Der DevOps Tool Bazar bei Blue Yonder am 20.02.2018 war eine erfrischende Abwechslung zu den sonst monothematischen DevOps Meetups. Die vielseitigen Themen regten nicht nur die Diskussion an, sondern gaben auch einen Einblick in die jeweiligen Domänen der Referenten und die damit verbundenen Herausforderungen.
Jürgen Hermann von 1&1 beschäftigt sich mit dem Verpacken von Python-Software in plattform-native Pakate mit Werkzeugen wie dh-virtualenv und fpm. Am Beispiel von Sentry, einem System für das zentralisierte Logging und Verwalten von Anwendungs-Exceptions, erläutert er, wie diese Werkzeuge funktionieren und auf welche Fallstricke zu achten ist. Mehr dazu findet ihr auf seinen Folien.
Sebastian Neubauer von Blue Yonder weist bereits in seiner Meetup-Ankündigung darauf hin, dass er mit seinem Vortrag bewusst provozieren wolle, was sich schon am Titel seines Vortrags erahnen lässt: Verwirf all deine Wrapper-Bash-Skripte! Indem er sich selbst der Prüfung dieser Aufforderung unterzieht, stellt er auch dem Publikum die Frage, ob die meisten der Wrapper-Skripte nicht überflüssig seien.
Die oft schlechte Qualität und Wartbarkeit der Skripte sei dahingestellt. Sebastians entscheidende These ist, dass das vermeintlich hehre Ziel, den Anwender vor Komplexität zu schützen, negativ zu bewerten ist. Seiner Meinung nach verstellten, Wrapper-Skript dem Anwender den Blick auf das notwendige grundlegende Ops-Know-How. Daher sei es von größerem Wert gute Dokumentationen zu schreiben, die es ermöglichen zugrunde liegenden Technologien aus dem Operator-Bereich einigehender zu verstehen.
Zur Erklärung: Wrapper-Skripte sind die selten kleinen, oft in Bash geschriebenen Skripte, die dem Anwender den Umgang mit komplexer Technologie vereinfachen sollen. Jeder kennt sie, viele haben sie selbst schon geschrieben, wenige wollen sie warten.
Johannes Graf von Synyx stellt anhand des firmeneigenen Blogs auf Basis des Blogging-Tools Hugo vor, wie mit Gitlab-CI und containerisierten Testinstanzen, das Bloggen für die Mitarbeiter massiv vereinfacht und damit motiviert werden kann.
Hugo generiert aus Markdown-Dateien statische Seiten, die auf das Zielsystem hochgeladen werden. Damit ist die Grundlage für schnelles und einfaches Bloggen bereits geschaffen. Um den Mitarbeitern eine Vorschau des Blogbeitrags im Kontext der Blogsite zu geben, generiert Gitlab-CI auf Basis eines Branches eine vollständige lauffähige Vorschau-Instanz des gesamten Blogs in einem Docker-Container. Innerhalb dieser Instanz können Funktionaliät und Inhalt geprüft und gegebenenfalls korrigiert werden. Nach erfolgreichem Merge in den master-Branch wird die Vorschau-Instanz wieder abgeräumt.
Michael Ströder's Spezialgebiet ist das wichtige aber oft vernachlässigte Thema Sicherheit. Sein elementares Credo für mehr Sicherheit ist es, Schlüssel häufig zu wechseln und die Anzahl der Sicherheitsschichten zu erhöhen. Bezüglich Public-Private-Key-Schlüsselpaaren existiert jedoch leider keine inhärente technische Lösung, einen regelmäßigen Schlüsselwechsel zu erzwingen. Policies des Arbeitgebers sind ein eher leidiges und unhandliches Hilfsmittel, höhere Sicherheit zu garantieren. Michael arbeitet deshalb an einer Methode die in OpenSSL bereits implememtierten SSH-Zertifikate, praktisch zu nutzen. Die grundlegende Idee ist es, eine sichere Instanz auf Basis des Public-Private-Key-Paares, kurzlebige Zertifikate generieren zu lassen, die auf dem Zielsystem validiert werden.
Niemand kam in den letzten Wochen an den Themen Meltdown und Spectre vorbei. Den meisten Artikeln der einschlägigen IT-News-Seiten konnte man oft nur entnehmen, dass die Ursache in den modernen Architekturen der Prozessoren liegt und die Kernel-Programmierer der diversen Betriebssysteme nun Wege finden müssen, die aus Pipelining, Branch-Prediction und Co. entstandenen Möglichkeiten für Side-Channel-Attacks zu beheben. Wer Meltdown wirklich verstehen will, muss sich eingehender mit der durchaus komplexen Thematik auseinandersetzen. Patrick M. Hausen von punkt.de hat dies getan und stellt in seinem Vortrag anhand anschaulicher Beispiele in C vor, wie das Verhalten der Prozessoren mittels Zeitmessung, Caching und Schattenregistern ausgenutzt werden kann.
