Upload
solita-oy
View
118
Download
0
Embed Size (px)
Citation preview
Tyhjästä on paha nyhjäistä
automaatiolla 0 -> 100
tai ainakin sinne päin
Solita Hub
11.10.2016
Ville Reijonen
A. Älä tee
• Tarviiko tätä tehdä ollenkaan?
• Kuuluuko tämä edes minulle?
• Tarviiko tätä tehdä nyt?
C. Älä tee itse uudelleen
• Kokemuksella havaittavat “Hajut”
• Opettele ensimmäisellä, automatisoi ennen toista
• Toistettavuus, dokumentointi, virhealttius
• Isojen juttujen pitää olla automaattisia
• Infra ja softa automaatiikalla
• Kun osuu jalkaan, saa nilkuttaa
• Data vs. Info
• Tietoliikenneyhteydet ja nimipalvelut?
• Mitäs kun vanha systeemi palaa linjoille?
AUTOMAATION ERI KULMIA
1. Helposti
2. Työläästi
3. Rumasti
4. Vain kerran
5. Vain osittain
6. Vanhat poistaen
7. Salaisuudet säilyttäen
Työläästi
• EC2 instanssi, johon ei ole julkiverkosta pääsyä edes vahingossa, ja sieltä pääsee kirjoittamaan julkisesti näkyvään S3 ämpäriin
-> Oma VPC jossa privaatti aliverkko
-> S3 endpoint VPC:hen
-> Liikenteen endpointtiin salliva Security Group
-> S3 bucket
-> S3 bucket policy jolla ämpäri on luettavissa ulkopuolelta
-> Rooli jolla on oikeudet kirjoittaa S3 buckettiin
-> EC2 kone joka on aliverkossa, ja johon on kiinnitetty em. rooli
Työläästi
• EC2 instanssi, johon ei ole julkiverkosta pääsyä edes vahingossa, ja sieltä pääsee kirjoittamaan julkisesti näkyvään S3 ämpäriin
-> Oma VPC jossa privaatti aliverkko
-> S3 endpoint VPC:hen
-> Liikenteen endpointtiin salliva Security Group
-> S3 bucket
-> S3 bucket policy jolla ämpäri on luettavissa ulkopuolelta
-> Rooli jolla on oikeudet kirjoittaa S3 buckettiin
-> EC2 kone joka on aliverkossa, ja johon on kiinnitetty em. rooli
Rumasti
• Tyypillisesti jokin uusi AWS hienous
• Keväällä esim. • Kinesis
• Kinesis Firehose
• API Gateway
• Nyt esim. • CloudFront HTTP/2 tuki,
• CloudFront SSL sertifikaatit
• Application Load Balancing für ELB
• Kinesis Analytics
Rumasti.. mutta kuinka rumasti
• Eli wräppää uusinta awsclitä tai boto-kirjastoa
• Työkaluvalinnat määrittävät millaiseen nurkkaan maalaat itsesi• CloudFormation
• Ansible
• Shelli skriptit
Vain osittain
• VPC peering/VPN/DC
• Yhden tilin tunnukselle pääsyoikeuksia toisella tilillä
• DNS subdomain
Vanhat poistaen
• Projektissasi on DynamoDB kanta.. sitä ei enää tarvita
• Luot tietokannan väärään aliverkkoon.. et voi käyttää sitä
• On instanssi nimeltään worker.. tulee uusi toinen worker
• Kinesis striimin nimi on kl.. striimistä tulee muutakin kuin kl:ää
• Henkilöllä on IAM tunnuksia, ssh-avaimia, kantatunnuksia, VPN virityksiä, VPC pääsyjä.. henkilö pitäisi poistaa
Salaisuudet säilyttäen
• Faktat selkokielisestä repoon
• Avain avaimiin
• Poistuvat henkilöt
• Salaisuuksien tasot