AWS Black Belt LATAM 2023— Trilha de Containers

O treinamento ocorre durante 5 dias das 9h-13h, onde se tem contato com o horário de especialistas, vulgo Senseis, cuja função é capacitar os selecionados, essa capacitação acontece por meio de vivência, sim, nos afundam em um mar de conteúdo, palestras , documentações, boas práticas, laboratórios e Kahoot (Perguntas e respostas) ao final de cada dia. Acredite, é incrível receber muitas informações, poder praticar durante os laboratórios. Sempre que participamos, temos a sensação de estar recarregado e pronto para mudar o mundo.

Esse ano tivemos novas trilhas adicionadas ao programa e conforme listado a seguir:

Containers: 24 a 28 de Julho
Networking: 24 a 28 de Julho
Analytics: 21 a 25 de Agosto
Security: 18 a 22 de Setembro
VMware: 02 a 06 de Outubro
Migration: 02 a 06 de Outubro
AI/ML: 23 a 27 de Outubro
Database: 23 a 27 de Outubro
Microsoft: 06 a 10 de Novembro

Dia 1

– Iniciou-se as 9h, havendo uma apresentação sobre o programa e trilha, após isso, começamos os treinamentos.

Sessão 1: O que há de novo?

Aqui foi dada uma visão geral sobre os principais serviços e funcionalidades lançados e anunciados nos últimos meses nos eventos Re:Invent e Re:Inforce;

– Service Connect — ECS
– VPC Lattice
– AWS Signer
– AWS ECR ( Pull Through cache e Scan contínuo com o AWS Inspector )

Sessão 2: AWS EKS Blueprints ( Laboratório )

Nessa sessão foram explicados os motivos e benefícios do uso do EKS Blueprints e nesse laboratório, há informações sobre o uso e disponibilidade de execução por meio de Terraform(TF) ou AWS CDK, vale lembrar que os módulos TF, são criados e esperados pela AWS , tendo assim qualidade e segurança no uso desses.

• Repositório EKS Blueprints:
  https://github.com/aws-ia/terraform-aws-eks-blueprints
• Laboratório
  https://catalog.workshops.aws/eks-blueprints-terraform/en-US/010-introduction

Dia 2

Sessão 1: Estratégias de Auto Scaling

Aqui vimos uma visão sobre estratégias de dimensionamento, e o ponto impar é recursos de aplicação devem ser identificados continuamente, pois, assim o dimensionamento é eficiente, não se faz Scaling apenas com CPU e Memória, o contínuo se faz para ter situações reais de comportamento da aplicação durante o uso comum e atípico.

Mas veremos mais alguns pontos de atenção.

Pensando em provedor de capacidade, temos o AWS Fargate, esse já é nosso conhecido, mas em resumo, aqui você não se “preocupa” com o dimensionamento do recurso, pois aqui é “Provision e pagar pelos recursos que você precisa”.

Dia 3

Sessão 1: O que é Service Mesh?
Uma service mesh, assim como o projeto open source Istio , é uma maneira de controlar como diferentes componentes de uma aplicação monitoram dados entre si. Diferentemente de outros sistemas de gerenciamento de comunicação, a service mesh é uma camada de infraestrutura dedicada, desenvolvida diretamente em uma aplicação. Essa camada de infraestrutura visível pode documentar o desempenho das emoções entre os diferentes componentes da aplicação, facilitando a otimização da comunicação e evitando o tempo de inatividade, conforme a aplicação evolui.
Assim, o Service mesh, permite que os desenvolvedores foquem na construção e implementação de lógica de negócios sem se preocupar com a complexidade no aspecto de comunicação de rede.

Como o  Service mesh funciona? 
Bom, o mesh trabalha com o padrão Sidecar, esse padrão é bem conhecido no Kubernetes e bem comum no mundo dos containers, e como o nome é auto sugestivo, sidecar é aquele “carrinho” que se prende ao lado das motocicletas e no mundo dos containers é igual, basicamente é um container proxy junto ao container de aplicação no mesmo pod(k8s) ou task(ecs), assim toda interação, comunicação passa por esse proxy e com isso possibilita o rastreamento distribuído, logging, health checks, rastreamento e configurações externalizadas.

Clique aqui para saber sobre a referência do sidecar

A seguir, é apresentada uma lista não detalhada das implementações atuais de service mesh:

• Linkerd
• Ístio
• Cônsul
• kuma
• Maesh
• AWS App Mesh

Sessão 2: ECS Service Connect
Sem dúvida um dos melhores serviços apresentados, claro que Karpenter e KEDA são perfeitos e ajudam muito, mas o Service Connect, vale sua atenção e listá-lo como lição de casa. Mas agora, vamos pincelar sobre o apresentado.

O que é o AWS ECS Service Connect ?
É um recurso de redes que simplifica a descoberta, a conectividade e a observabilidade de tráfego de serviços para o Amazon ECS. O Service Connect ajuda a acelerar a criação de aplicações, permitindo que você mantenha o foco no código da aplicação e não se preocupe com a infraestrutura de rede.

Agora, você pode usar o Amazon ECS Service Connect para definir nomes mais simples para os endpoints de serviços e usá-los nas aplicações clientes para conectar dependências. O Service Connect ajuda a enviar o tráfego a endpoints íntegros e oferece telemetria de tráfego avançado no console do Amazon ECS e no AWS CloudWatch. As implantações do Amazon ECS ficam mais robustas com o Service Connect, que oferece drenagem automática de conexões para ajudar os clientes a alternar para uma nova versão do endpoint de serviço sem enfrentar erros de tráfego.

Sessão 3: App Mesh (Demonstração)
Nessa sessão foram apresentados os benefícios e funcionamento do App Mesh, um ponto importante é que o Mesh da AWS utiliza o Envoy por de baixo do capô e que ele se integra não somente com EKS e ECS, mas também com Docker no EC2.

Saiba mais nos links:
https://www.youtube.com/watch?v=1UDRGlmbiZA&t=9s
https://www.appmeshworkshop.com/

Sessão 4: VPC Lattice
Aqui, aprofundamos o conhecimento sobre esse serviço, que é razoavelmente novo.

O VPC Lattice foi projetado para ajudá-lo a descobrir, proteger, conectar e monitorar de maneira fácil e eficaz todos os serviços dentro dele. Cada componente dentro do VPC Lattice se comunica de forma unidirecional ou bidirecional dentro da rede de serviço com base em sua associação com a rede de serviço e suas configurações de acesso. As configurações de acesso são compostas por políticas de login e autorização necessárias para esta comunicação.

A ideia principal é facilitar e muito a comunicação e complexidade que é redes, gerenciá-las, dimensioná-las, configurá-las e mantê-las não são das tarefas mais triviais. Assim, temos facilidades como, fácil conectividade entre VPCs, Cluster e Contas AWS, rede integrada, segurança e observabilidade sem uso de sidecar, melhora na postura de segurança, controle fino e segmentado do trânsito e tudo isso sem necessidade de ser um especialista em redes, pois consolida o aspecto de rede tradicional para a camada de aplicação. Mostrar!

Clique aqui e veja uma referência.

Sessão 2: Otimização na camada de computação (plano de dados)
No tópico anterior foi passado que a camada do Control Plane do EKS é gerenciada inteiramente pela AWS, mas e o Data Plane que são os responsáveis ​​por carregar o piano, como que podemos otimizar o custo?

Foram apresentadas algumas estratégias para essa tarefa, mas primeiro vamos deixar claro que existem algumas opções para o plano de dados, sendo elas o querido Fargate, Amazon EKS Managed Nodes e Self-Managed Nodes. O Fargate já é um cara conhecido por nós e dispensa apresentações, mas e esse Gerenciado e Autogerenciado?

Resumidamente:

• Self-Managed, você é responsável por gerência-los, com essa opção é possível a escolha da AMI, podendo ser Bottlerocket, Firecracker, Windows entre outras e também escolher o tipo de instância a ser usado, porém, será de sua responsabilidade a aplicação dos Patch de correção.
• Managed Nodes a AWS é responsável por gerenciar os nodes, só necessitamos dizer algumas coisas como o tipo de instância EC2 deverá ser usado, mas não poderá dizer qual AMI será usado.
   

Como podemos fazer para otimizar os custos?

Aqui é muito importante se atentar no bom dimensionamento dos seus nodes, como também fazer escolhas sabias no tocar ao tipo de instância/família EC2 usar, como também considerar o uso de instâncias Spots.

A escolha do tipo de instância EC2 é usada.
A Amazon Web Services, dispõe de uma integração de tipos, tendo cada um o seu propósito, cada CA é otimizado para uma carga de trabalho, há desde EC2 para propósitos gerais Família M, como para propósitos de computação família C, como para Deep Learning as G ou P. Contudo a AWS oferece desempenho de preço de 40% melhor se até usar AWS Graviton, que  é o processador desenvolvido pela Amazon, assim temos EC2 que fazem o uso desse, já se tem um extenso ecossistema, permitindo o uso de boa parte dos sistemas operacionais Linux mais populares, juto com muitos outros aplicativos e serviços da AWS e ISVs.

Instâncias pontuais
As instâncias do tipo Spot, são recursos que são provisionados a partir de capacidade ociosa, usando a mesma infra do on-demand, ou seja, capacidade sobressalente da infraestrutura de Amazon EC2, possibilita isso e muito mais, a Spot pode ser até 90% mais barato comparado com o on-demand, esse preço é baseado na oferta e demanda de longo prazo, o on-demand precisa de capacidade, a AWS pode disparar um aviso prévio de 2 minutos avisando que essa instância/capacidade foi necessária e que será interrompido esse Spot, e em alguns casos esse aviso corre o risco de não chegar.

Porém, o suporte e integração com o EKS Managed Node Groups e com o Auto Scaling, permitindo que você remaneje sua frota. Lembre-se, esse comportamento se dá pela natureza do Spot. A uma dica ao utilizar Spot, Diversificação e flexibilidade essas são as chaves, pois ao fazer o uso de diferentes tipos de instâncias, tamanho, zonas de disponibilidade e regiões, terá mais opções e menor probabilidade de ficar sem capacidade de Spot Disponível. 

Dica: Use mix de Spot e On demand!
Segue aqui uma lista de ferramentas para uso do Spot.
 

• Spot Blueprints
  Gerador de código de infra, com arquitetura referenciada para o uso do EC2 Spot.
• Seleção de Instância baseada em Atributo
  Em vez de selecionar tipos específicos de instância, essa ferramenta permite provisionar capacidade em atributos de inst. dependendo dos requisitos, também suportando novas instâncias assim que elas se tornarem disponíveis.
• Spot Placement Score(SPS)
  Encontre local ideal (Reg/AZ) para suas cargas de trabalho. Você fornece os requisitos de recursos e capacidade e o SPS, recomenda os locais e a probabilidade de obter a capacidade necessária.
• Fault Injection Simulator (FIS)
  Habilita a engenharia do caos e oferece suporte à imitação de interrupção do Spot, permitindo que você comprove a resiliência das cargas de trabalho executadas no Spot.
   

Sessão 3: Kubecost (Laboratório)
Esse laboratório é focado na ferramenta Kubecost e seu funcionamento e interface do produto. https://kubecost.awsworkshop.io/

Sessão 2: Conceitos de segurança em Pod

Matriz de responsabilidade
A AWS é responsável por manter a segurança da nuvem e você cliente é responsável por manter a segurança na nuvem.

Padrão de segurança de pods (PSS)
Defina três políticas diferentes para amplamente o espectro de segurança. Essas políticas são cumulativas e variam de altamente permissivas a altamente restritivas.

• Privilegiado → Política sem restrições
• Baseline → Politica minimamente restritiva
• Restrito → Política fortemente restrita, seguindo as melhores práticas

Admissão de segurança de pod (PSA)
Elenque diferentes níveis de isolamento para pods. Esses padrões permitem definir como você deseja restringir o comportamento dos pods de maneira clara e consistente. O Kubernetes oferece um controle de admissão de segurança de pod integrado para adotar os padrões de segurança. As restrições de segurança do pod são aplicadas no nível do namespace quando os pods são criados.

Política como Código (PaC)
Assim como pensar em Infra-as-Code, o mesmo se dá para PaC, a ideia é ter os mesmos ganhos, como versionamento, gerenciamento de mudanças e todo o cliclo que pode ser tratado um código.
Se pensar que em k8s, tudo se da por meio de linguagem declarativa como YAML e Json, essa forma de ligar com políticas, me parece caber como uma luva tanto para o usuário/administrador como para a plataforma.

Dado nossa empolgação em escrever e sintetizar, acredito que passamos o quão válido é participar desse programa, o aprendizado é imersivo a ponto da cabeça ferver, o tempo é preciso e cada segundo é uma chuva de informações e isso tudo sendo passado de forma clara, por especialistas da empresa que mantêm e cria esses serviços.

Estamos renovados e ansiosos para ajudarmos clientes e comunidade. Esse programa é encorajador.