allesnurgecloud #50 – Kubernetes bei PayPal, Rekord DDoS bei Azure, Cloud Kosten bei haveibeenpwned.com & Fleet, Log4Shell und mehr.

allesnurgecloud.com ist ein kuratierter Newsletter mit Inhalten aus der OpenSource, Cloud und IT Welt.
Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.

Kubernetes Testing bei PayPal

PayPal nutzt schon lange Container, hatte sich als Early Adaptor aber für Apache Mesos entschieden. Bei PayPal schaut man sich nun Kubernetes genau and und testet speziell die Skalierung von Kubernetes Nodes.
Im Artikel bei Medium geht Abdul Qadeer auf die Schwierigkeiten bei der Skalierung auf über 4000 Nodes und 200.000 Pods ein.
Für da Testing hat sein Team ein modifiziertes k-bench eingesetzt.
Beispielsweise stießen sie auf Probleme bei der Skalierung von etcd und der Limitierung der Disk Performance innerhalb von GCP. Der genügsame etcd benötigt zwar nur 10GB auf der Disk, die I/O Performance steigt aber nur mit der Diskgröße. Selbst eine 1TB SSD lieferte nicht genug Performance, so musste eine „local SSD“ her. Anschließend machte das ext4 Filesystem mit „write-ahead“ Probleme und das Feature wurde daher deaktiviert.
Im Beitrag findet ihr dann weitere Empfehlungen und Hinweise für die Skalierung von etcd in solch großen Umgebungen.
Schlußendlich konnte PayPal die gesetzten SLO Ziele erreichen, wenngleich der Aufwand dazu nicht zu unterschätzen ist.

Scaling Kubernetes to Over 4k Nodes and 200k Pods

Microsoft wehrt Rekord DDoS mit 3,47 Terabit auf Azure ab

Microsoft hat in der zweiten Hälfte von 2021 eine DDoS Attacke von ca. 3,47 Terabit auf Azure abgewehrt.
Laut eigenen Angaben lief die Attacke mit 340 Millionen Paketen von über 10.000 Quellen ungefähr 15 Minuten lang.
Im Bericht wird außerdem erwähnt, dass die Anzahl der Attacken in der zweiten Jahreshälfte von 2021 mit über 360.000 Attacken sogar 40 Prozent über der ersten Jahreshälfte lag.
Im August 2021 wurde die höchste Anzahl von Attacken verzeichnet. Viele der Angriffe zielen mittlerweile auf Online Games wie „Titanfall“, „Final Fantasy 14“ und „Dead by Daylight“ ab. Die meisten Attacken sind kürzer als 30 Minute, nur wenige dauern mehrere Stunden oder gar länger. Details könnt ihr im unten verlinkten Bericht bei Microsoft nachlesen.

Azure DDoS Protection—2021 Q3 and Q4 DDoS attack trends

Sponsored

Geprüfte IT Partner finden mit CyXperts!

Keine Lust auf zeitraubende Vorgespräche und Anbieter, bei denen sich im Nachhinein herausstellt, dass Datenschutz und IT Sicherheit auf der Strecke geblieben sind?

Wasserdichte Lösungen, transparente Deals, geprüft von Cyttraction.

HIER für die erste Coffee Hour des Jahres am 31.01.22 anmelden!

Cloud Kosten bei haveibeenpwned.com explodiert

Aufgrund eines Konfigurationsfehlers bei Cloudflare hatte Troy Hunt mit seinem Portal haveibeenpwned.com im Dezember mit einer Cloud Kosten Explosion bei Azure zu kämpfen.
In der Regel macht der Netzwerk Traffic den Großteil seiner Kosten aus, obwohl Cloudflare den meisten Traffic von seinen Azure Ressourcen fern hält. In einem früheren Workaround hatte er das Caching nur für Files mit bis zu 15GB Größe eingerichtet. Aufgrund der neuen Zusammenarbeit mit den Behörden FBI und NCA konnte haveipeenpwned.com um 225 Millionen weitere Einträge erweitert werden – dies erhöhte allerdings die Download Größe des ZIP Files auf über 17GB – somit wurde es nicht mehr gecached und aus dem Azure Origin ausgeliefert.

Die „Usage“ fee betrug daher im Dezember daher über 11.000 AUD, das sind um die 7000€.
Troy hat nun einen Azure Monitor für Bandbreite und einen „Cost Alert“ konfiguriert, damit er solche Themen in Zukunft nicht einen Monat später merkt.

How I Got Pwned by My Cloud Costs

PC über Sicherheitslücke in Spiel „Dark Souls“ angreifbar

Über eine Sicherheitslücke im PC Game „Dark Souls 3“ soll es Hackern gelungen sein, in die PCs der Gamer einzubrechen.
Das ist teilweise sogar „live“ im Twitch Stream passiert, um auf den möglichen Hack aufmerksam zu machen.
Anfällig für den RCE (Remote Code Execution) Angriff sind mindestens alle Spiele der Dark Souls Reihe und ggf. das neue Spiel „Elden Ring“.
Das Thema war mir bisher auch neu, aber macht natürlich Sinn. Als Workaround sollen die Gamer erstmal nicht mehr „online“ Spielen und auf einen Fix warten.

PC durch Dark Souls gehackt: Alarmierende Sicherheitslücke im Spiel entdeckt

Fleet reduziert Traffic Kosten durch Hetzner Migration

Fleet ist eine OpenSource Software für Device Management und nutzt als Basis osquery – beide hatte ich in Ausgabe #32 kurz vorgestellt – falls ihr das nicht kennt, schaut es euch mal an, das will man haben!
Bisher liefert Fleet Updates für seine Clients kostenlos aus, dies Thema drohte nun den Kosten für AWS Cloudfront zu scheitern- für OpenSource Projekte sind $2500 im Monat schwierig zu finanzieren.
Für Fleet war der Einsatz von Cloudflare nicht möglich, da Cloudflare den kostenlosen Traffic nur für Web Anwendungen anbietet, Fleet benötigt den Traffic aber für die Updates von Client Packages.
Hetzner hat 20TB inklusive und die 1,19€/TB sind auch überschaubar gering, somit betrug die Dezember Rechnung von Fleet nur noch knapp 40€ und Fleet kann sein „kostenloses“ Client Update in der Form erhalten.

Saving over 100x on egress switching from AWS to Hetzner

Google läuft nicht in der Google Cloud?

Google sucht einen Product Manager, der dabei hilft, Dienste von Alphabet auf die Google Cloud umziehen.
So Cloud Migrationen sind nicht so einfach, vor allem wenn man bestehende Produkte umzieht und nicht neu auf der grünen Wiese baut („Greenfield“).
Keith Townsend hat dies in seinem Blog kurz erläutert, mit schlechtem Beispiel (Time Warner und AOL Mail) und Amazons Switch von Oracle auf die eigene Aurora DB. Die Stelle selbst ist hier ausgeschrieben.

How hard is this cloud thing? Ask Google & Amazon

Log4Shell Nachwehen

Die Log4Shell Lücke in log4j aus dem Dezember werden wir wohl alle nicht so schnell vergessen. Im MIT Technology Review ist nun eine kleine Zusammenfassung der Problematik erschienen. Im Laufe der letzten Woche zeigte sich in den sozialen Medien und in diversen GitHub Issues eine teilweise unglaubliche Anspruchshaltung von Unternehmen und Personen an OpenSource Projekte.
Ein kleines Beispiel ist hier öffentlich: eine Anfrage einer „Multi Billion Dollar company“ beim curl Maintainer Daniel Stenberg.
Google hat nun einen $100 Millionen Funds für OpenSource Software angekündigt, ich denke auch viele deutsche Unternehmen mit ihren Steinzeit Beschaffungsprozessen sollten sich dringend mit GitHub Sponsors anfreunden und überlegen, von welchen Projekten sie selbst massiv profitieren und diesen ein wenig Wertschätzung zukommen zu lassen.

The internet runs on free open-source software. Who pays to fix it?

Gitlab 14.7 released mit Audit Events, FIPS compliance und mehr

Pünktlich am 22. Januar gab es das nächste GitLab Release 14.7. Beispielsweise ist der Gitlab-Runner in Self-Managed Umgebungen nun FIPS-compliant. FIPS ist mit den Standards FIPS 140-2 und FIPS 140-3 vor allem auf dem amerikanischen Markt wichtig.
Weitere neue Features:

  • Audit Events können nun an andere Endpunkte gestreamed werden (nur Ultimate)
  • Group access tokens erleichtern den Zugriff auf Gruppenebene
  • Labels können direkt auf bei „Edit Label“ gelöscht werden
  • Gesperrte User werden dem Administrator nun direkt angezeigt
  • GitLab kann nun LDAP Failover (auch in der free Version)
  • Container in der Registry können nun nach Tags sortiert werden
  • Der Static Analysis analyzer (*hüstel*) wurde um diverse Themen erweitert

und wie immer eine Vielzahl diverse Performance und Usability Verbesserungen.

GitLab 14.7 released with Streaming Audit Events, GitLab Runner compliance with FIPS 140-2, and Group Access Tokens

Cybersecurity Bundle bei Humble Bundle

Bei Humble Bundle erhaltet ihr aktuell ein Cybersecurity Bundle aus dem Hause Wiley und bezahlt für 27 Artikel „mindestens“ 15,90€, unter anderem enthalten:

  • The Art of Intrusion von Kevin Mitnick
  • The Art of Deception von Kevin Mitnick
  • Liars & Outliers von Bruce Schneier
  • The Pentester BluePrint: Starting a Career as an Ethical Hacker
  • The Art of Memory Forensics
  • Unauthorised Access: Physical Penetration Testing for Security Teams

Schaut mal vorbei, die einzelnen Titel sind bei AMZN teilweise alleine schon deutlich teurer als das Bundle.

Cybersecurity Bundle vom Wiley Verlag

Schmunzelecke

Tell me you work at Red Hat without telling me you work at Red Hat – twitter

CI/CD pipeline in a nutshell – twitter @_ediri

htop – erweitertes „top“

Das tool htop kennen die meisten sicherlich schon, der Vollständigkeit halber wollte ich es trotzdem kurz erwähnen.
Mit htop bekommt ihr ein um diverse features erweitertes top für eure Server. Die farbliche Anzeige hilft bei der besseren Übersicht, Prozess bäume lassen sich leichter nachvollziehen und einzelne Prozesse in htop direkt „killen“. htop wird noch aktiv weiterentwickelt, das letzte Release erschien im November 2021.

https://github.com/htop-dev/htop

s3-credentials – S3 credentials automatisiert erstellen

Mit dem python tool s3-credentials erstellt ihr automatisiert credentials für den Zugriff auf s3 buckets. Die credentials werden hierbei mit den minimal nötigen Rechten automatisiert angelegt. Innerhalb von AWS selbst werdet ihr sowas nicht benötigen – beispielsweise aber beim Zugriff von außen, für Backup/Restore Prozesse oder andere Skripte.

https://github.com/simonw/s3-credentials

fx – JSON viewer für die Console

Mit fx bekommt ihr einen schicken und flexiblen JSON viewer für eure Console. Bäume sind im Default erstmal eingeklappt und können vom User interaktiv geöffnet werden. fx könnt ihr via NPM und brew installieren, einfach via npm install -g fx respektive brew install fx.

https://github.com/antonmedv/fx

❓ Feedback & Newsletter Abo

Vielen Dank, dass du es bis hierhin geschafft hast!
Kommentiere gerne oder schicke mir Inhalte, die du passend findest.

Falls dir die Inhalte gefallen haben, kannst du mir gerne auf Twitter folgen.
Gerne kannst du mir ein Bier ausgeben oder mal auf meiner Wunschliste vorbeischauen – Danke!


Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.


0

Share

By About
Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

allesnurgecloud.com

© 2022 allesnurgecloud.com
0
Would love your thoughts, please comment.x