Łukasz Kałużny: Ten mit o tym, że chmura jest tania, on nie jest mitem.

Szymon Warda: Chmura dla Enterprise kosztuje tyle, ile Enterprise jest w stanie za to zapłacić. Przede wszystkim, jeżeli firma ma już zbudowany cały system on premowy, ma przewidywalny workload, jest w tym dobra, ma to ogarnięte, ta chmura nie ma sensu.

Łukasz Kałużny: Dobra, entra, to wiadomo, że trzeba korzystać. Korzystajcie z passwordlessa manage identity gdzie się da, nie płacicie za to. Jak umiecie korzystać z modelowania danych na NoSQL-a, to CosmosDB w serverlessie też jest bardzo tani.

Szymon Warda: Cześć, słuchacie Patoarchitektów. Prowadzą Szymon Warda…

Łukasz Kałużny: I Łukasz Kałużny. Wszystkie linki do tego odcinka gdzieś tam na stronie czy tutaj na dole, dacie sobie radę, wierzymy w Was. Niestety Szymon nie w stroju dinozaura tudzież smoka, w zależności jak patrzeć.

Szymon Warda: Smoka, Łukasz, dinozaury wyginęły.

Łukasz Kałużny: Dobra, z ogłoszeń. Przypominamy o konferencji 16 czerwca z okazji 200 odcinka. To będzie taka pierwsza rzecz. A z rzeczy bliższych, trzy szkolenia nadchodzące. Żebyście nie płakali, że nie było miejsc, tak jak stało się to teraz kilkukrotnie z Architekturą 101, więc 16 lutego, 17, 18 Szymon prowadzi Observability na stosie Grafana. I co byś dorzucił o tym? Bo przepisałeś to szkolenie kolejny raz i wydłużyło się.

Szymon Warda: Ja je od zera przerobiłem absolutnie po prostu całkowicie i teraz jest to na pełnym stosie, łącznie z… Jest Prometheusz, jest Mimir, jest Loki, jest Tempo, jest Pyroscope, jest Alloy, tam są i LLM-y pięknie wrzucone, wyjaśniające, alerty, cała masa fajnych rzeczy i ładnie połączona jeszcze na technologiach, na Pythonie, Go, Javie, JavaScripcie, .Necie. Co byście nie chcieli, tam będzie.

Łukasz Kałużny: Tak naprawdę odnoszę wrażenie, że daje rozeznanie, co tak naprawdę stos Grafany pozwala i w których miejscach możecie się wdrożyć, polepszyć albo podjąć decyzję: tak, wchodzimy w tą technologię.

Szymon Warda: Nawet nie tylko Grafana, bo też będziemy zahaczali OBI. Też OBI, czyli Open Telemetry eBPF Profiling też jest tam wrzucony. Bardziej na zasadzie to jest część kolejnych szkoleń tak naprawdę, ale też zahaczymy gdzie, jak to ładnie ująć. Tak że jest wszystko.

Łukasz Kałużny: Kolejne to 24 lutego, zostały ostatnie miejsca na Agentic AI The Hard Way, czyli napiszemy swojego własnego agenta bez żadnych frameworków, o tak, żeby zobaczyć ten loop, wzorzec Observe, Decide, Act, jak to wszystko pod spodem działa i jakie są wzorce tworzenia takiego agenta. Czyli trochę tak jak było to na Kubernetesie The Hard Way, żeby zrozumieć Kubernetesa robimy go od zera i stawiamy od zera. Tak, tutaj w Agenticu robimy agenta od zera korzystając tylko z OpenAI-owego SDK, bo samo API jest najpopularniejsze, ale nie będziemy korzystać z żadnego lukru, cukru składniowego, który się tutaj znajdzie.

Szymon Warda: Czyli usuwamy magię, że tak powiem.

Łukasz Kałużny: Dokładnie. I ostatnie, 3 marca, MCP Masterclass, czyli jak budować swoje serwery MCP, które mają być używane, żeby nie przypominało tego, co Atlassian, z czego się nabijaliśmy, zrobił w Girze, że w sumie zapełnia Wam okno kontekstowe, jest do niczego nieużywalne. Czyli nie jak używać MCP, tylko bardziej podejście: chcemy dostarczyć MCP, jak je projektować? Czym to się różni od API?

Szymon Warda: Dobrze i w sumie to czemu nie używać po prostu natywnych API gateway’owych, że można zrobić lepiej.

Łukasz Kałużny: Jeszcze szybkie dodatkowe ogłoszenie. Do Protopii, czyli firmy, którą prowadzimy z Szymonem i stoi za Patoarchitektami i stąd słyszycie o naszych doświadczeniach, szukamy AI Inżyniera, czyli osoby, która pomoże nam w budowie rozwiązań agentowych, LLM-owych, w tych projektach, którymi Wam się chwalimy, dzielimy doświadczeniami czy narzekamy na jakieś technologie. I od takiej osoby oczekujemy, że będzie mieć dobry background programistyczny. Preferowany jest Python, ale zupełnie nie jesteśmy zamknięci na inne języki, więc jak nie masz doświadczenia w Pythonie, to akurat nie jest problem. Liczy się tutaj mindset. Nie musisz też mieć doświadczenia komercyjnego z LLM-ami. W tym miejscu nauczymy Cię. Jeżeli masz jakieś pytania odnośnie tego stanowiska, jak to wygląda, to napisz do mnie na LinkedIn na priv bądź na Discordzie. Szczegóły znajdziesz w ogłoszeniu. Ogłoszenie oczywiście, tak jak wszystkie inne linki, tutaj znajdziesz na stronie odcinka i pod spodem.

Szymon Warda: Dobrze. Temat odcinka - chmura w małej skali. Czemu? Bo prosiliście na Discordzie, więc Wy prosiliście, my wysłuchaliśmy. Ta chemia działa w ten sposób, że tak powiem.

Łukasz Kałużny: Tak, tutaj jest Jerrzy, jak to się ładnie tutaj nick określa w tym. Ma też jeden, drugi achievement, jest pierwszą osobą zapisaną na konferencję. Więc tak, po serii robimy to w dużej skali. To seria, 1 odcinek: czego nie lubimy w małej skali chmury? Bo jest przydatna, ale ma bardzo dużo problemów różnych dziwnych.

Szymon Warda: Łukasz jest tym marudkiem w tym odcinku, generalnie twierdząc, że to nie ma sensu. I jak z Ulicy Sezamkowej, było takie grono dwóch marudzących, to właśnie Łukasz był. Ja jednak jestem zwolennikiem, że to w pewnych obszarach ma sens, ale wydaje mi się, że cel jest zupełnie inny. Bo powiedzmy sobie szczerze, to nawet rozmawialiśmy odnośnie tego odcinka, taka adopcja chmury w małej skali robimy po to, żeby było jakoś. Nie robimy tego, żeby potem, żeby przejść jakieś atesty i tak dalej. To się nie uda.

Łukasz Kałużny: Raczej tak, powiedzmy sobie, bo mamy małą skalę, w dwóch oznaczeniach może być mała skala. Mała skala może oznaczać małą firmę, albo jesteśmy już większą firmą i zaczynamy w chmurze. I wtedy ta mała skala… Lepiej pójdźcie do tych dwóch poprzednich odcinków na temat chmury. Nie słuchajcie tego, mówimy tutaj o kwestii mała firma.

Szymon Warda: Tak, dokładnie, 100 osób do 200 to absolutny max.

Łukasz Kałużny: Tak i jak to zaczynamy. I teraz słuchajcie, rzecz, z którą chyba trzeba się pogodzić: kasa, kasa, kasa, kasa.

Szymon Warda: Bo chmura w pełnej skali jest droga.

Łukasz Kałużny: Tak i na początku, jeżeli teraz popatrzymy, jeżeli nie mamy, ten mit o tym, że chmura jest tania, on nie jest mitem, ale są różne elementy, które sobie dzisiaj poruszymy, bo to jest chyba istotne do powiedzenia, pod tytułem zarządzanie ryzykiem i tego, co my tak naprawdę chcemy osiągnąć. O tak.

Szymon Warda: Nie no, Łukasz, nazwijmy dwie rzeczy. Chmura dla Enterprise kosztuje tyle, ile Enterprise jest w stanie za to zapłacić.

Łukasz Kałużny: Tak.

Szymon Warda: Czyli prawie networking będzie drogi, rzeczy enterprise’owe będą drogie.

Łukasz Kałużny: Będą drogie. Podatek za Enterprise, Enterprise Tax. I tak, jedna rzecz jeszcze przed tym, robiliśmy rok temu albo dwa lata temu taki odcinek: Alternatywy dla chmury od hiperskalerów z Mariuszem Dalewskim. I polecamy też pójść do niego i zobaczyć alternatywne podejście, o którym dzisiaj nie będziemy rozmawiać, ale możemy wspominać, więc warto sobie to zobaczyć.

Szymon Warda: Ale że tak powiem, w kontekście sytuacji politycznej odcinek aktualny jak żaden inny bym powiedział.

Łukasz Kałużny: Tak. Dobra, to słuchaj, zacznijmy od tego, kiedy mówimy, że ta chmura nie ma sensu.

Szymon Warda: Dla mnie to jest kilka rzeczy. Przede wszystkim, jeżeli firma ma już zbudowany cały system on premowy, ma przewidywalny workload, jest w tym dobra, ma to ogarnięte, ta chmura nie ma sensu. Druga opcja, jak jesteśmy super małą firemką i tam właściwie tylko jakieś szybkie rzeczy, to pobawić się, ale to w tym momencie nie mówimy o adopcji chmury jako takiej, to nie ta bajka w ogóle. Dwie skrajności. A jak jesteśmy w środku, czyli coś tam działa, coś potrzebujemy się skalować, chcemy rosnąć, chcemy odpowiednio koszty robić i tak dalej, to w tym momencie ta chmura zaczyna mieć spory sens i… Znaczy chmura. Przez chmurę rozumiemy też wejście w chmurę na trochę bardziej poważny sposób.

Łukasz Kałużny: Dobra, to wiesz, to też sobie tak, powiedzmy sobie, jeżeli teraz popatrzysz na to, jeżeli budujemy jakiś produkt, to być może ona będzie miała sens ze względu na skalowanie potrzeby. A być może słuchaj, tak jak tutaj wrzuciłeś w notatkach, workload jest przewidywalny i odcinek 116 ma większy sens ze względu na koszty i to co możemy zrobić.

Szymon Warda: Jeszcze odnośnie workloadu, przewidywalny i jak chodzi tylko na VM-kach, na nic innego go nie wrzucimy, to wtedy zysk będzie niewielki.

Łukasz Kałużny: Czy VM-kach. I teraz jest zabawa, co będzie Szymon jak weźmiemy, bo masz co za chmurą mimo wszystko, taki wpisany w notatkach i masz ten manage Kubernetes, macie Kubernetes, manage services, macie Kubernetes. I teraz tutaj wrzucę taką, taki kamień, ok, ten manage Kubernetes na przykład, te manage serwisy są super rzeczą. Wiesz o tym, że baza danych potrafi wejść, jak chcemy trochę więcej, zaczynają się jazdy i problemy. To jest taka rzecz, z którą ja mam na przykład zawsze problem. Z drugiej strony, manage Kubernetes, weźmy sobie w Digital Ocean na przykład manage Kubernetesa, który jest tani.

Szymon Warda: Tak, w pełni rozważam Digital Ocean, jest dobrą alternatywą do pewnych sytuacji. Jak najbardziej się przyda. Mój kluczowy tutaj punkt jest taki, jak macie Kubernetesa hostowanego na on premie samodzielnie, pomyślcie, żeby z tego wyjść, bo to jest dobry motywator, bo nie macie pewnie zasobów, żeby to robić dobrze, bezpiecznie i pod każdym względem spokojnie.

Łukasz Kałużny: I to jest ta, kiedy odradzamy. W sensie jak zespół nie ma kompetencji, nie ma budżetu na naukę, zapłacenie za utrzymanie tego, to jest proszenie siebie o problemy.

Szymon Warda: Ja bym jeszcze dorzucił jedną wersję, taką bardzo techniczną. Jak stoicie na Windowsie i nie zamierzacie z niego wyjść. Łukasz, wiemy, zdajemy sobie z tego sprawę.

Łukasz Kałużny: Wiem do czego pijesz, do jakiego projektu pijesz.

Szymon Warda: Ale nawet same sensowności. VM-ki na Windowsie, nie poszaleje, że tak powiem.

Łukasz Kałużny: Dobra, jak sobie wiesz, na to popatrzymy, dobra z tym odradzaniem, to teraz tak, popatrzmy sobie, właśnie te koszty przy stałym workloadzie, będzie drożej. Vendor lock, jak za bardzo pójdziesz w serwisy i będziesz chciał spieprzać z tym worklodem w tańsze miejsce, nagle przepisywanie. Geopolityka i Trump, to jest w ogóle… Inaczej, o tej geopolityce było tak samo w tym odcinku 116.

Szymon Warda: Wydaje mi się, że jednak w konferencji, bo nagrywamy to w sumie parę dni po Davos, to jednak się ruszyło dość dużo. To może nie wchodźmy w tematy mocno polityczne, ale ten temat wydaje mi się, że będzie aktualniejszy, niż by się wydawało w najbliższych kilku miesiącach, tudzież latach. Zobaczymy. Dobra. Potem było drugie pytanie: jaki jest minimalny sensowny setup w Azure dla startupu małej firmy? I to jest fajne pytanie.

Łukasz Kałużny: To ja się jeszcze na sekundkę cofnę, jeszcze do tego wyjścia z chmury. Słuchaj Szymon, taka myśl, która musi być, bo nie powiedzieliśmy o compliance, tudzież ryzyku. Jeżeli i to chyba, chciałbym, żeby to może wybrzmiało teraz, potem wytłumaczymy, w których miejscach. Prawdopodobnie w tym momencie, żeby przejść audyt, który powie Wam, że ktoś da Wam zewnętrzny papier, że wszystko jest okej, powinniście mieć private networking i inne rzeczy. I to wychodzi drogo.

Szymon Warda: Na starcie nie uda się, nie (…).

Łukasz Kałużny: Tak, i to wychodzi drogo, bo można zrobić czary na serverlessie, żeby było tanio. Inaczej Szymon, da się zrobić, wiesz o tym, że da się zrobić. Od strony… Nie mówię o rachunku za private networking, tylko mówię o części compute. Compute, Cosmos DB w trybie serverless, table storage. Wiesz o tym, że da się zrobić magię w każdym z cloudów, żeby było tanio. Tylko ono compliance’owo, jeżeli teraz mówimy o wspaniałej klauzuli, że należytej staranności, to nikt powie, że nie dołożyliście należytej staranności do bezpieczeństwa, jak będą problemy. I to jest rzecz, o której…

Szymon Warda: Serverlessa możesz zrobić tanio, nie zrobisz serverlessa tanio i zgodnie z wymaganiami, żeby audyt powiedział, że jest w porządku.

Łukasz Kałużny: Tak, w wielu miejscach tak. Taki zwykły nawet audyt zamówisz: powiedzcie, że jesteśmy bezpieczni. Sorry, nie jesteście. Taka będzie odpowiedź. Trzeba sobie powiedzieć, nienawidzę straszyć bezpieczeństwem, ale to jest ten moment, kiedy trzeba sobie to jawnie powiedzieć. Prawdopodobnie ten setup, o którym mówi Mariusz, jak nie dopilnujecie, też nie przejdzie, ale to przynajmniej będzie taniej.

Szymon Warda: Ja tu przytoczę słowa naszego trzeciego wspólnika, mianowicie, że coś będzie stało dupą do świata.

Łukasz Kałużny: Albo dupą do świata będzie wychodziło.

Szymon Warda: Tak. Dokładnie. Pewnie to będzie baza danych, mówiąc bardzo prosto. Dobra. Minimalny scope, teraz minimalny zakres?

Łukasz Kałużny: Dobra, tak, kłóciłbym się teraz tak, jedna czy dwie subskrypcje. Jednak bym został dwie. Zostałbym dwie. Za subskrypcje nie płacicie. I w tych setupach dwie subskrypcje.

Szymon Warda: Tak. Czemu mówimy dwie? Jedna produkcyjna i jedna developerska. Proste. Wywołania wszystkie są z CLI-a, są per subskrypcje, więc jak ktoś się machnie to przynajmniej nie usunie produkcji.

Łukasz Kałużny: I w Terraformie też trzeba się postarać, żeby się skrzywdzić.

Szymon Warda: Tak. W sensie dwie Was nie obronią, ale na poziomie RBAC-ów, dostępów, czytelności, kosztów, wszystkiego zdecydowanie dwie subskrypcje. To bawienie się w jedną, tudzież mniej nie ma sensu. Ale też ja bym też nie rozdrabniał. Jak nagle wychodzi Wam, że macie 10 subskrypcji, to trochę może przekombinowaliście. Od tego są resource grupy na pewnych poziomach.

Łukasz Kałużny: Dobra, resources grupy per aplikacja, per środowisko jak namepace’y na Kubernetesie.

Szymon Warda: Tak, ja tu dorzucę jedną rzecz, żeby nie było, bo czasami bywają różne ciekawe pomysły w małych zespołach, nie róbcie resource group per typ zasobu, bo takie rzeczy też widywaliśmy.

Łukasz Kałużny: Tak, dobra entra to wiadomo, że trzeba korzystać. Korzystajcie z passwordlessa, manage identity gdzie się da, nie płacicie za to.

Szymon Warda: Usługi zarządzane.

Łukasz Kałużny: Tak, usługi zarządzane. I teraz tak, jak pójdziemy, no to co, moc obliczeniowa, to ja bym powiedział tak, App Service lub Container Appsy, wszystko w trybie. I nawet powiedziałbym, że być może trzeba zobaczyć czy Container Appsy nie będą tańsze.

Szymon Warda: Znaczy nie, ja bym powiedział inaczej. Container Appsy na rzeczy na Linuxie. Na rzeczy na Windowsie - App Services.

Szymon Warda: I pokrywa całą Waszą potrzebę.

Łukasz Kałużny: Uwaga, .Net, uwaga, jeżeli nie masz klasycznego .Netu do klasycznego .Net frameworka, to nie, nie potrzebujesz App Service na Windowsie. Coś poszło nie tak jeżeli potrzebujesz. Używasz nowego frameworka i potrzebujesz w tym, więc…

Szymon Warda: Ja od razu powiem, jak macie App Service, to naprawdę wrzucenie tam binarki jest złym pomysłem. To nie zawsze musi być w kontenerze, jak na przykład chcecie coś linuksowego tam hostować. Tak że na spokojnie i prosto, nie utrudniajcie sobie życia w tym kontekście.

Łukasz Kałużny: Dobra, baza danych. Jak ma być tanio, to SQL w serverlessie, tudzież jak umiecie korzystać z modelowania danych na NoSQL-a, to Cosmos DB w serverlessie też jest bardzo tani.

Szymon Warda: Jest tani, to popłynie, bo wchodzimy w zarządzanie RU, zarządzanie zasobami, w modelowanie, w joiny, nieprzewidywalny jak się zachowa. Nie. SQL. Cosmos, jak macie system, który istnieje, go zmieniacie, macie duży workload i jesteście, potrzebujecie multiregionalnego zapisu, czyli multiregion wrighta, ale wtedy już pewnie nie jesteście małą firmą. I blob storage.

Łukasz Kałużny: I blob storage, tak. Jak potrzebujecie kolejek to można tam popatrzeć na event grid i inne takie elementy.

Szymon Warda: Dobra, to lecimy dalej, bo narzucamy tempo, tempo, tempo, tempo.

Łukasz Kałużny: Tempo, tempo, dobra. Must have - MFA, backupy włączone, alerty, RBAC, żeby nie wszyscy mieli ownera, bo to przypilnujmy tego. Wszędzie HTTP jest włączony, IaC, to wiadomo. Ja bym, słuchaj Szymon, do tych Twoich rzeczy jeszcze dorzucił jedną taką rzecz governance’ową, która u Ciebie już trochę wpadła, nie pamiętam, czy miałeś gdzieś potem, czy nie w notatkach, to…

Szymon Warda: Mi tu jeszcze jednej rzeczy brakuje - front door.

Łukasz Kałużny: No i właśnie i teraz czy to jest tanie czy lepiej… Powiedziałbym, że jak cebula mode, to lepiej Cloudflare’a, jak może. Jak wolicie…

Szymon Warda: Za dużo rąbanki. Nie, nie, nie, front door przykrywa, daje proste wystawianie pod private linki, podpięcie się pod te wszystkie App Services i inne rzeczy, działa i jest proste.

Łukasz Kałużny: Dobra i teraz trafiamy pod koszty, bo front door, który wspiera Ci private linki, to jest premium, który kosztuje 300 euro miesięcznie. No właśnie i zaczynamy…

Szymon Warda: I wystawiasz tam wszystko. Jest to koszt do łyknięcia.

Łukasz Kałużny: No właśnie, to jest pytanie do Was - czy to w małej skali jest 300 euro miesięcznie za tą usługę to koszt do łyknięcia? Czy nie lepiej kupić najtańsze konto business na Cloudflare? Jestem ciekaw Waszej opinii. Szymon, dorzuciłbym jedną rzecz, konwencje nazewniczą. Korzystajcie po prostu z konwencji nazewniczych z KV, które są. Na przykład jeżeli jesteście w Azure czy w tym, korzystajcie z domyślnej konwencji nazewniczej i skrótów, bo nazewnictwo, to wiesz jak wygląda, gorzej niż w naszych subskrypcjach labowych.

Szymon Warda: To powiedzmy sobie jedną rzecz generalnie, to jest to odnośnie małych firm. Bierzcie gotowce i nie wymyślajcie nic. Jeżeli widzicie jakiekolwiek moduły, które macie gotowe, to je bierzecie i z nimi nie dyskutujecie. Po prostu używacie. Chyba, że są w skali enterprise, tych nie bierzecie, ale wszystkie pozostałe bierzecie.

Łukasz Kałużny: Dobra. I tak kończąc te must have, przypominając, bo chyba to padło, to alerty kosztowe. To jest taki must have na prognozy, budżety i inne rzeczy. To musicie ustawić, bo to zawsze w małej skali jest największy płacz.

Szymon Warda: Tak. I o ile czasami mówimy, że przy większej skali to nie ma większego… Inaczej, są dużo później, jak mówiliśmy o poprzednich odcinkach, to w małej skali to jest bardzo ważne. I to jest też fajne ćwiczenie w organizacji, nauczenie się mniej więcej ile to będzie kosztowało i ile jesteśmy w stanie na to wydać. To jest też bardzo ważne. Dobrze. Czy robienie koszernych lub Hub and Spoke można pominąć? Odpowiedź jest prosta - będziecie musieli.

Łukasz Kałużny: Pominąć czy zrobić?

Szymon Warda: Będziecie musieli pominąć, bo firewall jest drogi.

Łukasz Kałużny: Inaczej, kurde najtańszy firewall i tak wychodzi, cały setup zawsze wychodzi powiedzmy, że to jest 800 dolców na przykład w Azure, jak chcemy to zrobić w miarę koszernie na dzień dobry w tym i…

Szymon Warda: I zysk z tego masz niewielki tak realnie na to patrząc.

Łukasz Kałużny: Ale teraz tak i teraz, jak wrócimy sobie do tego compliance’u, ok, bo jest taki problem, że powinniśmy kontrolować, to jest ta rzecz, która w tym jest problematyczna. Czy kontrolujemy ruch wychodzący?

Szymon Warda: Ja zakładam, że nie. Nie w tym przypadku.

Łukasz Kałużny: No i w tym przypadku to jest tak, jak nie kontrolujesz ruchu, jesteś wystawiony dupą do świata, nie wiesz co się dzieje w przypadku tego. I to jest taka rzecz, o której zawsze powiem. To jest rzecz, którą… Dlaczego o tym zawsze wspominamy? Nie tylko private networking, ale to, że jak pomijamy Hub and Spóke’a i właśnie tak jak na wejściu mamy tego, możemy użyć sobie tego Cloudflare, przyblokować ruch, możemy użyć Front Doora, spoko, zabezpieczymy się. Tak nie wiemy co wychodzi z naszej sieci. I to jest taka rzecz, która, podatek enterprise i tutaj to jest to ryzyko, które trzeba wiedzieć, że jak się coś, a w dzisiejszych czasach fuck upów słyszymy co niemiara, pociągniętych credential i iine rzeczy, to jest największy fuck up.

Szymon Warda: Dokładnie. Dobrze, idziemy. Zacząłeś temat private endpointingu. Kiedy to jest konieczne, a kiedy to jest wygórowany koszt?

Łukasz Kałużny: Dobra, powiedzmy tak, jak popatrzymy na rzeczy serverlessowe, o których powiedzieliśmy: SQL-a, App Services, Container Apps, dostajemy to w cenie. W sensie private endpoint to będzie te 7, na przykład 7 euro dodatkowych, więc cena nie jest super wygórowana. Nie potrzebujesz do tego firewalla, Hub and Spoke’a, żeby z tego korzystać.

Szymon Warda: Choć koszty zbierają się szybko, bo ich trochę będzie.

Łukasz Kałużny: Tak, tylko kurde ile będziesz miał? Dobra ile będziesz miał? 20 private endpointów? 140 euro. W sensie tak, wiem o czym mówisz.

Szymon Warda: Łukasz, tu się zgadzamy, że to jest inwestycja, która się opłaca, szczególnie na połączeniu baza-aplikacja.

Łukasz Kałużny: Tak, jeżeli teraz pójdziesz, i słuchaj Szymon, teraz tam, wiesz, tam mówimy o tych kosztach, że komplikuje networking czy że private DNS zone’y trzeba stworzyć. Dobra.

Szymon Warda: Minimalne.

Łukasz Kałużny: Dobra, jeżeli tak popatrzymy sobie. I teraz tak, jak na to popatrzymy, to masz dwa problemy i tak zrobisz, okej, fajnie, będzie oznaczało, że będziesz mógł sobie otworzyć ruch na public endpoincie do IP firmowego czy jak musisz wejść do środka bazy danych. Możesz to trochę lepiej upilnować, jak sobie popatrzymy, ciutkę lepiej. Wiesz potem, że i tak tych, ludzie tych IP-ków nie usuwają.

Szymon Warda: Dla mnie istotna rzecz, nie oszukujmy się, ten IaC będzie pisany Claudem albo GitHub Copilotem albo czymkolwiek innym. Ten dodatkowy narzut, że wymaga private DNS zone’y i tak dalej, więcej IaC-a, sorry, wygenerujecie to jednym promptem, trzema góra tak naprawdę. Więc to nie jest koszt.

Łukasz Kałużny: Sample Microsoftu, na przykład sample Microsoftu, jak teraz popatrzysz z Postgresa, App Services, mają te, które są deployowane z Azure Developer CLI, to zawierają już private networking na przykład na pomiędzy App Servicem a Postgresem na przykład. Więc tam już…

Szymon Warda: Kiedyś tego nie było w samplach.

Łukasz Kałużny: Wiesz co jakiś czas… Inaczej, jak przeglądałem jakiś czas temu, zobaczyłem po prostu, że w tych samplach zaczynają się pojawiać. Więc to jest taka rzecz. Więc to możecie wdrożyć od razu. Problemem jest higiena pracy, że jeżeli potrzebujecie się dostać potem do bazy danych czy do storage’u, to trzeba się dodać do firewalla, a po pracy usunąć.

Szymon Warda: Zakładam jedną prostą rzecz w tej sytuacji, że jeżeli lecicie w małej skali, to nie macie spiętego VPN-a z Waszą organizacją, nie macie tego huba i tego po prostu nie ma, bo to wyjdzie niemało. Dobrze. Idziemy kolejna opcja - management grupy. Czy w ogóle to ma sens?

Łukasz Kałużny: Nie.

Szymon Warda: Dokładnie, zgadzamy się. Idziemy dalej. Kiedy governance to przerost formy, a kiedy jego brak zaboli?

Łukasz Kałużny: Dobra, słuchaj…

Szymon Warda: Mówiąc prosto, przerost formy. Jak tam nie trzymamy niczego wrażliwego i jakieś nasze przepraszam, gówno apki, to nie ma sensu. Jeżeli tam są dane potencjalnie wrażliwe, jeżeli tam są dane, które jak wyciekną, to nas zaboli, to jest próg bólu. Co się stanie jak się wywali?

Łukasz Kałużny: Dobra, to Szymon, teraz tak, to ja sobie bym powiedział, że odpal sobie domyślny szablon polityk dla Azure Benchmarku, CIS Benchmarku, domyślna Azure policies dla CIS Benchmarku, Microsoft Cloud Security Benchmarku w trybie Audit, żeby przynajmniej widzieć co spaprałeś. I to jest takie zdroworozsądkowe minimum, o tak, to powinieneś po prostu wziąć. Tam żaden IaC. Wchodzisz, wyklikujesz, że ma być wrzucany na subskrypcje i tyle. Rzeczy, których nie możesz zostawić, to będzie to co RBAC, to co secrety, certyfikaty, żeby leżały w Key Vault’cie, naming convention.

Szymon Warda: Tagi i pilnowanie kto ma dostęp i co jest publiczne.

Łukasz Kałużny: Dobra, tagi nie.

Szymon Warda: Nie, tagi nie będą.

Łukasz Kałużny: Naming… Inaczej, wolę naming convention. Tagi po diabła Ci, jak masz dwie subskrypcje i nie masz co przeglądać.

Szymon Warda: Nie, bo może być jeszcze generalnie kto co stworzył, żeby pilnować generalnie jak to zostało stworzone, żeby tylko poeksperymentować, zobaczyć, potem Ci wisi taka VM-ka z RDP-em otwartym, żeby wiedzieć co do jakiego projektu leży, takie minimum, zbiórka w dwóch, trzech tagach. Tyle.

Łukasz Kałużny: Dobra.

Szymon Warda: Nie? Mówiąc prosto, żeby móc się zapytać… Żeby móc wiedzieć kogo zapytać się czy to można usunąć. Po to to jest potrzebne. Dobra, lecimy dalej. Hybryda między Azure + OVH albo inni tańsi. Nie ma sensu.

Łukasz Kałużny: Ogólnie nie.

Szymon Warda: Dokładnie.

Łukasz Kałużny: Ja bym powiedział, że inaczej…

Szymon Warda: Czemu? Jest dużo roboty.

Łukasz Kałużny: Raczej już zostań w tym, zostań w tym tańszym.

Szymon Warda: Tak.

Łukasz Kałużny: Możesz wziąć jakieś usługi i sobie tam hybryda. Weźmiesz sobie jakieś tam usługi, bo ich potrzebujesz, ale na co dzień prawdopodobnie jak już się tam postawiłeś, to diabła nie potrzebujesz tego.

Szymon Warda: Dobra. Co mówicie klientowi jak Azure Firewall Application Gateway jest za drogi?

Łukasz Kałużny: Dobra.

Szymon Warda: Front Door.

Łukasz Kałużny: Raczej nie, nie, poczekaj.

Szymon Warda: Mówimy Front Door.

Łukasz Kałużny: Azure Firewall, może rozdzielmy, Azure Firewall jest do ruchu wychodzącego i segmentacji, nie do ruchu przychodzącego. To jest podstawowa rzecz, którą trzeba, o której zapamiętać. Jak jesteś biedny, to nie powinieneś używać tego. No sorry, jeżeli chcesz albo robisz tanio, albo robisz dobrze.

Szymon Warda: Zgadza się. Znaczy dobrze zauważyłeś, tak, Firewall jest do czegoś zupełnie innego, na niższym poziomie.

Łukasz Kałużny: Dobra. Application Gateway. Kurde, przecież go nie… Szymon, realnie w projektach wyrzucamy Application Gateway, w ogóle go nie używamy. To jest usługa, która sobie była, kiedyś miała sens, kiedy nie było Front Doora, teraz zupełnie nie ma sensu. No i wiesz, ta alternatywa, którą wpisałeś jako cloud, per która już padała, pewne rzeczy zrobisz, możesz zrobić też taniej na Cloudflare.

Szymon Warda: Może inaczej, tak, Gateway wszystkiego nie zastąpi. Bo tam jeżeli chodzi o routing, trochę może być bardziej inteligentny, ale realnie jak potrzebujesz takiego bardzo skomplikowanego routingu, to z całym szacunkiem postaw Engine X-a, a przed nim postawisz sobie Front Doora i będzie działało tak naprawdę. Sorry, Cloudflare jak najbardziej działa, jest wszystko w porządku, też dobra opcja. Idziemy dalej. Które usługi można współdzielić? Gdzie ryzyko jest minimalne? Realnie co do współdzielenia ja mam podejście takie, że to jest generowanie sobie pierdolnika. Z reguły nie ma potrzeby współdzielenia, a jak współdzielisz, to nie do końca wiem co oszczędzasz.

Łukasz Kałużny: Raczej dobra, Container Registry, okej, jakbyś potrzebował, w sensie Container Registry DNS-a będziesz współdzielił, reszta nie ma sensu.

Szymon Warda: Ale to nie w kontekście oszczędności, to w kontekście po prostu, bo tak ma sens. Dobra.

Łukasz Kałużny: Container Registry nie ma sensu też mieć dwóch na przykład, w sensie w większości przypadków. Wiesz o tym jak jest. Resztę w tym okej. Jest jedna rzecz, którą gdzieś tam robimy, ale to też oszczędzanie w Enterprise, gdzie jest w miarę spójne środowisko, to na przykład Service Bus w trybie premium, bo private endpoint jest drogi, a dało się to podzielić.

Szymon Warda: Zgadzałoby się. Dobrze, IaC od początku? Oczywiście, że tak, bo będziesz generował to Claudem, więc nie będziesz pisał go ręcznie, no z całym szacunkiem. Więc koś ten argument, że: ale to duży narzut. Lepiej zrobić coś innego. Przestańmy się oszukiwać w ogóle. PIM Łukasz, Twoja bajka.

Łukasz Kałużny: Dobra, jeżeli Cię nie boli koszt, poczekaj Szymon, i teraz bardzo ważne, bo jeżeli nie boli Cię koszt, to bez approval, ale samo podbicie, żebyś nie pracował cały czas na ownerze, ma sens.

Szymon Warda: Dobra, przy małym zespole.

Łukasz Kałużny: Nadal. To jest akurat praktyka, która niech Twoje credentiale i inne rzeczy nie mają na co dzień uprawnień. A jak chcemy tym, a lepiej mieć rzecz, którą też można znienawidzić, a jest Enterprise’owa, jest prosta, posiadaj dwa konta, jedno do pracy na co dzień, które ma tylko readera, żeby sobie podejrzeć wszystko co trzeba. Jak wprowadzić, potrzebujesz wprowadzić zmiany, masz drugie konto od tego, dedykowane.

Szymon Warda: Ja się z Tobą na poziomie teoretycznym zgodzę. Realnie ten mały zespół będzie miał tyle roboty, że będą zapominali i ten PIM będzie wykorzystywany przez pierwsze dwa tygodnie, a potem powiedzą, że już nie mają czasu. Dobrze, cost alertsy od pierwszego dnia, tak, nie? Tak.

Łukasz Kałużny: Tak. Dziękujemy, po prostu tym plus anomalie, dziękujemy.

Szymon Warda: Płatne wsparcie Microsoftu? Nie.

Łukasz Kałużny: Nie. Jak masz problem techniczny Szymon, musisz kupić plan developera najtańszy, bo nie założysz ticketu technicznego.

Szymon Warda: Tak, ja mówię o tych bardziej wyższych.

Łukasz Kałużny: Nie, to kupujemy plan developer, żeby móc założyć ticket techniczny.

Szymon Warda: Albo bardzo mocno jęczymy na Twitterze/X, tudzież na innych mediach społecznościowych.

Łukasz Kałużny: Ale dobra, tylko nie, były też słuchaj, były też z tym gorsze problemy, że muszą jednak zajrzeć. Więc dopóki są to pierdoły, to 29. A potem, żeby troszkę podwiększyć SLA, to ten, bo dostajesz już ten wyższy SLA, to plan standard za stówę.

Szymon Warda: Tak, te niższe, ten premium absolutnie nie przy tej skali.

Łukasz Kałużny: Nie za stówę.

Szymon Warda: Dobrze. ClickOps czyli readme ze screenshotami. Claude (…)

Łukasz Kałużny: Nie, wyrzućcie to, wyrzućcie to, IaC. Inaczej, skrypt imperatywny w Azure CLI-u też jest dobry, na koniec dnia.

Szymon Warda: Ciężej modyfikowalny i jest ok. Dobrze. To co? Tyle.

Łukasz Kałużny: Tyle.

Szymon Warda: Chmura w małej skali.

Łukasz Kałużny: Zobaczcie sobie odcinek jeszcze raz z Mariuszem. I tak naprawdę zacznijmy od pytania: a) kompetencje, b) bezpieczeństwo. Jak powiemy jak to wygląda, to c) jak z waszym budżetem?

Szymon Warda: Znaczy ja bym zadał to pytanie Toyoty: dlaczego? Co my chcemy w ogóle tym uzyskać? Czy chcemy się pobawić? Czy chcemy obniżyć koszty? Czy chcemy się skalować? I tak dalej, bo to się może bardzo szybko wywalić, bo nie zrealizuje celi. Tyle, na razie.

Łukasz Kałużny: Dobra. Hej. Na razie.