Переходим на вкладку Capacity Providers и создаём новый
Очень странно выглядит когда сначала пишите что все у вас в Terraform, а потом «примеры с делаем чего-то в интерфейсе AWS». Или вы и вправду что-то делаете руками в интерфейсе AWS?
Еще очень рекоммендую ECS Task events. Для начала достаточно сделать Lambda, которая будет посылать в Slack(или что там у вас) детали по Stopped reason остановленных контейнеров. Очень удобно в множестве разных случаев: забыли запушить (не запушился) image в ECR, обновили task definitions и не понимаем почему ничего не обновляется. Или приложение работало-работало, потом поделило на ноль и вышло. Или на healthcheck вдруг не ответила одна из копий приложений и ее прибили.
С ECR у меня реально был случай недавно — запушил image, exit 0 от docker push, есть sha256 от него. Но самого image нет в ECR… Впервые такое видел, более пока не повторялось.
Ну и green/blue напишите, расскажите насколько сложно было и какие проблемы после хотябы полугода эксплуатации ;)
Выступление неплохое, но уж для совсем начинающих…
Но лично мне, если честно, сложно представить как бы можно было бы сделать хороший доклад за такое короткое время. Тут как минимум день нужен.
Чтобы дойди до «кнопка в CI/CD системе для деплоя. Кнопка для „одобрения“. Кнопка для отката». Конечно же все с zero-downtime. Все с автоскейлингом. Секреты для доступа AWS временные и динамические (через Hashicorp Vault, который тоже где-то надо взять, и конечно же иметь деплой и конфигурацию полностью в коде).
Секреты приложения не зашиты в AMI или docker images.
А также — логи, мониторинг, дашборды, алерты, инциденты итд.
На странице услуги вообще ничего не сказано про то, как ее отключить.
При чем, я даже оставлял заявку на то, чтобы они добавили информацию про отключения на страницу. Закрыли заявку, ничего добавлять не стали.
Может кому будет полезно. У меня после выполнения всех пунктов уже давно не было никаких странных списаний.
Общаюсь с Мегафоном (Северо-Запад) двумя способами — (почти во всех случаях) по электронной почте (nw-service@megafon.ru) и личными визитами в офисы обслуживания (в редких случаях, лучше в утреннее ненагруженное время). По почте общаться очень нравится — все решаеться достаточно быстро. Если не решается — настаивать на открытии заявки за номером. После того как появляется этот номер — все убыстряется.
TL;DR;: Статья и по содержанию и по языку невероятно отвратная.
> Слушай, я не помню, как так вышло, но решили запустить новый сайт Райффайзенбанка.
Мы уже на ты?
«я не помню, как так вышло» — пример поставновки задачи в Райффе?
> Прошлый был с вертикальным меню слева, ты, возможно, даже помнишь его.
Конечно, помню. Я не раз лично писал в поддержку о том, что на телефоне сайтом пользоваться невозможно, т.к. панель закрывает пол-экрана, но годы с этим ничего никто не делал.
> И кстати, он неплохой в целом получился, для своего времени
Это кто так решил? Были победы в конкурсах? Награды? Премии?
> Но мышей он уже не ловил, не пес в смысле, а сайт, конечно. Я про бизнес-задачи.
«мышей не ловил» — это про какие именно «бизнес-задачи»?
Как кривая? Как тупиковые? Только что же писали про «неплохой в целом получился».
> И сложилось понимание, нельзя так жить больше, у бизнеса сложилось
Так что именно понял бизнес?
> С пользователями посложнее: они изменения не любят, как известно
Какие изменения не любят пользователи? Они очень даже любят, когда боковая панель не закрывает пол-экрана. Они очень любят когда все удобно и быстро.
> несем благую весть, так сказать
Какую именно весть? С чего Вы взяли, что Вы ее несете?
> Ну, началось всё с тендера, как водится
Т.е. все-таки тендер? А говорили же что все «сами-сами».
> А с другой стороны — прогресс, блокчейн, финтех, германоскарович с олегюрьевичем
Что за бред? При чем тут новый веб-сайт?
> хорошие универсальные решения, всё продумано (тогда казалось, что совсем всё).
Так а что именно не подуманно-то?
> Как ты понимаешь, примерно так и получилось.
Т.е. никто толком не может сказать что понравилось, а что нет, но сделку заключили. Понятно.
> После обсуждения со стейкхолдерами
Что именно осуждали со стейкхолдерами?
> Ты спросишь: «А что за дизайн такой, чьих будет?».
Я как-бы и не спрашивал.
> Подытожу. Сам запуск прошел гладко, переход со старой версии был бесшовным.
Да конечно! Никогда в это не поверю :)
> полярность мнений говорит об отсутствии равнодушия, а это как раз то, чего мы и добивались.
А где мнения-то можно посмотреть? 5 лайков — это положительное мнение?
Сначала хотел прокомментировать чуть-ли не каждуя фразу в этом тексте, но потом понял, что писали все, наверное, под расширящими сознание веществами. Иначе весь этот стиль и бред не объяснить.
Раунд!
— В рассылках по email о новостях банка вы до сих пор присылаете ссылки на old.raiffeisen.ru. Без httpS и на old.
old.raiffeisen.ru/robots.txt отредактировали только после того как Вам написали про это? (а то веселый Google выдавал ссылки почти всегда только на old.)
На ssllabs у www.raiffeisen.ru рейтинг «C» (https://www.ssllabs.com/ssltest/analyze.html?d=www.raiffeisen.ru&hideResults=on&latest). Много кривых настроек, но вот server_signature все ж изменили («HTTP server signature» = «Raiffeisen Server»)! Вот что, похоже, реально важно для блокчен-финтеха!
А что такое стресс-интервью?
Слушать что именно человек ответить на вопрос «кем Вы себя видете через 5 лет?». Или «сколько весит камень под Медным Всадником» (это памятник в Санкт-Петербурге)?
Если меня лично пытаются вогнать в стресс, то обычно интервью заканчивается быстрее, чем они думали — я просто не люблю стресс по не-ITшной части. «Давайте перейдем к следующему вопросу» (с)
Вгоняйте в стресc вопросами по профилю — против не буду.
Я с Райффом как клиент с 2002 года. В не-IT(шной) части (кредиты, обслуживание в филиалах) у меня почти нет претензий. Ну за исключением пары историй…
А вот все что касается IT для меня, как у клиента чуть больше обычного обращающего внимание на детали (которые видны клиенту), вызывает глубокое уныние: почта без DKIM и TLS, простоянно кривая настройка SSL на сайтах банка (Вы уже там решили свою текущую проблему с SSL на online.raiffeisen.ru, а?), отвратительно поставленная коммуникация с клиентами через невербальные каналы (email(ы)). Глючный инет-банк и мобильное приложение. Реклама в выписках по картам-счетам. Итд.
А когда говоришь сотрудникам Р-банка, что вот у «велосипедиста» все гораздо лучше — они отвечают как под копирку, что, мол, «там же изначально затачивались на удаленное обслуживание».
Статья не понравилась. Много воды и рекламы Atlassian(a).
К чему эти слезы про то, что было раньше и как было плохо когда-то.
Расскажите о том, как хорошо сейчас на примере одного production-проекта, который у Вас/вас там сейчас самый красивый в смысле CI/CD. Только расскажите подробно. В предыдущей статье была речь про Tomcat и memcached для сессий. Т.е. java-приложение. Вот на его примере расскажите все с самого начала:
1. Вот build server построил артефакт (.jar или .war) или артефакты — а что происходит далее?
2. Как вы разворачиваете инфраструктуру для запуска приложения? Какие компоненты (сервера для приложений, кластера баз данных)? Каким тулом (и почему именно им) и в какой системе виртуализации (я так понял, что только vmware, но может что-то еще или bare metal)?
3. Как делаете provisioning инфраструктуры. Не только серверов с приложениями, но и серверов с зашаренными сервисами типа DB или того же memcached.
4. Как происходит деплой? Кто нажимает кнопку(кнопки) и в каком туле? (или все само сразу приезжает на production)
5. Могут ли девелоперы деплоить сами в production?
6. Какие схемы деплоемента используются? (green/blue, rolling, canary итд). А что если надо откатиться?
7. Как и кем принимается решение об успешном деплое? На основании каких параметров?
8. Что делать если нагрузка увеличивается? Легко ли добавить больше серверов, чтобы удержать нагрузку? Если ли autoscaling?
9. Каждый новый деплой происходит на вновь созданные сервера? Или на те же самые?
10. Что с патчами на операционную систему?
11. Есть ли где-то docker? Если нет, то почему именно?
12. Какие-то системы оркестрации используются? Nomad(может не только контейнеры), k8s (только контейнеры)?
13. А что с мониторингом и метриками? Приложений и системными (OS)?
14. Что используется для алертов? Есть ли on-call инженер(ы) и какие вопросы они решают конкретно применительно к этому приложению?
15. [важный вопрос] Что с секретами? (пароли, private keys сертификатов, API keys итд). Как и где храните? Как доступаетесь до секретов при деплое приложения?
16. Что используете для Load balancing между копиями приложений? nginx/haproxy/etc?
Вот примерный список того, чтобы лично мне было бы интересно услышать.
Кстати, живой пример банка, который шарит кучу всего про используемые ими технологии (youtube, github etc) — Capital One. Я у тому, что порой и у банков есть нормальный взгляд на IT ;)
> подходит только для bare metal, где ноды статичны
Почему ТОЛЬКО? В том же AWS(e) все можно сделать, просто записи для service discovery хранятся снаружи, например, в Route53 private zone. Ну и lifecycle_hook на «autoscaling:EC2_INSTANCE_LAUNCHING».
Важное архитектурное замечание состоит в том, что на данный момент поддерживается запись в единственный экземпляр СУБД ClickHouse
Так а почему не построить отказоустойчивый clickhouse-кластер в Kubernetes? C load balancer(ами) и autoscaling(ом). Именно как отдельный сервис (и даже в отдельном Kubernetes-кластере), а не в рамках проекта loghouse?
Я думал, что важно решить вопрос (т.е. сделать так, чтобы рассылка дошла до получателя и была эффективной), а не просто оформить письма… Ну Вам, конечно, виднее.
Очень странно выглядит когда сначала пишите что все у вас в Terraform, а потом «примеры с делаем чего-то в интерфейсе AWS». Или вы и вправду что-то делаете руками в интерфейсе AWS?
С ECR у меня реально был случай недавно — запушил image, exit 0 от docker push, есть sha256 от него. Но самого image нет в ECR… Впервые такое видел, более пока не повторялось.
Ну и green/blue напишите, расскажите насколько сложно было и какие проблемы после хотябы полугода эксплуатации ;)
Нет самого простого варианта — просто ссылаться на SSM.
$ export AWS_DEFAULT_REGION='eu-west-1'$ aws ssm get-parameter --name /aws/service/ecs/optimized-ami/amazon-linux-2/recommended/image_id
{
"Parameter": {
"Version": 32,
"Type": "String",
"Name": "/aws/service/ecs/optimized-ami/amazon-linux-2/recommended/image_id",
"Value": "ami-060fdc00b63abc251"
}
}
Но лично мне, если честно, сложно представить как бы можно было бы сделать хороший доклад за такое короткое время. Тут как минимум день нужен.
Чтобы дойди до «кнопка в CI/CD системе для деплоя. Кнопка для „одобрения“. Кнопка для отката». Конечно же все с zero-downtime. Все с автоскейлингом. Секреты для доступа AWS временные и динамические (через Hashicorp Vault, который тоже где-то надо взять, и конечно же иметь деплой и конфигурацию полностью в коде).
Секреты приложения не зашиты в AMI или docker images.
А также — логи, мониторинг, дашборды, алерты, инциденты итд.
Ну вы и сами все это знаете :)
Так мне как клиенту плевать на это. Мне приходится постоянно уворачивать от воровства.
На странице услуги вообще ничего не сказано про то, как ее отключить.
При чем, я даже оставлял заявку на то, чтобы они добавили информацию про отключения на страницу. Закрыли заявку, ничего добавлять не стали.
Даже какие-то угрозы взяскание пени через суд поступали.
Ни разу за всякую ботву не платили.
Всего один раз писали претензию, после которой «долг» в 800 рублей сняли за 10 минут.
Завел документик в Гугл-докс, куда записываю все способы борьбы с мошенничеством со стороны Мегафона — docs.google.com/document/d/1l428g_8pJXAY6BYojcf_4oFnHbHB5N8at_ubg47UbUU/edit?usp=sharing
Может кому будет полезно. У меня после выполнения всех пунктов уже давно не было никаких странных списаний.
Общаюсь с Мегафоном (Северо-Запад) двумя способами — (почти во всех случаях) по электронной почте (nw-service@megafon.ru) и личными визитами в офисы обслуживания (в редких случаях, лучше в утреннее ненагруженное время). По почте общаться очень нравится — все решаеться достаточно быстро. Если не решается — настаивать на открытии заявки за номером. После того как появляется этот номер — все убыстряется.
> Слушай, я не помню, как так вышло, но решили запустить новый сайт Райффайзенбанка.
Мы уже на ты?
«я не помню, как так вышло» — пример поставновки задачи в Райффе?
> Прошлый был с вертикальным меню слева, ты, возможно, даже помнишь его.
Конечно, помню. Я не раз лично писал в поддержку о том, что на телефоне сайтом пользоваться невозможно, т.к. панель закрывает пол-экрана, но годы с этим ничего никто не делал.
> И кстати, он неплохой в целом получился, для своего времени
Это кто так решил? Были победы в конкурсах? Награды? Премии?
> Но мышей он уже не ловил, не пес в смысле, а сайт, конечно. Я про бизнес-задачи.
«мышей не ловил» — это про какие именно «бизнес-задачи»?
> Навигация какая-то кривая, обилие тупиковых страниц.
Как кривая? Как тупиковые? Только что же писали про «неплохой в целом получился».
> И сложилось понимание, нельзя так жить больше, у бизнеса сложилось
Так что именно понял бизнес?
> С пользователями посложнее: они изменения не любят, как известно
Какие изменения не любят пользователи? Они очень даже любят, когда боковая панель не закрывает пол-экрана. Они очень любят когда все удобно и быстро.
> несем благую весть, так сказать
Какую именно весть? С чего Вы взяли, что Вы ее несете?
> Ну, началось всё с тендера, как водится
Т.е. все-таки тендер? А говорили же что все «сами-сами».
> А с другой стороны — прогресс, блокчейн, финтех, германоскарович с олегюрьевичем
Что за бред? При чем тут новый веб-сайт?
> хорошие универсальные решения, всё продумано (тогда казалось, что совсем всё).
Так а что именно не подуманно-то?
> Как ты понимаешь, примерно так и получилось.
Т.е. никто толком не может сказать что понравилось, а что нет, но сделку заключили. Понятно.
> После обсуждения со стейкхолдерами
Что именно осуждали со стейкхолдерами?
> Ты спросишь: «А что за дизайн такой, чьих будет?».
Я как-бы и не спрашивал.
> Подытожу. Сам запуск прошел гладко, переход со старой версии был бесшовным.
Да конечно! Никогда в это не поверю :)
> полярность мнений говорит об отсутствии равнодушия, а это как раз то, чего мы и добивались.
А где мнения-то можно посмотреть? 5 лайков — это положительное мнение?
Сначала хотел прокомментировать чуть-ли не каждуя фразу в этом тексте, но потом понял, что писали все, наверное, под расширящими сознание веществами. Иначе весь этот стиль и бред не объяснить.
Раунд!
— В рассылках по email о новостях банка вы до сих пор присылаете ссылки на old.raiffeisen.ru. Без httpS и на old.
old.raiffeisen.ru/robots.txt отредактировали только после того как Вам написали про это? (а то веселый Google выдавал ссылки почти всегда только на old.)
На ssllabs у www.raiffeisen.ru рейтинг «C» (https://www.ssllabs.com/ssltest/analyze.html?d=www.raiffeisen.ru&hideResults=on&latest). Много кривых настроек, но вот server_signature все ж изменили («HTTP server signature» = «Raiffeisen Server»)! Вот что, похоже, реально важно для блокчен-финтеха!
HSTS кто-то покрутил-покрутил, поставил в 1 час да и забросил, про остальные security-related заголовки просто никто не слышал — securityheaders.io/?q=www.raiffeisen.ru&hide=on&followRedirects=on
А что такое стресс-интервью?
Слушать что именно человек ответить на вопрос «кем Вы себя видете через 5 лет?». Или «сколько весит камень под Медным Всадником» (это памятник в Санкт-Петербурге)?
Если меня лично пытаются вогнать в стресс, то обычно интервью заканчивается быстрее, чем они думали — я просто не люблю стресс по не-ITшной части. «Давайте перейдем к следующему вопросу» (с)
Вгоняйте в стресc вопросами по профилю — против не буду.
Я с Райффом как клиент с 2002 года. В не-IT(шной) части (кредиты, обслуживание в филиалах) у меня почти нет претензий. Ну за исключением пары историй…
А вот все что касается IT для меня, как у клиента чуть больше обычного обращающего внимание на детали (которые видны клиенту), вызывает глубокое уныние: почта без DKIM и TLS, простоянно кривая настройка SSL на сайтах банка (Вы уже там решили свою текущую проблему с SSL на online.raiffeisen.ru, а?), отвратительно поставленная коммуникация с клиентами через невербальные каналы (email(ы)). Глючный инет-банк и мобильное приложение. Реклама в выписках по картам-счетам. Итд.
А когда говоришь сотрудникам Р-банка, что вот у «велосипедиста» все гораздо лучше — они отвечают как под копирку, что, мол, «там же изначально затачивались на удаленное обслуживание».
К чему эти слезы про то, что было раньше и как было плохо когда-то.
Расскажите о том, как хорошо сейчас на примере одного production-проекта, который у Вас/вас там сейчас самый красивый в смысле CI/CD. Только расскажите подробно. В предыдущей статье была речь про Tomcat и memcached для сессий. Т.е. java-приложение. Вот на его примере расскажите все с самого начала:
1. Вот build server построил артефакт (.jar или .war) или артефакты — а что происходит далее?
2. Как вы разворачиваете инфраструктуру для запуска приложения? Какие компоненты (сервера для приложений, кластера баз данных)? Каким тулом (и почему именно им) и в какой системе виртуализации (я так понял, что только vmware, но может что-то еще или bare metal)?
3. Как делаете provisioning инфраструктуры. Не только серверов с приложениями, но и серверов с зашаренными сервисами типа DB или того же memcached.
4. Как происходит деплой? Кто нажимает кнопку(кнопки) и в каком туле? (или все само сразу приезжает на production)
5. Могут ли девелоперы деплоить сами в production?
6. Какие схемы деплоемента используются? (green/blue, rolling, canary итд). А что если надо откатиться?
7. Как и кем принимается решение об успешном деплое? На основании каких параметров?
8. Что делать если нагрузка увеличивается? Легко ли добавить больше серверов, чтобы удержать нагрузку? Если ли autoscaling?
9. Каждый новый деплой происходит на вновь созданные сервера? Или на те же самые?
10. Что с патчами на операционную систему?
11. Есть ли где-то docker? Если нет, то почему именно?
12. Какие-то системы оркестрации используются? Nomad(может не только контейнеры), k8s (только контейнеры)?
13. А что с мониторингом и метриками? Приложений и системными (OS)?
14. Что используется для алертов? Есть ли on-call инженер(ы) и какие вопросы они решают конкретно применительно к этому приложению?
15. [важный вопрос] Что с секретами? (пароли, private keys сертификатов, API keys итд). Как и где храните? Как доступаетесь до секретов при деплое приложения?
16. Что используете для Load balancing между копиями приложений? nginx/haproxy/etc?
Вот примерный список того, чтобы лично мне было бы интересно услышать.
Кстати, живой пример банка, который шарит кучу всего про используемые ими технологии (youtube, github etc) — Capital One. Я у тому, что порой и у банков есть нормальный взгляд на IT ;)
Почему ТОЛЬКО? В том же AWS(e) все можно сделать, просто записи для service discovery хранятся снаружи, например, в Route53 private zone. Ну и lifecycle_hook на «autoscaling:EC2_INSTANCE_LAUNCHING».
Так а почему не построить отказоустойчивый clickhouse-кластер в Kubernetes? C load balancer(ами) и autoscaling(ом). Именно как отдельный сервис (и даже в отдельном Kubernetes-кластере), а не в рамках проекта loghouse?