - לא מודדים אותה לפי משקלה בק”ג . . . מודדים אותה לפי כמות הדפים, כמות ה-APIs, עד כמה הם מורכבים . . .יכולות להיות שתי מערכות, לשתיהן עשר End-Points - אבל אחת היא סופר-מורכבת והשנייה היא כזאת פשוטה כזאת, כמה GET-ים פשוטים שמחזירים אינפורמציה . . . .אחרי שקובעים עם הלקוח את היקף הפעילות, מקבלים הצעת מחיר, הוא מאשר אותה, כל הצד הביזנסי . . . עברנו אותו.קובעים Kick-off - זה שלב סופר-חשוב ב-Pen-Test, זה שלב שבו, ביחד עם הלקוח, קובעים, בשלב הראשון של המערכת - מזמנים את כל הגורמים הרלוונטיים, בין עם זה ה-Pen-Testers וה-Product וה-Project Managers - זה מהצד שלנו, למשלומהצד של הלקוח - בדרך כלל את מי שמכיר את המוצר הכי טוב - מנהלת הפיתוח, לפעמים ה-CISO, מנהל מערכות מידע . . . גורמים מצד הלקוח.ורואים שקודם כל יש לנו את כל המידע שאנחנו צריכים - URL-ים ו-Password-ים וכל מה שצריך למערכות - רואים שהכל עובד, סופר-חשוב . . . גרוע להתחיל פעילות, ואז לגלות שפתאום אחת המערכות לא זמינה, כי אתמול ה-QA החליטו לעשות בדיקה ועשו איזו Stress-test או לא משנה מה . . . . תמיד יש סיפורים.בשלב הזה, של ה-Kick-off, זה השלב שבו נרצה גם לאושש את הנחות הייסוד שלנו, לגבי גבולות הגזרה - אני יכול לתת . . . לא חסרות דוגמאות, שפתאום מישהו מתעורר, מהצד של הלקוח, ואומר “רגע! המערכת הזו, שאמרתם שהיא ב-Scope - היא לא מוכנה, או שלא אמורים לבדוק אותה” - ויכול להיות גם מקרה הפוך, שמישהו יבוא ויגיד “רגע! מה עם השירות ההוא-וההוא? מה עם השירות שעכשיו עושה את Event-rule הזה? הוספנו את זה לפני כמה ימים וכן צריך להכניס אותו ל-Scope . . . .”אז זה בדיוק המקום שבו כל מיני דברים צפים.אחרי שעברנו את השלב הזה, מה שנהוג לעשות - ואני אחבר את זה רגע ל-Gray-Box - זה לקבוע שיחה עם אחד המתכנתים, מישהו שמכיר טוב את המערכת, וללכת איתו בשיטה של Cross-cut, לכל האיזורים שמעניינים ב-Security - ללכת איתו ממש ברמת ה-IDE, להגיד לו, למשל, “תפתח עכשיו ב-Visual Studio ותראה לי בבקשה איך אתה עושה Authentication ל-User-ים”, “תראה לי איך אתה חותם על JWT Tickets”, “קח אותי, למשל, לאותוריזציה (Authorization) - אני רוצה לראות את המודל-הרשאות שלך”או “אמרת לי שיש לך Database מסוג SQL - תגיד, אתה משתמש ב-Dynamic queries?” או “אמרת לי שאתה עובד ב-ORM - אני רוצה לראות בעיניים . . . קח אותי בבקשה ל-DALL, אני רוצה לראות בעיניים . . . “למה אני אומר את הדברים? כי אני יודע שעוד מעט אני אעשה את ה-Pen-Test, ואחד הדברים שאני אסתכל עליהם זה, למשל, זה SQL Injection . . . כשאני אבוא ל-SQL Injection, אם אני יודע, היה לי מידע פנימי, שאומר שלמשל - אין מצב ל-Dynamic queries בקוד, כי ראיתי בעין שהמתכנת משתמש ב-ORM, בסדר . . .בוא נניח שאין בעיה באיך שהוא מימש ORM . . . אז נניח שאני אומר שיש ORM - הסבירות שבה יש SQL Injection, שה-Run-time בכלל ג'ינרט (Generated) על מנת לגשת לדבר הזה - היא קלושה . . .זאת אומרת שאני יודע שאני אולי, בקטנה ככה, אוודא SQL Injection - אבל בשעות היקרות האלה, שהייתי אמור לבדוק SQL Injection - אני אשים אותן על משהו אחר . . . אני אמצא בעיה אחרת.ושוב אני מזכיר - זה משחק של הסתברויות . . . התפקיד של ה-Pen-Tester הוא לבוא ולראות איפה לשחק עם השעות שלו.אם אני אלך רגע קדימה - אז היום של ה-Pen-Tester הוא כזה שבהתחלה הוא סוג של, אם מתחיל הפרויקט, אז הוא סוג-של עושה Reconnaissance על המערכת, Information gathering . . . עובר על המערכת, אילו API-ים יש, כן WebSocket, לא WebSocket, מה עובר . . . אם זה עובר ב-JSON או עובר ב-Proto-Buff, או מה . . . .אגב, היסטוריה - פעם זה לא היה ככה, פעם ה-HTTP Request היה פשוט פרמטרים, כל מה שהיה צריך לעשות זה לשחק עם פרמטרים . . . היום פתאום זה הרבה יותר מורכב, יש Single Page authentication, אתה כבר לא יכול לעשות Crawling על כל המערכת ולדעת בצורה פשוטה, היום הדברים הרבה יותר מורכבים.ולכן, אחד הדברים החשובים ש-Pen-Tester עושה בהתחלה - הוא בונה לעצמו מודל של איך שהמערכת בנויה, והוא חושב כמתכנת - “אם אני הייתי בונה את זה . . .” - אני נכנס לראש של המתכנת ואני מבין את השיקולים שלו . . . “למה, למשל, את ה-Request הזה הוא העביר over WebSocket, ואת זה הוא העביר ב- REST API?” - כנראה שהייתה סיבה . . . כנראה שאת ה-WebSocket הוא צריך ל-Long-running Connection או משהו, ואני אראה שאם יש לו Long-running Connection, אז כנראה שבצד השני ה-User הוא כנראה Authenticated ברגע שהוא פתח Connection . . . זאת אומרת שיכול להיות שב-WebSocket אני אומתתי רק בפעם הראשונה שפתחתי את ה-Connection, ויכול להיות שכשאני אני אשלח את הבקשות הבאות, אם אני אעשה משחק על פרמטרים ואזין ID של User אחר או של Resource אחר - יש סיכוי גבוה יותר שאני אמצא אותו . . . למה? כי ב-REST API, מראש, בגלל שהוא State-less, בהקשר הזה - אז תמיד בודקים . . . יש כל מיני ניואנסים קטנים, שברגע שאתה נכנס לראש של כל מתכנת, זה נותן לך כל מיני טיפים על איפה כדאי לך להסתכל . . .בקיצור - אחרי שעשינו את כל שלב ההכנה ואיך שהמערכת בנויה ואיפה כנראה יש בעיות ו . . . אחד הדברים זה גם למפות פיצ'רים - למשל, יש Features של File upload או Download . . . מדי פעם זה Import או Export של כל מיני קבצים וזה - אז כבר אני יודע שב-Security test-cases שלי אני צריך לכסות Vulnerabilities כגון Directory traversal ו-Path manipulation ודברים כאלה . . . אם לא היה פיצ'ר כזה, שימו לב - זה Feature-Driven - אם לא היה פיצ'ר בכלל של File-ים, כנראה שלהתחיל לחפש Directory traversal היה נמוך יותר ברשימה שלי . . .זאת אומרת שאחד הדברים שה-Pen-Tester עושה - הוא גם בונה לו סוג של “רשימה ממויינת”: אילו Test-cases יותר מעניינים, ספציפית במערכת הזאת.זה קטע מאוד מעניין ומאוד מאתגר - וככל שיש יותר ניסיון, אנחנו גם רואים את זה, ש-Pen-Testers מנוסים יותר, הראשי-צוותים, הרבה פעמים . . . גם אם יש Pen-Tester מאוד טוב, שיודע לזהות בעיה מאוד מאוד טוב - הוא צריך את הניסיון של ה-Pen-Tester המנוסה יותר, שיגיד לו “שמע, יש לי תחושת בטן . . . יש לי הרגשה שבאיזור הזה יהיה לך Directory traversal . . . “הצעיר יותר, שיודע למצוא Directory traversal, ו”שד בזה” - יסתכל על המישהו המנוסה יותר ויגיד לו “איך אתה יודע?, מאיפה יש לך את התחושת בטן הזאת?” - וזה בדיוק הניסיון, שגורם לך להבין לאיפה לחלק את השעות . . . ואם אני כבר קופץ רגע לסוף, רק לשלב האחרון - אחרי שמצאנו, במהלך הפעילות, מצאנו Vulnerabilities . . .היועץ שם לו אותן בצד - ובשלב הסופי הוא כותב דוח שממפה את כל אותן בעיות, ואני אשמח עוד מעט להרחיב על מה נמצא בדוח ומה עושים איתו . . .(רן) כן . . . אז אני מניח שאיזשהו Sub-text שלא כל כך דיברנו עליו הוא שלך יש אולי איזושהי מגבלת זמן, אבל אתה יוצא מתוך נקודת הנחה שלפורץ אין מגבלת זמן . . . זאת אומרת, גם אם אין לו, כמובן, גישה ל-White-Box, אין לו גישה ל-Source-Code - או לפחות אנחנו מקווים שאין לו את הגישה הזאת, אם לא התכוונו לתת לו . . . .אבל כן יש לו הרבה מאוד זמן לשחק - אז הוא לא יודע אם יש Directory traversal או לא אז הוא פשוט מנסה, והוא לא יודע אם יש פה בעיה ב-WebSocket אז הוא פשוט מנסה - ולפורץ יש, נגיד, “אינסוף זמן”, אבל לך אין . . . יש סוף לזמן שלך, יש סוף לשעות שאותן אתה יכול להשקיע, לפי החוזה, ולכן אתה צריך לתעדף לפי סיכונים.רציתי לשאול - יש לנו בסך הכל הרבה נושאים שאנחנו רוצים לכסות והזמן קצר, כמו ב-Pen-Testing . . . - אז רציתי להתמקד על כמה דברים - ואחד הדברים המשמעותיים, אני חושב, ביותר בעולם של ה-Security activities זה ההתפתחות של שפות התכנות, זאת אומרת - אם בעבר פריצות טיפוסיות היו משתמשות ב-Buffer overflow ודריסות זכרון ודברים כאלה בשפות שהן פחות מנוהלות כגון C, היום השפות הן כבר הרבה יותר מנוהלות, ועדיין יש להן פגיעויות - אבל הן מסוג שונה.אז שפות שהן הרבה יותר מתקדמות, דוגמאת הגרסאות האחרונות של Java ו-TypeScript ו-Go ו-Rust מנהלות בצורה מאוד מאוד יפה את הזכרון שלהן, ויש להן לא מעט פיצ'רים של Security כבר Built-in בתוך השפה - אבל אני מנחש שיש להן פגיעויות אחרות . . .אז איך אתם ניגשים, נגיד, אם אתם לומדים שיש Code base שכתוב, לצורך העניין, ב-Go או ב-Rust או ב-TypeScript או בשפה מודרנית אחרת - האם אתם ניגשים לזה בצורה שונה, עם סט שונה של כלים או מתודולוגיה אחרת?(ארז) חד משמעית כן, כי בכל שפה יש את ה-Common Vulnerabilities שלה, או שאני אגיד את זה אחרת - לכל שפה יש את “המקומות האפלים האלה”, שמתכנת עלול “לירות לעצמו ברגל” . . .מה הכוונה? הסביבה והשיטה וכל ה-Community הרבה פעמים מעודד אותך לעבוד בצורה מסויימת, שהיא, בוא נגיד את זה ככה - קצת יותר מסוכנת מהממוצע, או יותר מסוכנת מבשפה אחרת . . . בעיקר בדברים דינאמיים או בדברים שאתה עושה בצורה שכזו, שנגיד שאולי בשפות אחרות לא היית עושהלמשל - בסביבות כמו Node.js ודומיהן, מאוד מאוד מעודדים אותך, יותר מבסביבות אחרות, להשתמש ב-Open Source Components . . . ו-Open Source Components, למרות שזה לא קוד שאתה כתבת, יש סבירות יותר גבוהה שבקומפוננטה (Component) שלא תפתח בעצמך, יהיה Vulnerability.גם לך תדע מאיפה הגיע ה-Package הזה ל-npm, ואתה מושך אותו ואלוהים יודע מה קורה איתו . . .אז יש סביבות שבהן ה-Package זה האיום המרכזי, ויש סביבות שבהן אתה יודע שהסביבה עצמה היא כזו שבה יש יותר סבירות לטעות . . .אגב, דיברת על זיכרון מנוהל וכו' - גם לפני 10 שנים, הרוב היה זיכרון מנוהל . . . בעיות כמו Buffer overflow ו-Format String ו-XSS וכו' - אלו בעיות שבאמת עוד בעבר הפסקנו להסתכל עליהן.זאת אומרת שהסבירות שאתה תמצא Buffer overflow באיזו Web-App הוא קלוש.לכן, רוב הבעיות מתמקדות בעיקר בבעיות טכניות - זה המונח, “בעיה טכנית”.“בעיה טכנית” זו בעיה כגון Directory traversal שהזכרתי קודם ו-SQL Injection ו-XSS ועוד כל מיני בעיות.ויש “בעיות לוגיות” . . . .(רן) כן, אני אוסיף לרשימה דברים שאני ראיתי - שימוש לא נכון ב-Encryption או בכל הספריות שקשורות ל-Encryption . . . (ארז) זה בעיות לוגיות . . . (רן) . . . ושימוש לא נכון באות'נטיקציה (Authentication) . . .(ארז) . . . לוגיות!(רן) אוקיי . . .(ארז) בדיוק . . . זה בדיוק מה שבאתי להגיד - לשם העולם הולך.אני אתן רקע - בעיות טכניות אלו בעיות שקל מאוד לפרמל (Formalize) אותן - לצורך העניין, אם אני עכשיו סורק את הקוד, קל לי, יחסית, לזהות או להגדיר Pattern של איך שנראה SQL Injectionתחשוב שמשהו רץ על הקוד, יש איזשהו Static Code Analysis, איזשהו מוצר של Security שעושה scanning, וידע לזהות איך נראה SQL Injection או XSS או כל בעיה אחרת . . .יש לזה Pattern בקוד, אני יכול להגדיר ולהגיד “אם אתה רואה קוד שיש בו Class של SQL Query ויש “הדבקת String-ים” בלה-בלה-בלה . . . “ - אני יכול לפרמל, לוגיקה כזו - “… - אז יש בעיה”.אלו בעיות טכניות.בעיות לוגיות, מהצד השני, הן בעיות יותר קשות - כי מכונה לא יכולה להסתכל על מכונה ולהכריע . . . זה הולך כל כך רחוק, עד כדי בעיית עצירה של Turing . . . זאת אומרת שאנחנו לא נוכל אף פעם, גם אם יש הרבה חברות AI שמספרות לנו כל מיני סיפורים - זה לא יקרה . . .בבעיות לוגיות, מכונה לא תוכל להכריע - זאת אומרת, יש דברים שהיא תוכל אולי, אני לא ראיתי . . . - אבל לדוגמא, הכי פשוטה:מי אמר שעל שדה מסויים, סופר-רגיש, צריך להיות Encryption? מי אמר שעל השדה הזה ב-Database או על השדה ההוא ב-Database צריך להיות Encryption? זה לא צריך להיות Encryption . . . מכונה לא תוכל להגיד לך את זה, בסדר?נכון שיהיה אפשר להסיק . . .(רן) אתה עושה את החלוקה בין “לוגיות” ל”טכניות” מנקודת הראות שלך, כ-Pen-Tester . . . דברים שבצורה טכנית, באופן טכני, אני יכול למצוא - ודברים שבאופן טכני אני לא יכול למצוא, ולכן אתה קורה לזה “לוגי”.אבל כמפתח, אני לא כל כך מודע לחלוקה הזאת . . . מבחינתי, הכל זה . . . לא יודע אם אפשר לקטלג את זה, אבל הכל זה בעיות לוגיות, כנראה . . . - זאת אומרת, מימוש לא נכון, הליכה כנגד ה-Best-Practices, בהרבה מקרים, או סתם חוסר הבנה או חוסר ידע שלי . . .(ארז) כן, תראה - הטרמינולוגיה של “בעיה טכנית” או “בעיה לוגית” היא לא טרמינולוגיה . . . זו טרמינולוגיה שבאה מעולם הPenetration Testing - זה מונח מקובל ונהוג לעשות את החלוקה הזאת.בשורה התחתונה - אתה צודק, מנקודת מבטו של מתכנת “הכל לוגי, כי הכל זה קוד שאני כותב”, ברור . . .אבל בהקשר של בעיה, כן - רוב הבעיות שאנחנו רואים היום הן בעיות כגון זה שלא שמת Encryption או שעשית Encryption לא נכון, או שלא עשיתי אות'וריזציה (Authorization), בסדר? לא עשית אות'וריזציה או שיכול להיות שהאות'וריזציה שלך לא טובה . . . .או למשל - מישהו שעושה Parameter Manipulation על איזה ערך, כן? . . . והוא נותן ערך Valid-י, זאת אומרת, תחשוב רגע שיש איזשהו ערך שאני מעביר - הערך עצמו, כערך, הוא אחלה ערך! הוא עובר RegExr, הכל תקין . . .אממה, לי אסור לשלוח אותו - הוא ה-CartID שלך, לא שלי, לדוגמא . . . . שזו בעיה לוגית, זו בעיה שמאוד קשה לעלות עליה מבחוץ - אתה ממש צריך להבין את ה-Business-Logic של המערכת.וזה, אגב, משהו שאומר שאיפשהו, ככל שהטכנולוגיה תתקדם ויהיו ל-Pen-Testing יותר שיטות ויותר כלים - תמיד אנחנו נצטרך Human בתמונה . . .(רן) אז נושא אחד שככה קצת נגעת בו מקודם, כשדיברנו על Node.js - הזכרנו קוד פתוח והזכרנו Package Managers, ורציתי קצת להכליל את זה ולדבר עוד כמה דקות על הנושא של Supply-Chain Attacks - התקפות על שרשרת האספקה.עכשיו, מי שמגיע מעולם התפעול מכיר שרשרת אספקה - זה אוניות, זה משאיות, זה מטוסים, זה מחסנים וכו' . . . . אבל מה, למעשה, זו שרשרת האספקה בעולם התוכנה? אז בעולם התוכנה, שרשרת האספקה כוללת כמה דברים - זה כולל את כל ה-Tool-ים שעוזרים לנו בסופו של דבר לכתוב את התוכנה ולדלבר (Deliver) אותה, אם זה IDE, אם זה ה-Package Manager, אם זה חבילות ה-Open-Source השונות, ה-CI, ה-Deployment System, ה-Docker ו-Kubernetes וכו' - כל מה שעוזר לנו בסופו של דבר - כל מה שהוא לא התוכנה שלנו, אבל עוזר לנו לייצר את התוכנה.ובזמן האחרון - טוב, אני לא יודע אם זה בזמן האחרון אבל שאולי זה רק עלה יותר למודעות בזמן האחרון - יש לא מעט התקפות על שרשרת האספקה הזאת, אם זה התקפה על ה-CI, אם זו התקפה על החבילות, Hijacking וכו' . . .איך זה משנה את עולם ה-Pen-Testing?(ארז) תראה, בשורה התחתונה אני אגיד שזה משהו שחלקית אנחנו . . . זאת אומרת, אפשר להתייחס אליו ב-Pen-Testing.ולמה אני אומר את זה? כי אם יש בעיה, כשהבעיה הזו היא, לצורך העניין, חשופה כלפי חוץ - אז אתה תראה אותה ב-Pen-Test, וזה לא משנה אם המתכנת טעה ועשה Bug של Security, שזה רוב המקרים, או אם המתכנת בכוונה הזריק וקטור לקוד - נדיר, אבל קורה . . . .או אם זה סוג של . . . מישהו אחר, נגיד, הכניס בכוונה Bug איפשהו - בסוף זה יצא כלפי חוץ, זאת אומרת - ב-Pen-Testing אתה אמור לזהות את הבעיות שקיימות.מה אתה לא תזהה ב-Pen-Testing? אם למשל מישהו החביא, איפשהו ב-Supply-Chain עמוק בפנים, איזשהו Backdoor שכזה . . . אין סיכוי שאתה תעלה עליו, אתה יודע . . .אתה לא יכול לחזות, למשל שאם אתה תוסיף איזה ערך מאוד-מאוד-מאוד מיוחד ל-Request - פתאום ה-Backdoor יתעורר . . . זה לא משהו, זה לא סביר שאתה תעלה על זה ב-Pen-Test.אגב - מאוד יהיה קשה לעלות על זה גם בשיטות אחרות.לכן Supply Chain אלו בעיות מאוד קשות . . . כי תחשוב רגע, הזכרת למשל אוניות ומחסנים וכאלו - בעולם ה-Software זה יותר באמת “מישהו החביא לי איזושהי הפתעה, עוד לפני שאני, כמתכנת, קימפלתי ל-Production בכלל, מישהו החביא הפתעה עמוק בתוך ה-Complier” . . . סתם דוגמא - בתוך ה-IDE החביאו לי איזושהי הפתעה, החביאו לי בתוך ה-Docker Image . . . תחשוב - אם אני מושך איזה איזשהו Docker Image, והוא כבר בפנים החביא לי הפתעה . . . הקוד שלי סבבה, פצצה - עבר Code Review, עבר Pen-Test - על הסביבה הרגילה . . . אבל כשהוא רץ על ה-Docker Image הזה, אני בבעיה.לא חסרות סיבות שכאלו, שבהן אתה אומר שיכול להיות שאיפשהו לאורך הדרך מישהו שתל לי איזה משהו - ולכן, בהקשר של Supply Chain, מאוד חשוב לשים לב שבאמת, זה מאוד טריוויאלי - שכל השרשרת מאובטחת.שאת ה- Package-ים אתה לוקח ממקום תקין, שאת הסביבה אתה מעלה נקי . . . Docker Image? אין בעיה, אבל אל תביא Docker Image שמישהו אחר אפה, בוא תאפה אתה . . . תעשה את ה-Buildיש בפנים Binaries מיוחדים? תקמפל אתה . . . וכמובן שים לב מאיפה אתה מושך את הקוד . . .היום זה גם מאוד קל, כי היום להרבה מאוד דברים יש Digital Signature - פעם לא היה לנו Digital Signature כמעט על כל דבר, והיום יש.היום אתה יכול לוודא שהחבילה הגיעה מה-Trusted source שאתה מצפה לו.היום אתה יכול לאמת חתימות של כמעט כל דבר שיש.אפילו היום אתה יכול - הנה דוגמא למשהו שפעם לא היה - CDN, בסדר? נהוג למשוך כל מיני Static content מ-CDNהיום זה כל כך טריויאלי . . . פעם הייתה שם את הכל אצלך, את כל ה-JavaScript-ים והכלהיום יש יכולת להגיד, אני בתור מפתח המערכת שלי - כשאני מושך External backend, כשאני מושך למשל jQuery ממקור חיצוני, אני לספק את החתימה שלו כחלק מה-HTML - לא הייתי יכול לעשות את זה בעבר.בעבר הייתי צריך למשוך JavaScript ולכניס אותו “לקודש הקודשים” - ל-Domain שלי, בתוך ה-Domain שלי, להכניס משהו מבחוץ שאין לי מושג מאיפה הוא בא, אין לי מושג האם מישהו שינה אותו מאיפה שמשכתי אותו וכו'היום אני יכול ממש לספק Hash עם חתימה של מה שאני מצפה לקבל - ואם ה-Browser יקבל Package לא מתאים הוא ידחה אותו, הוא לא יטען אותו - שזה נהדר.יש הרבה מאוד שיפורים מהסוג השזה, שפעם לא היו לנו - וזה אגב אחד הטריקים שאני ממליץ להשתמש בהם.(רן) זה באמת מביא אותי לשאלה הבא - אולי לא יהיה לנו זמן לדבר על ה-Report שאתם מייצרים, אבל האם, אחרי שמצאתם אוסף של Vulnerabilities - רגישויות, פגיעויות - האם אתם גם הולכים הלאה ומספקים בסופו של דבר פתרונות, או מיטיגציות (Mitigations) לאותן בעיות?(ארז) יש הפרדה בין עולם ה-Pen-Testing לעולם הייעוץ - זאת אומרת שכשאתה עושה Penetration Testing, יש לך Mission - וה-Mission שלך זה לבוא ולמצוא כמה שיותר בעיות ולהנגיש אותן, זה חלק מהמשימה.מה זה אומר להנגיש אותן? - זה אומר שאני צריך לקחת בחשבון שמי שקורה את הדוח הוא לא Penetration Tester, ואני לא יכול לדבר בשפה שלי . . .אני צריך להסביר לו את הבעיות, אני צריך להסביר לו איפה הבעיות . . .אני צריך לשים לב לא ליפול לטעות הנפוצה - שהוא יחשוב שהבעיה שנתתי לו היא רק בדוגמא מסויימת, ויתקן רק אותה . . .ואחד הדברים שחשוב מאוד להנגיש במסמך זה את ה-Mitigations . . .אז לשאלתך - כן, נהוג לתת Mitigations במסמך, להגיד איך ניתן לטפל בזה - אמרתי לך, סתם לדוגמא, שה-Encryption שלך לא טוב - אגב יש לזה שם, משחק מילים: En-crap-tion . . . אם אתה עושה En-crap-tion, וה-Encryption שלך לא טוב, אז אחד מהדברים שאני ארשום לך במסמך זה שהשתמשת, למשל, בהצפנה סימטרית מסוג . . . . וה-Encruption mode שלך הוא ECB - זה לא טוב, תחליף בבקשה ל-CBC, ויכול להיות שאני אפילו אתן לך את ה-Flag המתאים בשפה שלך, כי אני, נגיד, יודע באיזו שפה אתה עובד וואני אתן לך גם ממש דוגמת קוד שעובדת.זה החלק של הדוח, זה החלק של ה-Pen-Test - מי שמקבל דוח, צריך שיהיה לו את כל מה שצריך בשביל לתקן את זה.יש לקוחות ויש מקרים שבהם באים ואומרים “תשמע - בואו תסייעו לי גם ממש ליישם את ההמלצות”אבל הנחת הייסוד היא שלא - אתה לא חייב להישען עלינו בשביל זהמי שעושה Pen-Test אמור לקבל את כל המידע ואמור לקחת מישהו שמבין מספיק, מפתח נורמלי, שידע מה לעשות עם הדברים - וכל מפתח נורמלי יידע איך לעשות את המיטיגציות (Mitigations) בהתאם להנחיות שהוא קיבל.(רן) אוקיי, הזמן שלנו כבר קצר ואני עדיין מאוד סקרן, אז אני אבחר לעצמי עוד שאלה אחת וננסה לענות עליה - בעצם, היום הרבה מאוד שירותים נשענים על שירותי-צד-שלישי - אם זה לצורך, נגיד, Monitoring אז Datadog וכאלה, אם זה לצורך תשתיות אז AWS או GCP או Azure . . . זאת אומרת, הרבה מאוד הישענות על שירותי-צד-שלישי, והשאלה האם זה גם משהו שאתה לוקח בחשבון כשאתה בא לעשות Pen-Testing? זאת אומרת - לא רק את הקוד שאני כתבתי, אלא גם את כל השירותים האחרים שבהם אני משתמש ואולי ה-Data שאני שולח אליהם, ואולי הפגיעויות שלהם, עצמם . . . לצורך העניין יש Vulnerability ב-PagerDuty - איך זה הולך להשפיע עלי?(ארז) שאלה מצויינת . . . מה שאתה מדבר עליו, יש לו שם כללי בעולם שלנו: זה נקרא TCB, שזה Trusted Computing Baseזה בעצם אומר אילו דברים מבחינתך זה הבסיס, שכהנחת יסוד אתה אומר “את זה אני לא בודק” . . .לדוגמא - כשאתה עכשיו עושה Pen-Test לאיזה Web Application שכתוב ב-Node.js, אתה לא תלך ותבדוק את המערכת הפעלה שלו . . . למה? כי אתה אומר ש”הנחת היסוד שלי היא שהמערכת הפעלה שלו היא תקינה” . . .כמובן שאתה יכול לעשות Pen-Test על לראות שאין Vulnerabilities במערכת הפעלה, אבל באנלוגיה, נגיד - אני עכשיו עושה Pen-Test על איזשהו Web App, שפתאום משתמש בשירות צד-שלישי . . . נגיד שהוא משתמש עכשיו בשירות שליחת SMS של Twilio או לא יודע מה, משהו של צד שלישיאני לא הולך לעשות עכשיו Pen-Test על Twilio . . . מבחינתי, Twilio הוא בהנחת יסוד שלנו, והוא צד שלישי שהוא Secure.קודם כל - אני לא יכול ללכת עד אינסוף ולבדוק את כל הלוויינים סביבי . . . זוכר? זה משהו עסקי . . . דבר שני - חוקית, אני לא יכולדבר שלישי - גם אם הייתי יכול, הם היו אומרים לי “לך מפה” . . .דבר רביעי - תשמע, זו אחריות שלהם . . .[כל זה לא משנה אם הטלויזיה מאזינה . . . ]מה שכן עושים זה מסתכלים על ה-Interface, זאת אומרת - אם אני עכשיו עובד עם צד-שלישי, אז כן אני אסתכל - וזה כן דברים שמסתכלים עליהם- כן אני אסתכל שאם למשל אני עובד מולו, אז אני עובד עם HTTPS, לדוגמא.כי אני רוצה לוודא שה-Data עובר לשם כשהוא Encrypted בצורה נכונה.כלל נוסף - אני עובד מולו אז אני רוצה לעשות Server Authentication.זה Concern שלי, אני רוצה כשכשאני הולך לצד שלישי, לעשות אות'נתיקציה (Authentication) שלו, אני רוצה לוודא שכשאני עובד עם שירות צד-שלישי, אני רוצה לוודא שבאמת אני עובד איתו ולא עם איזה Man-in-the-Middle . . . .למשל, אחד הדברים שעולים ב-Pen-Test זה שבזמן הפיתוח, כיבו את ה-Certificate Validation . . . למה? כי בפיתוח לא היה לי Certificate של צד-שלישי כלשהו וביטלתי, עשיתי . . . . דרסתי את המתודה שעושה Certificate Validation, ואמרתי “ניתן True - עזוב אותי באמא'שך . . . פונקצית-עזוב'תי-באמא'שך . . . ”וכשבאים ל-Production - “וואלה מעולה - זה עובד!”, כי זה עבד גם מקודם . . . .אלא הם דברים שב-Pen-Test, למשל, כן בודקים אותם - כי כשמכניסים Man-in-the-Middle, ורואים שכשאני מגיש Certificate שהוא לא חתום ע”י ה-CA שאותו Client אמור לוודא, אז באמת אני מבין שיש בעיה . . . בקיצור - לא בודקים את הצד-שלישי, כן בודקים את האינטגרציה מולו ואת ה-Interface-ים מולו - מה נשלח? איך מאמתים אותו? כו' . . .(רן) אני מניח שבהקשר הזה, יש גם עניין של זליגה של מידע פרטי - אולי אם שלחת SMS, או שאתה שולח רק את הפרטים שאתה רוצה ולא בטעות מידע של מישהו אחר . . . (ארז) נכון, וברשותך אני אקח דוגמא מעולם ה-Mobile Apps - בעולם ה-Mobile Apps אתה רואה שפתאום, Out-of-the-blue . . . כאילו, זה בדיוק מהכיוון ההפוך, כן? . . . אם מקודם אמרתי שאני יודע שיש תקשורת לשרת מסויים, פתאום אני מזהה תקשורת שהולכת לאיזשהו שרת כלשהו, שאין לי מושג מי הוא, מאיפה הוא, מהו . . . ומסתבר שה-Vendor, ברוב נחמדותו, הוסיף בפנים לוגיקה של Monitoring ושל טלמטריה . . . ולפעמים זה נעשה אפילו בצורה זדונית.אגב, אחד מה-Side-effects של Pen-Test זה פתאום, במקרה, לזהות תקשורת שבכלל לא ידענו שהיא קיימת, שמגיעה מתוך איזשהו SDK שלקחנו והכנסנו פנימה . . . אנחנו רואים את זה מלא, וזה אגב אחד הדברים ש”על הדרך” פתאום אנחנו יכולים להאיר עליהם . . .לפעמים, אגב, זה לא עניין של Security - לפעמים אנחנו, על הדרך, רואים משהו שעוזר לצד השני והוא אומר “וואלה, לא ידעתי בכלל שדברים כאלה קורים . . . .”(רן) אז לדוגמא, יכול להיות מקרה שבו אתה מתקין SDK בתוך ה-Mobile-App שלך ובלי ידיעתך הוא שולח כל מיני אנליטיקות על ה-User שלך, אולי אפילו PII, זאת אומרת Personally Identifiable Information על ה-User-ים שלך, בלי שבכלל ידעת ובלי, כמובן, שהסכמת.(ארז) נכון - ופתאום אתה מגלה שאתה לא עומד ברגולציה . . . שבעצם אותו צד שלישי, אותו Package תמים, שכל מה שהוא אמור לעשות זה לספק לך איזשהו חישוב של משהו מסוייםפתאום אתה מגלה שהוא, ברוב חוצפתו, לוקח את אותו מידע של ה-End-user ושולח לשרת שלו . . . עכשיו - גם אם זה לא בצורה זדונית, גם אם הם צריכים את זה בשביל לשפר את המוצר שלהם או לבנות איזשהו מודל Data-Science כזה או אחר - אני בבעיה, אני כ-Vendorכי פתאום הוא גורם לי לא לעמוד ברגולציה שאני אמור לעמוד בה - בגלל שהוא שולח את הנתונים של הלקוחות שלי אליו . . . זה מסבך אותנו וכמובן שהרבה פעמים זה גם גובל בבעיות Security - אבל זה חלק מהדברים שעלולים למצוא ב-Pen-Test על הדרך.(רן) כן, ברוראז כמו שאמרנו קודם - זמננו קצר ואנחנו צריכים לסיים.אז תודה, ארז! היה כיף והיה מעניין - ותודה על העדכון, אני מקווה שניפגש שוב ולא בעוד 10 שנים . . . .אז עולם ה-Pen-Testing מתחדש, אני מניח, כל יום, וזה מרתק - וזהו. תודה!(ארז) בכיף - שמחתי מאוד לבוא, שמחתי מאוד לדבר, וכמובן שאם יש עוד נושאים מעניינים אז אני בכיף אבוא וארחיב עליהם, תמיד כיף לדבר ולספר ככה את מה שבסופו של דבר עובד בצד הזה, כי אני גם רואה שברגע שגם עולם הפיתוח רואה ומבין את השיקולים של ה-Pen-Test, בסוף זה נותן יכולת טובה יותר לבצע את הפעילות הזאת.תודה ארז, ולהתראות! האזנה נעימה ותודה רבה לעופר פורר על התמלול!

In this episode I talk with Ken Collins, Principal Engineer at Custom Ink, about Dockerizing development environments, Dockerizing production environments, and hosting containerized applications with Kubernetes and AWS Lambda.Ken Collins on TwitterLamby.custominktech.comThe Case for Rails on LambdaLamby on Github

話したネタ イラストでわかるDockerとKubernetes Software Design plus DockerとKubernetesをかけめぐる コンテナとは何か？ docker の大きな貢献って何だった？ コンテナランタイムとは何か？ コンテナの隔離とは、具体的にどのように実現するのか？ cgroups は実際に何をしているのか？ runc での実装例 他の隔離方法の概要 OCI とは何か？ OCI と runc の関係性は？ docker と OCIランタイム の関係 CRI ランタイムとは？ docker run 実行後の流れ 16:09 - 16:30 の「runc run」についての補足: 実際にOCIで定義されCRIからの呼び出しで使われるコンテナ実行関連のサブコマンドは「runc create」、「runc start」です。「runc run」はcreate、startを組み合わせたサブコマンド実装で、手元のターミナルでruncの挙動を試したり、runcのコンテナ作成の挙動を追うのに良い題材になります。 参考 OCI Runtime Specificationで定められるOCIランタイムへ可能な操作 runc runの実行とコードリーディング 高レベルランタイムとは？ docker以外のCLIランタイム実装 Open Container Initiative Runtime Specification OCI Runtime Specification には何が規定されているのか？ コンテナの材料には何が含まれているのか？ docker 登場以後の歴史 rkt - the pod-native container engine kubernetes 利用時のコンテナ実行までの流れとは？ kubelet の役割 kubelet からの CRIランタイム への指示に使うプロトコル dockershim が deprecated になったときに発生した誤解 エピソードスポンサー 株式会社ゆめみ

זהו פרק 413 של רברס עם פלטפורמה, הוקלט ב-8 ביולי 2021, וזה הטייק השני - הטייק הראשון היה מוצלח במיוחד, אבל הוא לא הוקלט . . .אז הנה אתם פה, בטייק 2, יחד איתנו - כן, אני יודע שבשבילכם זה הטייק הראשון, בסדר - אז היום אנחנו נמצאים באולפן שלנו ביוקנעם עילית (!), אורי נמצא בחופש ומחליף את אורי יונתן מ-Outbrain - היי יונתן, מה נשמע?(יונתן) היי, מה העניינים?(רן) מצויין, ברוך הבא - ואיתנו נמצא גם ירון מחברת Soluto - היי ירון!(ירון) היי, מה העניינים? נעים מאוד . . . .(רן) טוב שבאת - היום אנחנו הולכים לדבר על GitOps, בפעם הראשונה.ולפני שנדבר על GitOps, נעשה סבב היכרות קצר - יונתן, היית כאן הרבה פעמים בפודקאסט לפני זה [הקדמה והיכרות - בפרק הקודם], אבל בוא ספר לנו בכל זאת עוד קצת על עצמך - (יונתן) אז אני הגעתי ל-Outbrain לפני 10 שנים, כמהנדס Backend, ובחמש השנים האחרונות אני מנהל את הפיתוח.ומאזין ותיק של רברסים [וגם אורח - 328 The tension between Agility and Ownership או Final Class 23: IDEs או 131 uijet או 088 Final Class 2, וכמובן 412 Serverless at Via](רן) מצויין - טוב שאתה פה.ירון - שני משפטים עליך?(ירון) אז אני ירון עידן, אני מוביל את צוות ה-DevOps ב-Solutoאני משחק עם מחשבים כבר יותר מ-20 שנה - התחלתי בצבא בתור DBA ואחרי זה עברתי להיות מפתח.לפני כמה שנים כבר גיליתי את עולם ה-DevOps ועברתי אליו לחלוטין - ומאז אני מאוד נהנה מהעולם הזה.ב-Soluto אני עושה את זה כבר משהו כמו חמש שנים.אני אספר גם קצת על Soluto, החברה שבה אני עובד - Soluto היא חברה שרוצה להפוך את הטכנולוגיה לדבר יותר ידידותי, בעיקר עבור אנשים שעבורם טכנולוגיה “זו לא השפה הראשונה שלהם”.אז המשתמשים שלנו יכולים לגשת לממשקים ב-Web או ב-Mobile ובעצם לקבל את המיטב מהמנויים הדיגיטליים שלהםלוודא שכל המידע שלהם מאובטח ושמוראם יש להם איזושהי מכונת כביסה חכמה בבית אז הם יכולים לוודא שהמכונה מתפקדת כמו שצריך ושהם מצליחים להשתמש בה . . .ובצד השני - יש להם גם את היכולת לפתוח איזשהו צ'אט, איזשהו Session של Chat עם Expert-ים - וגם הם משתמשים בפלטפורמה שאנחנו מפתחים בתל אביב, שנקראית Anywhere Expert, והיא מאפשרת לתומכים טכניים להיות מסוגלים לעשות את הסשנים האלה מהבית שלהם, מתוך איזושהי אפליקציה, כמו ב-Uberכבר לא צריכים לשבת בתוך איזה Cubical עם אוזניית מדונה ב-Setting קצת אפרורי - אלא ממש להשתחרר ולעשות את זה בתנאים שלהם.זה מייצר Disruption ענק לכל התעשייה הזאת של Tech-support בארה”ב - שם נמצאים רוב הלקוחות שלנו.(רן) אז זה, למעשה, Marketplace של תומכים ונתמכים - מצד אחד יש את הנתמכים, שאלו אנשים שיש להם, לצורך העניין, בעיה עם הטלפון או עם מכונת הכביסה או כל מכשיר אחרומצד שני התומכים, שבזמנם . . . אולי בנוסף על עבודתם, כמו שאמרת כמו ב-Uber, עושים השלמת הכנסה בזמנם החופשי.(ירון) כן - אנחנו אוהבים לחשוב על זה שאנחנו מצליחים לתרום לשני הצדדים הרבה מאודגם לגרום לאנשים להרגיש שהם מוציאים את המיטב ממה שהם שילמו עליו כסףוגם לגרום לאנשים לעשות את העבודה שלהם בתנאים יותר משחררים [אה . . . ](רן) אז הנה שאלה מפתיעה, שהרבה זמן לא שאלו אותך - אמרת שאתה כבר מתכנת הרבה זמן, אז תהיתי מה היה המעבד הראשון שסבל את נחת זרועך?(ירון) אז יש לי Deja Vu . . . אני חושב שזה היה 386 לדעתי? אבל נראה לי שעברתי על כל הסדרה, ואיפשהו בילדות מצאתי מצאתי איזושהי חוברת כזאת בעברית שמלמדת לתכנת ב-Basic, התחלתי לפתוח אותה - ומאז לא הפסקתי.(רן) עדיין ב-Basic?(ירון) התקדמתי מאז - עכשיו אני ב-Pascal . . . [אין יותר טוב מזה](רן) יפה . . . Turbo Pascal [אוקיי, יש יותר טוב…], Object Pascal . . . נחמד - הכחול והתכלת הזה, מקסים, הנדסת אנוש למופת.[אתה לא ציני, נכון? זה היה נפלא]בסדר - אז אנחנו התכנסנו היום כדי לדבר על GitOps.כולם, פחות או יותר, יודעים מה זה Git, וכולם, פחות או יותר, יודעים מה זה Ops - החלק המעניין של DevOps, להזכירכם . . . אבל מה זה GitOps? מה זה השילוב הזה ביניהם?(ירון) אז כן - דבר ראשון, הטרנד היום זה באמת לשים סיומת של Ops על הכל . . . יש DataOps ויש MLOps, אז עכשיו יש גם Buzzword חדש שהוא GitOps.אנחנו ב-Soluto עושים את זה כבר הרבה שנים, בלי לתת לזה את השם הזה, אבל אני כן אתן את ההרחבה של “מה זה בעצם אומר?”אז GitOps היא איזושהי מכניקה של CD, איזושהי אימפלמנטציה (Implementation), שמאפשרת למפתח לדלבר (Deliver) את המוצר שלו ל-Production בצורה שבה Git, או הקוד שיושב בתוך Git, ייצג את המצב של Production.אז אם ב-Continuous Delivery רגיל, יש איזושהו מבוך רציני, שהקוד צריך לעבור מהרגע שהוא Committed ל-Branch הראשי, ועד שבאמת אפשר לראות אותו ב-Production - אז GitOps מנסה לחסל כמה שיותר מהמחסומים האלהובאמצעות איזשהו רכיב שעושה פעולה שנקראת Reconciliation, לבדוק מה המצב של הקוד ב-Git, ולראות האם Production עונה על אותן הגדרות - ואם יש צורך אז לסנכרן בין שני הרכיבים האלה.(רן) כשאתה אומר “מבוך” ,אתה מתייחס, נגיד, לפרישה בהתחלה כ-Canary, ואחר כך אולי פרישה של 25% ב-Data Center אחד ואחר כך ב-Data Center אחר? זה המבוך שאליו אתה מתייחס?(ירון) אז האמת שהמבוך הזה יכול להיות קיים גם ב-GitOps, אבל אנחנו, ספציפית ב-Soluto כן משתמשים ב-Canaryהוא אפילו ניהיה הרבה יותר נגיש עבורנו בזכות השימוש שלנו ב-GitOpsשני הדברים האלו הם לא Mutually-exclusiveהמבוך שאני מתאר זה בעיקר להיכנס לתשתית של ה-CI, ללחוץ על “Deploy”, לראות שמשהו נתקע, להיזכר שהיה צריך לשדרג את ה-Script שעושה את זה . . .(רן) כן . . . בעצם אתה מדבר על ההתערבות האנושית שנדרשת אחרי שהקוד כבר נמצא ב-Master . . .(ירון) נכון - וגם זיהוי של טעויות שמתרחשות בזמן ה-Deployment - נניח, אצלנו ראינו הרבה פעמים שבגלל התאימות היחסית של Pipelines של Deployment, הרבה פעמים יש שגיאה ב-Production, והיא לא משתקפת חזרה ל-Pipeline של ה-Continuous Delivery - ואז המפתח פשוט יושב ואומר “טוב, זה כנראה לוקח לו הרבה זמן . . . זה כנראה הגמדים שלוקחים את הקופסאות ל-AWS התעכבו בדרך . . . “ורק אחרי 20 דקות או 30 דקות יש איזושהי הבנה שמשהו השתבש בצורה נוראית . . . (רן) זאת אומרת - ברגע שאני עושה Merge של Branch ל-Master - אני אף פעם לא אעשה הרי Commit ל-Master, זה אסור . . . - ברגע שאני עושה עושה Merge ל-Master, אני צריך להניח שהכל, כאילו, ב-Production, נכון?(ירון) לאו דווקאיש כלים של GitOps שלוקחים את זה בתור ה-First Class Citizen, הם באמת בונים על זה שתיהיה סדרה של הגנותבין אם זה טסטים ו-Smoke Tests או Canary ו-Gradual releases, כמו שהזכרתוהם פשוט מניחים שהמשתמש עושה בהם שימוש.אנחנו מעדיפים Deployments יותר קונטקסטואליים, ובגלל זה בהתחלה התחלנו להשתמש ב-Flux, שהוא כלי של WeaveWorks שלוקח את המתודלוגיה הזאת קדימה, ומנסה באמת “לאסור על ה-user” ליצור שינויים . . . ליצור הבדלים בין Production לקוד.ועברנו ל-Argo - כלי של Intuit - שחולק איתו הרבה מהקוד, אבל משנה הרבה מהדינמיקה והמכניקה.הוא מאפשר באמת קודם כל להכניס את הקוד לתוך ה-Master - ורק אחר כך להגיד למפתח “תעשה את הסנכרון שלך בצורה מודעת”.יש גם אופציה ליצור Sync אוטומטי, ואז ברגע שההגנות האלו נמצאות ובאמת יש את הבטחון לדעת שמה שנכנס ל-Master יכול להגיע ל-Production, ניתן להדליק את ה-Flag הזה ולהינות מחיים עם הרבה פחות Toil, הרבה פחות עבודה ידנית.(רן) אז דיברת על Reconciliation ועל זה שיש הפרשים בין מה שקיים ב-Master, שאמור לתאר את סביבת ה-Production, לבין סביבת ה-Production האמיתית, וההפרשים האלה יכולים לנבוע מכמה דברים - קוד שנכנס ל-Master, אבל עדיין לא עבר Deployment, אבל זה יכול גם להיות לנבוע מזה שהלך איזשהו איש Ops ושינה את ה-Production . . . נכנס ל-AWS או עשה SSH לאיזשהו שרת ושינה שם משהוואולי יש Drift-ים מכל מיני סוגים, ואני בטוח שכל מי שנמצא בעולם האופרציה נתקל בדברים האלה.אבל איך . . . מתי זה הגיע לנקודה שבה זה ממש הפריע לכם, ואמרתם “עד כאן! פה אנחנו חייבים לקום ולעשות איזשהו מעשה! אצלנו לא יהיה הבדל בין Master ל-Production!” . . . היה איזשהו אירוע מכונן שגרם לכם לעשות את זה?(ירון) אז היה . . . לפני שאני אסביר את האירוע הזה, אני גם אסביר איך הגענו למקום שבו אפשר לחשוב בכלל על הקונספט הזה.כמו שאמרתי - עשינו את זה עוד הרבה לפני שקראו לזה GitOps, והתחלנו במקומות הרבה יותר Low-stakes מסביבת ה-Production, שמגישה תוכן לקרוב למאה מיליון משתמשים היום . . .איפה שהתחלנו זה בתשתית הניטור שלנו - זה היה כבר לפני יותר מחמש שנים.רצינו לעשות דמוקרטיזציה של הניטור, לא רצינו שזה יהיה משהו שמפתח אומר “אני רוצה לנטר בבקשה . . . קח את השליפה הזו ושים אותה בבקשה על הכלי”וכדי שזה יקרה, יצרנו איזשהו Repository, שמנו בו קובץ JSON ענק ואמרנו למפתחים: “פשוט תכתבו פה את כל מה שאתם רוצים לנטר, וזה יגיע “בדרך קסם” אל התשתית”.אז זה היה ה-Production הראשון אצלנו שבעצם כל Commit ל-Master הסתנכרן עם הקוד, והיופי של זה היה שבאמת יכולנו לשחק פה ב-Stakes יותר נמוכים.שבירה של תשתית ניטור זו בעיה מסדר שני - משהו שיכול לקרות לדקה-שתיים בלי שהמשתמשים ירגישוזה בדרך כלל קורה בצורה מבוקרת, כשהמפתחים במשרדולכן זה היה משהו שנתן לנו להתנסות עם זה בצורה בטוחה.(רן) אז למעשה, המוטיבציה הראשונית שלכם הייתה לספק חווייית-מפתח יותר טובה - במקום שהוא ילך ויפנה אליכם ויבקש “תוסיפו לי בבקשה Monitoring” או שבמקום שיצטרך להכיר את כל החוכמות של כלי הניטור, הוא יכול לערוך איזשהו קובץ JSON ולעשות Commit - ומבחינתו זה ממשק העריכה - ועכשיו הוא מבין שברגע שהוא עשה Commit, יש איזשהו Hook שלוקח את הקובץ הזה ועושה לו Apply ל-Production.אז מבחינתך זה איזושהי חוויית מפתח יותר טובה - אבל זה עדיין . . . זאת אומרת, אני לא רואה עדיין איך זה בא ומטפל בתקלות Production . . . (יונתן) לכאורה, יכולת לממש את זה גם, נניח, עם CI/CD רגיל, נכון? בלי “הקונץ” הזה של הסנכרון או לבדוק את הפערים?(ירון) נכון - ואני אפילו אגיד שבאיזשהו שלב עברנו לזה: היה לנו Repository אחד מרכזי ואז הכנסנו איזושהי תשתית “כמו CD”, שלוקחת Commit-ים מ-Repository אחד ומזריקה אותם ל-Repo המרכזי הזה.ושם כבר התחילו להרגיש את החסרונות שאמרתי - הכלי היה נשבר הרבה פעמיםהיו נוצרים מצבים שבהם ה-Pipeline הקלאסי הזה, שמנסה להגיע למקום ה-GitOps-י, נתקע בגלל כל מיני טעיות שלא חזינו מראש, והיה קשה לקבל Visibility על דבר כזה.זה דורש יצירה של המון כלים, רק כדי שהדבר הזה יעבוד בצורה שהיא Flowless.(יונתן) עוד משהו שרציתי לשאול - איך ה-GitOps אל מול Infra-as-a-Code - זה משלים את זה? זה השלב הבא של זה?(ירון) זאת שאלה מעולה, כי באמת הרבה פעמים, את ה-Infra-as-a-Code אנחנו עדיין עושים עם כלים שהם יותר “Push-יים” כאלהאנחנו עבדנו קצת עם Terraform, נטינו יותר לכלי שנקרא Pulumi, שהוא סוג-של-כזה-Wrapper סביב Terraform, עם שפות תכנות יותר נפוצות.ושם מרגישים בדיוק את העניין הזה - שכדי עכשיו לשנות את ה-Infrastructure שלי, אני צריך לעשות Apply . . .ולפני שאני צריך לעשות Apply, אני ארצה לעשות איזשהו Preview, ולהציג אותו למפתחים, כדי שהם יבינו איזה שינוי הולך לקרות.ואז המנגנון הכמעט-אימפרטיבי (Imperative) הזה הוא נורא מורגש - נורא מורגש שהולך להיות איזשהו שינוי, וצריך לעשות איזושהי פעולה כדי שזה יקרה.ואחד הכלים שאנחנו מסתכלים עליהם יותר ויותר נקרא Xstate, וזה כלי שבאמת שם את ה-Infrastructure שרוצים ליצור כ-Custom resources בתוך Cluster של Kubernetes, ואז יש איזשהו Reconciliator, שבמקום לעבור עם ה-API של Kubernetes, הוא עובד עם ה-API של AWS או Azure או GCP - יוצר שם את אובייקטים.וזה שוב - שינוי תפיסה יחסית מאסיבי, כי זה אומר שברגע שמפתח עשה commit ל-Master, אז Xstate תופס אותו ומסנכרן אותו לענן אין איזשהו שלב באמצע של Apply, של Preview . . . כל הדברים האלה חייבים לקרות ב-PR, לפני שהקוד משתנה.(רן) מצד אחד - זה נשמע נורא אלגנטי . . . כאילו פיהם וליבם של Production ו-Master שווים. מגניב, נורא סימטרי כזה, נורא פשוט . . .מצד שני - גם נשמע נורא מסוכן: עשיתי Commit . . . סליחה - עשיתי Merge ל-Master, לא עשיתי Commit ל-Master. . . עשיתי Merge ל-Master, ואולי אני לא כל כך יודע מה זה הולך לייצר, זאת אומרת - אני לא יודע שזה עכשיו אולי הולך לייצר בלגאן לא נורמלי בתוך Production. . . אין לי איזשהו מקום קטן שבו אני יכול ככה להתנסות, בקטנה, לפני שאני עושה את ה-Commit? איך מטפלים? איך עושים מיטיגציה (Mitigation) למוטת הכנף הענקית שפתאום כל אחד מקבל?(ירון) זו שאלה נהדרת, כי היא מחזירה לשאלה הקודמת ששאלת - של בעצם “איזו בעיה ניסינו לפתור?”כי דווקא בניגוד או בהיפוך כזה של התמונה הזאת, החוסר ביטחון הגיע לפני שהיה לנו את ה-GitOpsהייתה לנו בעיה שהתשתית… פשוט כשעובדים עם תשתיות כמו Kubernetes אז התשתית נהיית מאוד מאוד מורכבתהיא גם נהיית במצב שכדי להרים Cluster חדש, במקרה של איזושהי בעית Production, בנאדם צריך לעשות פעולה ידנית, שיכול להיות שיכולה לארוך כמה שעות - וזה היה מצב מאוד לא נוח.קשה היה לדעת, כשיש לי מספר מוגבל של Cluster-ים - במקרה שלנו שניים - ואם עכשיו אחד מהם נופל אז אני צריך להיכנס למרוץ נגד השעון כדי ש-Cluster חדש יעלה.וזה גם עיכב אותנו מלייצר, אולי, את מה שרמזת אליו - שזה איזשהו מקום, איזשהו “מגרש משחקים” או ארגז חול בצד, שבו אפשר לעשות את כל השינויים בצורה בטוחה, ולדעת שלא משנה מה אני אשבור - Production לא ידע מזה.וזאת בעיה אחת שבאמת נאבקנו בה הרבה לפני שהגענו לעולם ה-GitOps המובטח.בעיה נוספת, שגם אותה אני אסביר איך GitOps פתר עבורנו, זה הארגונומיה של המפתחים מול Kubernetesכי מפתחים אצלנו היו רגילים לעבוד מול אילו-שהם Self-contained Services, שרצים על PaaS, כמו Herokuבמקרה שלנו זה היה Azure, אבל זו הייתה איזושהי סביבה סגורה, מכונות וירטואליות שכל מפתח קיבל, שמריצות את ה-Services שלו.ופתאום לעבור ל-Cluster שהוא Multi-tenant, שכולם עובדים ביחד, שצריך לדעת לא “לדרוך אחד לשני על הבהונות” . . . שיש בהם הרבה-הרבה אובייקטים חדשים שהמפתחים לא מכירים - יצר שינוי פרספקטיבה, שלא היה קל להנחיל לצוותי הפיתוח.אנחנו בצוות עבדנו עם Kubernetes הרבה, אבל המפתחים לא תמיד רצו להבין את המורכבות הזאת, והיה קשה לחשוף אותם לזה בצורה שתפגע איפשהו באיזון הזה . . .(רן) אז גם בהקשר הזה, זה נשמע כאילו אתה בעצם מייצר ממשק למפתחים עבור Kubernetes . . . זאת אומרת: “אתם לא צריכים ללכת ולהשתמש ב-Kubectl או בכלים אחרים” אלא אתם צריכים, לצורך העניין, “לעשות Commit לאיזשהו קובץ JSON ומשם אנחנו כבר נטפל בזה”.(ירון) נכון . . . אז היום הכל YAML, אבל כן - זה השינוי המרכזי שעשינו . . .(רן) . . . השתדרגנו . . . (ירון) . . . עכשיו יש מקפים במקום סוגריים מסולסלים . . .(יונתן) תזהיר את אבישי - יש לו איזה משהו נגד YAML-ים . . (רן) מאזיננו אבישי - תסתום רגע את האוזניים . . . כל העולם YAML כבר, אין מה לעשות . . .(ירון) בהרבה מקומות ראיתי שכבר מגייסים מפתחי YAML . . . (רן) כן - אולי המפתחי XML בפנסיה יהפכו למפתחי YAML . . . נחזור רגע אחורה - דיברת קודם על המוצר שלכם, ואמרת שהמוצר הזה יודע לתת תמיכה למכונות כביסה למחשבים אישיים וכו'. אז כל פעם שאני עושה Commit ל-Master, נגיד לאפלקיציה ה . . .(יונתן) אתה לא עושה Commit ל-Master, רן . . . . תזכור - עוד פעם, אני אעשה לך Reject . . . (רן) איך נפלתי . . . זה הפרוידיאני בי שמדבר . . . אז כל פעם שאני עושה Commit ל-Branch, ו-Merge ל-Master, אחרי Code review, כמובן, ומתקן את כל ההערות, ועובר CI - אז לאפליקציה האחרונה המגניבה שכתבתי למכונת הכביסה של סבתי - אז זה מיד הולך לכל מכונות הכביסה בעולם? לכל הטלפונים בעולם? זאת אומרת - זה באמת מה שאנחנו רוצים?(ירון) אז התשובה היא “לא” . . . כמו שאמרתי, יש לנו מידה מאוד חזקה של Control, כי ככה רצינו לבצע את השינוי הזהלא רצינו להפחיד אנשים ולהגיד לכל מי שעובד על הקוד אצלנו “תזהרו מאוד מה-Master!”הרעיון היה באמת לאפשר לאנשים יותר Visibility, יותר שקיפות - ולאט-לאט להגיע למודל הבגרות הזה, שבו אנחנו מרגישים בנוח לסנכרן דברים בצורה אוטומטית.זה אומר שהיום, רב שירותי ה-Backend שלנו נפרשים באמצעות כלי GitOpsבאמצעות Argo, שציינתי קודםמה שהמפתחים מקבלים מזה זה להחליף את ה-Pipeline המסועף והקשה להבנה באיזשהו Commit ל-Masterעכשיו, במקום לעשות את ה-Deployment בשלב הזה של ה-Pipeline, יש רק Commit אחד, שמשנה את ה-Version ש-Argo מסתכל עליו.ברגע שנעשה שינוי ה-Version הזה, המפתח הולך ל-UI אחר, של Argo - הוא רואה בצורה מאוד מאוד ברורה שהשתנה שדה מסויים ב-YAML של ה-Deployment שלו, עם ה-Tag.וזה מייצר הרבה דברים מאוד טובים עבורנו - כי גם אם עכשיו מבצעים סנכרון של הדבר הזה, אז זה כבר לא איזשהו Context-switch של לעבור עכשיו ולהסתכל מה המצב - Argo ממש מראה יפה, עם לבבות ירוקים או לבבות אדומים-שבורים , מה הסטטוס של הגרסא הישנה והגרסא החדשה.וזה נותן פידבק מאוד מהיר - האם השינוי הזה כרגע עובד? האם השינוי הזה נכשל? האם צריך לחזור רגע לשולחן השרטוטים ולתקן אותו?במצב הנוכחי, זה דווקא הגביר מאוד את ה-Control ואת השליטה שלנו ב-Production, ולא יצר אי-יציבות וחסר ודאות.(יונתן) ה-State הזה, נניח של שינוי הגרסא - נניח שאני מהנדס, ויש לי גרסא חדשה - אתה אומר, בעצם, שדבר ראשון אני צריך לעשות Branch ו-Commit ו-Merge, בגלל שאני רוצה גרסא חדשה, עם איזשהו Tag - זה ב-Repository של האפליקציה שלי או שזה ב-Repository של האפליקציה שמנהלת את ה-GitOps?(ירון) זו שאלה נהדרת, כי באמת אנחנו עושים משהו לא מסורתי שם - אנחנו כן עושים את כל השינויים האלו ב-Repository של הקוד, ובדרך כלל - אני מקשיב בכנסים, קראתי פוסט יפה של מישהי מ-Riskified שכותבת איך הם עובדים עם Argo - וראיתי שהקונצנזוס, פחות או יותר, הוא להפריד את ה-Repository שהמכונות קוראות וה-Repository שבני האדם קוראים . . . אז בדרך כלל, מה שמקובל זה ליצור, נגיד, את “Yaron-API”, להגיד שזה הולך להיות ה-Service שלי, ופה אני, כבן אדם, כותב קוד - ואז לתת למכונה לעשות את ה-Commit לאיזשהו Repository אחר, שיקרה “Yaron-API-Deployment”, ומשם לקחת את ה-State שה-Argo מסתכל עליו.אנחנו, פשוט בגלל שרצינו את הנושא הזה שאמרתי קודם - רצינו לשפר ארגונומיה של מפתחים - לא רצינו שיהיה להם את ה-Context-Switch הזה, את המעבר כל הזמן בין ה-Repo שבו הקוד כתוב לבין ה-Repo שבו ה-Deployment קורה . . .(יונתן) גם יש עוד יתרון - אתה תעשה git-log ותראה את ה-Deployments ולא . . . הרבה אנשים אומרים הפוך . . . הם אומרים “אני לא רוצה לראות Commit-ים של מכונה” [אחלה שם לפודקאסט, אגב], זה לא קדוש.אבל אנחנו מאמינים שה-Commit-ים האלה באמת, כמו שאתה אומר, מייצגים את השינוי של ה-State.(רן) אני מניח שהויכוח הזה, או הדילמה הזו, במצב של Mono-Repo היא פחות רלוונטית - עדיין יש התלבטות, נניח שאנחנו בעולם של Mono-Repo, ואני מבין שאתם לא - יש את ההתלבטות של האם לשים את הקונפיגורציה קרוב לקוד, או את כל הקונפיגורציה במקום אחד, לצורך העניין באיזשהו Branch או תת-עץ של ה-Mono-Repo.גם אני הייתי בהתלבטות הזאת הרבה פעמים, ואני חושב שיש פה Trade-off - מצד אחד זה נחמד שהקונפיגורציה קרובה לקוד, ולפעמים ממש בתוך הקוד; ומצד שני, זה גם נחמד לקבל איזשהו מבט על כל הקונפיגורציה של כל ה-Service-ים השונים, וככה להבין איך הדברים קורים.אז אני מבין שאתם יותר נוטים לשים את הקונפיגורציה קרוב לקוד, אם אפשר לקרוא לזה “קונפיגורציה”, בוא נקרא לזה . . .?(ירון) אז גם פה יש כמה תשובות . . . דבר ראשון - אנחנו לא נגד Mono-Repo, אנחנו מאוד-מאוד בגישה של “לתת למפתחים ולמפתחות פשוט להחליט מה הכי טוב ב-Context של המשימה הנוכחית” ולכן יש אצלנו קבוצה שלמה שעובדת בתוך Mono-Repo אחד, שמחזיק את כל ה-Service-ים, בלי שום קונטקסטויש לנו קבוצה שעובדת עם Repo-per-Serviceויש קבוצה שלישית, שעובדת עם Mono-Repos קונטקסטואליים . . . (יונתן) אתם לא נגד Mono-Repo - פשוט יש לכם הרבה כאלה, זה מה שאתה אומר . . . [“רבים מידידי הטובים ביותר” וכו'…](ירון) בדיוק . . . אנחנו אוליגו-Repo . . .(רן) לא, יש לזה גם שם - Multi-Mono-Repo . . . כתבו את זה לפנינו . . .(ירון) כן . . . אז לא הגענו למצב שבאמת אנחנו יכולים להגיע לרמות של Facebook, והקסמים שהם עשו עם Mono-Repos שם.בסוף, Mono-Repo ענק שמחזיק את כל הקוד זו לדעתי משימה הנדסית כבירה, וצריך לעשות אותה בצורה מאוד מחושבת.ושוב - בגלל הצורה ה-Distributed והלא-פרספקטיבית שאנחנו עובדים בה, שאנחנו לא רוצים להגיד לאנשים איך לעבוד, אז כמעט בלתי אפשרי לחשוב על “כל המפתחים ב-Soluto כותבים ל-Repository אחד”,כי דברים קמים, אנשים רוצים לשנות דברים, להתנסות עם משהו חדשוברגע שאנחנו מאפשרים את זה, אז לא נקבל אף פעם את השליטה של להגיד לאנשים “כל ה-Commit-ים שלכם עכשיו יהיו רק ב-Soluto-Code” [וגם אז - רק אם הם טובים]וזה נחמד, כי זה כן גורם לנו להתקדם קדימה . . .(רן) כן . . . אני חייב להעיר שאם כל זה שאני מכבד את שיקול דעתם של המפתחים, ואני הרבה פעמים גם לא רוצה להגיד למפתחים אחרים מה לעשות - אני חייב להגיד שלפעמים יש הרבה חוכמה בכן להגיד למפתחים מה לעשות, כי אני חושב שהרבה פעמים ההחלטות הן שרירותיות, והחלטה אחת טובה כהחלטה אחרת - הבעיה שכששתי החלטות, ששתיהן שקולות, אבל כששתי החלטות נלקחות, אז אתה בבלגן . . . אז דווקא בקטע הזה אני נוטה להיות קצת יותר הדוק, ולבוא ולהגיד “חבר'ה, נכון - יש פה שתי דעות, אבל אני בוחר את זאת, “כי ככה” - ובואו נתגלגל עם זה הלאה”כי אחרת פשוט נוצר בלגאן - וראיתי את זה קורה בחברות גדולות . . . ראיתי את זה קורה ב-Google,אני מבין ממה שאתה אומר שזה קורה גם ב-Facebook . . . מתקבלות החלטות שרירותיות, וכל המפתחים לפעמים אולי מקטרים - אבל הולכים לפיהןוזה עושה הרבה טוב, בסופו של דבר - “המסר שלי לאומה” הוא של “לא לפחד לקבל החלטות בשביל המפתחים”, ובסופו של דבר, בשורה התחתונה, אני חושב שזה עושה טובה, כי זה יותר קל כשדברים הם אחידים.(ירון) זה מעניין מאוד - ואני חושב שמה שאתה מציין הוא גם פונקציה של גדילה.אני חושב שיש שלב מסויים שבו חברה יכולה להרשות לעצמה להתפזר יותר ולנסות יותר דברים, ויש שלב מסויים שבו צריך להתכנס ולהגיד “אוקיי, ה-Business הגיע ל-SLA מאוד גבוה שהוא צריך לספק, החברה גדולה מספיק כדי שלא נוכל לתת ל-15 Frankenstein-ים לרוץ במקביל, המפלצות של . . .(רן) כל מפלצת טובה . . . כל מפלצת לכשלעצמה היא בסדר . . . אני לא אומר שההחלטות הן לא נכונות, הבעיה שיש החלטות אחרות, והחלטות סותרות לפעמים, החלטות שלא עובדות טוב אחת עם השנייהאו אפילו אם לא סותרות - לייצר Infrastructure שמתאים גם . . . לצורך העניין אפשר לקחת שפות תכנות - Infrastructure שמתאים גם ל-Python וגם ל-Ruby וגם ל-Java זה אפשרי, אני בטוח שזה אפשרי - זה רק יותר קשה.אז אתה יודע - שפות תכנות אפשר בדרך כלל, רוב החברות מתקבעות, זו לא הבעיה - אבל עדיין יש עוד הרבה בחירות אחרות:איך עושים Messaging, איך שומרים, באיזה Database משתמשים וכו'.(יונתן) אני חושב שאני מסכים - מבחינתי, המדד של מתי צריך לקחת כזאת החלטה או “דיקטטורה נאורה” שכזאת זה כשאתה צריך “לעבוד לרוחב”דיברת על תשתיות - ברגע שאתה צריך להתחיל . . . כשתשתיות נהייה “עניין”, אז קשה לתמוך בוריאנטים השונים . . . [כן . . .](רן) בוא נחזור רגע אחורה ל-GitOps . . . אז נלך, שנייה, Back-to-Basics: הבנו את הקונספט של “Mater ו-Production צריכים להיות שווים”. אז אני, אתה יודע, מתחיל ככה ב-Back-to-Basics ואני רוצה לעשות GitOps, אוקיי? אז מה אני עושה? אני מייצר Git-Hook, ובעצם אני צריך לדאוג לשני דברים . . .אחד זה שיהיה לי קוד שיודע לתאר את סביבת ה-Production, נגיד - כמה Server-ים, כמה Services, מה ה-Multiplicity שלהם, כל מיני דברים . . . מה שיודע. . . לצורך העניין קובץ YAML שיודע לתאר את סביבת ה-Production, ובטח יש שפות למכביר שיודעות לעשות את זה.אז אני צריך קוד שיודע לתאר את סביבת ה-Productionושתיים - אני צריך לדעת לעשות איזשהו Git-Hook, נגיד, שכל פעם שעושים Commit אז Production מתעדכן לפי מה השינוי האחרון.אז זה אולי GitOps בממש-ככה-30,000 רגל - ואתה הזכרת שיש כמה כלים שיודעים לעשות את זה - הזכרת קודם את Flux של WeaveWorks והזכרת את Argo של Intuit - ואני מניח שיש עוד כלים אחרים בשכונה.אז אם קם הבנאדם בבוקר ואומר “יאללה - בא לי GitOps!” [חמור מאוד] או “אני חייב GitOps!” [תופעת לוואי חדשה?] או “המנהלים שלי אומרים לי שאני צריך GitOps . . . “ [המקרה היותר נפוץ?] - איך אתה ממליץ לו להתחיל?(ירון) אז אני אזכיר פה את Kelsey Hightower, שהוא מן בחור כזה שאוהב לדבר על Kubernetes, מ-Google [בדיוק זז שם קצת], ואני מאוד אוהב גם את הצורה שבה הוא מנגיש ידע מורכבנגיד, לפני הרבה שנים הוא כתב את Kubernetes-the-hard-way [אבל כבר קישרתי לזה…], שזה מעיין מדריך על איך להרים את Kubernetes מ-Scratch, לעשות את כל הפעולות שעשויות, עבורנו, בצורה ידנית - וכשעברתי דרכו הרגשתי היכרות הרבה יותר טובה עם התשתית הזו, שהיום מעירה אותי בלילה אם יש לה בעיה . . .והוא עושה הרצאה מדהימה - יש כבר כנסים שנקראים GitOps Days מרוב שהדבר הזה טרנדי - הוא עשה הרצאה ממש מעניינת בכנס שהיה בשנה שעברה, שבה הוא מראה איך עושים Reconciliation Loop מ-Scratch . . . הוא ממש כזה . . . מראים קוד שהוא כותב ב-Go תוך כדי על המסך, תוך כדי הכנס - והדבר הזה מייצר, במקרה שלו, פונקציות של Cloud Run, שזה איזשהו Serverless כזה של Google.אני חושב שההרצאה הזאת היא פתיח מדהים בשביל לעשות דימיסטיפיקציה (Demystify) למשהו שבאמת, כמו שאמרת, יכול להישמע מורכב ויכול להישמע אפילו די מפחיד, כי זה מראה שהדבר הזה יכול להיות מאוד נשלט.אחרי שעוברים את המשוכה הזאת, של להבין את הקונספט, הייתי כן ממליץ לבחור את אחד מהכלים הגדולים - בין אם זה Argo או Flux, כי הם כרגע הכלים ששולטים בשוקאבל גם חשוב מאוד, כנראה, להבין את הבעיה - אם Argo ו-Flux מתאימים מאוד לתחזוקה של Kubernetes, אז אם רוצים לתחזק משהו שהוא מחוץ ל-Kubernetes, צריך לבחור משהו שהוא כלי שיודע לעשות את זה גם בלי הכוח הזה.וכמו שאמרתי - גם Puppet ו-Chef יודעים לעשות את זה עבור מכונות Linux, ויש כלי שנקרא Atlantis, שיודע לעשות את זה עבור Terraformואז בעצם כל אחד מהכלים האלה יכול להיות Entry-point ל-GitOps, לא משנה מה האתגר שכרגע עומד מולכם.(רן) נזכיר, אני חושב ששווה אולי לבוא ולמצוא את המקבילות בין הכלים השונים - אז גם מי שמכיר את Puppet ואת Chef - הם כולם עובדים באיזשהו Mode של Reconciliation Loopזאת אומרת - מסתכלים מה המצב הרצוי ועושים Apply, וכל פעם עושים Reconciliationזאת אומרת שאם משהו שהגדרת, לצורך העניין, שצריך להיות קובץ במערכת על מחשב והוא לא שם - אז הוא בכל פעם ייצר אותו מחדש אם הוא ימחק.גם Puppet וגם Chef עובדים באותה צורה - וגם Kubernetes הרבה פעמים עובד באותה צורה, זאת אומרת שגם ל Kubernetes יש Reconciliation Loop שמסתכל על ה-Resource-ים ועושה Apply ל-Resource מחדש בכל פעם שצריךכמובן שלא סתם . . . אז בהקשר הזה, המוטיב הזה של ה-Reconciliation Loop עובר, כנראה, בהרבה מאוד מהכלים שהזכרת.(יונתן) לפי מה שירון . . . לפי מה שתיארת, יש יכולת גם לעדכון מהצד השני - יכול להיות שזה לא שב-Production, לא רק שחסר קובץ, אלא שמישהו, לא יודע, שינה אותו, או שמישהו נכנס ל-UI של ה- Management של Kubernetes ושינה את ה-State Loader - איך ה-Flow המרכזי . . . מה יקרה אז?(ירון) זה בעיני הדבר . . . זה ממש ה-Added-Value, אולי אפילו ה-Killer-Feature של GitOps, כי אלו הפתעות שתמיד היו תופסות אותנו במקום הכי לא מוכן, ואני מאמין שזה קרה להרבה צוותי Production [מה?! מה פתאום?]שפשוט איזשהו שינוי נעשה בזמן של מקרה חירום, או אולי כלאחר-יד מתוך איזשהו חוסר הבנה, ולא הייתה לדבר הזה שום נוטיפיקציה (Notification)ואז בדרך כלל מגלים את זה חודשים, אם לא שנים, אחר כך, כשהידע כבר נשכח . . . יש את הפתגם הזה - שקוד שכתבת אחרי חצי שנה הוא כמו קוד שנכתב על ידי מישהו אחר [יש לזה אפילו שם - Eagleson's law] . . . אז גם עבור שינויים ב-Production הדבר הזה תקף - מה גם שהם הרבה פחות מתועדים . . .ב-GitOps, בצורה שאנחנו עובדים, Argo מחובר ל-Slack - וכל פעם שמישהו עושה Deployment יש הודעה חמודה כזו עם שאומרת “הקוד שלך שינה בהצלחה את ה-Production”אם במקרה, נגיד, הקוד שלי מסתמך על איזשהו Redis חיצוני, וה-Redis הזה פתאום נפל, אז אני אקבל “לב שבור ועצוב ” שאומר לי “רוץ מהר! משהו השתנה, זה כבר לא נראה כמו ה-Production, אני שבור וקשה לי” . . . (יונתן) אוקיי . . .(רן) מה ה-Hack החביב עליך? נגיד, מסוג הדברים שהתעוררת בשתיים-שלוש בלילה, וגילית “מי לעזאזל עשה את זה?!”? . . . אני אתחיל עם שלי - נניח שאתה נכנס ואתה מגלה שמישהו, לפני חצי שנה, כמו שאתה אומר, ערך את קובץ ה-Host והוסיף שם איזשהו Entry, כי כנראה פעם זה תיקן לו איזשהו משהו . . . עכשיו את מגלה ש Name Resolution מחוץ ל-Host עובד שונה לחלוטין ממה ש-Name Resolution עושה בתוך ה-Host - וזה מסביר הרבה דברים, בדרך כלל . . . (יונתן) סתם, פתאום התחלתי לחשוב האם זה יכול לעזור באילו-שהן בעיות של Security? או של מישהו ששינה משהו עקיף ב-Production, והוא לא עשה Git-Merge וכל הסיפור הזה . . . .(ירון) אז בהחלט . . . אני רק אגיד על ה-Hack-ים - שזה תמיד יהיה נס, אין ספק . . .ה-Hack החביב עלי זה שכשעובדים ב-High Availability, שולחים גרסא אחת של Production ל-Site אחד וגרסא שנייה ל-Site אחר - ועכשיו לך תבין למה חצי מה-Traffic מחזיר תשובה אחת וחצי מחזיר משהו אחר . . .(רן) יש את הסיפור המפורסם על ה-Trading. . . (ירון) כן, Knight - מסכנים . . .(רן) . . . שהם עדכנו גרסא, אבל כנראה נשאר שרת אחד או שניים, שאולי היו Offline בזמן עדכון הגרסא - וזה גרם לחברה לפשוט את הרגל, חברה של שווי, בגדול, של מיליארד דולר, שהפסידו ב-Algo-Trading את כל הכסף שלהם בגלל איזה Deployment שלא עלה נכון . . .(ירון) כן, זה סיפור נורא כשקוראים אותו, ופרקי הידיים מלבינים כי אתה חושב שאולי זה קורה לך עכשיו . . . (רן) ממש עכשיו . . . אבל ממש ממש עכשיו . . .(יונתן) . . תן לי רגע רק לבדוק את ה-Inspection . . .אז בנוגע ל-Security - יש כאן באמת יתרון אדיר, כי גם - ב-Continuous Delivery מסורתי, אני חייב לתת לתשתית שלי את היכולת לגשת ל-Production, ונגיד, אם זה Jenkins שיושב אצלך בשרת, אז לא אכפת לך כנראה לשים שם איזושהי גישת-כתיבה ל-Productionאנחנו עובדים עם SaaS, עם codefresh - חברה ישראלית שעושה CI ממש נחמד לדברים שהם Docker ו-Kubernetesועדיין, עם כל האהבה והרצון הטוב - אנחנו מעדיפים שהם לא יוכלו לגשת ל-Production . . . ברגע שאנחנו עושים את ההפרדה הזאת, הם יכולים לגשת רק עד הקוד - והמוצר היחיד שיכול לגשת ל-Production הוא ה-Reconciler של GitOps, שבמקרה שלנו זה שרת של Argo שיושב על ה-Clusterואז ה-Attack surface הוא הרבה יותר נמוך - כי הוא מלכתחילה יושב שם ומלכתחילה עושה שינויים, וזה טבעי שאצלו ישבו המפתחות [חביתוש?].ואני אעשה גם איזה Shout-out לפרויקט Open-Source שכתבנו ב-Soluto ושנקרא kamus - והוא גם מתבסס על GitOpsהרעיון שעשינו שם הוא שהראינו שה-Secret-ים ב-Kubernetes הם עוד לא בשלים, פחות או יותר - Secrets ב-Kubernetes הוא פשוט איזשהו אובייקט מקודד ב-Base 64, וזה אומר שכל מי שניגש ל-UI ב-Kubernetes ולוחץ על הכפתור של העין פשוט רואה את ה-Secret, פשוט רואה את ה-Plain-text, ולא הרגשנו עם זה בנוח . . .אז כתבנו Controller, שאפשר להתקין על כל Cluster, ומה שה-Controller הזה עושה הוא לאפשר למפתחים להצפין את הערכים מקומית אצלם על המחשב, לעשות להם Commit ל-Gitואז לכל Container נוסף איזשהו Init-Container, שעושה Encryption על ה-Cluster.זה גם מאוד מחזק את ה-Security, כי ה-Decryption יכול לקרות מעכשיו רק בסביבת ה-Productionזה דומה, נגיד, ל-Vault, אבל מגיע עם Operation overhead הרבה יותר נמוך.(רן) הזכרת מקודם - ואולי בזה, ככה, נסיים את הערב - הזכרת מקודם שעם המעבר ל-Kubernetes, מפתחים הרגישו איזושהי עלייה ברמת המורכבות, שהם פתאום צריכים להבין יותר Production, ואז יצרתם ממשק משתמש, או לפחות אני תיארתי את זה ככה - יצרתם ממשק משתמש, ממשק מפתח, באמצעות GitOps.האבחנה שרציתי להגיד זהש-Kubernetes מאפשר GitOps, נכון? אולי זה לא הכלי היחיד שמאפשר GitOps, אבל בהחלט אחד הכלים שמאפשרים GitOps.כי הוא נותן לך לתאר את סביבת ה-Production ולעשות לה Apply יחסית בקלותאז Kubernetes אמנם מאפשר GitOpsמצד שני, לפני Kubernetes אולי לא היה צריך GitOps, כי הדברים היו יותר פשוטים . . .אז אני סתם תוהה האם זו אבחנה שנראית לך מוצדקת, נכונה?(ירון) אני חושב שכולם מכירים את ה-Death-Star של Netflix, שמראה פשוט מיליארד שירותי microService שמדברים אחד עם השניוהם כתבו את Spinnaker, שזה כלי שהוא מזכיר . . . הוא מאוד מאפשר את הסיבוכיות שיכולה להגיע בדברים של Continuous Deliveryעם כל היופי והאלגנטיות של הכלי הזה, אני חושב שהוא בא לשרת משהו שאם לא צריך אותו, אז זה יהיה נחמד להיפטר ממנו.ושוב אני אצטט את Kelsey Hightower שאומר שהקסם והחידוש ב-Kubernetes זה שהתשתית מתוארת כדאטה, לא כקונפיגורציה (Configuration)זו לא סדרה ל צעדים אימפרטיביים (Imperative) שדרושים כדי שמכונת Linux תוכל להגיש קוד ב-Ruby - זה תמיד יהיה דאטה - זה תמיד יהיה קבצים ב-YAML שנשמרים ב-Database, והם אלה שמאפשרים את העלייה של Production.(רן) כן - וזה אולי אחד מהדברים שמאפשרים לעשות GitOps בצורה יחסית פשוטה, כי כל מה שצריך לעשות זה Commit לקובץ YAML - ולעשות Apply . . .(ירון) בהחלט(רן) טוב - אז תודה רבה, ירון, היה סופר-סופר מרתק. יש משהו שהיית רוצה עוד להגיד לפני שנסיים?(ירון) אז אני אשמח להגיד שאנחנו מגייסים - גם לצוות שלי וגם למגוון תפקידים ב-Solutoאם כל מה ששמעתם פה נשמע לכם מעניין, מבחינת החזון של החברה או מבחינת הדברים היותר Geek-יים - בואו, תתראיינו, תתקבלו . . . (רן) מעולה . . .(יונתן) אה, אפשר למסור ד”ש, רן?(רן) קדימה, נו . . . עם איזה שיר? רגע, שאני אכין את התקליטייה . . .(יונתן) שנכין בתקליטייה . . . אז למאזין אורי להב, ששט לו בדוגית בחופי הים התיכון . . . (רן) אורי - מתגעגעים אליך, חזור הביתה!טוב - אז תודה רבה לשניכם, ויאללה, נשתמע . . . להתראות.ובהצלחה ל-Reversim Summit 2021 . . . הקובץ נמצא כאן, האזנה נעימה ותודה רבה לעופר פורר על התמלול

Matto nos cuenta qué son los contenedores y qué es todo esto de Docker y Kubernetes en un pequeño viaje en el tiempo en la historia del desarrollo web. Links de interés Web de Amazon Web Services: https://aws.amazon.com/ Web oficial de Docker: https://www.docker.com/ Aprende Docker de manera práctica: https://labs.play-with-docker.com/ Tutorial de Docker para principiantes: https://docker-curriculum.com/ Web oficial de Kubernetes: https://kubernetes.io/ Aprende Kubernetes de manera práctica: https://labs.play-with-k8s.com/ Contacto No dejes de seguirnos en Twitter: @bucleinf Ayúdanos a seguir: https://tips.pinecast.com/jar/bucleinfinito

Un altra settimana da programmatori, un episodio da ops. Questa settimana su gitbar abbiamo Gianluca Arbezzano direttamente da [Packet.com](http://packet.com) che ci parla della sua evoluzione professionale, dallo sviluppo php a go a il suo grande amore, docker e kubernetes, passando per qualche piccola riflessione sul remote working asincrono.Iscriviti al gruppo Telegram su https://t.me/gitbar

If you've read any tech blogs in the past few years, you'll certainly have seen rapturous exaltations about containers and Kubernetes. But does this decade's big innovation live up to the hype?

פודקאסט מספר 394 של רברס עם פלטפורמה - אורי ורן שוב מארחים את ליאור קיסוס, התאריך (למי שעדיין עוקב בשנה הזאת) הוא ה-21 ביולי 2020. ליאור כבר ביקר כאן מספר פעמים (וכאן על הקנטינה ושוב בפרק 132 (Sasson/פרדס-חנה…) ואז על mean.io בפרק 188 וכן - עברו כבר 10 שנים מאז 2010…); ליאור גם הרצה (וגם גייס) בכנס שלנו - והיום נדבר על Rancher ועל נושאים באיזור, וגם על המסע של ליאור מחברת Open source ל . . . ובכן, תיכף נשמע מה הוא עושה היום, אל תדאגו - זה לא מאוד רחוק (כאן מלטה) - אבל בהחלט מעברים טכנולוגיים חדים ומעניינים.אז ליאור - קצת עליך ועל החברה שלך:אני ליאור קיסוס, אני ה-CTO של חברה בשם Linnovate, שקיימת כבר מאז 2006 - אנחנו כבר 14 שנים, ומתגלגלים ומשתניםבאמת, כשהתראיינו זה היה בכל מיני Milestones לאורך הדרך ותפיסות לאורך הדרך כך שמעניין להתסכל על זה.יש לי חמישה (5!) בנים שזה 5^2 (2 בחזקת חמש…) אפשרויות לגרום אחד לשני לדמם או ליפול על האף או כל מיני דברים כאלה . . כמעט שלא הגעתי כי עוד בן נפל וכמעט פתח את הראש ודברים כאלה . . .(רן) אמרתי לאישתי שבסוף הדביקו לך את הבן, אבל זה לא קורונה . . . רק דבק פצעים(ליאור) אבל אני חייב להתחיל עם התנצלות - היה, אני חושב, את הרברסים של 2015 בחיפה (הרבה עבר על ה-web interface מאז), על בניית קהילות Open Source וה-Grooming של איך לפתח את זה בעקבות ה-mean.io וכל הנושא הזה שדיברנוואני לא קודדתי את הסרטון . . . אני נושא על עצמי את המשקל הזה, אני פשוט לא קודדתי את הסרטון, וזה גם הסרטון היחיד שלא יצא ברברסים של 2015 (בגלל זה הלינק כזה). אשמתי, בגדתי . . .(רן) אז אחרי שגרמנו לך לאשמה, בושה ורגשות ממש שליליים - בוא מעכשיו נעשה רק טוב ההתנצלות מתקבלת.(ליאור) סבבה - אז אנחנו ב-Linnovate עברנו איזושהי אבולוציה . . . תקציר הפרקים הקודמים - חברה שהתחילה סביב Drupal, מערכת ניהול התוכןהתחילה בכלל עוד קודם ב-Linux ו-Innovation - זה השםותמיד - Open Source היה הקונספט, ותמיד היה לנו משהו שאני דלוק עליו, שהחברה איכשהו רצה בעקבותיו.רצנו כמה שנים עם Drupal ואז שברנו את תקרת הזכוכית של כל מיני עמותות וארגונים, לעבוד עם כל מיני John-Bryce-ים ו-Commtouch-ים וערוץ הילדים וחבר’ה כאלה.בעקבות ההתקדמות הזו, כשפגשנו את ה-mean.io והיה את הפרק על mean.io, לא יודע מתי (2013…), פתאום נפתח לנו העולם הזה, לפני 8-9 שנים, של Full-Stack JavaScript, של Angular, של Node.js, של MongoDB בסביבות 2011-2012 כזה . . . ואז פתאום התחלנו כחברה להשתנות - אנחנו עושים גם את זה וגם את זה(רן)רק תזכיר לנו - MEAN זה ראשי תיבות של . . . (ליאור) Mongo-Express-Angular-Node - זה היה “הדבר” כש-Angular 1.0 היה “הדבר”, אבל זה היה גם דבר מאוד יפה של Keyword-proximity, וזה היה באמת פרויקט משותף שלנו ושלי ב-Linnovate יחד עם עמוס חביב, שהיה פרילנסר שעבד איתנו באותה תקופה, וביחד חשבנו לגייס על זה כסףהיו כמעט 12,000 Starts ב-GitHub, נדל”ן מאוד מענייןהבעיה של mean.io, בפרספקטיבה - בעולם שהוא decoupled ועם microServices ודברים כאלה, זה היה “מונוליט כפול” - גם “מגיש לך את הדף” (עם ה-Node.js)ואז מעלה את ה-Angularמה שקורה זה בעצם שאתה “הכי איטי” - גם מגיש את הדף, אין Server-side rendering . . . אתה יודע, המון דברים שגרמו לזה להיות אחלה מערכת ללמוד עליה Node.js ו-Mongo ו - Angular, אבל ממש לא בחירה-להיט למערכות Production.(רן) מבחינת חוויות משתמש . . .(ליאור) חוויית משתמש, קצת ריצודים - אבל גם מבחינת “לבנות משהו רציני”, כלומר - הרבה אנשים אמרו “אה - MEAN Stack זה כמו ה-LAMP Stack החדש”נגיד שאתה רוצה לבנות משהו ב-Ionic, איזושהי אפליקציה שתדבר עם API - אז זה לא מתאים, כי זה מפיל לך איזו חתיכת Angular מיותרת שאתה לא רוצה, ואתה רוצה רק לעשות איזשהו Client-side . . .זה היה אחד מהפרויקטים שפתח את הדלת לפרויקטי Open-source מגניבים כאלה - Boilerplate-ים כאלה שאתה מתחיל איתם בעיקר בצד של ה-Full-stack JavaScript - אבל אז באו מתוחכמים יותרהאמת היא שאחד הדברים שלמדתי זה שלנהל פרוייקט Open-source זו משרה מלאה, זה F@$&ing קשה, זה משהו טוטאלי, זה שואב אותך רגשית, אתה נכנס לענייניםזה מאוד קשה, זה כמו סטארטאפ - אתה לא יכול לעשות את זה ביחד עם להיות CTO ובעלים של חברת שירותים.(רן) וכסף עדיין אין שם, לפחות לא היה . . .(ליאור) לא היה בשלבים האלה, וזה לא . . . אפילו השחקנים שהרבה יותר ממומנים, אם נסתכל למשל על Meteor, שלכאורה היה באותה Space אבל הרבה יותר ממומן - גם הם עשו את ה-Pivot שלהם לעולם ה-GraphQLזה לא שאתה נורא ברור . . . כלי פיתוח - יש שם עסק, אבל זה לא בוננזה כלכליתרק אם אתה לוקח פרויקט Open-source ומארח אותו (Hosting) והענן, עדיין - זה מה שעובד.(רן) אז סיימת את האפיזודה הזו עם mean.io - ולאן המשכת?(ליאור) אנחנו ב-Linnovate יודעים גם לפתח דברים גם ב-Angular וגם ב-Node.js, וכל הזמן שומרים על המתח הזה…בערך בשנים האלה פיתחנו את האתר של “ישראל היום” - ו”ישראל היום” זה Drupal כמערכת לניהול תוכן, אבל עם API ב-Node.js וב-Mongo, עם אינדוקס (Indexing) החוצה ל-Elastic, אולי אחרי זה Solr קודם ואחרי זה Elastic, לא זוכר. ואלמנטים קטנים כאלה ב-Angular שמדברים עם ה-API שלך.ואז אנחנו עושים Drupal - אבל Drupal יותר יותר מתוחכםזה ממש הסימן היכר שלנו, של CMS-ים, שיש להם קומפוננטות (Components) בתוך ה-CMS שמדברות עם API קצת יותר רציניים ממה שה-CMS יודע לספקמה שקרה לנו בעקבות mean.io זה שהיה לנו את כל ה-Skill-set הזה, התחלנו לבנות דברים שונים, הרבה יותר אפליקטיביים, פחות האתר של Commtouch עם ה-MarCom הנוירוטית והדינמיקה הספציפית הזאת - ויותר עם מערכות יותר ויותר אפליקטיביות.מה שקרה זה שכשניסינו לגייס כסף ל-mean.io וקיבלנו איזה שישה “לא” בוואלי ואיזה חמישה “לא” בארץ, כשניסינו להקים את הדבר הזה, אני זוכר פגישה עם אדן שוחט מ”אלף” שאמר “איזה אחלה - יש לכם אחלה Traction ואתם נורא חמודים והכל אחלה” - ואז הוא התחיל לשאול אותי שאלות . . .כמה אנשים משתמשים בזה? וב-Command line הזה? וכמה הורדות יש לך? ומי הם האנשים? . . .הדבר הזה זרק אותי לעולם ש פתאום נכנסתי ל-Elasticsearch ברצינות כי רציתי לענות על השאלותאחרי שלושה חודשים היה לי Pie Chart של התפלגות הפקודות CLI של ה-MEAN . . .(רן) אז הנה, אדן - כתשובה לשאלה שלך: 350 . . .(ליאור) לגמרי . . . אבל הדבר הזה פתאום מקדם אותךבשלב הזה, אחרי שלא גייסנו כסף, אמרנו “Fuck it - אנחנו נבנה את זה בכל זאת” . . . - נקדם את התנועה הזאת, את mean.ioאמרנו שנבנה את ה - MEAN Network - המקום שבו אתה לוחץ על כפתור וזה עושה Hosting של האפליקציה שלך בלחיצת כפתור, זה בגדול היה הרעיון.כשזה התפתח, בשלב מסויים אמרנו רגע - איכשהו עם הדבר הזה והטכנולוגיה שבנינו, פתאום אתה בונה דברים עם Queues, אתה רוצה להתעסק עם המון מידעאז התחלנו לאסוף לוגים ולהראות את הלוגים של הבנאדם, שתראה את כל הלוגים שנכנסים, עם כל מיני משימות, לראות את הדברים שאתה מריץ - ואז אתה פתאום מגיע לבעיות של Performance ו-Scaleאז פתאום צריך להתחיל לעבוד עם Queues . . אז גם היה את הפרק כאן בכרכור, בשדות של כרכור, כשהיינו עוד חברה חמודה כזאת שבנתה דברים ב-Drupal והייתה מאוד ממוקדת ב-Drupal(אורי) אי שם ברחוב גן-עז . . .(ליאור) ופתאום אנחנו מוצאים את עצמנו בתור חברה שיש לה איזושהי סכיזופרניה כזאת - כחברת שירותים, שנותנת שירותים סביב CMS ומערכות כאלה, שיש לה שרירים, שהיא מתחילה לבנות דברים ב-microServices, נכנסת ל-DevOps, מתחילה לעבוד עם - Docker ובהמשך Kubernetes - אתה כאילו לוקח מנטליות של חברת מוצר, ומכיל אותה על חברת שירותלבנאדם שמזמין את השירות והאתר - לא מעניין אותו טסטים אוטומטיים, לא מעניין אותו CI/CD, לא מעניין אותו כלוםאבל אתה שומע את הפודקאסט ואומר - “אבל ככה בונים את זה” . . . יש כל הזמן את המתח הזה בין המוצר לחברת השירותים.אם נחזור לרגע ברקורסיה בחזרה - התחלנו לבנות דברים יותר ויותר מורכבים, ופתאום שינינו את מודל הזה של ה-MEAN Network ואמרנו שנפתח את זה - את אותו הדבר שעשינו ל-MEAN, בואו נעשה ל-WordPress ול-Drupalהקמנו סטארטאפ שקוראים לו Stacksight, לקחנו את כל התשתיות האלה שאספנו אותן . . .(רן) רגע, בוא נראה אם אני מבין: ל-WordPress יש כבר חברה שנותנת את WordPress-as-a-Service, נקראים Automattic . . .(אורי) אצלם זה ב-Hosted(ליאור) אנחנו לא התכוונו לתת את ה-Hosted . . . היה לנו Event-stream, שכל דבר שאתה לוחץ . . יותר כמו Segment או Event-based Analytics - אז כל מיני Events וכל מיני Logsלקוח שלנו, למשל חברת נת”ע - אם הבנאדם לחץ “Publish” למכרז ב-23:00 או ב-00:05, או מתי שהעורך שלך, שעובד על ה-CMS, אם הוא מעביר שעות ב-08:00 אבל מתחיל לעבוד ב-10:30 - אלו תובנות מעניינות לאנשים שעובדים על המערכות האלה . . . (אורי) אבל באמת - ברור לכולנו שכמעט מכל אפליקציה . . . במקרה שלכם מה שנותן את השירות הבסיסי זה ה-CMS, ומה שאתה אומר זה “יש לי את היכולות לתת לך מה-CMS הזה הרבה יותר” - השאלה האם זה לא קצת overwhelming בשביל הלקוחות הטיפוסיים שלכם, שאומרים “אבל רציתי רק CMS - אין לי בכלל אנשים או כוח אדם או יכולת להתמודד עם התובנות שאתה תיתן לי על מתי העורך שיושב על ה-CMS התחיל לעבוד”(ליאור) אתה נוגע בדיוק במתח שלי - זה בדיוק המתח שמתעסק עם זה שאתה מצמצם את עולם הלקוחות שלך ללקוחות מאוד מסויימים שכן אכפת להם מהדברים האלה.בכלל, כחברה, זה לקח אותנו לעוד תהליך שקרה, שדרך ה-mean.io . . . הייתה איזושהי כתבה בגוגל, אני קיבלתי טלפון או מייל כזה מגוגל שאומר “תראו, אנחנו רוצים להשתמש, בקטע של Copyrights, בלוגו של Mean“מגניב, Google, אחלה . . .תקחו, תעשו”ואז התברר שזו ממש הייתה הפלטרפורמה האולי-רביעית בענן שלל Google, שהיה לה Click-to-Deploy שאתה לוחץ ומתקין, עוד לפני למשל Ruby on Rails, יחד עם עוד אפליקציות - אז הם העלו את mean.io כי הם ראו שזה צומח ומתקדם.(רן) ב - Google Cloud?(ליאור) כן, אבל ממש ב-GCP המוקדם, לפני חמש או שש שנים.מה שקרה אז היה שהייתה כתבה ב-Geektime - “הנה הטכנולוגיה של החברה הישראלית שבחרו לשלב ב-Google” . . .ואז פנו אלינו מחיל מודיעין, מאמ”ן . . . פה התחיל (כששאלת מה אני עושה היום) “הרומן” שלי ובכלל של Linnovate עם המגזר הבטחוני.אנחנו בחמש-שש שנים האחרונות עובדים המון על החיבור שבין Open-source למגזר הבטחוני, ומסתבר שזה חיבור חזק, שמתקדם וקורה, וזה חלק מאוד משמעותי בעיסוק שלי היום.(רן) אתה אומר שזה התחיל במקרה, ככל הנראה בעקבות כתבה ב-Geektime, שבמקרה קרתה בעקבות פנייה של Google אליכם כי הם ראו הרבה Starts (ב-GitHub) או משהו כזה? . . .(אורי) החיים קורים במקרה . . .(ליאור) זה לחלוטין . . . זה עבר איזושהי רבולוציה (Revolution), היום יותר מחצי מהפעילות שלנו היא במגזר הבטחוני.אנחנו ממש מובילים בחיבור הזה שבין Open-source ו-Cloud Native ו-Kubernetes, בעבר openstack, ובחיבורים האלה, ובכלל בכלים ובתרבות הפתוחה.(רן) אם תרשה לי רגע של נוסטלגיה - אני זוכר שלפני משהו כמו 8 או 9 שנים קראו לי לגלילות (לכאורה), להרצות שם באחת היחידות (לכאורה!), ודיברתי איתם, אני לא זוכר בדיוק מה היו הנושאים, אבל אחד מהם היה Open Sourceבאו אלי בסוף ההרצאה כמה חיילים ואמרו לי “אנחנו מה-זה רוצים להטמיע כל מיני פרויקטים ב-Open Source, אבל לא יתנו לנו בחיים” . . .אז אני שואל את עצמי האם אולי מאז קרה משהו, אני לא יודע . . .(אורי) אני חושב שהייתה תפיסה בגופים הבטחוניים ש”זה לא בטוח”, ועד שנראה לי שבשלב מסויים - קודם כל מה לעשות, ה-Open source מתקדם הרבה יותר מהר היום מכל דבר אחר, והם התחילו למצוא את עצמם מאחורה, וזה הגיע כלחץ מבחוץ.נראה לי שהם פשוט גילו שהם יכולים לקחת Branches אליהם, להעביר אותם . . .(ליאור) “הלבנה” - התהליך זה הלבנה, שמעבירים אותם פנימה(אורי) כן - בדרך לוקחים את ה-Open Source הזה ו”עושים לו קולונוסקופיה” כדי לראות שהוא לא Malicious - ומאותו רגע זה שלך, תעשה עם זה . . .(ליאור) זה בדיוק מה שקרה, אבל זה הרבה יותר עמוק והרבה יותר אסטרטגי, זאת אומרת - אחרי שנים, יש מונח שנקרה System of Systems, מעיין מגדל קוביות כזה, שפעם הצורה הייתה לשים קובייה של IBM, שעליה אתה שם קובייה של Microsoft - אבל הקובייה לא יושבת בדיוק אותו הדבר, היא טיפה שמאלה . . .והיא מונחת על קובייה של Oracle, אבל הקובייה הזאת מונחת קצת שמאלה… ואתה מחבר את כל הפתרונות האלה, כשכל אחד הוא גם פתרון ורטיקלי שעושה נורא Up-sell - הוא בנוי להיות Ecosystem משלו, אבל מכל מיני סיבות הם (גופים עמומים ליד גלילות) אף פעם לא הולכים עם הכל אצל ספק אחד - והמערכות האלה לא מתכנסות והן לא עובדותלמה? כי הארכיטקטורה היא לא פתוחה - והיא לא שלהם.מה שקרה בחבר’ה שאימצו, ואני מכבד את הפרטיות שלהם (כדאי), החבר’ה שאימצו אותנו לתוך העולם הזה - הם מבינים מעולה Open-source, והם הובילו מהפכות (גם?) שם, שהובילו לכך שהיום במכרזים, ב-CDR-ים בתוך סקרים שאני משתתף בהם, ממש מופיע ש”הארכיטקטורה היא פתוחה”, היא חייבת להיות פתוחה או שאתה לא עומד בתנאי המכרז.(רן) לא במובן של “זה לא סודי” אלא במובן של משתמשים בסטנדרטים של …(ליאור) משתמשים בסטנדרטים של openstack ושל Kubernetes, בעולם שהוא air-gaped והוא מנותקזה כבר לא עניין של . . . לפני 5-6 שנים היו מלחמות של Oracle עם מול Mongo, ואח”כ של Elasticsearchהיינו ברכש של openstack, מצאנו את עצמנו מייצגים את Canonical …אה, דרך אגב, אנחנו המייצגים של Canonical בארץ . . . ושל Rancher . . . אנחנו לא כל כך מיומנים בלמכור את השירותים, אבל בגדול - היינו חלק מהרכש הזה, רשתות openstack באמ”ן ובאלתא ובעולמות כאלה.היום יש שינוי . . . זה מאוד שונה - בנאדם שהולך להתגייס, הדבר הכי טוב שהוא יכול לעשות זה להיכנס ולהיות מעורב ב-Open Sourceהיום הנתמ”ם, הקורס של ה-DevOps שלהם - הם ממש שינו את השם: פעם זה היה “נתמ”מניק”, איש QA כזה, והיום זה קורס DevOps ואנשים ברמת Linux איכותית, יוצאים משם אנשים איכותיים.מה שקרה זה שיש כאן איזושהי תת-קהילה, שהמאזינים (כנראה) לא מכירים, של Open-source בתעשיות הבטחוניותיש כנס סודי כזה - לא באמת סודי אבל לא פתוח לקהל הרחב - שרץ לדעתי משהו כמו 7-8 שנים, שהוא חלק מה-Ecosystem הפתוח הזה, שכולם באים פעם בשנה, בדרך כלל באוקטובר, יש בחור בשם עמי שלזינגר שמארגן אותו, הוא כבר בפנסיהכנס? קהילת מפתחים בארץ? Open source? באוקטובר?! . . .זה כנס שכל אחת מהיחידות מראה מה היא עושה - אלביט ואלתא והצבא - ועושים שם דברים ממש מדהימים, מראים את היכולות האלה, ואני חושב שזה מדליק את הדמיון, ואיכשהו הוא עשה משהוכל התעשיות האלו עובדות מאוד Open-source, מאוד פתוח - וזה אולי 90% ממה שאני עושה ביום-יום - במפגש הזה שבין Open-source והמגזר הבטחוני.(רן) קודם כל - יכול להיות שחלק מהמאזינים שלנו נמצאים בקהילה הזו שהזכרת . . .(אורי) אז זה יכול להיות בטוח . . . (רן) יש סיכוי כזה, כן . . . אבל אני סקרן לדעת - אתה יודע האם גופים בטחוניים נוספים בעולם אימצו Open-source באותו אופן?(ליאור) כולם - ובאגרסיביות.יש, למשל, אנחנו תיכף נדבר על Rancher, ואחד מה-Case Studies של Rancher זה שבתוך חצי שנה בערך, בצורה מאוד אגרסיבית, הם עשו כל מיני מערכות תומכותלמשל - בתוך F16 יש Kubernetes Cluster שמנהל כל מיני מטריקות . . . כשאתה חושב על זה ועובד על זה אז זה מאוד הגיוני, שבתוך בתוך F16 יש Kubernetes Cluster, אבל זה היה תהליך כדי להגיע לזה.טבעי לחלוטין למאזינים הקבועים, חדשות ישנות מ 1 באפריל 2019 - חיל האויר הישראלי עולה לענןכל התעשיות, כל העולם היום של אוטונומיה, שאני גם מתחיל להתעסק איתולמשל ב-Cloud Native Days, לא בדיוק הרברסים (הערה במקום), אבל הייתה הרצאה על ניהול, של, לדעתי jFrog אני חושב, על איך שהם עושים CI/CD ל-k3s, מעיין “Kubernetes קטן”’ לפעמים של Single board, שמותקן בתוך רכב.כל הפרויקטים האלה של KubeFlow, של AI - שאני מתעסק באיך אני רותם את היכולות של Cloud Native ושל Kubernetes לתוך העולם הזה של AI - אתה רואה אותו בעצם מתחיל להיות מופץ - ומופץ ל-Edge, ל-Devices בקצה - והתעשיות הבטחוניות לגמרי שם.נורא מעניין אותם אוטונומיה ונורא מעניין אותם אינטיליגנציה בקצה . . .(רן) והדברים האלה נותנים להם שני דברים - Robustness ו-Standardization: לא צריך עכשיו הרבה ארכיטקטורה, כי היא כבר נתונה, ולא צריך לחשוב על מה יקרה אם זה יכשל, כי זה רובסטי, באופן יחסי.(ליאור) אני חושב שיש גם אלמנט כלשהו של ענווה - פעם “אנחנו אלופי העולם, אנחנו מגלילות, אנחנו בונים דברים” (לכאורה!!), ואלביט ורפא”ל מצד אחד, כש”Everything is built here” - וברגע שאתה . . .(אורי) אין NIH . . .(ליאור) כן, ה - Not Invented Here מאוד חזקומה שקורה זה שהנחשול הזה של Open source, שאנחנו, שלושתינו, מסתכלים על זה בפרספקטיבה של 20 שנים . . .(אורי) אבל תקשיב - הבסטיליה נפלה . . .(ליאור) מזמן!(אורי) מיקרוסופט נפלה - מזמן(ליאור) היא נבנתה מחדש והמציאה את עצמה מחדש בתור “אביר ה-Open-source”.זו החברה שתורמת הכי הרבה Open-source בעולם, זו הזייה . . . אנחנו מסתכלים על זה כעל “מיקרוסופט הקדומה”, אבל זו אנקדוטה.מתי אמרתי להורים שלי שצריכים לקנות מניות של MSFT? כשפנו אלי מהמטה של Microsoft, לפני איזה חמש שנים, ואמרו “בוא נעלה לממשל זמין…” - בירושלים, לדעתי זה היה במשרד החוץ - “… נשכנע אותם לרדת מ-SharePoint ולשים Moodle”.רגע - אבל אתם Microsoft - למה שתלכו ותורידו SharePoint? . . .ביום שהם הלכו All-in על Azure, מבחינת התמריצים והעמלות של אנשי המכירות . . . תחשבו מה קורה: איש המכירות בא ואומר “יש דבר כזה שקוראים לו Azure, בואו ניקח את ה-SQL Server שלך ל-Azure!” ואתה אומר לו “לא רוצה…מה יש לי לחפש ב-Azure, עד שהכל עובד לי כאן?” . . .“אבל יש לך קרדיטים! ויש לך דברים! כדאי לך!” - “לא רוצה!” - “אז מה אתה רוצה לשים בענן?” - “אני רוצה לשים Open-Source בענן . . .”וברגע שאחד או חמישה או חמש מאות או חמשת אלפים אנשי מכירות של מיקרוסופט, המשוואה הזאת התחברה להם - אם תסתכל מה רץ היום ב-Azure, אז זה טון של Canonical ו-Ubuntu, זה הכל Open Source.ואז החברה, ברגע שהיה ההיזון החוזר הזה, שבעצם Open Source זה יותר כסף לאיש המכירות בכיס - אז אני מוכר Open Source ברבאק . . יש הרבה היגוי מלמעלה וכל הדברים האלה, אבל זה גם אלמנט מאוד משמעותי.העולם השתנה ללא היכר, הצבא והמגזר הבטחוני השתנה ללא היכר, בגלל שאתה יודע - דווקא בצבא זה קצת יותר מהיר ויש איטרציות, כי חיילים משתחררים ונכנסים פנימה חדשים עם דם חדש וקצת יותר גמישים מחשבתית.בתעשיות הבטחוניות הם קצת יותר איטיים כי יש להם הרבה יותר Legacy - יש לי אפליקציות שנמצאות 15 שנה, אבל ה-Digital Transformation של האפליקציות האלה, זה מה שאני עושה היום ב-Linnovateבוא ניקח את “המונוליט הפסיכי הזה שלך, שפרוש ואי אפשר להוציא אותו עם מנוף”, אבל בוא נראה איך אנחנו לוקחים אותו וכותבים אותו מחדש, מחלקים אותו ל-MicroServices, שמים על Docker, מחברים ל-Kubernetes . . . (רן) אז בוא נדבר באמת קצת על טכנולוגיה, הזכרנו כל כך הרבה Buzzwords . . . את Kubernetes אנחנו מכירים, “שלום-שלום”, לא ניכנס לשם, אבל הזכרת עוד כמה פרויקטים שקשורים - k3s, הזכרת את Rancher - למה אנחנו צריכים את כל זה? מה הם נותנים לנו? מה אתם עושים איתם?(ליאור) כמו שאמרנו - לגבי Kubernetes זה “שלום-שלום”, ברור לחלוטין, נדלג על השלב של להגיד למה Kubernetes זה Inevitable וזה הכל . . .(אורי) כן, אנחנו מנסים לייצר פרק אחד שבו לא מדברים על Kubernetesלא הלך . . .(ליאור) זה “ה-Linux החדש” של לפני 20 שנה . . . ב-20 שנה הבאות כנראה שזה יהיה כאן.אבל זה לא מספיק - כי כמו שיש לי RBAC, שאנחנו אוהבים לכנות אותו “הראבק” - ואז “הראבקים” האלה, אתה רוצה UI כדי לנהל אותם ולחבר אותם לתוך ה-Active Directory הארגוני . . .(רן) רק נרגיע עם הראבק - RBAC זה Role-based access control, שזו שכבת ה-Access-Control של Kubernetes.(ליאור) כן, אבל יש הרבה מעטפת כדי לחבר את ה-Kubernetes לארגון (פרק 368) - שחקן מאוד ידוע זה לדוגמא OpenShift של Red Hatזאת אומרת שאתה בעצם רוצה לקחת את ה-Kubernetes ולהנגיש אותו לארגון, אתה רוצה שיהיה פחות מפחיד.(רן) אם נלך באמת על האלגוריה הזו ל-Linux, אפשר באמת להסתכל על Kubernetes כעל ה-Kernel:סבבה, נותן לך את היכולות הבסיסיות - אבל אתה עדיין צריך UI מסביב, אתה עדיין צריך User-space(ליאור) נכון, דרך המערכת הזאת אתה בעצם מנגיש את ה-System Calls וכל הדברים האלה ש-Kubernetes יודע לעשותהמון פעמים, במנטליות של פרויקטי Open Source כאלה, Kubernetes “רוצה” להיות קטן וממוקד, הוא לא מחפש לגדול - “אני רק אייצר את ה-Ecosystem” את ה-CNCF, ואנשים ישלימו לי את החלקים של הפאזל(ליאור) אנחנו, לפני שנתיים-שלוש, כשהתחלנו להסתכל על Kubernetes, נתקלנו ב-Rancherאם נדבר על שלושה פרוייקטים מעניינים - זה Rancher, שזה בעצם אותו UI לניהול Kubernetesהאמת שלדעתי, הייתי בכנס של openstack ואמרו לי שגם לכם יש איזושהי פלטפורמה ב-Outbrain לניהול Kubernetes, נכון?(אורי) היא לניהול ה-Deployments מעל Kubernetes (פרק 386! - Kubernetes and Dyploma at Outbrain)(ליאור) אז זה בדיוק בחפיפה מאוד עם Rancher - מה ש-Rancher עושה הוא בעצם, בניגוד ל-OpenShift, מתעסק ב-Helm, עוד פרויקט CNCF, שזה כמו rpmאם דיברנו על האלגוריה שלנו - אז Helm זה rpm - יופי, יש לי Desktop, עכשיו מה אני מתקין על ה-Desktop?(רן) מנהל חבילותבדיוק - אז הם מנהלים “קטלוג אפליקציות”, שמרגע שיש לי את ה-Rancher רץ, אז אם אני רוצה אני יכול להתקין WordPress או שאני רוצה Elastic או Kibana ואני רוצה פה ואני רוצה שם . . . קליק, ואני מתקין את המערכות האלה על ה-Kubernetes.(רן) אז Rancher בעצם נותן לך UI פלוס ניהול חבילות . . .(ליאור) UI, ניהול משתמשים, בקליק אתה מעלה Prometheus שסורק לך את ה-Cluster, ובקליק אתה מחבר את זה ל-LogStash . . . כל מיני דברים כאלה, שזה מה שכל ארגון צריך לעשות - הם פישטו את זה ל”קליק”.השוני המהותי הוא שבתפיסה שלהם הם נמצאים בעולם של הרבה Clusters, כלומר עוד פעם סוג של “Monolith vs. microServices” נגיד - OpenShift זה עולם שהוא מאוד פופולארי בבנקאות וגם במגזר הבטחוני - עולם שבו יש Cluster אחד גדול ואתה עובד מול ה-Cluster הגדול.אבל כאן אומרים “תראו, אני צריך הרבה Clusters - ואני צריך להפריד בין ה-Dev וה-Stage ואני רוצה Cluster פר נושא ויש לי עשרות Clusters” . . . בתפיסה שלהם, אני רוצה ללמוד איך לנהל מאות ואלפי Clusters.הדבר הזה הוביל אותם, אם יש לי יכולת לנהל Multiple Clusters מכאן, ולעשות מה שנקרא Multi-Cluster Apps - אני עכשיו מייצר בתוך הקטלוגים שלי את ה-Helm-ים שלי, ואז אני יכול להכין אותם על גבי Cluster שונה.אם אתה עובד עם Nice, אנחנו עובדים עם Nice או אם Amdocs, שעובדים גם עם Rancher - תחשבו שאני רוצה עכשיו לעשות Cloud Certification, לבדוק את האפליקציה שלי, כי כנראה אני אפגוש OpenShift אצל לקוחות, ואני אפגוש EKS וכל ה-Kubernetes המנוהל הזה - ואני רוצה לבדוק את זה בכל הסביבות האלה.אז אני מחזיק Clusters בכל הסביבות ואני בעצם עושה Deployments של אותה אפליקציה לכל אחד מה-Clusters.(רן) לחברת מוצר אני מניח שזה יכול להיות שימושי אם באמת מחזיקים מספר Clusters, למשל Cluster פר Data-center, או אפילו מספר Clusters בכל Data-center, ואתה רוצה עכשיו לפרוש את השירות שלך, אז אתה יכול לפרוש אותו במקביל לכל ה-Clusters.(ליאור) כן, או תרחישי DR-ים כאלה . . . יש המון תרחישים מאוד הגיוניים בקטע הזה, עם המחשבה הזו של Multiple-Clusters, וזה שוני מאוד משמעותי בין Rancher והמתחרים שלה.לפני איזה שבוע Rancher נקנתה ע”י SUSE - העסקה עוד צריכה להסתיים, אבל זה עוד איזה משהו מעניין שקורה בתוך העולם הזה.מה שקורה זה שזה הוביל אותם . . . אם דיברנו על זה ש-Rancher זה בעצם ה-UI, מה שקורה היום בעולם של Kubernetes זה שיש הפצות Kubernetes - יש לי Distribution של Kubernetes, שקוראים לו RKE, שמתאים בעצם ל-On-Premise.כשאני עובד באלתא, או עם הצבא בכל מיני מקומות, ואני רוצה עכשיו להרים ממש בקלות Kubernetes Cluster, אז אני פשוט עושה Deployment דרך ה-Rancher, מריץ כמה פקודות של Docker על ה-Nodes עצמם ומקים לי Cluster נורא בקלות, בחצאי-שעות כאלה, להקים Cluster ואז להתחיל לנהל אותו, לקבל מטריקות מ-Prometheus, לשלוח את המידע החוצה . . . זה כלי מאוד חמוד.(רן) זאת אומרת - זה מיועד לסביבה שבא אתה מנותק מהאינטרנט . . .(ליאור) או בכל On-Premise . . . היום בקטע של Hybrid Cloud, אתה לא בהכרח תמיד מנותק . . . גם אצלכם ב-Outbrain יש אלמנטים שיושבים ב-Data-Center ויש אלמנטים שיושבים ב-Cloud, ובין אם זה קשור לאספקט הכלכלי או לכל מיני אספקטיםיש לדבר הזה מקום, לא צריך ללכת ל-100%, משחק סכום אפס של “אני רק בענן” או רק on-premise, וזה כלי מאוד חשוב במקום הזה.זה הוביל את Rancher לעוד שני פרויקטים נורא מעניינים - אני חושב שהשוס, ה-פרויקט הכי מעניין של Rancher, שכל הקורונה התעסקתי איתו אינטנסיבית, זה k3sרפרנס - New Tool of the Year 2019 ב-stackshareתחשבו, עוד פעם אנחנו חוזרים לאלגוריה של Linux - מה היה עם Linux, ב”אלפיים וקצת”? בהתחלה הוא היה קצת על Proxy Servers ועל Apache, בשולי ה-Data centerואז הוא נכנס ממש ל-Databases, ל-”Unbreakable Linux” כל התקופה הזו של 2005-2006אבל מה שקרה זה שהגיע MontaVista Linux - אם Linux היה רלוונטי לדברים נורא גדולים, אז פתאום זה רלוונטי לדברים קטנים.ואז הגיע Android . . .אתם רואים שבעצם Linux עלה למעלה - ואז ירד למטה, וזה בדיוק מה שקורה היוםה-MontaVista Linux של Kubernetes זה k3s, שזה בעצם (חוץ מחתיכת אלגוריה) “לקחו את Kubernetes, העיפו לה כמה מיליוני שורות קוד” או משהו כזה, לא יודע - ואת המינימום האפשרי, בהתחלה זה רץ על SQLite, בערך ב-500Mb של Footprint, זה משהו שרץ היום על Raspberry Pi . . .(רן) זה Node בודד או שזה Cluster שלם?אתה יכול לעשות Multiple-Clusters . . . אני יכול לשים ב-Show-notes צילום של ה-Cluster שלי: כשיש לך ארבעה Raspberry Pi . . . יש כאלה Boards של NVIDIA, ו-Boards חזקים, GPUs חזקים של Jetson, שאתה בונה לעצמך כל מיני Clustersתחשוב שאתה עושה Taint ו-Label ל - Jetson שלך - יכול לשבת GPU ולעשות AI על Jetson.ואת כל שאר הדברים הקטנים אתה עושה על Raspberry Piפתאום כל הדבר והמחשבה הגדולה הזאת - הכל מתנקז “לעולם הקטן”.(אורי) יכול להיות שהחזון הזה, כשאנחנו מדברים על Internet of Things - פתאום לא יהיה מצב שבו כל Thing הוא . . . כל מנורה בתאורת רחוב, אז לא רק שזו “מנורה מנוהלת”, פתאום היא בכלל Node ב-Cluster . . .(ליאור) יכול להיות . . מה שקורה זה שלקחת את הנכסים של העולם “הגדול” ושל ה-Data Centers והעננים הפסיכיים האלה שרצים נורא מהר - איך אני לוקח את זה לתוך העולם הקטן וה-Embedded.אז תחשבו על עולם של CI/CD - הרי בעבודה ב-CI/CD לא עובדים ב-Embedded . . . מה זה Embedded? אני לוקח Board ועושה Flash לתוך ה-ROM או PROM או כל מיני דברים פתאום, מרגע שעלתה קצת השכבת אבסטרקציה (Abstraction) . . . יש לי חבר שכתב פוסט על GitLab ו-Terraform ו-K3s - איך הוא עושה CI/CD של ה-Deployment של ה-Cluster . . .זה ממש מייצר מהפכה בצורה שאתה כותב Embedded(אורי) כמו שדיברנו . . . לא זוכר אם דיברנו על זה עם אורית או עם מישהו אחר שהיה פה, על ניהול Devices של Network - ב-Hardware כל ה-Network הוא Linux . . . אתה עושה Deployment ו-CI/CD על ה-Network Device(רן) אבל זה ב-Data center . . . ליאור מדבר איתך על הראוטר הביתי שלך, על הטלויזיה, המקרר . . .(ליאור) כן, זה לא משחק-סכום-אפס . . . אם אני רוצה ש”לנורה תיהיה אינטליגנציה”, ואני רוצה להריץ Kubeflow במנורה, אולי כדי שהיא תבוא ותידלק בצבע לפני הזיהוי פנים, או שהבקר של הנורה יעשה דברים יותר מתוחכמים, ואני ארצה לא לכתוב את זה Hard-coded לתוך ה-Board של המנורה, אלא להשתמש באותן אבסטרקציות ובאותם כלים שגדלו “למעלה” - היום זה אפשרי, היום זה דברים שאנחנו עושים, שוב - בעיקר במגזר הבטחוני, אבל לא רק.(אורי) נראה לי שגם . . . הרבה פעמים אנחנו שוכחים שאפשר לעשות Deployment גם בלי Container: בגלל שאנחנו רגילים לעשות Deployment של Containers אז פתאום כל דבר צריך להיות Node, צריך להריץ איזושהי Container-environment כמו Kubernetesאבל בעצם - למה זה תפס ב-Data centers? כי ה-Hardware הוא General-Purpose . . . אתה יכול לעשות על ה-Hardware, היום אתה עושה עליו אפליקציה אחת ומחר אתה עושה עליו אפליקציה שניהבמקרר - אתה צריך שהוא יקרר . . . או ברחפן - אתה צריך שהוא יעשה “אפליקציית רחפנות” . . .(ליאור) אבל בכל אחד מהדברים האלה עדיין יש לי “עוד מוח”, שמביא את הערך המוסף, התחרותי, למקרר או לרחפן.(אורי) אני מבין - אבל אתה בסוף יש עליו אפליקציה שהיא ייעודית למקרר . . .(ליאור) אבל זה גם General Purpose, כי הרחפן הזה - פעם אחת הוא עם ARM ופעם אחרת עם Board של Intel, ופעם אחרת עם כזה או כזהה-Kubernetes יצר שכבה של אבסטרקציה (Abstraction), שכל מיני דברים יכולים לרוץ עליו(אורי) זה משהו ש-JVM לא יכול ליצור?(ליאור) בגדול כן - זה נורא דומה לאבסטרקציה הזאת, אבל היתרון הוא שזה בסוף הכל אותו חארטה . . . אתה עובד בצורה שאני עובד, ואותו מפתח, שעכשיו עבד שלוש שנים ב Data Center, ה-Skill-set שלו עכשיו רלוונטי כדי לפתח גם Board כזה, כי הוא עובד בצורה מאוד דומה, מול מערכת הפעלה שהיא מאוד דומה.אז אני לא חושב שזה Bug - זה Feature . . . כשאני מסתכל על זה, תחשוב רק מבחינת היבטים של פיתוח, אתה עושה קונסולידציה (Consolidation) לצורת פיתוח מאוד דומה אבל כמובן שזה לא מתאים, ויכול להיות שזה מה שאתה מדבר עליו - החישוביות של ה-Board, מה שרץ ב-Real-time ואני לא רוצה לחטוף איזה ארבע שכבות אבסטרקציה בדרך אליו - עדיין יש לה מקוםאבל גם זה, כמו שדיברנו על העולם ההיברידי - זה Hybrid: יש לי את הבקר הספציפי שכתוב עליו קוד בצורה מסויימת, אבל כדי לאסוף את המטריקות ואת הלוגים ולשנע אותם לתוך איזשהו Elasticsearch או לתוך איזשהו Data Center שבו אני אוסף את המידע - אני אשים שם Filebeat שירוץ ב-Docker לאיזשהו LogStash שיקח את זה ל-Elasticsearch - זה כאילו כותב את עצמו, זה נורא ברור . . .(אורי) כן, אני רק אומר שאתה יודע - Deployments ו-Deployment scripting וכו’ - עשינו גם לפני שהיו Docker-ים, וכתבנו לוגים ועשינו מלא דברים וזה “כתב את עצמו” . . . Chef יכול לעשות את זה.אני רק אומר שלפעמים אנחנו שוכחים שיש פה שכבת אבסטרקציה, שזה נכון שהיא הרבה יותר “רזה” מ-Virtual Machine, אבל היא עדיין עולה משהו(רן) אני חושב שמה שליאור אומר זה שבשביל האחידות, יש מחיר - אבל גם יש יתרוןאני יכול לפשט לך את הדברים - ותחליט אם אתה רוצה את זה ומוכן לשלם את המחיר(אורי) בסדר . . .(רן) ספציפית ב-k3s המחיר הוא הרבה יותר נמוך, כי אתה יכול להריץ את זה כבר (למשל) על רחפן ועל Raspberry Pi, אז המחיר לא כזה גבוה אבל הוא קיים, הוא תמיד קיים.עכשיו תחליט איפה אתה רוצה לשלם - ויכול להיות שבאלביט או בתעשייה בטחונית אחרת הם אמרו “סבבה, אני מוכן לשם את המס הזה” של 5% או 10% או Whatever, בשביל אחידות - ולהרוויח עבור זה זמן פיתוח.(ליאור) חוק Moore עדיין לטובתינו, אתה יודע . . .(אורי) אני חושב שפשוט ה-Devices הם היום קטנים יותר ועם כוח חישוב גדול יותר(ליאור) בדיוק - ואז זה מתחיל להפוך את כל העסק הזה שם . . . מקרר עם זיהוי פנים שלפי המנח של הכתפיים ידלק באור כחול או משהו כזה ויציע לי שוקו . . .לא יודע מה הם ימציאו, אבל בטוח שבאמל”ח שמזהה אותך ובודק איזה ארבעה (רק?!) דברים לפני שהוא מתפוצץ עליך, סביר להניח שהדברים האלה ימצאו את עצמם (לכאורה, כן?)(אורי) במלחמת המפרץ הראשונה קראו לזה “פצצה חכמה” . . .(ליאור) ממש ממש חכמה(אורי) חכמה, אבל ביישנית . . .(ליאור) אז עכשיו הפצצות יתחילו לפתח תודעה, ויתחילו פצצות פציפיסטיות ו . . .(אורי) כן, ביישנית - הלכה והתפוצצה בצד . . .(רן) פצצה-netes? שמעתם את זה פה . . . (לפחות עד שהצנזורה תמחוק . . .)(ליאור) אני חושב ש . . . דיברנו על Rancher ועל RKE, על ההפצה שלו שהוא משתמש בה כדי לנהל את ה-Hybrid Cloud, ודיברנו על ה-k3s, שזה פרויקט מרתק לדעתי המון מהאוטונומיה - רכבים אוטונומיים, אתם תמצאו את זה הרבה מאוד בתוך העולם הזה, הוא צמח והוא מאוד פופלרי ומאוד מגניבעוד פרויקט אולי אחרון מתוך הבית הזה של Rancher שאולי כדאי להסתכל עליו - קוראים לו Longhornלא זהכלומר - כל ה-Theme של Rancher זה חוואים, מתוך ה-Pets vs. Cattle - זה התפתח שם בקטע זה של “אנחנו בשוורים, אני מתייחס לכל השרתים כמו אל בקר” - אז כל השמות של Rancher זה סביב העולם הזה.ו-Longhorn זה בעצם (כזה אבל גם) Distributed Storage, סטייל OpenEBSאני עכשיו משתמש, אני חושב שזה StatefulSets של Kubernetes, כדי לנהל את מה שפעם היינו עושים ב-GlusterFS, אז אני עכשיו בעצם מפזר את כל אחד מה-Nodes ב-Cluster שלי, מקצה את הדיסק שלו - וכולם “בשותף” בעצם מספקים את זהזה נורא נוח לטפל ב-Persistent Volumes issue . . .(רן) קצת Hadoop כזה, אבל מחדש . . .(ליאור ) כן - הכל אותו חארטה . . . אנחנו בלופ . . .(רן) אני בטוח שגם בשנות השישים הייתה גרסא של זה איפשהו . . .(ליאור) אז Longhorn הוא נורא נוח בזה שאני, בכמה קליקים דרך Rancher, עושה שני קליקים ופתאום יש לי פתרון ל-Persistent Storage, שנותן לי בעצם את ה-PV ב-Cluster ומנהל את ה . . (רן) אבל מה זה? Block Device? איך זה נראה?(ליאור) זה Block Device . . . אתה יודע, יש פרוייקטים נוספים כמו Min.io ועוד דברים לטפל ב-Object Storage, או Ceph, אבל הדבר הזה מתעסק עם Block Device, הוא נותן מענה ל-Block Devices בתוך המרחב הזה - הוא נורא נוח.עכשיו, תחשוב על זה שאני עכשיו לקחתי “להק רחפנים” שרוצים עכשיו איכשהו לסנכרן איזשהו File System, ויש לי איזה 50 רחפנים בלהק כזה - והם אשכרה מחזיקים File System ביניהם, דרך ה-Connectivity שלהם - זה בעצם הטכנולוגיות שיקחו אותנו לשם.מעל מה מרחף להק הרחפנים הזה? . . . לא חשוב.(רן) אנחנו כבר ממש לקראת סוף הזמן (זה רק קורונה, זה יעבור…), הייתה שיחה ממש מעניינת - יש עוד נושא שרצית להזכיר לפני שאנחנו נסיים?(אורי) איפה אתם משתלבים בסקריפט של הסדרה טהרן?(ליאור) אהה . . . אנחנו בעיקר צופים . . . זה הלקוחות שלנו שעושים את הדברים האלה (לכאורה).(אורי) נשאיר למאזינים את הדמיון שלהם(ליאור) אנחנו . . . כל דבר בתוך המפגש הזה, בין Kubernetes . . . אני אעשה עכשיו תרגיל מסויים בהיפנוזה - תחזרו אחרי: “קיסוס Kubernetes, קיסוס Kubernetes” . . . זה ה Key word.רק להיזהר על ראש ממשלת מלזיה.כל דבר שקשור ל-Cloud Native, לKubernetes, לOpen Source, כמובן במפגש עם הנושאים האלה של המגזר הבטחוניוגם במערכות האלה, כש-CMS צריך הרבה יותר אינטליגנציה ואיזשהו קומפוננט (Component) בפנים כדי לעשות דברים הרבה יותר מורכבים - דברו איתי, אנחנו נשמח לעזור.בפרק אחר אני כבר אספר על כל ה-Open source שיצרו מאז . . .(רן) מעולה, יופי, שוב תודה שבאת ליאור - ותבוא שוב!ועוד קצת תוספות לגרסת הבמאי - Rancher Israel community at Whatsapp - https://chat.whatsapp.com/FBHr4Bvvl4x3a39Q7W3jpILinnovate kubernetes support service - https://k8support.comNice intro for Rancher in CNCF Meetup - about managing fear (and k8s clusters ) with Rancherhttps://youtu.be/7HNdNpkUw7cהקובץ נמצא כאן, האזנה נעימה ותודה רבה לעופר פורר על התמלול

Semanalmente, Joel Teixeira e Renato Marinho trarão os assuntos mais quentes e, ocasionalmente, alguns nomes de peso, do universo da segurança da informação. No quarto episódio da nova temporada, falamos sobre o maior ataque volumétrico (PPS) de DDoS já detectado até hoje, onde mais de 809 milhões de pacotes por segundo foram disparados contra um alvo na Europa e sobre o comprometimento de imagens no Docker Hub e ambientes Kubernetes para mineração maliciosa de criptomoedas. *Disponível também no YouTube: https://www.youtube.com/watch?v=0hpdJfRLB5E -------- ACOMPANHE OS NOSSOS CANAIS: https://www.linkedin.com/company/morphusecurity https://www.instagram.com/morphusecurity https://www.facebook.com/morphustecnologia NOSSOS CONTEÚDOS: Morphus Labs: https://morphuslabs.com/ Morphus Blog: https://www.medium.com/morphusblog -------- INFORMAÇÕES: https://www.morphus.com.br

Over the current few episodes I am introducing a number of technologies from modern Software Delivery. These are: Containers Docker Kubernetes And Serverless There are "hot" technologies within Software Development at the moment. They are helping Software Teams: Get Better ROI when spending on Computer Servers Improving the speed to market Allowing for more complex and ambitious solutions These are technologies that your Development Team may want to use or may even be using. In episode 40, I explained Virtualisation; a technology that makes the other possible. In episode 41, I introduced Containers and the Docker Container format - a technology that allow us to achieve greater ROI from our physical servers, improves our developer productivity and increase access to the tools they need. In episode 42, I introduced Container Orchestrators and Kubernetes; a technology for running complex containers based solutions; helping us to: Ensuring consistent load across our physical machines - giving better ROI through higher density usage Starting and stopping containers based on load - again giving better density and being more resilience to inconsistent workloads Self healing to avoid costly and embarrassing outages Proving a platform to allow multiple containers to operate as single system And automating many, previously, manual tasks In this episode I will move onto the Serverless technology. I will also close out this little series on "hot" technologies, by talking about them in the Cloud and the future of these technologies as I foresee it.

Over the current few episodes I am introducing a number of technologies from modern Software Delivery. These are: Containers Docker Kubernetes And Serverless There are "hot" technologies within Software Development at the moment. They are helping Software Teams: Get Better ROI when spending on Computer Servers Improving the speed to market Allowing for more complex and ambitious solutions These are technologies that your Development Team may want to use or may even be using. In episode 40, I explained Virtualisation; a technology that makes the other possible. In episode 41, I introduced Containers and the Docker Container format - a technology that allow us to achieve greater ROI from our physical servers, improves our developer productivity and increase simplicity to access the tools they need, Towards the end of that episode I talked about how containers and the Microservice architecture from episode 17 are logical bed fellows and are gaining huge industry adoption. The downside to this however is a level of complexity brought by having so many small "parts" to manage. While it is considerably easier to think about and develop at a small scale ... Linking them together correctly brings additional overheads to the big monolith on a single server setup. To make this practical we need a Container Orchestrator - the subject of todays episode.

Over the next few episodes I want to introduce a number of technologies from modern Software Delivery. These are: Containers Docker Kubernetes And Serverless There are "hot" technologies within Software Development at the moment. They are helping Software Teams: Get Better ROI when spending on Computer Server resource Improving the speed to market Allowing for more complex and ambitious solutions These are technologies that your Development Team may want to use or may even be using. In the last episode I explained Virtualisation; a technology that makes the other possible. In this episode I will introduce Containers and the Docker Container format - possibly one of the most useful advancements in recent years in providing repeatable and reliable software distribution.

Over the next few episodes I want to introduce a number of technologies from modern Software Delivery. These are: Containers Docker Kubernetes And Serverless There are "hot" technologies with Software Development at the moment. They are helping Software Teams: Get Better ROI when spending on Computer Server resource Improving the speed to market Allowing for more complex and ambitious solutions These are technologies that your Development Team may want to use or may even be using. Over the next few episodes I will be giving an overview of what the technology is, how they help with ROI and why your Development Team maybe trying to convince you that they are a good idea. In this first episode, I want to explain Virtualisation. A technology that makes those others possible.

En este Episodio hablamos sobre Docker y Kubernetes, sobre como solíamos programar y desployar aplicaciones antes de tener estas herramientas y de donde vienen sus ventajas, también hablamos sobre las razones por las que tal vez no te convenga usar/aprender Docker o Kubernetes. Damos un approach básico a la herramienta y nos enfocamos mas en el "por que" mas que el "como".

When Robinhood went down at the beginning of March, many speculated it might have been caused by the extra  day, February 29th. This is a leap year after all. Robinhood blamed the outage on an unprecedented spike in usage. Either way, it go us thinking about time. For example, Postgres has a great understanding of time as a database. Like, it really knows all the different things that happened going back to literally year 4,000 BC including years that were skipped when they re-crafted the calendar and just like bananas stuff that happens with calendars over time. An excellent source of truth if it fits with your project.Next, a user shared the story of a wild interaction between Docker and the driver used by Razor peripherals. You can't have your fancy gaming mouse fired up and also be working on some container orchestration. Apparently they request the same GUID and get a bit confused if one already exists. If you're still feeling a little uncertain about exactly how Docker/Kubernetes works, Paul suggests this lovely illustrated guide for children or this comic, which is for grown ups.We chat about MySpace and whether it was ever cutting edge during its rise to prominence? Last, we dive into the pronunciation of "char", by the end of which, half of us have turned into full blown pirate impersonators.  

When Robinhood went down at the beginning of March, many speculated it might have been caused by the extra  day, February 29th. This is a leap year after all. Robinhood blamed the outage on an unprecedented spike in usage. Either way, it go us thinking about time. For example, Postgres has a great understanding of time as a database. Like, it really knows all the different things that happened going back to literally year 4,000 BC including years that were skipped when they re-crafted the calendar and just like bananas stuff that happens with calendars over time. An excellent source of truth if it fits with your project.Next, a user shared the story of a wild interaction between Docker and the driver used by Razor peripherals. You can't have your fancy gaming mouse fired up and also be working on some container orchestration. Apparently they request the same GUID and get a bit confused if one already exists. If you're still feeling a little uncertain about exactly how Docker/Kubernetes works, Paul suggests this lovely illustrated guide for children or this comic, which is for grown ups.We chat about MySpace and whether it was ever cutting edge during its rise to prominence? Last, we dive into the pronunciation of "char", by the end of which, half of us have turned into full blown pirate impersonators.  

In this interview segment, Mike and John interview Shaun Lamb about strategies for how best to design applications so they are "secure by default" and have fewer incidents and vulnerabilities, How DevOps or DevSecOps positively changes the relationship between security and development/operations including: the application design process, security testing, and security education programs, and the security impact of applications moving to a microservices-based architecture running on Docker/Kubernetes and the role of an API Gateway. Visit https://www.securityweekly.com/asw for all the latest episodes! Show Notes: https://wiki.securityweekly.com/ASWEpisode95

In this interview segment, Mike and John interview Shaun Lamb about strategies for how best to design applications so they are "secure by default" and have fewer incidents and vulnerabilities, How DevOps or DevSecOps positively changes the relationship between security and development/operations including: the application design process, security testing, and security education programs, and the security impact of applications moving to a microservices-based architecture running on Docker/Kubernetes and the role of an API Gateway. Visit https://www.securityweekly.com/asw for all the latest episodes! Show Notes: https://wiki.securityweekly.com/ASWEpisode95

Formule spéciale!  Guy est l'invité et Éric Côté, premier co-animateur de l'émission à ses début, est le co-animateur invité! Nous discutons avec Guy de Kubernetes afin d'essayer de comprendre la raison de l'engouement sur ce produit.  Quel souffrance les orchestrateurs comme Kubernetes cherchent-ils à régler?  Quelle est l'architecture du produit et comment on y déploie des applications.  FInalement, comment démarrer avec Kubernetes. Guy Barrette est un formateur/développeur basé à Montréal, Canada et est un MVP Microsoft Azure. Il forme les entreprises à l'utilisation d'Azure avec l'Académie Azure et Docker/Kubernetes avec Kubernetes Academy en offrant une série d'ateliers techniques en classes publiques et privées. Guy a été conférencier lors de conférences comme TechDays, DevTeach et Confoo, il a été leader de la Communauté .NET Montréal pendant 23 ans et est le co-animateur du podcast Visual Studio Talk Show. Guy a obtenu les certifications suivantes: Azure Fundamentals, Azure Developer Associate et Azure Architect Design. Liens: Docker Desktop Kubernetes Cloud Native Computing Foundation Kubernetes Learning Path (50 days) Kubernetes Academy - Formation Docker et Kubernetes de 3 jours React Academy - Formation React de Eric Côté

Les cuento lo último que estoy estudiando, de que se trata, para que se usa , y para que puede ser que lo use yo. Docker, Kubernetes y Ansible https://demoswp.dev - https://ardid.com.ar - https://twitter.com/aardid

Всем добрых выходных! Мы не забыли, мы выкладываем в публичный доступ 14 выпуск linkmeup_sysadmins от 23.07.2019. Андрей Куковеров из Veeam и Михаил Жучков (SinTeZoiD) рассказывают в этом выпуске о Docker и Kubernetes на DevOps'овском языке. Честно предупреждаем, что местами ведущий Роман Горшунов и гости поднимают с пола свои упавшие челюсти, слушая друг друга, но в целом мы все вместе постарались доставить вам удовольствие, и, может быть, научить чему-то полезному. Про что: Почему Docker, и почему не только Docker?Почему Kubernetes, тогда как есть не только он?Когда не стоит с этим всем добром связываться?… И когда стоитСвой Kubernetes vs. Kubernetes as a Service @cloud vs. OpenShiftХранение данных контейнеризированных statefull приложенийБекапы? Какие бекапы?Типичные решения Logging/monitoring/alertingВнешний доступ к приложениям, работающим в K8s — ingress, DNS, и все-все-всеОбновление K8sЗакручиваем гайки безопасностиHelm, операторы, workflow и управление взаимосвязанными группами микросервисовТипичные проблемы быстрого старта в Docker & Kubernetes Скачать файл подкаста Добавить RSS в подкаст-плеер. Подкаст доступен в iTunes. Скачать все выпуски подкаста вы можете с яндекс-диска.

Chuck's Python course: (Discounted at $10): https://bit.ly/2lsDZeo Chuck's SDN book: https://amzn.to/2lCp6WN Chuck's SDN Startup: http://www.tallac.com Connect with Chuck on LinkedIn here: https://www.linkedin.com/in/chuck-black-1017676/ Connect with David on LinkedIn here: https://www.linkedin.com/in/davidbombal/ In these series of videos David Bombal, CCIE and Chuck Black, Developer discuss the future of networking. SDN, Network automation, network programmability, APIs, NETCONF, REST APIs and lots of other technologies! What is NFV? How do SDN and NFV work together? Is SDN the same as NFV? What are containers? How are containers different to Virtual Machines? What is Kubernetes? Which is better - Containers or Virtual Machines? Learn from someone who wrote SDN code. Who wrote SDN books. Who understands how SDN code actually works. David's details: YouTube: www.youtube.com/davidbombal Twitter: twitter.com/davidbombal Instagram: www.instagram.com/davidbombal/ LinkedinIn: www.linkedin.com/in/davidbombal/ #Kubernetes #Docker #Containers

2019 StackOverflow Survey Results - https://insights.stackoverflow.com/survey/2019Episode TranscriptionWelcome back to the Byte. I'm in San Francisco this week for DockerCon, and day one is in the books. It was a lot of information we received in this keynote, and also throughout the day. Talked to a lot of interesting people. Some new companies I was never exposed to before. So, I'm going to kind of dive into these separate topics in different episodes, because there's a lot of information I gathered, and I want to share it with everyone. I find it super interesting, because it's some spaces like IoT, Open Policy Agent, which I haven't really covered in the past, and I've been exposed to now, and it's really interesting. So, I'm going to share this information with you as well.In the keynote for DockerCon, it was focused on first, a customer panel. The customer panel had a couple of financial institutions. It had Carnival Cruise Line, which was really interesting because they're designing a user experience or a customer experience for the passengers. They get a medallion and this medallion kind of anticipates where they're going through the ship, and it helps them navigate the ship. It anticipates their needs, helps you track your family on the ship. It does a lot of cool things. They're actually wrapping Carnival Cruise Line ships in a container, the entire ship, and the experience. It was a very interesting talk.Also, Lindsay Corporation. It's a farm company. They produce machinery, but they're using docker in a global scale for industrial IoT farming, but their farm equipment is saving like 900,000 gallons of water a year, based on the new technology that they're only giving as much water as needed to their farms. It was a really interesting customer panel, to be honest. I wasn't expecting it, because customer panels typically are very salesy, but this was really interesting, so I quite enjoyed it.Next up, we walked through the docker survey, that was available by Stack Overflow. Stack Overflow announced a couple of weeks back about developers adoption of different platforms, but docker scored quite high. Docker for desktop is the most wanted platform. The most loved platform is number two. The most used platform is number three. One, two, three, it's ranked in one of these categories, which is quite impressive.Now, the actual conference, the keynote, we kicked off with docker enterprise, version 3.0. 3.0 encompasses three different features that are coming out. Docker Desktop Enterprise, we've seen that in Barcelona. It seems to become more mature, and it's getting ready. So, I'm getting super excited. I'm already pushing product management for some demos, and some access.Next step, is Docker Kubernetes service, Kubernetes servers DKS. We didn't go in to too much detail here, because it was just lightly touched on. I have a lot of questions here still. Docker application, I'll touch this in a moment, because they did some really cool demos around this.Next up, docker enterprise, docker as a service. Docker enterprise is a service. It's a managed docker installation. So, manage docker on PRIM, in the cloud, on your own machines, wherever you want. This is something that we, as a company, 56K, we see a lot of customers asking for it. They're like, "We want containers. We want these, but we don't want to manage it. We want someone else to manage it." I think it's going after a space that's really needed, to be honest, and it's something that is desired at the moment, I see.Back to docker desktop, Docker Desktop Enterprise. It's come a long way since Barcelona. I've noticed it has a lot more features. It looks a lot more polished. One of the things that stuck out at me, is now you can do version control, so you can have multiple versions running. You can switch between, version one, two, three, four, and this enables you to test and build against a newer version. However, backport it to an older version, that's Maze running in production. So, you can play around with version control there.Also, from an organization point of view, you can control the docker for Desktop Enterprise, deployments, and what versions, and what features and permissions can be installed. From an enterprise perspective, it looks pretty interesting. K8s, Kubernates, and dockers included, obviously they're kind of making like a marketplace within docker for Desktop Enterprise. It's a predefined application stacks. As a company, you can have your bread and butter application. It can be no JS, some Middleware, and a back end. You could wrap it as a predefined application bundle, and your developers can just take it, add their applications into it, and deploy it all through a GUI.This is really lowering the bar for entry into the enterprise space. People that are not maybe familiar with the command line, or not so comfortable. This really opens up the possibilities that people can use docker, it's quite interesting. I'm really looking forward to using it, to be honest.Next up, was on the command line side, is docker App, which is like an implementation of CNAB, and that's a new standard for application bundles. What it is, is the Cloud Native Application Bundle is what it's called, and docker App, allows us to use the same workflow for legacy applications, brownfield, Greenfield, if you were trying to containerize new applications.We saw a demo where they have three different application types, Legacy, brownfield, Greenfield, and they containerized all of them. Basically the command, it looks inside the current directory. Oh, it's a Java directory. You run this command, docker assemble. It actually creates a docker file. It creates some testing files. It creates everything for you. You can actually open up directly from docker for desktop enterprise, in to Visual Studio Code, make your changes, commit it back to get. It's really nice.Additionally, what's also included in here, is now we can do docker pipelines. So, after we do our docker assemble, you can do docker pipeline, and it actually created Jenkins Pipeline for us. It's autogenerated Jenkins pipeline. I thought that was pretty cool. Got a pretty nice reception from the crowd. There's a lot of interesting things coming. I see quite some things in the works.Day two is today, so we're going to see a lot more from the technical side. We're going to dive deeper into the technical side, talk to a lot of companies, and I expect to interview some more people while I'm here, and dive into some of these new company topics, that I've seen, that I wasn't exposed to before. It's been an exciting first day. Day one is in the books. Join me, and I'll keep you updated on how the day goes. Have a great day. See you next time.

In this episode, I talk to Dan Wahlin about the current state of Docker and Kubernetes, and why microservices are so hot right now in the tech industry.

Nach der letzten Episode mit Alois Reitbauer machen Tom und André dieses Mal wieder eine DTR Standardfolge. Es geht um Java Ergonomics in Docker/Kubernetes und - wie immer - Konsum aka Konsum von Apple Devices.

inductorさんをゲストにお迎えして、「論理中卒」、SES、DevOps、Docker、コンテナ、英語学習、さわやか、などについて話しました。 【Show Notes】 株式会社ZOZOテクノロジーズ 国立高専機構　沼津高専 SES契約 - Wikipedia Wantedly DevOps - Wikipedia Docker - Wikipedia Kubernetes - Wikipedia ownCloud - Wikipedia ConoHa インフラ勉強会 Japan Container Days moby/moby haconiwa/haconiwa Kubernetes完全ガイド | 青山 真也 | Amazon Docker/Kubernetes 実践コンテナ開発入門 | 山田 明憲 | Amazon バック・トゥ・ザ・フューチャー - Wikipedia マイ・インターン - Wikipedia HiNative Discord - Wikipedia 炭焼きレストランさわやか - Wikipedia Deploy.am 求人情報 - 株式会社ZOZOテクノロジーズ 配信情報はtwitter ID @shiganaiRadio で確認することができます。 フィードバックは(#しがないラジオ)でつぶやいてください！ 感想、話して欲しい話題、改善して欲しいことなどつぶやいてもらえると、今後のポッドキャストをより良いものにしていけるので、ぜひたくさんのフィードバックをお待ちしています。 【パーソナリティ】 gami@jumpei_ikegami zuckey@zuckey_17 【ゲスト】 inductor@_inductor_ 【機材】 Blue Micro Yeti USB 2.0マイク 15374

話したネタ dockerを立ち上げたときに、ネットワークに何が起こるのか？ iptablesでは何が起こるのか？ dockerのbridgeとは何なのか？ libnetworkとは何か？ docker network pluginを作るためには、何を書くのか？ dockerを使うと出てくるvethとは何なのか？ dockerコンテナのIPを誰が振っているのか？ IPAMとは？ dockerから出ていくとき、どういう要素を通って外に出ていくのか？ –network host の Host とは？ Overlayとは何か？ VXLANとは？ BUM(Broadcast, unknown-unicast and multicast traffic)トラフィック問題 ARPプロキシ ARPの情報をどうやって、あらかじめ知っておくのか？ VXLANはVLANの拡張か？ VXLANではどうやってカプセリングするか？ VXLANのオーバヘッドはどうなのか？ VXLANのオーバヘッドの解決策 CNMとCNIとはそれぞれ何か？ CNMとlibnetworkの関連性は？ kubernetesのネットワーク思想は？ CNIの代表的なものは？ flannelとCalico flannelの特徴は？ Calicoの特徴は？ L3 Fabricとは？ CLOSネットワークについて なぜBGPを使うのか？ kubernetes Serviceとはそもそも何か？ Cluster IPとは何か？ 収録後補足: ClusterIPはコンテナ（Pod）に直に付くIPではなく、サービスクラスタとして定義されたPod郡へ通信するためのLBのVIPのようなもの、Pod間は別途PodにアサインされたIP同士で通信可能（CNIによる） kube-proxyとは何か？何をしているのか？ iptablesを使ったkube-proxyのオーバーヘッド IPVSとは何か？ IPVSを指定した場合に何が起きているのか？ IPVSはサイドカーで置かれるのか？ NodePortとは何か？ NodePortを実際のサービスで使うときは？ k8sのLoad Balancerとは？ ingressとは何か？ k8sにおける名前解決とは？ IPアドレスを意識して通信しない iptablesの沼 ネットワーク屋さんがiptableを見なくてよくなる世界線はない Network Policyとは？ OpenStackのネットワークと、k8sのネットワークの下回りは同じ Linux namespacesとは？ JapanContainerDays v18.12

One of the greatest time-wasters in traditional software development is managing multiple environments and making sure they are sufficiently alike so that the software works identically on all of them. It's all too easy for these environments to get out of sync, or for developers to lose track of all the system requirements needed to make their software work. Until recently, it was all managed manually, which meant that clients were billed for work that added no value to the final product. That's bad for developer productivity, bad for timeline adherence, and bad for business. The AndPlus Innovation Lab team has been exploring Kubernetes as an alternative to Docker. Tom Golden and Abdul Dremali sit down to talk about what containers are, why they matter and the direction these technologies are moving. https://www.andplus.com/blog/docker-kubernetes-and-the-world-of-containers https://www.andplus.com/projects/kubernetes

This week I sit with Jonathan Johnson and talk all things containers. What are the current trends, what are currently recommended tools and best practices. We also get a steak peek at Jon's full-day workshop he's hosting at UberConf this year (https://uberconf.com) Recorded Live in Reston, VA  

We talk with Rita Zhang about Docker & Kubernetes. Visual Studio Code get Log Points. And the file manager from Windows 3.1 is finally open source and accepting pull requests.

Dans cet épisode Emmanuel est de retour et assure l’intérim de Guillaume sur les blagues tout en discutant Java 10, Kubernetes et son écosystème, départs, rachats et IPO mais aussi diversité et Facebook avec Arnaud, Audrey et Vincent. Merci à Morgan pour sa crowdquestion sur les logs ! Enregistré le 29 mars 2018 Téléchargement de l’épisode LesCastCodeurs-Episode–186.mp3 News Langages The baby and the bathwater The Oracle JDK (java.oracle.com) will not be freely available as of #JDK11. This is the one that has LTS. The #OpenJDK binary (GPLv2 with CPE license) will be free, but only have updates until the next release (6 months, 2 scheduled updates). Simon Ritter Style Guidelines for Local Variable Type Inference in Java Introducing Java SE 10 * JDK 10 General-Availability Release A Proposal for Package Versioning in Go Librairies Apache Spark 2.3.0 Vavr one log 01 Middleware SpringBoot 2 performance — servlet stack vs WebFlux reactive stack Salesforce achete Mulesoft pour 6 milliards$ Pivotal lance son offre publique d’achat Micronaut framework Infrastructure Retour utilisation Prometheus Cloud Solomon Hykes quitte Docker Java 10 will no longer sucks on Docker Kubernetes 1.10 Web Polymer 3.0 Capacitor 1.0.0 Data Facebook et les appels téléphoniques: Details techniques sur comment trouver Article du monde Outillage Introducing Skaffold: Easy and repeatable Kubernetes development Building Container Images Securely on Kubernetes IntelliJ IDEA 2018.1: Kubernetes support Jenkins X Jenkins Configuration as Code Plugin Gradle 4.6.0 Apache Maven 3.5.3 Open Source à la MAIF Architecture Que se passe-t-il quand vous appuyez sur lecture dans Netflix ? Méthodologies Greve perlee Sécurité GitHub survived the biggest DDOS attack ever recorded ACME v2 and Wildcard Certificate Support is Live TLS 1.3 ratifié : Qu’est-ce que TLS 1.3 Ratification Loi, société et organisation A counterintuitive way to increase diversity in tech Les nouveaux outils de Slack: un espion au service des patrons ? Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach Inside the Two Years that shook Facebook - and the World EU wants to require platforms to filter uploaded content (including code) Oracle Wins Court Ruling Against Google in Multibillion-Dollar Copyright Case Crowdquestion Morgan Durand sur les logs Conférences Devoxx France du 18 au 20 avril 2018 - Le programme est publié dites nous ce qui vous plait ( mercredi, jeudi, vendredi ) MixIT le 19–20 avril 2018 à Lyon Riviera Dev les 2, 3 et 4 mai 2018 à Sophia Antipolis NCrafts les 18 et 19 mai 2018 Best Of Web les 7 et 8 juin 2018 EclipseCon les 13 et 14 juin 2018 JHipster Conf le 21 juin DevFest Lille le 21 juin 2018 Voxxed Luxembourg le 22 juin 2018 Sunny Tech les 28 et 29 juin 2018 Jenkins User Conference le 28 juin 2018 - Le CfP est ouvert jusqu’au 15 avril. Paris Web les 4, 5 et 6 octobre 2018 Jenkins World Europe du 22 au 25 octobre 2018 à Nice - Le CfP est ouvert jusqu’au 15 avril - Les inscriptions sont ouvertes (utilisez le code JWAHERITIER pour obtenir 20% de réduction). DevFest Toulouse le 8 novembre 2018 Nous contacter Faire un crowdcast ou une crowdquestion Contactez-nous via twitter https://twitter.com/lescastcodeurs sur le groupe Google https://groups.google.com/group/lescastcodeurs ou sur le site web https://lescastcodeurs.com/ Flattr-ez nous (dons) sur https://lescastcodeurs.com/ En savoir plus sur le sponsoring? sponsors@lescastcodeurs.com

Si quieres ver el video con slides: https://www.youtube.com/watch?v=UFE-Nz9cxJg Alfredo Espejel (Paradigma Digital) Es una charla de tecnología para no tecnólogos. Pretendo explicar muy por encima para qué sirven esas cuatro tecnologías sin dejar ningún conocimiento básico por sabido. Desde IP, pasando por DNS, etc.

In Greek Mythology, the Gods cursed Sisyphus to spend eternity rolling a large boulder to the top of a mountain, where it would fall back of its own weight. In DevOps, we're forever rolling boulders uphill. We're making deploys faster, cheaper, smoother, and quicker. And once the boulder reaches the mountain top, the engineers rearchitect the application and the the process begins again. At Upside Travel, Slack is our central command hub. We run our full operations through Slack ChatOps. Engineers request code reviews, product managers examine tickets, and the Slack-integrated NOC works slack-alerted events. We also manage our full continuous integration and deployment process through a custom Slackbot named, aptly, for the DevOps Greek hero, Sisyphus. Sisyphus's simple promote command hides a complex dance of builds, tests, promotion, deployment and management. Upside combines Github, CircleCI, Artifactory, Terraform, Docker, Kubernetes and AWS to deploy code from nothing to something in 3 minutes and it takes deployment/promotion 100% away from DevOps and Engineering to place the power into the hands of Product Managers.