FOSDEM (Free and Open source Software Developers’ European Meeting) trekt elk jaar duizenden developers naar Brussel om samen over open source te spreken. Na twee jaar een online FOSDEM conferentie door corona-maatregelen was het nu weer op locatie. En met 787 sprekers, 781 events, 63 tracks en 35 rooms was het letterlijk een bomvolle editie!
Open source community: gevoel van belonging
Het mooiste aan de open source community wat onze Trueligans betreft: een gevoel van belonging. De kracht van deze community maakt het voor iedereen mogelijk om mooie software te ontwikkelen. Bij True hosten we dan ook graag meet-ups en we zijn silver member van CNCF. Deze sterke band was voelbaar op FOSDEM. We woonden een aantal inspirerende sessies bij, legden verdere contacten in de open source community en hadden zeer gezellige ritten van Nederland naar Brussel en weer terug. We delen dan ook graag onze inzichten van het weekend met je, inclusief links om een aantal must-watch sessies terug te kijken!
1️⃣ De architectuur en structuur van Elastic Search
“Elastic Search is een van de meest gebruikte full text search engines op websites. We gebruiken deze tool vooral voor webprojecten die veel data doorzoekbaar willen maken. Denk aan online artikelen, maar ook aan afbeeldingen of log files. Het mooie aan Elastic Search: het schaalt moeiteloos mee als je data groeit”, zegt Justin Poort, Linux Engineer bij True. “In deze sessie werd besproken hoe Elastic Search aan de achterkant werkt. Dat is een theoretisch verhaal, maar daardoor niet minder interessant! De schaalbaarheid van Elastic Search zit ‘m in indexes: door documenten in een index in meerdere shards (schalen) te distribueren, en die vervolgens op meerdere nodes te zetten, zorgt Elastic Search voor redundantie. In deze sessie werd daar verder op in gegaan.”
2️⃣ (Geen) root rechten voor containers
“Containers in Kubernetes kunnen soms door een via-via-route buiten de sandbox komen, root-rechten op de hostmachines krijgen, waardoor veiligheidsproblemen kunnen ontstaan. In deze sessie kwam dat aan bod, met ontwikkelingen om op de hostmachine root-rechten voor containers te limiteren”, zegt Tom van Hamersveld, Linux Engineer bij True. “Door het segmenteren van Linux Cgroup UID’s (unieke identificatienummers van controller groepen in Linux) in stukken van 65536, en door ieder segment toe te wijzen aan containers, is het mogelijk om een UID mapping te maken. Daardoor lijkt het voor containers alsof ze root toegang hebben. Op het onderliggende platform wordt dat echter gelimiteerd tot wat de Linux gebruiker nodig heeft. Vooral de ontwikkelingen om deze techniek mogelijk te maken, vond ik erg gaaf. In de presentatie werd het ook visueel duidelijk gemaakt.”
3️⃣ Loki: A time series database, but for strings
“Loki is een time series database, but for strings” zei een van de presenterende engineers. Loki is een log aggregatie systeem, geïnspireerd op Prometheus. Deze sessie ging in op hoe Loki werkt en welke use cases er zijn. Hoewel het meer een sessie over het product zelf was, is het altijd een fijnereminder aan tooling die mogelijk is voor ons werk”, zegt Jona Koudijs, Kubernetes Engineer bij True.
4️⃣ Verschillende typen cloud storage in één overzicht
Tom: “Deze sessie introduceerde enkele verschillende vormen van data storage en data modellen in de cloud, en welke mogelijke software je daarvoor kunt gebruiken. Het gaat van elastic block devices en object storage tot transactionele data stores. Per vorm werden er verschillende equivalenten met hun voordelen gepresenteerd. In de sessie was er aandacht voor zowel Open Source producten als bekende cloudproviders zoals AWS, Azure of Google Cloud. Het was erg interessant om een overzicht te zien en te bespreken. Een van die manieren is om een techniek te toetsen om mogelijk een andere variant te kiezen.”
5️⃣ Het overzicht van open source werk inzichtelijk maken voor werkgevers of stichtingen
“In de sessie Free Culture CV gaf de presentator aan dat het soms lastig is om een goed overzicht van je werk binnen de Open Source Community te maken. Bijvoorbeeld voor een sollicitatie of voor vrijwilligerswerk. De presentator draagt bijvoorbeeld zelf bij aan GitHub, Wikipedia, OpenStreet Maps en GitLab. Er is echter geen open format voor CV building, of een open source systeem om dit te hosten en aan LinkedIn te koppelen”, zegt Jona. “Het idee van de presentator is dan ook om zoiets met de community op te zetten. Hij gaf meerdere tools aan die dit deels al doen, zoals Europass, Keybase.io, Keyoxide.org en Sourcerer. Opvallend en grappig: bij de tool van Europass zitten certificeringen met rare vragen, bijvoorbeeld over je niveau als internet-gebruiker. Euh?? Een grap met een serieuze kern, om een open source format neer te zetten voor een standaard cv. Sourcerer komt wat hem betreft het dichtst in de buurt, alleen wordt het al een paar jaar niet onderhouden.”
6️⃣ Verschillen en overeenkomsten tussen twee database-systemen (en versienummers)
“Er zijn verschillende database-systemen om voor je webapplicatie, webshop of website te gebruiken. Vrijwel de bekendste is MySQL, waarbij op dit moment MySQL 8 de recentste versie is. In deze sessie werd in gegaan op de verschillen tussen MySQL 8 en MariaDB 10.11, als het gaat om features, queries, optimalisaties, replicatie, storage engines en security”, zegt Tom. “In sommige gevallen kan MariaDB een replacement zijn voor MySQL en voor zulke situaties beter functioneren. Echter, door wijzigingen zijn niet alle functionaliteiten van MySQL ook beschikbaar in MariaDB. Benamingen blijven vergelijkbaar, maar de implementatie wijkt af.”
7️⃣ DNS Security: extra veiligheid door nieuwe records en Catalog zones
Senior Security Engineer Eddie Bijnen liep vooral rond met het oog op digitale veiligheid en geeft je drie inzichten voor veiligheid van je DNS records (Domain Name System) mee.
“De eerste: DNS Record SSHFP (Secure Shell fingerprint record). Hiermee kun je de host SSH fingerprint in DNS zetten. De SSH-software zal dan niet langer vragen of de hostkey voor de host klopt, maar kan dit zelf in de DNS records controleren. Dit verlaagt de kans op MITM-aanvallen (man-in-the-middle attack: waarbij de aanvaller de communicatie tussen twee partijen wijzigt, zonder dat zij doorhebben dat ze niet direct met elkaar communiceren. Het is nog het onderzoeken waard welke SSH-software dit ondersteunt. Een andere vereiste is dat DNSSec (Domain Name System Security Extensions) aanstaat op het domein met dit type records.”
“De tweede: DNS Record SVCB (Service Binding record). Dit record maakt het mogelijk om in het DNS antwoord te geven op bijvoorbeeld: connect met TLS, connect met HTTP2, HTTP3, connect met IPv4 en IPv6, en gebruik van encrypted client Hello. Het scheelt een aantal redirects en upgrades. Net als bij SSHFP geldt dat het onderzoek van client-ondersteuning de moeite waard is.”
“De derde: Catalog zones. Nu is het vaak zo: wordt er een wijziging in de DNS/admin gedaan, dan sturen de master DNS servers via DNS notify een bericht naar elke slave DNS server per zone. Moeten DNSSec keys worden geüpdatet, dan betekent dit voor elke domein een bericht sturen. Deze manier van notificaties sturen is relatief foutgevoelig. Catalog zones lost dit op. Het is één zone met alle domeinnamen waar de server geautoriseerd voor is. Wordt er dan een domein toegevoegd of verwijderd, dan weten de slave servers dat ze nieuwe data bij de master server moeten ophalen.”
Je favoriete Trueligan ontmoeten?
Kom naar een van onze events! Op onze event-pagina lees je waar we wanneer zijn. Tot dan 👋
