Il servizio AKS e la risorsa ACR di Microsoft Azure permettono di realizzare velocemente cluster orchestrati utilizzati per implementare soluzioni basate sulla tecnologia Docker. Nella progettazione d'infrastrutture, la sicurezza by design è un requisito obbligatorio per ridurre al massimo la superficie attaccabile dell'infrastruttura. Dopo un breve richiamo ai concetti alla base di AKS e ACR, con l'approccio del InfrastructureAsCode il talk si concentrerà su due dimostrazioni, mostrando i passi da seguire per i casi d'uso: il deploy su singolo nodo Docker ed il deploy su cluster Kubernetes, delle immagini caricate su registry privato. Nelle demo verrà mostrato come rendere sicuri, con certificati digitali, i canali usati dalla Docker-cli per il deploy e management delle infrastrutture.
Nat come esporre servizi https senza esporre l'applicazioneGiuliano Latini
Review degli strumenti a disposizione e loro contestualizzazione per erogare servizi tramite il protocollo HTTP reso sicuro (HTTPS) utilizzando il servizio Internet Let's Encripts e confronto tra gli approcci tecnologici applicabili a Apache, Nginx e Traefik.
Dai tradizionali SAN e NAS allo Storage VM-aware: come Clouditalia ha evoluto...VMUG IT
VMUGIT Meeting a Napoli - 6 aprile 2016
Dai tradizionali SAN e NAS allo Storage VM-aware: come Clouditalia ha evoluto la sua infrastrutture utilizzando Tintri (Raffaello Poltronieri, Clouditalia)
CCI2018 - Implementazione di una PKI in Windows Server e automazione del cicl...walk2talk srl
Nelle moderne infrastrutture informatiche la gestione dei certificati digitali è una delle attività che stanno alla base di una corretta politica della sicurezza informatica. Nella sessione verrano analizzati le architetture di installazione di una Cerification Autority in ambiente Windows Server per piccole, medie e grandi aziende e saranno discusse le best practices di gestione della Security e del Backup di una CA.
Inoltre verrà approfondito come utilizzare la Certification Authority Pubblica gratuita Let's Encrypt per la gestione automatizzata del ciclo di vita dei certificati digitali.
By Roberto Massa e Ermanno Goletto
I TechAdvisor Michelangelo Uberti e Pasquale Angiuli presentano OpenStack, l’innovativa piattaforma software open source dedicata alla creazione di Private e Public Infrastructure-as-a-Service.
Michelangelo Uberti fornisce una panoramica generale della tecnologia, illustra le principali differenze tra la classica virtualizzazione e OpenStack e presenta l’offerta Par-Tec in questo ambito. Pasquale Angiuli cura invece la sessione demo di approfondimento focalizzata sulla gestione operativa della piattaforma.
Per saperne di più, scaricate le slide e guardate il video delle presentazioni dei nostri TechAdvisor su http://www.par-tec.it/panoramica-e-demo-sul-progetto-openstack
Nat come esporre servizi https senza esporre l'applicazioneGiuliano Latini
Review degli strumenti a disposizione e loro contestualizzazione per erogare servizi tramite il protocollo HTTP reso sicuro (HTTPS) utilizzando il servizio Internet Let's Encripts e confronto tra gli approcci tecnologici applicabili a Apache, Nginx e Traefik.
Dai tradizionali SAN e NAS allo Storage VM-aware: come Clouditalia ha evoluto...VMUG IT
VMUGIT Meeting a Napoli - 6 aprile 2016
Dai tradizionali SAN e NAS allo Storage VM-aware: come Clouditalia ha evoluto la sua infrastrutture utilizzando Tintri (Raffaello Poltronieri, Clouditalia)
CCI2018 - Implementazione di una PKI in Windows Server e automazione del cicl...walk2talk srl
Nelle moderne infrastrutture informatiche la gestione dei certificati digitali è una delle attività che stanno alla base di una corretta politica della sicurezza informatica. Nella sessione verrano analizzati le architetture di installazione di una Cerification Autority in ambiente Windows Server per piccole, medie e grandi aziende e saranno discusse le best practices di gestione della Security e del Backup di una CA.
Inoltre verrà approfondito come utilizzare la Certification Authority Pubblica gratuita Let's Encrypt per la gestione automatizzata del ciclo di vita dei certificati digitali.
By Roberto Massa e Ermanno Goletto
I TechAdvisor Michelangelo Uberti e Pasquale Angiuli presentano OpenStack, l’innovativa piattaforma software open source dedicata alla creazione di Private e Public Infrastructure-as-a-Service.
Michelangelo Uberti fornisce una panoramica generale della tecnologia, illustra le principali differenze tra la classica virtualizzazione e OpenStack e presenta l’offerta Par-Tec in questo ambito. Pasquale Angiuli cura invece la sessione demo di approfondimento focalizzata sulla gestione operativa della piattaforma.
Per saperne di più, scaricate le slide e guardate il video delle presentazioni dei nostri TechAdvisor su http://www.par-tec.it/panoramica-e-demo-sul-progetto-openstack
Praticamente... AWS - Amazon Web ServicesSpeck&Tech
ABSTRACT: Il cloud non è una novità e l'offerta di servizi di AWS è molto ampia. Ma come sono usati nella pratica? Presentiamo in questo intervento due casi d'uso per una multinazionale ed i ragionamenti collegati alla complessità, architettura e convenienza, in un contesto complesso e distribuito.
BIO: Alberto Martinelli è laureato presso l'università di Trento in Informatica ed ha lavorato per alcune realtà locali trentine per clienti provinciali, nazionali ed internazionali. Esperto di architetture software su diverse scale, attualmente lavora presso Fincons come Manager e Solution Architect.
Meetup Azure DevOps
Introduzione ad Azure DevOps e panoramica sulle principali funzionalità per il CI ed il CD del proprio software
Speaker: Simone Natalini
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...Par-Tec S.p.A.
Il nostro DevOps Engineer Gabriele Torregrossa insieme alla Solution Architect Eleonora Peruch di Red Hat, moderati dal giornalista Francesco Pignatelli, hanno mostrato come Red Hat ACS può aiutare a difendersi dalle minacce informatiche, riducendo al minimo i costi ed il rischio operativo delle tue applicazioni.
I temi trattati da Gabriele sono stati:
- RHACS Insights
- Conformità agli standard di settore
- Valutazione dei rischi per la sicurezza
- Gestione delle politiche di rete
- Gestione delle vulnerabilità
- Risposta alle violazioni
- Sistema centralizzato di ricerca
- Integrazione con SSO
- Gestione della salute del cluster
- Integrazione per allarmi e backup
Per saperne di più, scaricate le slide e guardate la registrazione del webinar su https://www.par-tec.it/advanced-cluster-security-come-si-mette-davvero-al-sicuro-il-cloud
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFSMorlini Gabriele
Esperienza di migrazione di un intero sistema informativo da VM a container, utilizzando Docker, Rancher e ZFS. Durante lo speech verrà mostrato come abbiamo ristrutturato il nostro sistema informativo aziendale affrontando tematiche di disaster recovery, monitoraggio e backup. Saranno illustrati i vantaggi ottenuti e le sfide che abbiamo dovuto affrontare durante la migrazione di Alfresco, Gitlab, Redmine, SemanticMediaWiki. Migrando a container abbiamo ottenuto backup online 24x7, la possibilità di creare ambienti on-demand per le migrazioni e l'indipendenza dal provider dell'infrastruttura.
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS Imola Informatica
Esperienza di migrazione di un intero sistema informativo da VM a container, utilizzando Docker, Rancher e ZFS. Durante lo speech verrà mostrato come abbiamo ristrutturato il nostro sistema informativo aziendale affrontando tematiche di disaster recovery, monitoraggio e backup. Saranno illustrati i vantaggi ottenuti e le sfide che abbiamo dovuto affrontare durante la migrazione di Alfresco, Gitlab, Redmine, SemanticMediaWiki. Migrando a container abbiamo ottenuto backup online 24x7, la possibilità di creare ambienti on-demand per le migrazioni e l'indipendenza dal provider dell'infrastruttura.
Azure Day Rome 2019 Reloaded - Utilizzare Azure Kubernetes Service per i nost...azuredayit
Con AKS, Azure Kubernetes Service , è possibile creare istanze Sql server in modo semplice e veloce, beneficiando delle funzionalità di failover clustering native di AKS.
In questa sessione vedremo come installare, gestire e migrare istanze tradizionali su AKS.
IaC - Infrastructure as Code, gestire infrastrutture cloud tramite file di co...Daniele Mondello
Gestire infrastrutture in cloud con la semplicità di scrivere file di configurazione. Tutto ciò grazie a Terraform, soluzione Open Source per gestire infrastrutture cloud indipendentemente dal Cloud.
In questa serata cercheremo di capire perchè Blazor ha riscosso così tanto successo, e lo faremo analizzando casi presi da applicazioni reali dove questa tecnologia è stata introdotta, così da capirne meglio le potenzialità (ma anche le eventuali criticità).
Come di consuetudine, faremo poi un confronto, così da condividere i vari punti di vista.
MySQL Day Roma 2019 - Le architetture a microservizi e MySQLPar-Tec S.p.A.
In occasione del MySQL Day 2019 di Roma il TechAdvisor Michelangelo Uberti e Marco Carlessi - MySQL Principal Sales Consultant di Oracle - hanno fornito una panoramica sui concetti chiave, sui benefici e sulle opportunità offerte dalle architetture a microservizi.
I punti trattati durante la presentazione sono:
- Le architetture a microservizi
- Dai monoliti ai microservizi
- Un esempio concreto: Netflix
- Architetture a microservizi: vantaggi e punti di attenzione
- Dalla virtualizzazione ai container
- Containerizzazione: vantaggi e punti di attenzione
- Come superare i limiti dei container
- MySQL e le architetture a microservizi
- Microservizi e i dati
- Microservizi e database: due approcci
- MySQL può girare dentro i container
- Deploy MySQL 8.0 con Docker
- Oracle MySQL Operator for Kubernetes (Alpha)
- MySQL 8.0: un multi-model DB
- MySQL Enterprise licensing
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su https://www.par-tec.it/le-architetture-a-microservizi-e-mysql
Livin' with Docker - dallo sviluppo alla produzionegiacomos
Presentiamo un caso di studio di un progetto web nato e cresciuto con Docker al centro della scena. Vedremo le soluzioni scelte durante tutto il percorso, partendo da docker-compose in locale, per arrivare a CoreOS e systemd in produzione, passando per la fase di continuous integration/build e il deploy.
Talk DockerOps 13-02-2016, Ferrara
Dai comlet all'IT e la giornata l'ha sfangata^J dagli Graph Powershell e gest...Giuliano Latini
Descriviamo un nuovo modo per interagire con il cloud usando PowerShell. Tramite l'SDK vediamo come semplificare il management e la consultazione delle risorse aziendali presenti in Microsoft365 per estrarre valore dai contenuti e dalle relazioni presenti.
Praticamente... AWS - Amazon Web ServicesSpeck&Tech
ABSTRACT: Il cloud non è una novità e l'offerta di servizi di AWS è molto ampia. Ma come sono usati nella pratica? Presentiamo in questo intervento due casi d'uso per una multinazionale ed i ragionamenti collegati alla complessità, architettura e convenienza, in un contesto complesso e distribuito.
BIO: Alberto Martinelli è laureato presso l'università di Trento in Informatica ed ha lavorato per alcune realtà locali trentine per clienti provinciali, nazionali ed internazionali. Esperto di architetture software su diverse scale, attualmente lavora presso Fincons come Manager e Solution Architect.
Meetup Azure DevOps
Introduzione ad Azure DevOps e panoramica sulle principali funzionalità per il CI ed il CD del proprio software
Speaker: Simone Natalini
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...Par-Tec S.p.A.
Il nostro DevOps Engineer Gabriele Torregrossa insieme alla Solution Architect Eleonora Peruch di Red Hat, moderati dal giornalista Francesco Pignatelli, hanno mostrato come Red Hat ACS può aiutare a difendersi dalle minacce informatiche, riducendo al minimo i costi ed il rischio operativo delle tue applicazioni.
I temi trattati da Gabriele sono stati:
- RHACS Insights
- Conformità agli standard di settore
- Valutazione dei rischi per la sicurezza
- Gestione delle politiche di rete
- Gestione delle vulnerabilità
- Risposta alle violazioni
- Sistema centralizzato di ricerca
- Integrazione con SSO
- Gestione della salute del cluster
- Integrazione per allarmi e backup
Per saperne di più, scaricate le slide e guardate la registrazione del webinar su https://www.par-tec.it/advanced-cluster-security-come-si-mette-davvero-al-sicuro-il-cloud
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFSMorlini Gabriele
Esperienza di migrazione di un intero sistema informativo da VM a container, utilizzando Docker, Rancher e ZFS. Durante lo speech verrà mostrato come abbiamo ristrutturato il nostro sistema informativo aziendale affrontando tematiche di disaster recovery, monitoraggio e backup. Saranno illustrati i vantaggi ottenuti e le sfide che abbiamo dovuto affrontare durante la migrazione di Alfresco, Gitlab, Redmine, SemanticMediaWiki. Migrando a container abbiamo ottenuto backup online 24x7, la possibilità di creare ambienti on-demand per le migrazioni e l'indipendenza dal provider dell'infrastruttura.
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS Imola Informatica
Esperienza di migrazione di un intero sistema informativo da VM a container, utilizzando Docker, Rancher e ZFS. Durante lo speech verrà mostrato come abbiamo ristrutturato il nostro sistema informativo aziendale affrontando tematiche di disaster recovery, monitoraggio e backup. Saranno illustrati i vantaggi ottenuti e le sfide che abbiamo dovuto affrontare durante la migrazione di Alfresco, Gitlab, Redmine, SemanticMediaWiki. Migrando a container abbiamo ottenuto backup online 24x7, la possibilità di creare ambienti on-demand per le migrazioni e l'indipendenza dal provider dell'infrastruttura.
Azure Day Rome 2019 Reloaded - Utilizzare Azure Kubernetes Service per i nost...azuredayit
Con AKS, Azure Kubernetes Service , è possibile creare istanze Sql server in modo semplice e veloce, beneficiando delle funzionalità di failover clustering native di AKS.
In questa sessione vedremo come installare, gestire e migrare istanze tradizionali su AKS.
IaC - Infrastructure as Code, gestire infrastrutture cloud tramite file di co...Daniele Mondello
Gestire infrastrutture in cloud con la semplicità di scrivere file di configurazione. Tutto ciò grazie a Terraform, soluzione Open Source per gestire infrastrutture cloud indipendentemente dal Cloud.
In questa serata cercheremo di capire perchè Blazor ha riscosso così tanto successo, e lo faremo analizzando casi presi da applicazioni reali dove questa tecnologia è stata introdotta, così da capirne meglio le potenzialità (ma anche le eventuali criticità).
Come di consuetudine, faremo poi un confronto, così da condividere i vari punti di vista.
MySQL Day Roma 2019 - Le architetture a microservizi e MySQLPar-Tec S.p.A.
In occasione del MySQL Day 2019 di Roma il TechAdvisor Michelangelo Uberti e Marco Carlessi - MySQL Principal Sales Consultant di Oracle - hanno fornito una panoramica sui concetti chiave, sui benefici e sulle opportunità offerte dalle architetture a microservizi.
I punti trattati durante la presentazione sono:
- Le architetture a microservizi
- Dai monoliti ai microservizi
- Un esempio concreto: Netflix
- Architetture a microservizi: vantaggi e punti di attenzione
- Dalla virtualizzazione ai container
- Containerizzazione: vantaggi e punti di attenzione
- Come superare i limiti dei container
- MySQL e le architetture a microservizi
- Microservizi e i dati
- Microservizi e database: due approcci
- MySQL può girare dentro i container
- Deploy MySQL 8.0 con Docker
- Oracle MySQL Operator for Kubernetes (Alpha)
- MySQL 8.0: un multi-model DB
- MySQL Enterprise licensing
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su https://www.par-tec.it/le-architetture-a-microservizi-e-mysql
Livin' with Docker - dallo sviluppo alla produzionegiacomos
Presentiamo un caso di studio di un progetto web nato e cresciuto con Docker al centro della scena. Vedremo le soluzioni scelte durante tutto il percorso, partendo da docker-compose in locale, per arrivare a CoreOS e systemd in produzione, passando per la fase di continuous integration/build e il deploy.
Talk DockerOps 13-02-2016, Ferrara
Similar to Kubernetes e bello, sicuro è meglio! (20)
Dai comlet all'IT e la giornata l'ha sfangata^J dagli Graph Powershell e gest...Giuliano Latini
Descriviamo un nuovo modo per interagire con il cloud usando PowerShell. Tramite l'SDK vediamo come semplificare il management e la consultazione delle risorse aziendali presenti in Microsoft365 per estrarre valore dai contenuti e dalle relazioni presenti.
Nat come esporre servizi https senza esporre l'applicazioneGiuliano Latini
Ura rapida introduzione al problema di esporre come esporre un servizio su protocollo HTTP in modo sicuro, ricostruendo tramite i principali tool una timeline che ci porta a Traefik, il tools oggetto della demo.
Descrizione e confronto tra le architetture di acquisizione e analisi delle metriche realizzate usando Prometheus Grafana InfluxDB e Telegraf con l'architettura della soluzione Azure Matrics per monitorare un'infrastruttura realizzata usando il servizio Azure AKS.
Molte aziende, prima di abbracciare integralmente l'approccio cloud preferiscono un approccio ibrido estendendo il proprio on-premise verso il cloud. Questa scelta aggiunge complessità nel monitoraggio e complica la gestione delle dashboard riassuntive sul funzionamento dell'infrastruttura. Durante la sessione verrà fatto un sintetico "state-of-art" dei principali strumenti per il monitoraggio arrivando poi a proporre un'architettura per il monitoraggio di infrastrutture ibride.
Molte aziende, prima di abbracciare integralmente l'approccio cloud preferiscono un approccio ibrido estendendo il proprio on-premise verso il cloud. Questa scelta aggiunge complessità nel monitoraggio e complica la gestione delle dashboard riassuntive sul funzionamento dell'infrastruttura. Durante la sessione verrà fatto un sintetico "state-of-art" dei principali strumenti per il monitoraggio arrivando poi a proporre un'architettura per il monitoraggio di infrastrutture ibride.
Il container è una VM? Qual'è l'anatomia di un container. Come realizzare il build d'immagine singola e in multi-stage. Cos'è un docker stack e la descrizione d'infrastruttura. In che modo kubernetes realizza un'infrastruttura a microservizi. E chiuderà con lo schema funzionale di un deploy su Docker Desktop con Kubernetes attivo. I temi trattati sono presentati con la citazione di una madrina scelta tra le figure femminili più rappresentative della storia dell'informatica.
Kubernetes as HA time series server, a proposalGiuliano Latini
Grazie allo IoT e al basso costo della connettività mobile possiamo acquisire grosse quantità di dati eterogenei. Un possibile modo per organizzarli nell'ottica del monitoraggio e dell'analisi proattiva è l'uso dei Time Series Database come InfuxDB. Durante la sessione varrà proposta un'architettura in alta affidabilità, utilizzando il servizio AKS di Microsoft Azure, per implementare un sistema di raccolta e classificazione dati in serie temporali con console di visualizzazione, pronti per alimentare altri servizi presenti nell'infrastruttura Microsoft Azure. Una parte del talk sarà dedicata a mostrare l'uso dell'architettura proposta.
Funziona! allora non toccarlo, ovvero l'analisi d'infrastruttura in esercizio.Giuliano Latini
Il "non stuzzicare il can che dorme" è un approccio classico nell'ambiente delle operation e nasce dall'essere focalizzati sulla garanzia dei servizi erogati. Purtroppo gli avvicendamenti: del personale, delle aziende e dei progetti impongono la necessità di analizzare l'infrastruttura in esercizio. I provider di Public Cloud come Microsoft Azure forniscono maggiori strumenti, rispetto quelli disponibili nelle architetture on-premises, per lo studio dell'infrastruttura mantenendo l'erogazione dei servizi. Durante la sessione, con alcune demo di esempio, verranno illustrare le tecniche e gli strumenti disponibili in Microsoft Azure per raggiungere questo obiettivo.
Nell'ultimo quinquennio un nuovo attore si è affacciato sulla scena dell'Information Technology, il suo nome è Docker. Con una crescita esponenziale ed una diffusione ancor più rapida, Docker ha trasformato il modo di percepire e utilizzare l'ICT. Una trasformazione così radicale ed estesa da non poter ignorare la domanda: Cos'è Docker?
Lo scopo di questa giornata è di fornire una risposta a questo interrogativo, mostrando ai partecipanti nuovi scenari, per le realtà dell'Università e della Ricerca, grazie alle possibilità che Docker offre.
Latini Giuliano li guiderà lungo un percorso articolato secondo questi temi:
- Infrastruttura, Isolamento, Idempotenza e DevOps ovvero i vantaggi e i vincoli della definizione formale di un'infrastruttura, concetti teorici e glossario;
- Docker, un facilitatore per utilizzare i Container e le tecnologie ad essi collegate;
- Container vs Hypervisor, le due facce della stessa medaglia: pro, contro ed esempi d'uso;
- Dalla Vm alla Infrastruttura di Servizi, un modo per rimescolare le carte a nostro vantaggio;
- Sviluppo software: esempio d'uso di Docker nello sviluppo di una procedura PHP;
- Gestione di Sistemi: esempio di un'infrastruttura Wordpress organizzata a servizi, definizione formale implementata con Docker;
- Docker Swarm la clusterizzazione ed alta affidabilità, come il sistema risponde e si adatta alle sollecitazioni esterne in un sistema di calcolo;
L'obiettivo finale è fornire ai partecipanti un gruppo di concetti ed esempi grazie ai quali poter approfondire autonomamente Docker, personalizzandone l'uso per le proprie necessità; in alternativa ad una trattazione dettagliata ed esaustiva di tutti i temi illustrati, impossibile nel tempo a disposizione.
A conclusione del corso verrano messi a disposizione, come materiale didattico da approfondire: slide, esempi e bibliografia di riferimento.
Durante la sessione verrà esplorato il panorama offerto da Microsoft Azure per implementare servizi basati su Linux. Dopo una rapida introduzione, il talk si concentrerà sulla creazione di: una VM RedHat, una Webapp .NET Core e un cluster ACS con Docker Swarm. Saranno descritti i passi necessari per lo startup di un ambiente su cui testare le potenzialità offerte da questi approcci infrastrutturali in Microsoft Azure.
I containers in azure, light vm o un vero cambio di paradigma?Giuliano Latini
Iniziando dalla definizione di container, nella sessione esamineremo quali strumenti Microsoft Azure mette a disposizione per sfruttare pienamente la potenza e flessibilità offerte da Docker nella containerizzazione dei processi. Partendo da una infrastruttura semplificata a nodo singolo su vm, arriveremo ad allestire un servizio ACS (AKS) per il clustering con orchestration in Microsoft Azure, predisponendo una infrastruttura su cui sperimentare scaling&orchestration di progetti Docker.
Mobile Camp @Univpm - Introduzione all'eventoGiuliano Latini
Chiacchierata introduttiva all'evento, in cui ho descritto le mie esperienze: nell'ambiente delle community, allo scopo di presentarle al pubblico presente; il nuovo rapporto tra Microsoft e l'OpenSource e introdotto i temi che gli speaker approfondiranno nei vari interventi.
Immaginiamo un modo diverso di concepire la struttura di un pacchetto software che ci consenta di spaziare tra affidabilità e scalabilità. Sulla costruzione ci affidiamo alle risorse infinite di un PublicCloud, di cui monitorare i costi infrastrutturali per evitare di scendere sotto il break even point nel rapporto Costi/Ricavi. Pensare il software come una nuvola di processi staccati che colloquiano tra loro, ci da maggiore flessibilità (la singola ape è sacrificabile e sostituibile nel contesto dello sciame), mentre il concetto di Alveare come concentrazione dei dati raccolti/elaborati, ci permette di semplificare e gestire meglio il problema CONSISTENZA. Avremo così agenti semplici e rimpiazzabili in modo automatico che TRASPORTANO dati dall’acquisizione allo storage (Alveare), in cui, altri moduli manipoleranno e gestiranno il Miele. Abbiamo trasformato il problema da: gestiamo pochi oggetti complessi (VM) in gestiamo tantissimi moduli semplici (Container), come li coordiniamo??? Kubernets è una possibile risposta.
Esploriamo docker per scegliere tra un'approccio monolitico tramite le VM o un approccio modulare per una gestione più efficiente e leggera delle applicazioni in ambiente Linux.
Presentazione del software Puppet per la gestione automatizzata di sistemi. Nelle prossime Version verra aggiunta una registrazione della parte Demo sfruttando l'infrastruttura cloud Microsoft Azure.
4. #DOH19 4
About me
• Ho esperienza quasi trentennale di sistemi e
software in ambito scientifico e della pubblica
amministrazione;
• Dal 2000 gestisco sistemi in ottica Remoting;
• Da 5 anni studio la cultura DevOps ed ho appreso che
ogni problema ha soluzione ma la tecnologia non
risolve tutti i problemi.
5. #DOH19 5
What, How, Why?
• La security nel mondo dei container:
• Nel codice: networking attraverso canali SSL e TLS, controllo degli input di
frontend;
• In infrastruttura: analisi dei files in ingresso con tool antivirus/antimalware,
analisi delle vulnerabilities nelle immagini usate, uso di un registry privato;
• Nel management dell’infrastruttura: canali di comunicazione per cli e
dashboard protetti con SSL e TLS; Uso delle risorse Secrets; Accesso VPN.
• Nei container in cloud valgono le stesse regole? Assolutamente SI!
• DockerDesktop install&run e la security? E’ da configurare!
• Da dove inziamo? Proteggendo l’headquarters!
7. #DOH19 7
Infrastructure as Code
• Costruzione e gestione dell’infrastruttura attraverso definizioni
formali delle risorse e degli stati da raggiungere.
• Uso delle tecniche di design pattern in ambito infrastrutturale.
• Modelli per il change management delle unità di processo:
Ad-hoc, Configuration synchronization, Immutable infrastructure, Containerized services.
• La security agisce su due aspetti:
• L’unità di processo, generalizzazione del concetto di Server, in cui valutare
superficie di attacco e vulnerabilità del software presente;
• Il canale di comunicazione attraverso cui sono comunicate le definizioni che
innescano il change management dell’infrastruttura.
• Concentriamoci sul Modello Containerized Services.
8. #DOH19 8
Azure Container Service
• Il Azure Container Service verrà ritirato il 31 gennaio 2020
• Migrazioni:
• da Azure Container con Kubernetes a AKS o aks-engine (opensource);
• da Azure Container con Docker a Docker EE Basic o Standard/Advanced;
• Azure Container con DC/OS a Mesosphere DC/OS Enterprise o Open Source.
• Architettura di security:
SCRIPT
9. #DOH19 9
Azure Container Registry
• Registry privato d’infrastruttura in cui depositare le immagini dei
container utilizzati dalle infrastrutture gestite.
• AAI:
• RBAC Individuale, tramite il comando ‘az acr login --name <acrName>’ e
sfruttando la pre-autenticazione di ‘az login’ un token con validità 1h è
created/cached per eseguire ‘docker push <acrLoginServer>/hello-world:v1’,
l’accesso si basa sugli strumenti IAM e Azure AD;
• Entità di Servizio, oggetto definito in Azure AD consente l’autenticazione
headless ad applicazioni e servizi per accedere al registry; si basa sul
meccanismo APP_ID/Secret utilizzando valori in formato GUID. All’oggetto
sono attribuibili i ruoli: AcrPull, AcrPush, Proprietario, è utilizzabile con
‘docker login myregistry.azurecr.io --username $SP_APP_ID --password $SP_PASSWD’.
• Il servizio AKS è integrabile con un Registry ACS per associazione.
10. #DOH19 10
Azure Kubernetes Service
• Gestione semplificata di un cluster per l’orchestrazione di container.
• Security
• AKS with Role-Based Access Control (RBAC): account di servizio e
integrazione con AAD a cui associare ruoli locali o estesi al cluster.
• AKS secrets: gestione dei dati sensibili (es. credenziali) necessari ai pod.
• Ingress Controller and Ingresses: LoadBalancer e filtering per il traffico in
ingresso ai pod applicative dell’infrastruttura.
• Network policies: accesso del servizio alle tecnologie Azure per il
networking così da sfruttare subnet virtuali, Network Security Group,
ExpressRoute, VPN.
• Image Hardening: assegnare l’esecuzione del processo interno al container
ad uno user e non al root locale
• Azure API management
12. #DOH19 12
Criticità, il fianco scoperto da proteggere
• Accesso alla parte applicativa: esclusivamente via HTTPS tramite un
bilanciatore di carico per con certificato Let’s Encrypt.
• Accesso ai vari domini (Frontend, Backend, API) via path (Es.
www.acme.com/f/spa1 , www.acme.com/bc/function1,
www.acme.com/api/function1).
• Un registry dedicato per ogni ambiente (develop, staging, product).
• Image Hardening per tutte le immagini depositate nei registry
staging e product.
• Credenziali non riassegnabili individuali e per servizio con
assegnazione dei ruoli sfruttando AIM AAD e RBAC.
• Uso degli strumenti di Network policy per gestire la connettività
diretta al cluster.
17. 17
Deploy di uno stack su AKS con
kubectl attraverso un canale sicuro
18. #DOH19 18
Recap
• Gli strumenti che implementano in cloud il Modello Containerized
Services gestiscono l’accesso via CLI con meccanismi forti di
autenticazione basati su token e certificati.
• Ridurre la ‘superfice attaccabile’ dell’infrastruttura attenua ma non
annulla la pericolosità degli attacchi.
• La gestione delle identità degli oggetti che interagiscono
nell’infrastruttura non è uno sterile consumo di tempo.
• Una parte della gestione della security nei container presenta
problemi e ha soluzioni simili alle VM e ai sistemi fisici.
• La security è un processo dinamico e non statico.
20. #DOH19 20
Bibliografia
• Infrastructure As Code
• Infrastructure as Code
• IaC on Azure – An introduction of Infrastructure as Code (IaC) with Azure
Resource Manager (ARM) Template
• How Azure CLI Manages Your Access Tokens
• Docker security
• docker/docker-credential-helpers
• Protect the Docker daemon socket
• az login
• Gestire l'accesso alle risorse di Azure usando RBAC e il portale di Azure
21. #DOH19 21
Bibliografia
• AKS
• Azure Kubernetes Service (AKS) Security Features - DZone Security
• Secure Kubernetes Services with Ingress, TLS and Let's Encrypt
• Kubernetes RBAC and TLS certificates – Kubernetes security guide (part 1). |
Sysdig
• Using OpenVPN on Azure For a Low Cost, Private VPN - Wintellect
• Documentazione del gateway VPN
• Concetti - Funzionalità di rete nel servizio Azure Kubernetes
• Oggetti applicazione e oggetti entità servizio in Azure Active Directory -
Microsoft identity platform
22. #DOH19 22
Bibliografia
• ACR
• Azure Container Registry: Public preview of Helm Chart Repositories and
more | Blog | Microsoft Azure
• Azure Container Registry Documentation - Tutorials
• SKU di Registro Azure Container
• Integrare Container Registry di Azure con il servizio Azure Kubernetes
• docker login
• Autenticazione al Registro Azure Container con entità servizio
• Eseguire l'autenticazione con un Registro Azure Container
23. #DOH19 23
Bibliografia
• ACS
• Il servizio Azure Container verrà ritirato il 31 gennaio 2020 | Aggiornamenti
di Azure | Microsoft Azure
• Docker for Azure setup & prerequisites
• Docker Engine - Enterprise for Azure
• Get Familiar with Docker Enterprise Edition Client Bundles - Docker Blog
• Docker - Docker Reference Architecture: Universal Control Plane Service
Discovery and Load Balancing for Swarm
24. #DOH19 24
Bibliografia
• criticità della piattaforma dal punto di vista della security
• Azure Kubernetes Service (AKS) Security Features - DZone Security
• Security concepts for applications and clusters in Azure Kubernetes Service
(AKS)
• Best practices for cluster security and upgrades in Azure Kubernetes Service
(AKS)
• Securing Kubernetes on Microsoft Azure: are your container doors wide
open?
• Let's Encrypt - Free SSL/TLS Certificates
25. #DOH19 25
Bibliografia
• Demo
• configurare con certificati digitali le connessioni usate da docker-cli per il deploy
• Verify repository client with certificates
• Deploy di un'immagine su ACR
• Setup Kubernetes Ingress with SSL-Passthrough
• Tutorial - Prepare a container registry for Azure Container Instances
• Eseguire l'autenticazione con un Registro Azure Container
• Deploy di un'immagine su VM con docker engine
• Secure services with TLS
• Deploy Docker containers fast to Microsoft Azure
• deploy di un container su ACS - Docker for Azure
• Deploy Docker containers fast to Microsoft Azure
• Deploy di uno stack su AKS
• Secure Kubernetes Services with Ingress, TLS and Let's Encrypt
• Kubernetes on Azure tutorial - Prepare an application