allesnurgecloud.com

allesnurgecloud #91 – Zurück ins Büro, HashiCorp Hermes, Microservices für 1%, AWS WAF und mehr.

12. Februar 2023 · 9 min read

allesnurgecloud.com ist ein kuratierter Newsletter mit Inhalten aus der Open-Source, Cloud und IT-Welt.
Für weiteren Content folge mir gerne auf Twitter, Mastodon oder LinkedIn.

Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

507 Abonnenten sind schon dabei - Vielen Dank!

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.

Inhalte
1. Remote: Wieder zurück ins Büro?
2. HashiCorp Hermes: Open Source Dokumenten-Management
3. Willst du sicher sein, dass deine Apps und APIs einwandfrei laufen?
4. Microservices? Nur für die 1 % über 2 Mrd. Umsatz
5. Heroku löscht Datenbank ohne Warnung
6. AWS: WAF Dasboard einfach deployen!?
7. Security Newsletter: ExplodingSecurity
8. Schmunzelecke
9. 💡 Link Tipps aus der Open Source Welt
9.1. Kimai – Open Source Zeiterfassung
9.2. Icinga2/Nagios Check für security.txt

Remote: Wieder zurück ins Büro?

In diesem HackerNews Thread gibt es eine interessante und ausführliche Diskussion zum Thema „Zurück ins Büro“, die noch einige andere Aspekte beleuchtet und in der man direkt Meinungen von Betroffenen lesen kann.
Der Fragesteller fragt die Arbeitgeber, warum er zurück ins Büro kommen soll, wenn er doch die letzten Male, in denen er im Büro war, immer Videokonferenzen mit „Remote“ Workern hatte.

Der Thread hat, Stand heute, knapp 900 Antworten – einige Auszüge:

I’m in my 20s. I live alone in a city where I don’t know anyone. Remote work destroyed my mental health.

All I wanted was to be able to go into an office and talk to a real life person. I would go weeks at a time not talking to a single person in real life.

Diesen, etwas längeren und ausführlich diskutierten Post findest du unter diesem Link.
Ein weiterer Kommentar geht in eine ähnliche Richtung:

Working in person isn’t the issue here — not having friends is the issue.

People do make friends at work, and that’s a good thing. But it should never be your primary place of making friends. (Friends and family won’t lay you off like a job might. Having a network outside of work is critical if that ever happens.)

Dann gibt es auch etwas bizarre Kommentare, wie diesen hier:

Digital nomad here. I like being one. For me making friends, the best places are: Tinder (it took a lot of effort) and just giving compliments to people on the street (it took some effort to learn).

Ich bin mir nicht sicher, ob es sich lohnt, durch die knapp 900 Kommentare zu gehen.
Auf jeden Fall findet man sicherlich keinen ehrlicheren Ort für Feedback zu diesem Thema wie bei HackerNews.

Aus eigenen Beobachtungen kann ich schon verstehen, dass man vereinsamen kann – oder dass der Alltag einem zu viel wird, wenn man ständig die eigenen 4 Wände sieht.
Apple zieht „Return to Office“ zwischenzeitlich durch – man prüft wohl über die Zugangs-Badges, dass die Mitarbeiter:innen ins Büro zurückkommen. Grundsätzlich kann man in Summe 4 Wochen pro Jahr Remote arbeiten. In den restlichen Arbeitswochen soll man 3 Tage pro Woche im Büro anwesend sein.
Wie sieht das bei dir aus? Gibt es dort eine „Rückkehr“ Welle ins Büro?

Ask HN: Employers, why do you want us back in the office?

HashiCorp Hermes: Open Source Dokumenten-Management

HaschiCorp hat Ende Januar „Hermes“ angekündigt – ein quelloffenes Dokumenten-Management:

To cope with the scaling challenges we built Hermes, a document management system designed to help HashiCorp employees author, review, approve, discover, and deprecate documents.

Ein sicherlich bekanntes Problem, welches hoffentlich „JF-Protkoll_2023-02-08_final2-Kopie.docx“ verhindern kann.
Interessant finde ich auch dir Erwähnung von „Deprecate“. Häufig wird sowas ja eher vergessen und man liest eine alte Dokumentation/Protkoll, etc. – weil man das aktuelle Memo nicht bekommen hat.
Hermes unterstützt aktuell nur Google Workspace – dafür aber mit einer kompletten Kollaboration mit Approval Prozess innerhalb der Dokumente.
Beispielsweise unterstützt das System auch Templates, beispielsweise für RFCs. Hast du ein Dokument fertiggestellt, so kannst du das Dokument einer Kollegin zum Review schicken. Und eine Volltextsuche ist ebenfalls eingebaut (via algolia).
Wie das Ganze funktioniert, kannst du in diesem Video auf YouTube sehen.
Hermes basiert auf Golang und Ember.js, nutzt eine PostgreSQL als Backend und eben Algolia für die Volltextsuche. Warum man die Suche nicht direkt mit PostgreSQL gemacht hat, verstehe ich jetzt nicht.
Das Hermes Projekt findest du direkt hier bei GitHub.
In Zukunft soll es „Related Resources“, Vorschläge und bessere Sharing und Approval Funktionen geben.

Introducing Hermes, An Open Source Document Management System

Sponsored

Willst du sicher sein, dass deine Apps und APIs einwandfrei laufen?

Willst du sicher sein, dass deine Apps und APIs einwandfrei laufen?

Checkly ist die bevorzugte synthetische Monitoring-Plattform für moderne Entwicklungsteams.
Kunden wie Lidl, FINN Auto und Joyn nutzen Checkly, um kritische User-Flows zu validieren, Error Traces zu sammeln und Performance-Metriken aufzuzeichnen. Führe komplexe HTTP-Anfragen für API-Monitoring und Open-Source basierte Playwright-Skripte zur Überwachung deiner Apps und Websites aus.

Mit Checkly kannst du:

✅ Dein Monitoring-Setup als Code konfigurieren dank der Checkly CLI, Terraform und Pulumi.

✅ Checks zum Testen in der CI ausführen, oder in Intervallen auf über 20 globalen Rechenzentren zum Monitoring.

✅ Monitoring perfekt in deine Entwicklungsumgebung integrieren vom Code Repository bis zu Alerting und Reporting.

Starte mit unserem kostenlosen Developer Plan hier!

Microservices? Nur für die 1 % über 2 Mrd. Umsatz

Ob die Regel so einfach abzubilden ist, wie im verlinkten Artikel – muss jeder für sich selbst entscheiden.
Der Autor „Antoine Craske“ zitiert eine Studie, nach welchen es erst ab 2 Mrd $ Umsatz mache, sich mit Microservices zu beschäftigen.
Und davor?

A Monolith architecture evolving to a Modular Monolith, Service-based, and only then to Macroservices, Miniservices, Microservices make the job.

Warum?

The solution with minimal efforts must be the preferred choice to provide the capability to adapt and grow the business.

Und da ist auf jeden Fall was dran. Um das Business schnell voranzubringen, muss und sollte man Technologien verwenden, mit denen man sich auskennt – Gerne verweise ich da immer auf „Choose Boring Technology“.
Die Reihenfolge der Gruppierung der genannten Studie:

  1. Monolith: $0–2m Umsatz (bis 10 FTEs)
  2. Modular Monolith: $2–20m Umsatz (bis 50 FTEs)
  3. Service-based: $20–200m Umsatz (bis 500 FTEs)
  4. Macro to miniservices: $200m-2b Umsatz (bis 5000 FTEs)
  5. Mini to Microservices: >$2b Umsatz (über 5000 FTEs)

Die Definition der Typen ist hier allerdings wichtig.
Ein „Warenkorb“ Service sei beispielsweise kein Microservice, sondern ein Macroservice – da er verschiedene Business Funktionen in einem Service vereint.
Was man jedenfalls unbedingt vermeiden sollte:

  1. Microservices mit nur 3 Entwicklern
  2. Modulith mit 500 Entwicklerinnen ohne gemeinsames Ziel
  3. 50 % der Developer Zeit gehen für „Service und Support“ drauf – ohne KnowHow Sharing

Microservices bringen nochmal eine neue Komplexität rein – die sollte man sich leisten können – personell, wie finanziell (Ausbildung, Betrieb, Wissenstransfer, etc.)

Na, wie habt ihr das bei dir implementiert?

Only 1% Need Microservices

Heroku löscht Datenbank ohne Warnung

Laut einem Post auf HackerNews (ja noch einer heute) hat Heroku die Datenbank eines Kunden ohne Ankündigung gelöscht.
Der Autor war wohl unterwegs, hatte keine Notification von Heroku bekommen – und auch nicht gemerkt, dass die App Down war (kann also nichts Wichtiges gewesen sein?).
Jedenfalls hat er die Ankündigung von Heroku zur Löschung nicht erhalten, konnte dann innerhalb 30 Tage nicht reagieren – und dann war es schon zu spät und die Daten waren weg.

Ein Heroku MA dazu dann bei HackerNews

Unfortunately we had no choice on the data retention front — once we’ve disconnected your database, we aren’t ALLOWED to hold your data for more than 30 days. That’s part of the data scrubbing protocol that we agree to when you sign up

Pech, oder?
Herrje – hat kein Backup, Heroku darf es laut Bedingungen nicht behalten, dann hat der Kollege kein Monitoring dafür und ranted noch auf Hacker News. Ich weiß nicht – selber schuld?
Manchmal ist es halt nicht Recht, egal wie man es macht.
Beispielsweise kündigt hier AWS die Abschaltung von Aurora PostgreSQL 11 an – mit einem Jahr Vorlauf. Bis dahin haben das doch alle wieder vergessen. Und trotzdem regt man sich in der „Community“ darüber auf.
Manche Dinge muss man nicht verstehen.

Tell HN: Heroku deleted my database with no warning

AWS: WAF Dasboard einfach deployen!?

Im AWS Blog gibt es einen interessanten Artikel, der beschreibt, wie man ein WAF Dashboard mit „minimalem Effort“ erstellt.Das Dashboard benötigt folgende Dienste:

  • AWS WAF (haha)
  • Amazon Eventbridge
  • AWS Lambda
  • Amazon Kinesis Data Firehose (Gesundheit)
  • Amazon OpenSearch Service
  • Amazon Cognito

Wie das im Zusammenspiel funktioniert, siehst du in diesem Schaubild.
Was jedoch nicht dabei steht: Es benötigt auch jemanden, der versteht, was da steht und was man damit machen kann.
Gemäß dem Motto: „Alle wollen Backup, keiner will Restore“ – erzeugt man ja einfach ein Dashboard und lassen es „dashboarden“.
Und wenn jemand fragt, dann haben wir natürlich eine WAF und das Compliance-Team kann einen Hacken machen.

Eine WAF ist ein kompliziertes Stück, und wie alles was man im Internet so macht, ist das halt keine One-Click und „fertig“ Lösung – sondern man muss ständig danach schauen, Regeln auf die Applikation und Bedrohungslage anpassen.
Natürlich steht außer Frage, dass das Thema mit einem Dashboard anfängt – und das geht bei AWS nun mit diesem CDK dazu nun wirklich einfach – und es gibt keine Ausreden mehr, damit nicht zu starten.

Deploy a dashboard for AWS WAF with minimal effort

Security Newsletter: ExplodingSecurity

Ein allesnurgecloud Leser hat einen eigenen Newsletter mit Fokus auf Security Themen gestartet.
In der aktuellen Ausgabe geht es unter anderem um die Angriffe auf die IT Beratung Adesso, den Angriff auf JD Sports und die Cyberattacke gegen den Häfele, Möbel- und Baubeschläge Hersteller aus dem Ländle, deren Website zumindest heute noch offline ist.
Lars, der Autor von Exploding Security, beschäftigt sich seit über 20 Jahren privat und beruflich mit den vielfältigen Herausforderungen der IT-Welt.
Schau doch mal vorbei oder abonniere den Newsletter – Viel Erfolg Lars!

ExplodingSecurity #03

Schmunzelecke

Unter ChronoPhoto.app findet ihr ein kleines Spiel, bei dem ihr raten dürft, wann das dargestellte Bild aufgenommen wurde.
Etwas Geduld ist beim Laden erforderlich – zumindest bei mir dauert das ein paar Sekunden, bis Skynet hier ein Bild ausgesucht hat.

💡 Link Tipps aus der Open Source Welt

Kimai – Open Source Zeiterfassung

Spätestens nach dem EuGH-Urteil zur Zeiterfassung sollten das Thema „Zeiterfassung“ alle kennen.
Mit Kimai gibt es eine Open Source Zeiterfassung, die ich bisher auch noch nicht kannte.
Der Core ist Open Source – Plugins kann man dann im Store nachkaufen. Über Clients kann man die Zeiten dann direkt erfassen, beispielsweise über ein Chrome-Plugin oder eine Desktop-App.
Eine Demo mit verschiedenen Berechtigungen gibt es ebenfalls.

https://github.com/kimai/kimai

Icinga2/Nagios Check für security.txt

Aufmerksame Leserinnen werden wissen, dass ich großer security.txt Fan bin.
Mit dem kleinen Check von Nick Bouwhuis kannst du prüfen, ob die Daten in deiner Security.txt aktuell genug sind.
Ja, expires ist ein optionales Feature, welches man setzen kann, damit die Inhalte regelmäßig aktualisiert werden.
Der Check prüft, ob die Inhalte abgelaufen sind – ganz einfach, ne?

https://github.com/nickbouwhuis/check_securitytxt

Newsletter
Schlagwörter: , , , , , , , ,

  • Neueste Beiträge

  • Neueste Kommentare

    • Share
    By About
    Abonnieren
    Benachrichtige mich bei
    guest

    0 Comments
    Inline Feedbacks
    View all comments

    allesnurgecloud.com
    IT Newsletter und News zu Open Source, Cloud, DevOps und Security
    © 2024 allesnurgecloud.com
    0
    Would love your thoughts, please comment.x