ขอเกริ่นนำสักหน่อยครับ ปัญหาดั่งเดิมของระบบ VPN แบบศูนย์กลาง หรือ Centrally managed ไม่ว่าจะเป็น ISP Provider-managed หากมีศูนย์ข้อมูลแห่งเดียว ก็อาจกลายเป็น Single points of failure (ถึงแม้จะ Cloud เพราะศูนย์ข้อมูลอาจเกิดเหตุไฟไหม้ได้ครับ อย่างเช่น OVHcloud) คำเตือน: เนื้อหาไม่ได้เป็นเชิงลึกครับ พยายามเขียนให้ผู้อ่านเห็นภาพ ปัจจุบันเราใช้ VPN รูปแบบไหนกันบ้าง? สำหรับองค์กรส่วนใหญ่ใช้งานผ่านผู้ให้บริการเชื่อมต่อระหว่างสาขาขององค์กรผ่าน ISP. Provides IT services บนเครือข่าย MPLS หรือโซลูชั่นวงจรเช่า (carrier service) ก็คือผู้ให้บริการจะเอาอุปกรณ์ไปวางตามสาขาต่างๆ ของเรา แล้วสร้างเครือข่ายส่วนตัวเสมือนที่เรียกว่า VPN ให้ทุกสาขาสามารถติดต่อสื่อสารกับสำนักงานใหญ่ได้ เป็นต้น (หรือบางองค์กรก็อิมพลีเม้นท์ระบบ VPN เช่น อุปกรณ์ MikroTik) อีกรูปแบบหนึ่งก็ VPN เซิร์ฟเวอร์สำหรับผู้ใช้ทั่วไปเพื่อการเข้าถึงอินเทอร์เน็ตที่มีความปลอดภัยยิ่งขึ้น เช่น บริการของ Cloudflare (WARP+) […]
Continue readingMore TagCategory: FOR ENGINEERS
For Engineers
Monitor MySQL, MariaDB Galera Cluster ด้วย Prometheus + Grafana
ก่อนหน้าผู้เขียนก็มีโพสต์เกี่ยวกับเรื่อง Grafana ไปหลายบทความแล้วดูได้ที่นี่ และบทความนี้เราจะมาทำระบบ Monitoring ด้วย Prometheus และ Grafana กันครับ โดยจะใช้ Prometheus ซึ่งเป็น open-source เป็นฐานข้อมูล และใช้ตัว Grafana ทำหน้าที่แสดงค่าต่างๆ โดยใช้ Exporter ดึงข้อมูลหรือ query เพื่อนำมาแสดงค่า ซึ่งเราจะเพิ่ม Exporter หลักๆ 2 ตัวเข้ามาใน Prometheus และ deploy stack ด้วย docker-compose. 1. node-exporter (Server system data collection)2. mysqld_exporter (MySQL server data collection) node-exporter เป็น Exporter ตัวหนึ่งใน Prometheus ที่เอาไว้ดึงค่าต่างๆ ของฮาร์ดแวร์ภายในเครื่องเซิร์ฟเวอร์ เช่น CPU, Disk, Memory […]
Continue readingMore Tag
ติดตั้ง Grafana container บนแพลตฟอร์ม Ruk-Com PaaS
วันนี้มาขอแชร์แบ่งปันเกี่ยวกับวิธีการติดตั้ง Grafana โดยใช้ official Docker image บนแพลตฟอร์ม Ruk-Com PaaS ครับ จะว่าไปแล้ว search ในกูเกิลก็น่าจะมีมั้ง! 55++ ทำความรู้จักกับ Grafana อิหวังว่ะ! Grafana เป็น dashboard tool แบบโอเพนซอร์ส คือเครื่องมือในการสร้าง dashboard สำหรับ Monitoring เซิร์ฟเวอร์ครับ วิธีการใช้งานคือเราต้องเพิ่มทำการเพิ่ม data source (แหล่งข้อมูล) เช่น Prometheus, Elasticsearch, MySQL, PostgreSQL, ฯลฯ เป็นต้น เพื่อบอก Grafana ว่าให้ไปดึงข้อมูลส่วนไหนมาสร้างเป็นกราฟแสดงข้อมูล เช่น CPU, Memory ครับ ข้อดีคือมันแสดงข้อมูลในระดับ real-time และยังกำหนดการแจ้งเตือนไปยังอีเมล, ไลน์ หรือ Slack ได้ ทำให้ใช้งานได้หลากหลายนั้นเองครับ โดยเราสามารถดาวน์โหลดมาติดตั้งได้ทั้งแบบไบนารีและคอนเทนเนอร์ Grafana […]
Continue readingMore Tag
เรื่องนี้มีแค่คุณเท่านั้นที่ได้รู้ Auto scaling กับ Predictive scaling
ถ้าจะให้พูดแบบทึ่ง ๆ ตรง ๆ เรื่องนี้โรงเรียนไม่เคยสอน หนังสืออ้างอิงก็ไม่มี เรื่องนี้มีแค่คุณเท่านั้นที่ได้รู้… Auto scaling กับ Predictive scaling รู้แล้วอย่าไปเล่าให้ใครฟังนะครัช 55++ เมื่อ 10ปี ก่อนเรื่องนี้โรงเรียนไม่มีสอนเพราะ Predictive scaling เป็นแนวคิดใหม่การทำ Auto scalingเข้าประเด็นแบบไม่มีปี่มีขลุ่ยเลยละกันครัช Auto-scaling กับ Predictive scaling Auto Scalable เป็นคอนเซปต์การปรับขนาดโดยอัตโนมัติเดิมทีการสร้างแผนการปรับขนาดแบบดั่งเดิมผู้ดูแลระบบจะกำหนดค่าด้วยออปชัน เช่น Schedule หรือ Usage-Based Rules ด้วย System metrics ซึ่งเป็นตัวชี้วัดเพื่อมอนิเตอร์การปรับขนาดเพิ่มขึ้น/ลดลงอัตโนมัติ. การทำ Auto Scaling ก็เพื่อรักษาประสิทธิภาพการทำงานของแอปพลิเคชันและเซิร์ฟเวอร์ให้มีเสถีรยภาพ(ไม่ให้ระบบล่ม) คงประสิทธิภาพการทำงานนั้นเอง Auto scaling แบ่งออกได้เป็น 2 ประเภทคือ ฝั่ง Workload การปรับขนาดแอปพลิเคชันของคุณโดยอัตโนมัติในเวลาที่ใช้ โดยการเพิ่มจำนวนของ Pod และ schedule ไปยัง […]
Continue readingMore Tag
รู้จักกับ MTA-STS มาตรฐานใหม่รักษาความปลอดภัย SMTP Mail Server สำหรับองค์กร
รู้จักกับ MTA-STS มาตรฐานใหม่รักษาความปลอดภัยระบบเมลขั้นสูงของ Google Workspace (ชื่อเดิม G Suite) และการจัดการสแปม หากว่าด้วยเรื่องโปรโตคอล SMTP (Simple Mail Transfer Protocol) ที่กำหนดมาเพื่อเป็นมาตรฐานในการสื่อสาร ใช้ส่งอีเมลจากเมลเซิร์ฟเวอร์หนึ่งไปยังเมลเซิร์ฟเวอร์หนึ่ง (ที่ไม่มีการเข้ารหัสแต่อย่างใด) หากต้องการเข้ารหัสเครื่องเมลเซิร์ฟเวอร์ต้องสนับสนุนกลไก SMTP over SSL, TLS เป็นต้น แต่แม้ว่าปัจจุบันเมลเซิร์ฟเวอร์ (SMTP server) จะใช้ TLS (port 587) กันแล้ว แต่ยังพบว่ามีช่องโหว่ที่เอื้อต่อผู้ไม่หวังดีสามารถโจมตีเปลี่ยนเส้นทางอีเมลได้ และการใช้งานอุปกรณ์ (โปรแกรม/แอปเมลไคลเอ็นต์) ที่กำลังติดต่ออยู่นั้นต้องรองรับ SSL/TLS ด้วยเช่นกัน ระหว่าง SMTP TLS กับ SSL แตกต่างกันยังไง? ขั้นตอนการเข้ารหัสและเวลาเรียกใช้งานโปรโตคอล SSL จะต้องแยก port ของ data ที่เข้ารหัส กับไม่ได้เข้ารหัสออกจากกัน ส่วน TLS จะแยก […]
Continue readingMore Tag
Full-Stack Monitoring ระบบมอนิเตอร์แบบ Real-time สำหรับ Microservice
ธุรกิจเจ้าของซอฟต์แวร์รายใดที่ไม่เปลี่ยนแปลงตัวเองให้ทันต่อเทคโนโลยีใหม่ก็อยากที่จะอยู่รอดในยุคนี้เช่นเดียวกับธุรกิจการมอนิเตอร์ เมื่อก่อนเราต้องซื้อซอฟต์แวร์มาติดตั้งที่เครื่องเซิร์ฟเวอร์เพื่อทำหน้าที่เป็นเซิร์ฟเวอร์ระบบมอนิเตอร์ แต่ปัจจุบันนี้กลับตรงกันข้าม ไม่ต้องซื้อซอฟต์แวร์ ไม่ต้องซื้อเครื่องเซิร์ฟเวอร์ การมอนิเตอร์แอปพลิเคชั่นทุกวันนี้เราทำผ่านแพลตฟอร์มผู้ให้บริการบนคลาว์ดได้เลย เพราะเวลานี้ระบบส่วนใหญ่ก็ออกแบบแอปพลิเคชั่นเป็น Microservice การมอนิเตอร์จึงมีความสำคัญอย่างมากครับโพสนี้แอดจะพาไปรู้จักกับ New Relic (Full-Stack Monitoring) New Relic ONE แพตลฟอร์มผู้ให้บริการตรวจวัดความเร็ว (Performance Monitoring) สำหรับ Web, Mobile, Application และ IT Infrastructure พร้อมเดชบอร์ดสวยๆ แบบ Real-time insight อีกทั้งยังสามารถพิมพ์คำสั่ง SELECT คิวรีรายงานออกมาดูได้ พร้อมรองรับการ integration เข้ากับ AWS, GCP และ Kubernetes เป็นต้น (มีแอปให้ผู้ดูแลระบบดูผ่านมือถือสมาร์ทโฟนได้อีกด้วย) คนที่อ่านมาถึงตรงนี้ อาจมีคำถามว่ามันคล้ายๆ กับ Grafana หรือ Prometheus ไหม? (อ่านท้ายโพส) สำหรับ WordPress ตัว New Relic สามารถมอนิเตอร์ได้แม้กระทั้งปลั๊กอินและธีมครับ นี่มันแบบลงลึกระดับน้ำทะเลปานกลางเลยก็ว่าได้ โพสนี้แอดจะพาไปลอง APM (Application Performance Monitoring) สำหรับมอนิเตอร์เฝ้าดูประสิทธิภาพของเว็บ WordPress แบบเจาะดูทะลุปลั๊กอินครับ แอดติดตั้ง […]
Continue readingMore Tag
รู้หรือไม่!! GCP คิดเงิน “ทราฟฟิก” Ingress traffic กับ Egress traffic ยังไง?
สำหรับผู้ใช้ Google Cloud Platfrom (GCP) ทุกๆ รายการ SKU ที่ปรากฏบน GCP Billing Report กูเกิลเราจะเห็นว่ามีทั้งฟรีและคิดเงิน แต่ที่ต้องควักเงินจ่ายแน่ ๆ คือค่าเช่าดังนี้… – ค่าเช่าเครื่อง (Instance)– ค่าเช่าเก็บข้อมูล (SSD disk)– ค่าเช่าใช้แรม (Memory)– ค่าเช่าเลขที่ทะเบียนบ้าน (Static IP address) บลาๆๆๆ อื่นๆ ร่วมไปถึงค่า “ทราฟฟิก” ที่แอดกำลังจะพูดถึง… กูเกิลคิดเงินค่า “ทราฟฟิก” Ingress traffic กับ Egress traffic ยังไง? เริ่มแรกแอดพาไปรู้จักกับ 2 คำนี้ก่อนครับ Ingress traffic กับ Egress traffic Ingress traffic เป็นทราฟฟิกขา Upload ขึ้นมูลขึ้นไปยัง GCP โดยส่วนนี้กูเกิลให้ใช้ฟรีไม่คิดเงิน […]
Continue readingMore Tag
QUIC และ HTTP/3 Protocol คืออะไร?
ทุกวันนี้ไม่ว่าจะเป็นผู้ให้บริการอย่าง Cloudflare, LifeSpeed, Google หรือ Facebook ต่างก็พัฒนาเทคโนโลยีในการเชื่อมต่อในการเข้าถึงเว็บได้อย่างรวดเร็วและมั่นคงปลอดภัย ทำให้ประสบการณ์ในการเข้าใช้งานเว็บไซต์โหลดเร็วยิ่งขึ้น QUIC และ HTTP/3 Protocol คืออะไร?กับคอนเซ็ปต์ 100 ms สำหรับการเชื่อมต่อครั้งแรก, 0 ms สำหรับการเชื่อมต่อครั้งต่อไป QUIC (Quick UDP Internet Connections) เป็นโปรโตคอลประเภท UDP-based Encrypted Transport Protocol พัฒนาโดยทีมกูเกิลตั้งแต่ปี 2012 ด้วยคอนเซปต์การพัฒนาขึ้นมาเพื่อลด Latency ในการเชื่อมต่อ HTTPS ลงด้วยการตัดขั้นตอนการสื่อสารที่เกิดขึ้นในการเชื่อมต่อบน TCP และ TLS ลงครับ ซึ่งทาง Google ก็ได้นำ QUIC มาใช้ภายในองค์กรภายในทดแทน TCP + TLS และปัจจุบันก็เปิดใช้งานบนบริการชื่อ HTTPS Load Balancer ของ Google Cloud Platform (GCP) […]
Continue readingMore Tag
แทนที่ VPN แบบดั้งเดิมขององค์กร ด้วย Cloudflare for team ?
ปัจจุบันพนักงานที่ต้องทำงานจากทุกที่ไม่ว่าจะเป็นร้านกาแฟหรือที่บ้าน รูปแบบการเชื่อมต่อยังคงเป็นแบบดั้งเดิมคือ ผ่านระบบ VPN และด้วยคอนเซปต์ Zero-trust ที่ Cloudflare เชื่อว่าเครือข่ายใดๆ ที่เชื่อถือได้ เข้าใช้งานทุกแอปจะต้องถูกพิสูจน์ตัวตนทั้งหมด! เพราะปัจจุบันจะพึ่งพา VPN และ Firewall ไม่ได้แล้ว … อีกอย่าง Firewall ไม่ได้ถูกออกแบบมาเพื่อพิสูจน์ตัวตนและ Phishing! Cloudflare for team คืออะไร? เป็นแพลตฟอร์มความปลอดภัยที่ทำงานบนเครือข่ายของ Cloudflare ที่มุ่งเน้นรักษาข้อมูลและผู้ใช้อุปกรณ์ให้ปลอดภัยโดยไม่ส่งผลต่อประสบการณ์หรือประสิทธิภาพของระบบ เพื่อให้องค์กรสามารถเข้าถึงแอปพลิเคชันในการทำงานได้อย่างมั่นคงปลอดภัย ผลิตภัณฑ์ Cloudflare for Teams เป็นการผสมผสานของเครื่องมือ Cloudflare Gateway (Next-gen Firewall) กับ Cloudflare Access (VPN) เพื่อแก้ปัญหาเรื่องปวดหัวให้กับผู้ดูแลระบบ ไม่ว่าจะเป็นการสร้างกฎ (Policy) การเข้าถึงเว็บไซต์ที่ทำได้ง่าย ๆ เพียงคลิ๊กเดียวและกลายเป็นชุดเครื่องมือที่เหมาะสมสำหรับทีม IT / System Admin ขององค์กรเพื่อเชื่อมต่อและใช้งานเครื่องมือได้อย่างมั่นคงปลอดภัยครับโดยทั้งสองบริการ Cloudflare Gateway (Next-gen Firewall) กับ […]
Continue readingMore Tag
Ingress ไม่ใช่ NAT! แต่เป็นนิยามใหม่ของ Forward port และ Load Balance ที่ยืดหยุ่นที่สุด!
Ingress คืออะไร? Ingress ชื่อเรียกการออกแบบสถาปัตยกรรมที่ช่วยให้ผู้ใช้เข้าถึงเว็บแอปพลิเคชันของเราโดยใช้เพียง URL ชื่อเดียวโดยวิธีการคอนฟิกไฟล์ กำหนดเส้นทางการรับส่งข้อมูลไปยัง service ต่าง ๆ ในคลัสเตอร์หากเป็น Google Cloud จะเรียก Ingress เซอร์วิสบริการนี้ว่า LoadBalancer (GKE Ingress for HTTP(S) Load Balancing) เมื่อคุณสร้างคลัสเตอร์บน GKE ระบบจะสร้าง ingress-service ขึ้นมาให้ เช่นถ้า Deploy เว็บ WordPress แอปพลิเคชัน เจ้า GKE (Kubernetes) ก็จะสร้าง ingress-space ใน Deployment เช่น nginx-ingress-controller เป็นต้น หากกรณี Deploy จาก Marketplace บน Google Cloud คุณมีหน้าที่เพียงกำหนดค่า Replicas ที่อยู่ในส่วนของ Deployment อธิบายเพิ่มเติมคือ […]
Continue readingMore Tag