ref: https://loft.sh/blog/the-cost-of-managed-kubernetes-a-comparison/
本篇文章探討不同 Cloud Provider kubernetes 服務的差異,作者列舉了四個常見的 kubernetes 服務,包含 GKE, EKS, AKS 以及 DOKS。
這四個 kubernetes 服務所部署的 Kubernetes 叢集都有獲得 CNCF Kubernetes Certification 的認證,不同 Cloud Provider 都有自己的優缺點。
使用 Kubernetes 服務帶來的好處就是使用者通常不太需要去擔心如何處理
1. Kubernetes 核心元件之間的 Certificate (API Server, Controller, Scheduler, Kubelet ...etc)
2. 動態調整 Kubernetes 節點
3. 相較於單純靠社群, Cloud Provider 可以提供更快速且更好的支援(畢竟有付錢給對方)
因此該文章接下來就會針對這四個 Kubernetes 服務來探討一下彼此的差異。
註: 有興趣的話都可以用 Sonobuoy 這個開源專案來檢測自己維護的 Kubernetes 叢集,通過測試就可以把測試報告送到 GitHub 開 Issue 申請認證
GKE
1. Kubernetes 正式公開後一個月就 GKE 就出現了 (08/2015), 是最早的 Kubernetes 服務
2. GKE 會使用 gVisor 專注於安全層級的容器隔離技術來部署服務。
3. 有機會使用針對 Container 最佳化的 OS,有些 cloud provider 只能使用 Ubuntu image 之類的。
4. 服務出現問題時,可以啟動 auto-repair 來修復叢集,一種典型作法就是將一直回報為 NotReady 的 k8s 節點給重建
5. GKE 提供自動升級 Kubernetes 版本的功能,如果不想要的話記得要去關閉這個功能,否則自動升級是有可能讓某些應用程式無法正常運作的。
6. 使用 GKE 的話,要付每小時 $0.1 美元的管理費。如果使用 on-prem 的解決方案 (Anthos) 的話就可以免去這些管理費。
EKS
1. 06/2018 創立
2. 可以使用 Ubuntu Image 或是 AWS 針對 EKS 最佳化的 EKS AMI 來獲得更好的效能。
3. EKS 沒有提供自動升級 Kubernetes 版本的功能,官方有提供大量詳細的文件介紹如何手動升級 Kubernetes 版本
4. 沒有類似 auto-repair 的機制去幫忙監控與修復出問題的 k8s node,因此 EKS 使用者需要自己去監控與維護這些節點。
5. EKS 也是每小時 $0.10 的管理費用。 AWS Outposts/EKS Anywhere 這些 2021 啟動的專案讓你有機會將 EKS 部署到 on-prem 的環境中。
AKS
1. 06/2018 創立
2. AKS 沒有提供任何最佳化的 OS,你只能使用常見的那些 OS image 作為你的 k8s 節點
3. 預設情況不會自動升級 kubernetes 版本,不過 AKS 提供選項去開啟自動升級。Cluster 有四種不同策略(none,patch,stable,rapid)來自動更新你的 k8s 叢集。
4. AKS 預設不會啟動 auto-repair 功能。對於一直持續回報 NotReady 的節點, AKS 會先重起該節點,如果問題無法解決就會砍掉重建節點。
5. AKS 不收管理費
6. Azure 沒有特別提供一個供 on-prem 的 AKS 解決方案,不過透過 ARC 是有機會於 on-prem 的環境運行 AKS.
DOKS(DigitalOcean)
1. 05/2019 創立
2. 有提供 kubernetes 版本自動更新功能,但是只有針對 patch 版本的變化
3. 沒有 auto-repair 的功能
4. 文章撰寫的當下, DOKS 沒有任何文件說明如何於 on-prem 的環境運行 DOKS
5. 不收管理費
6. 相對其他三家來說,底層架構相對便宜,一個 DOKS 最低可以低到每個月 $10 美元。
價錢比較:
1. 假設需要創建一個擁有 20 節點並且有 80vCPU, 320GB RAM 的叢集 (GKE 因為每個節點都是 15GB,所以最後只能湊到 300GB)
2. 每個月為單位去計算價格,AKS/EKS/GKE 都使用其提供的價格計算機來粗估, DOKS 需要手動計算。
3. 價錢評比
a. AKS: $3416
b. EKS: $2928
c. DOKS: $2400
d. GKE: $1747
對文章有興趣的別忘了參閱全文
aws certification費用 在 [閒聊] AWS Certified Security 心得分享- 看板NetSecurity 的推薦與評價
本來想發在Soft Job版的
想想這邊可能比較適合
網誌圖文完整版:
https://hackercat.org/aws/aws-certified-security-specialty-experience
AWS Certified Security – Specialty 準備心得分享
近年來,雲端應用服務的需求不斷提升,
並且政府與企業的資安意識也逐漸增長,
所以對於雲端服務的資安固然是相當被重視的,
實際上許多企業在打算將資源轉移至雲端環境中,
都會顧慮到雲端服務中資安的議題。
目前主要的三大雲端服務平台,
Google Cloud Platform (GCP)、
Amazon Web Service (AWS)、
Microsoft Azure (Azure) ,
三者其實都有推出各自的資訊安全相關認證,
本文介紹的就是筆者考取 AWS Certified Security的準備歷程與心得分享。
好啦,以上比較客套的話講完了,
以下就開始隨興的介紹。XD
為何是AWS?
關於為何是AWS Certified Security – Speciality?
其實沒甚麼特別原因,我對雲端也不是特別有興趣,
雖然沒興趣,但是不可否認雲端的重要性,
目前趨勢也是有許多服務都在雲端上,所以應該是要了解一下。
剛好公司有需求需要這張認證,有開班一起去上課,就跟著報名了。
這張認證的相關介紹可以參考下方官網的連結
AWS Certified Security – Specialty
https://aws.amazon.com/tw/certification/certified-security-specialty/
官方的考試指南
https://d1.awsstatic.com/training-and-certification/docs-security-spec/AWS-Certified-Security-Specialty_Exam-Guide.pdf
官方的考題範例
https://d1.awsstatic.com/training-and-certification/docs-security-spec/AWS-Certified-Security-Speciality_Sample-Questions.pdf.pdf
準備歷程與資源
2019/8/15參與AWS Security的實體課程,
之後因為由於種種因素,
算是從9月底才開始有辦法認真準備AWS Security,
考試時間則是12/26,幸運地一次通過考試。
準備時間約三個月,但是因為上班時間不能準備,
工作內容幾乎也跟AWS毫無關聯。
(那要幹嘛要考XD,好啦,這個問題不重要)
所以準備的時間約三個月的…
上下班通勤時間,下班時間,假日的時間,
雖然只有下班跟假日,但是幾乎是每天下班都花很多時間,
假日沒特別有約的話,也是整天都在準備AWS,所以總準備時間算是滿多。
還有順便說一下,在8月之前,
其實我本身對於AWS的經驗是0。
並且是七月份才從傳產機械跨領域到資安領域,
實際的準備過程,
算是先準備Practitioner完才準備Security
(但是我沒有去考基本認證),
同時學習網路與資安的相關知識。
下面說說我自己的的準備方法與資源。
因為有參與恆逸的實體課程,
8月中去上課的,三天的課程,
上課老師講得很清楚,我覺得講得很好。
可是呢,有一點可能需要注意,
因為我們上課的人,多數都是沒有上過其他AWS課程,
也沒有考過其他AWS認證,所以其實也花了不少時間在介紹AWS各項服務,
包括了許多基礎的服務與其內容,
而上課的老師其實也有提到,建議考AWS Security之前,
先考其他的Certificate,對於AWS有基本的了解與認識再考Security,
而我也是秉持著同樣的想法,
雖然我自己是第一張就考AWS Security,
但我也會建議不要第一張就考這張。
AWS官方的考試指南也是建議要有5年IT Security與2年的AWS實作經驗。
三天的實體課程包含一個電子書PPT還有一些LAB,
LAB老實說我只有跟過三天課程中的那幾個(不多),
而之後的時間,我就沒有實作過其他的LAB
(實際上之後好像也沒辦法做,LAB好像會關閉),
我後來只有自己架了EC2跟S3來玩看看,
當然我絕對不會說LAB不重要,
如果是實務取向,我相信LAB非常重要,
但以考取認證來說,個人認為LAB不會是最優先考量要熟悉的項目,
並且如同我前面提到,我的工作內容幾乎與AWS無關,
所以一些服務的使用與設定,其實我不熟悉實作,
對於考認證與工作並無太大影響,只要觀念與原理了解即可。
(不過這其實也是一個盲點啦,有時候沒碰LAB要了解觀念很難,
或是要做了LAB你才會知道自己觀念哪裡有問題或需要加強。)
那雖然我沒有作LAB也沒有玩其他服務,
我有開啟AWS的官網,把每個Security中提到的服務,
都有點進去看過,看看dashbord有哪些選項,哪些功能之類的,
總之就是到處亂點亂看,沒有真的把服務運行起來(因為怕被收費QQ)。
我自己的學習歷程如下,
AWS官方的網路課程看過一遍,
主要就是針對 Practitioner、Security的主題,
或是一些比較核心服務 IAM、VPC、S3 相關的內容。
AWS Training的網站連結如下
https://www.aws.training/
上課的PPT我看了兩遍,有作筆記,
第一次可以算是完整詳細閱讀,
第二遍是看完下面兩個網站的課程之後才看得,
算是針對不太了解的地方再仔細看一次而已。
以下兩個網站的AWS Security課程都有上完一遍,
這兩個網站其實都有提供免費試看期間,
我都是在試用期間看完的,所以沒有花到錢。
A CLOUD GURU
https://acloud.guru/learn/aws-certified-security-specialty
O’REILLY
https://www.oreilly.com/library/view/aws-certified-security/9780135771990/
接著是AWS中跟資安相關的白皮書跟Best Practices看一看,
上下班的通勤時間會看看「常見問答集」。
針對比較不熟悉的一些觀念都會再多花時間搞懂。
接著就是看看網路上免費的題庫,大概是這樣。
推薦「網路上免費的題庫」一定要看熟,
我大概於考前一個星期開始看,看了3~4遍。
不過考試相信是..絕對不能只依賴題庫,
因為考題真的滿活也滿難的,
個人認為AWS考試是有鑑別度的。
考試題型與範圍
考試的內容與題型的部分呢,
考題的形式「全部」都是選擇題,
相信對不少人來說已經是鬆了口氣,
不然如果要像OSCP實作真的是太硬了。
(至少對我來說是XD)
題目的領域可以參考AWS官方Exam Guide
考試時間180分數,考試題數共65題,有單選與多選題。
滿分是1000分,通過分數是750分,但是我不知道分數是怎麼算的。
比較特別的是,這種類型的考試,
每個題目的解答其實並不是唯一解,而是最佳解,
也就是說要選擇答案中最適合最接近題意的解答。
所以…真的是很難XDDDD
我自己雖然是考了一次就過了,分數也不算低,
我拿到的分數是956分,
但還是覺得是有些僥倖心虛,滿意外的。
考試因為可以往回作答,所以我的作法是,
考試一開始就先從第一題開始直接刷到最後一題,
看到馬上能答題或能夠確定答案的就填,有猶豫或是不確定就跳過,
等寫到最後一題再回頭一題一題看。
接著來提一下考試範圍,一點點的技術內容,
因為範圍真的是也非常廣的,彼此之間又相互關聯,
考試內容也很隨機,靈活,或是組合不同服務。
下面提一些我覺得需要注意的事情。
1.了解所有服務,熟悉重要服務
這個可以算是最花費時間也最重要的,
就是要知道每個服務的用途與目的,
有些重要的項目像是EC2、IAM、VPC、S3要盡可能熟悉內容。
在Security課程中提到的所有服務,
都要知道其用途,知道在甚麼場合適合使用,
不需要每項都深入熟悉,但能夠了解每個服務的目的,
都清楚了解的話,許多簡單的題目可以很快速作答,
譬如像是WAF、Shield、CloudFront,要能夠清楚區分彼此的區別,
如果要阻擋DDOS,要採用哪個服務比較好?
還有像是CloudTrail、CloudWatch、AWS Config、Inspector 這種,
如果沒有很了解服務內容的區別,其實會很容易混淆。
2.搞懂IAM跟policy
關於IAM和ACL相關的內容一定要熟悉
像是User,Group,Role,Policy之間關係
Policy的三種Type
AWS-managed/customer-managed/inline
Permissions兩種type
User-Based Permissions/Resource-Based Permissions
(其實還會加上SCP)
優先順序explicit deny/explicit allow/implicit deny
這些必須要很熟悉,一定是要真的搞懂,
應該是沒有辦法硬背背起來的。
https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html
3.KMS
關於KMS,symmetric跟asymmetric的CMK,
不同Key的用途還有保存位置與Key rotate的內容,
這些算是容易搞混的一個服務。
https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys
4.Data Security
這部分可以參考白皮書像是Encrypting Data at Rest
關於Data Security,要能區分SSE-KMS, SSE-C, SSE-S3。
5.VPC相關
譬如像是如何從地端連接到VPC
可以參考白皮書
aws-amazon-vpc-connectivity-options
還有VPC中的ACL,這個部分很複雜。
6.Dedicated Instances/Dedicated Hosts
這個其實滿簡單的。
一個是運行你的instances上的Server不會有別人的Instances,
可是每次運行時,你有可能會換到不同的server主機。
Dedicated Hosts就是這台主機就是你的,只會運行你的instance
每次開機都在同個主機,主要是有些合規需求需要。
以上簡短的只提了幾個項目與方向,
畢竟這篇主要目的在於心得分享而已,不是技術文章,
未來有機會可能會整理自己的AWS筆記放上來。
以上純粹是我個人的一些想法跟心得,
當然也不表示是最佳的準備方法,更不代表提到的東西就是會考的東西喔XD
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.194.180.53 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1598189917.A.72B.html
不過這張證照是跟security還滿有關的,畢竟就是security認證阿XDDD
就全部都是在講securtiyu相關的,只是因為是AWS是自家的,
其實很多東西也是到AWS之後改了個名字。
※ 編輯: wavek (123.194.180.53 臺灣), 08/23/2020 22:30:23
... <看更多>