Comme toujours, nous nous efforçons de suivre le rythme des innovations et de vous tenir au courant des sujets qui nous paraissent les plus prometteurs. Voici la sélection des actualités et des articles qui nous ont semblé les plus intéressants en Février. On sent que ça n’a pas chômé en ce début d’année, y’a du lourd ce mois-ci, c’est parti !

P.S. : les emojis et les memes sont de retour 🙂

Côté AWS

La sélection de nouveautés :

• EKS
  • Amazon Detective adds Amazon VPC Flow Logs visualizations for Amazon EKS workloads 👀
• CloudFormation
  • AWS CloudFormation StackSets gives quick access to list of Regions for stack instances of a stack set 👍
• Lambda
  • AWS Lambda launches new CloudWatch metrics for asynchronous invocations🔎
• Control Tower
  • AWS Control Tower provides updates to access logging and exceptions to more global services for Region Deny ✅
  • Request tracing for customizations now available for AWS Control Tower Account Factory for Terraform 👮
• VPC
  • Visualize Your VPC Resources from Amazon VPC Creation Experience 💚
• EC2
  • Amazon EC2 Auto Scaling now supports instance refresh for standby and scale-in protected EC2 instances🙏
  • Amazon EC2 Auto Scaling instance refresh now supports rollback 🙏
  • Announcing the ability to enable AWS Systems Manager by default across all EC2 instances in an account 💪 : cette feature est plutôt cool, surtout si on a besoin de se connecter via SSM à des machines très ponctuellement pour voir ce qui ne va pas, mais qu’on a oublié de configurer proprement le bousin. Attention cependant, ça peut représenter potentiellement un vecteur d’attaque supplémentaire.

Blog :

The Good, Bad & The Ugly of AWS Lambda : pour certains c’est peut-être une évidence, mais j’ai beaucoup aimé la présentation pédagogique des différents anti-patterns.

En parlant de patterns, si le sujet vous intéresse je vous suggère d’aller jeter un oeil à l’excellent site Serverless Land pour des diagrammes concis et intéressants.

Sustainability Pillar : certes la console AWS Carbon Footprint est un peu pétée pour l’instant, mais force est de constater qu’au moins au niveau documentaire ils mettent le paquet, cf. Let’s Architect! Architecting for sustainability.

EKS Observability Infrastructure as Code : AWS Observability Accelerator, pour compléter comme il se doit les blueprints EKS.

World Cup 2022 – Amazon CloudFront retrospective : retour sur la Coupe du Monde 2022 et sur la charge de streaming supportée grâce à Cloudfront.

OK, c’était gratuit

Côté Hashicorp

Annonces

• Terraform
  • Writing Terraform for unsupported resources : terracurl = ansible.builtin.uri ? 😁
• Waypoint
  • Waypoint 0.11 strengthens Terraform integrations and allows user API access 👀
• Terraform Cloud
  • Native OPA Support in Terraform Cloud Is Now Generally Available 🔥
  • Terraform Cloud Adds Dynamic Provider Credentials for Vault and Official Cloud Providers 💪
  • Terraform Cloud Adds ‘Projects’ to Organize Workspaces at Scale 🙏
  • CDK for Terraform 0.15 Improves Integration with Terraform Cloud 🙈
• HCP
  • HCP Adds OpenID Connect (OIDC) Single Sign-On Functionality ✅
• HCP Packer
  • HCP Packer Adds Ancestry to Track Image Relationships💜

Ops Corner

Besoin de faire du multi-region / multi-account, mais pas franchement emballé par les wrappers terragrunt, terraspace et consorts ? Lisez plutôt : Terraform without wrappers in multi-region, multi-account environments + How to extend terraform with direnv.

Tools

awslabs/dynamodb-shell : ddbsh is a simple CLI for DynamoDB. Here the user can enter SQL-like commands to DynamoDB

awslabs/eks-node-viewer : a tool for visualizing dynamic node usage within a cluster. Lire Optimizing your Kubernetes compute costs with Karpenter consolidation pour le voir en action.

editor.cilium.io : Network Policy Editor for Kubernetes

leg100/otf : An open source alternative to Terraform Enterprise. Includes SSO, team management, agents, and as many applies as you can throw hardware at

hotnops/AWSRoleJuggler : A toolset to juggle AWS roles for persistent access

iann0036/former2 : Generate CloudFormation / Terraform / Troposphere templates from your existing AWS resources

develeap/rds-logs-optimizer : RDS Logs Optimizer module is a solution that significantly reduces the cost of storing RDS database logs in AWS

kamranahmedse/aws-cost-cli : CLI tool to perform cost analysis on your AWS account with Slack integration

Un peu de lecture…

How to

Enabling CI/CD for Single Page Application using AWS S3, AWS CodePipeline, and Terraform : un exemple très détaillé pour monter une CI/CD ultra complète.

Save time with automated security checks of your Terraform scripts : pour compléter l’exemple ci-dessus

EKS Workshop : le site fait peau neuve et met davantage l’accent sur les features du type managed node groups, Karpenter, etc.

How to rapidly scale your application with ALB on EKS (without losing traffic) : ou comment parvenir à des déploiements sans interruption de service en utilisant des pre-stop hooks qui eux-mêmes mettent à jour les readiness probes pour que les pods soient rapidement sortis du LB.

AWS Lambda Layers Best Practices : faites ce que je dis, pas ce que je fais… mais faites-le quand même 😄

Food for thought

Rundown of LinkedIn’s SRE practices : rétrospective sur plusieurs années de pratiques SRE chez LinkedIn.

Passwordless deployments to the cloud : les équipes de GitHub nous gratifient d’un article sur les déploiements passwordless vers le Cloud. L’occasion de passer sur OIDC si jamais ce n’est pas encore le cas, ça sera forcément moins pénible que de devoir gérer des credentials à rotationer une fois de temps en temps quand vous suspectez qu’ils ont été compromis 😄

Sécurité

SCARLETEEL: Operation leveraging Terraform, Kubernetes, and AWS for data theft : Récemment, Sysdig a découvert une attaque très sophistiquée basée sur le Cloud connue sous le nom de SCARLETEEL qui a infiltré l’environnement d’un client et a entraîné le vol de données sensibles. Les attaquants ont pu utiliser un exploit sur une workload conteneurisée et effectuer une escalade de privilèges dans le compte AWS du client, pour finalement voler du contenu logiciel propriétaire et des credentials. Ils ont ainsi pu tenter d’accéder à d’autres comptes AWS faisant partie de la même Organization à partir d’un fichier tfstate.

Et chez Revolve ?

• Pour compléter votre boîte à outils sécurité (défensifs et offensifs) sur le Cloud, c’est par ici.
• Du CI/CD sans credentials, et le monde sera meilleur (ou plus sûr).
• Rempar22, un exercice de national de simulation de crise cyber.
• Le World Impact Summit, c’est du greenwashing ou pas ?
• Bilan de 5 ans de mécénat de compétences auprès du CREA Mont-Blanc
• Cloud et juridique : on en discute avec Marine Hardy, Avocat
• En 2024, Revole au fait vibrer au rythme des JO avec Rénelle Lamotte, athlète sur le 800 mètres
• Nouveau rendez-vous, la revue de presse sécurité !

Events

• Kubernetes Community Day : le 7 Mars, la team Devoteam Revolve sera présente en tant que partenaire Gold de l’événement KCD France, au Centre Pompidou à Paris. Rendez-vous au stand F3 !
• Meetup SecOps @Paris : le 16 Mars à partir de 19h
• Meetup CNCF @Toulouse : le 16 Mars à partir de 18h30
• Meetup AWS @Toulouse : le 23 Mars 2023 à partir de 18h30
• AWS Summit Paris 2023 : le 4 Avril 2023, Palais des Congrès de Paris