Blog | WeScale

L'actualité Cloud du mois de févier 2022.

Rédigé par David Drugeon-Hamon | 02/03/2022

Cloud Public

AWS

AWS et elastic.co ont trouvé un accord sur l’utilisation de la marque ElasticSearch. En effet, AWS proposait le service managé ElasticSearch qui était un fork du produit développé par elastic.co en code ouvert depuis 2015. En janvier 2021, la société elastic.co avait changé la licence de son produit pour forcer les éditeurs proposant les services ElasticSearch et Kibana de travailler avec elastic.co. Grâce à cet accord, AWS va remplacer la marque ElasticSearch par Elastic Cloud comme l’ont déjà fait Google Cloud Platorm et Azure. Le service managé ElasticSearch se nomme maintenant Amazon OpenSearch Service. Et le seul produit proposé sur le MarketPlace sera celui d’elastic.co.

Sources :

Le service Amazon CodeGuru est un outil permettant la revue de code basée sur des algorithmes d’apprentissage machine. Cet outil peut être invoqué dans une chaîne d’usine logicielle afin de détecter les failles de sécurité et d’améliorer la qualité du code. L’équipe responsable de ce service a ajouté la détection d’injection de log dans le code Java ou Python pouvant être exploité par la faille Log4J.

Source : https://aws.amazon.com/fr/about-aws/whats-new/2022/02/amazon-codeguru-reviewer-detects-apache-log4j/

AWS propose sur son espace Github un tutoriel expliquant comment construire et migrer ses fonctions lambda vers Graviton 2. La technologie Graviton 2 est basée sur une architecture ARM qui permet d’obtenir des performances améliorées du point de vue du temps processeur mais surtout une baisse drastique des coûts d’exécution (jusqu’à 34% moins cher qu’une fonction lambda basée sur une architecture x86).

Source : https://github.com/aws/aws-graviton-getting-started/blob/main/aws-lambda/README.md

L'équipe Developer Advocate d'AWS propose une série d'articles de l'équipe d'ingénierie d'une PME fictive (I love my local farmer). Ces articles décrivent des cas concrets que peuvent rencontrer une équipe d'ingénierie logicielle pour mettre en place une infrastructure, de différentes stratégies de migration d'une application existante vers une application "cloud native" etc.

Source: https://medium.com/i-love-my-local-farmer-engineering-blog

GCP

L’équipe Google Cloud propose en disponibilité générale (GA) un service serverless pour des charges de travail Spark qui simplifie le traitement des données et les travaux d’apprentissage machine.

Source : https://cloud.google.com/blog/products/data-analytics/simplify-data-processing-and-data-science-jobs-with-spark-on-google-cloud

Un nouvel outil de modélisation d’architecture est disponible sur la console GCP à l’adresse https://googlecloudcheatsheet.withgoogle.com/architecture. Cet outil propose plus d’une dizaine de références d’architectures dans différents domaines d’application (sites web, chaînes d’usines logicielles, machine learning, microservices...). L’outil permet aussi de partir d’une feuille blanche.

Une fois le diagramme réalisé, les ressources peuvent ensuite être créées en un clic.

Source : https://cloud.google.com/blog/topics/developers-practitioners/introducing-google-cloud-architecture-diagramming-tool

La nouvelle génération de Google Cloud Function est disponible en general availability.

Basée sur le moteur Cloud Run, elle se distingue de ce dernier par une expérience développeur plus simple sans pour autant offrir de fonctionnalités supplémentaires.

La portabilité est assurée en se basant sur le standard buildpacks et sur le framework Functions.

C'est une consolidation de l'offre serverless Google sur laquelle App Engine reste à part avec une cible de niche.

Source : https://cloud.google.com/blog/products/serverless/introducing-the-next-generation-of-cloud-functions

Cloud Native

Kubernetes

La version majeure de Kubernetes 1.24 est disponible. Avec cette nouvelle version, le moteur d’exécution des conteneurs Docker Shim est supprimé au profit de moteurs d’exécution qui utilisent l’interface “Container Runtime Interface”. À noter que les images produites par Docker continueront de fonctionner sur le cluster Kubernetes.

Source : https://kubernetes.io/blog/2022/02/17/dockershim-faq/

Nomad

Hashicorp a publié la version 1.2.6 de son orchestrateur de conteneurs qui corrige essentiellement des failles de sécurité et introduit une incompatibilité avec les versions précédentes. En effet, l'API de « Job Parse » nécessite maintenant une authentification ACL.

Source : https://github.com/hashicorp/nomad/releases/tag/v1.2.6

Sécurité

Google augmente ses récompenses pour sa prime de bug bounty en cas de découverte de nouvelles failles de sécurité sur Linux ou Kubernetes.

Source : https://www.zdnet.fr/actualites/securite-google-va-payer-plus-de-90-000-dollars-pour-de-nouveaux-bugs-sous-linux-et-kubernetes-39937535.htm

Une faille de sécurité 0-day a été trouvée dans l’outil ArgoCD. Pour rappel, ArgoCD est un outil permettant le déploiement continu d’applications sur un ou plusieurs clusters Kubernetes.

La CVE "CVE-2022-24348" découverte par l'entreprise Apiiro a obtenu un CVSS (Common Vulnerability Scoring System) de 7.7. Cette vulnérabilité de type “path traversal” peut amener à une élévation de privilèges.

Un acteur malveillant peut exploiter la faille en utilisant une charte Helm malicieuse pour récupérer des informations sensibles des autres applications comme les mots de passe ou des clés d’API.

Source : https://www.bleepingcomputer.com/news/security/argo-cd-vulnerability-leaks-sensitive-info-from-kubernetes-apps/

RGPD

Pour donner suite à la décision de l’autorité autrichienne de protection des données, la CNIL confirme que l'utilisation de Google Analytics est incompatible avec la RGPD sans consentement de l'utilisateur. En effet, les données utilisateurs récupérées par Google Analytics sont envoyées sur des serveurs hébergés aux États-Unis.

Source : https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure

Cyber guerre

L'aspect cyber dépasse depuis bien longtemps les uniques enjeux techniques et informatiques. Nous avons encore pu le constater dernièrement avec l'attaque russe sur l'Ukraine, en plus des moyens militaires classiques, l'attaque a été précédée de vague de DDOS sur les sites gouvernementaux et aussi par l'utilisation d'un malware destructeur de données. Une situation qui rappelle l'importance aujourd'hui d'internet et de la défense de celui-ci.

Source: https://www.numerama.com/cyberguerre/865129-lukraine-se-fait-attaquer-par-un-wiper-un-malware-qui-detruit-des-donnees.html

Dans ce contexte l'ANSSI conseille de redoubler de vigilance et de mettre en place les mesures nécessaires : https://www.nextinpact.com/lebrief/49922/tensions-internationales-lanssi-conseille-mise-en-uvre-mesures-cybersecurite

Outils

Comparateur multi-cloud

Un calculateur et comparateur de prix des instances de différents cloud providers est disponible https://app.holori.com/compare. Ce comparateur permet, en fonction de critères tels que la région où sera déployée l’instance, le nombre de CPU, la mémoire disponible, le type de GPU utilisé, d’obtenir le type d’instance ainsi que le prix correspondant.

Ce comparateur permet de rechercher les instances disponibles sur les cloud provider suivants : AWS, Azure, Google Cloud, Alibaba Cloud, Linode, OVH et Scaleway.

Terraform

Hashicorp a annoncé une nouvelle mise à jour majeure du provider AWS (v4.0). Cette nouvelle version introduit essentiellement quatre nouveautés majeures :

  • La ressource bucket s3 a été entièrement remaniée et de nouvelles ressources complémentaires ont été introduites pour la gestion des buckets s3 (par exemple, la gestion des cycles de vie des objets stockés sont gérés dans une ressource dédiée)
  • Les ressources par défaut (aws_default_vpc, aws_default_subnet...) peuvent être maintenant entièrement gérées par le provider terraform à savoir la création, la mise à jour et la destruction de ces ressources. À noter qu’une limitation côté AWS implique de n’avoir qu’un seul VPC par défaut dans une région, ou un seul subnet par défaut dans une zone de disponibilité
  • Toutes les sources de données qui retournent une liste d’objets sont maintenant cohérentes. Ces sources de données retournent une liste vide si aucun objet n’a été trouvé.
  • La configuration du provider a été améliorée pour être en phase avec les autres providers terraform écrits par l’équipe AWS.

Source : https://www.hashicorp.com/blog/terraform-aws-provider-4-0-refactors-s3-bucket-resource

Il est fréquent de remanier son code terraform afin d’introduire des modules permettant la création de ressources ou de renommer des ressources existantes.

Lorsque l’application du code terraform est faite par une chaîne d’intégration et de déploiement continue, il est difficile de modifier le fichier “state” grâce aux commandes fournies par Terraform.

Depuis la version 1.1.x de terraform, il est possible d’indiquer comment modifier le fichier state pour relocaliser une ressource grâce aux instructions “moved”.

Plus de détails dans l’article du blog : https://faun.pub/refactor-terraform-repository-to-modular-structure-eaac70f2130d

Github

Github propose enfin l’édition de diagramme directement dans les pages écrites en Markdown en ajoutant la syntaxe Mermaid.

Mermaid est un outil de diagramme et de graphiques écrit en Javascript qui propose à la fois une syntaxe proche du Markdown pour décrire des diagrammes complexes, mais aussi un moteur de rendu pour générer ces diagrammes.

Source :

Firecracker

La première version de l’outil open source de Firecracker microVM est disponible. À l’origine développé par les équipes d’AWS, cet outil open source est disponible sous licence Apache v2.0. Il est utilisé entre autres pour exécuter les fonctions lambda d’AWS ou les services AWS Fargate.

Source : https://github.com/firecracker-microvm/firecracker

Et du côté de chez WeScale

Nos derniers articles sur le blog

Pablo nous explique comment mettre en place une chaîne d’intégration continue sécurisée pour construire ses images Docker dans k8s avec Kaniko : https://blog.wescale.fr/une-ci-securisee-orientee-conteneurs-100-dans-k8s-avec-kaniko/

Ismaël continue sa série d’articles sur le développement cloud native avec des environnements éphémères en expliquant comment gérer ses fichiers d’environnements “dotfiles” : https://blog.wescale.fr/controler-ses-dotfiles-en-environnement-ephemere-2/

Thibault présente notre coding game Abhra Shambhala à la recherche de la CI perdue dans son article https://blog.wescale.fr/saurez-vous-resoudre-les-4-defis-cloud-native-du-coding-game-abhra-shambhala-2/. Êtes-vous prêt à relever le défi ?

Vincent est intervenu au dernier meetup du GDG Cloud Nantes pour sa présentation “Faut-il avoir peur du [cloud] vendor lock-in?“. La vidéo est disponible sur Youtube: https://www.youtube.com/watch?v=pgDcwZsq3DQ&list=PLuZ_sYdawLiUDaVVgUlZtTkGGqf7WzDvM&index=12

Nos prochaines formations

Vous souhaitez opérer comme un⋅e expert⋅e un cluster Kubernetes et les applications qu'il héberge ?

Architecte technique, ingénieur prod : creusez la technologie Kubernetes pour une utilisation avancée avec un consultant formateur expert.

Rendez-vous les 30 et 31 mars pour suivre la formation Kubernetes avancée pour DevOps.

Le tout dans un format immersif et applicable dès votre retour au travail.

2 jours en immersion totale avec nos consultants formateurs experts.

Cette formation vous intéresse ? https://training.wescale.fr/formations/kubernetes-avancee-devops