ДевОпс Інженер 🇺🇦

Якщо вас сьогодні не чекає суперове journey, то накидаю вам 3 варіанти:

1) ollama дозволяє запустити натреновану опенсорсну LLM-ку локально, у випадку якщо на роботі вам не можна юзати публічні штуки Amazon Q, або ChatGPT, абощо (лінку закину в коменти)

2) Amazon Bedrock теж запустить опенсорсну LLM-ку в клауді в два кліки, дуже юзабельно якщо пункт 1 не підійшов

3) Приходьте на виступ Віталія Вохміна (наш Research Development Experience TL), ми працюємо в домені ML, то ж я можу точно законфірмити що він дуже потужний (приходьте одразу на нього, бо я ще не починав готувати доповідь лол) 🙂

https://squad.ua/events/kubeflow-plus-devops?utm_source=community&utm_medium=mykolaichenko&utm_campaign=etema_devops_dec2

Deploy a Google-managed certificate with DNS authorization

На вихідних вирішив покрутити трохи GCP, бо давно не мав з ним справ, та і загалом T-shaped дуже добре будувати. Знайшов старий pet-project, і там заекспейрились SSL сертифікати, які б мали реньюватись Certificate Manager-ом, але щось пішло не так.

Знайшов фічу, якій не так багато часу DNS Auth для GCP Certificate Manager:
https://cloud.google.com/certificate-manager/docs/deploy-google-managed-dns-auth#terraform

Виглядає класно, підтикуємо кастомний домен звідки-завгодно, далі CNAME туди ж, з цим рекордом явно нічого не станеться + ще і wildcard можна прикрутити.

Власне, додалось легко, підтвердився овнершип домену швидко, тим паче вайлдкардовий, тільки сам сертифікат потрапив не в Classic Certificates, а в просто Certificates. Ну, думаю, це ж GCP, ладно вже.

Далі дока змусила мене створити certmap і map entry, ізі, і на цьому етапі виявилось що в мене немає кнопки "підтикнути його" в Load Balancer (це взагалі окрема тема, як виходить, в GCP зовсім не канонічні балансери, а набір ресурсів, які роблять щось схоже).

І тут виходить проблема, бо я наче молодець, сертифікат є, а підсунути його в балансер не можу. Покопав погуглив, знайшов що в ресурс google_compute_target_https_proxy передається параметр certificate_map, і має бути ок. Передав, еплайнулось.

І тут новий прикол: бачу, що юзається вже новий стек з domain + dns auth + wildcard cert + certmap + entry. Але, GCP мені в консолі показує чудовий приатачений старий сертифікат, і тільки в сетінгах самого target proxy типу так дуже обережно показує, що там ще є і Certificate Map. Чому так? Загадка.

Далі наступна штука: gce-ingress, який по суті і створював цей LB (точніше, як ми зрозуміли, набір ресурсів, який - є "типу" LB), ролбекнув certmap і залишив старий невалідний сертифікат. Топ.

Зрозуміло, що я пішов дивитись як засунути brand-new bundle в gce-ingress, а там така халепа:
https://github.com/kubernetes/ingress-gce/issues/1692

Тобто, ви НЕ можете передати через анотації, вельюси, вотевер certificate map в gce-ingress.

Ну і самарі, до чого ми прийшли:
➕ GCP зробив круту фічу, яка допоможе згенерити вайлдкардовий сертифікат, підтвердити овнершип домену через CNAME, і не паритись з рефрешем (всі http-based рефреші в мене рано чи пізно відвалювались)
➕ GCP зробив чудовий gce-ingress, який розуміє кастомну реалізацію LB в GCP, і збирає сетап всіх ресурсів в купу, на виході - робочий варіант
➖GCP не підтримує свою фічу 1 в своєму рішенні 2

А в іншому, GCP це мабуть класний клауд 😆

Mitsubishi L200 мусить поїхати до Авдіївки

Девопси, доброї ночі! Зараз саме той час, щоб закрити для себе питання моралі перебування в тилу, і зі спокійною душею лягати спати в тепле ліжко.

В ніч на п'ятницю, відділення, в якому служить мій батько, а саме 4 БрОП Рубіж, 5 батальйон, 3 кулеметне відділення має їхати до Авдіївки. Питання з авто вирішене, в них вже як пару днів є праворульна міцуба L200, але вона на практично лисій літній гумі.

Власне, щоб 3 відділення не місило глину, підлетіло, зробило що треба, і виїхало - задеплоїть 60к в цю банку:
https://send.monobank.ua/jar/35va42bTwa

Фото міцуби, 3-го кулеметного взводу закину в коменти, пост-подяку про мою епопею з GCP Certificates + DNS Auth + gce-ingress - завтра.

Добраніч, і нехай кожен ваш день буде результативним і корисним. Бувайте.

Export your GCP resources into Terraform format

Шановні, нещодавно дізнався про фічу gcloud тули, яка може експортнути все що є в GCP прямо в HCL. До того ж, генерує terraform import команди, що також є досить зручним.

gcloud beta resource-config bulk-export \
--project=PROJECT_ID \
--resource-format=terraform

Ця штука в beta, не підтримує 100% ресурсів (наприклад, не заекспортила мені Cloud Functions), але цілком може потягатись з terraformer.

🔸 https://github.com/GoogleCloudPlatform/terraformer

Читати тут:
🔸 https://cloud.google.com/docs/terraform/resource-management/export

Якщо цей пост був корисним, закиньте донат в банку, якою займається Оля Трутень (ex-організатор DevOps Days), і Юра Рочняк - автор @catops - на теплак військовим, яким ми вже допомогли купити аптечки:

https://send.monobank.ua/jar/AMbMiCoGnn?fbclid=IwAR3m340ebvLzn0SNUALFmraM59D_vW1Sn6q4Lb7xE8w0YE1bhibdjAB9Cfo

DevOpsDays Ukraine: Disaster Recovery

Вітання,

14-15 вересня не плануйте додаткових активностей після робочого дня, тому що у нас - DevOpsDays, з вектором на концепцію Аварійного Відновлення. Коли ми планували івент в кінці минулого року, то дуже вірили і сподівались що ця тема буде доречною після перемоги, але зараз можемо констатувати її важливість і протягом бойових дій.

Ви можете знати цих чудових людей:
🇺🇦 Iaroslav Molochko - How to deliver despite wartime. Manager's view
🇺🇦 Maksym Vlasov - Easy way to make your code Legacy™
🇺🇦 Vsevolod Poliakov - TBD
🇺🇦 Valeriia Ivanova - DevOps in GameDev

І багато інших міжнародних експертів.

Компанії, які долучаються спонсорами - донатять на UAResponders, DevOpsDays з інших куточків планети (Chicago, Tel Aviv, Warsaw, Vilnus, Almaty, Taipei) також допомагають гривнею і медійно.

Це вже другий повністю благодійний івент, кожна гривня або донат з якого йде на хороші активності.

14-15 вересня (цей четвер, п’ятниця) спробуйте перезаватажитись і знайти для себе щось нове, цінне у тому, чим займаєтесь кожного дня. Після доповідей - опенспейс дискусії. Побачимось.

https://www.devopsdays.com.ua/#registration

Architecture Decision Record або Architecture Decision Log

Сьогодні хочу підсвітити чудову практику, яка допоможе зробити вашу роботу і рішення більш прозорими, створить knowladge base і пришвидшить комунікацію з клієнтами.

Вперше про Architecture Decision Log почув коли необхідно було впровадити новий інструмент згідно ріквесту нашого замовника, але він був прямо ну абсолютно не юзабельний. Треба було комунікувати документами, бо на пальцях неможливо мати сильну позицію на обговореннях.

Надалі ми зробити Confluence сторінку, де описали Pros/Cons, фідбеки від команд, потенційні проблеми і пояснювали замовнику, що ми типу можемо, але буде дуже боляче. Це і був ADR, який народився природно.

З часом прийнятих і не прийнятих рішень створюється величезний snowflake, надалі ж - всім відома фраза так склалось історично. Тому, для того, щоб розуміти історію прийнятих або відхилених рішень з питань архітектури, практик, тулсету - рекомендую використовувати Architecture Decision Record підхід, або ж інший його неймінг - Architecture Decision Log.

Додаю приклад, як зробити цей підхід набагато зручніше, ніж сторінки в Confluence:

https://github.com/ministryofjustice/modernisation-platform/tree/main/architecture-decision-record

Забирайте шаблон, і будуйте стійкі докази для прийнятих, або відхилених рішень.

Next War Won't be a Cyber War, it will be a DevOps War

(1) У нас багато роботи
(2) Ми знаємо що робити, в цьому кейсі так точно
(3) F-16, ATACMS ASAP

https://ryanmcbeth.substack.com/p/how-america-loses-the-next-war?sd=pf

TLDR: Орки вчились збивати HIMARS 6+ місяців