1 of 44

Trilha – SRE e Observabilidade

Jaime Nagase

Principal AppMod Containers Specialist

Bruno Lopes

Sr. Specialist SA, Containers

Globalcode – Open4education

2 of 44

Engenharia de Plataforma, a continuação do DevOps…

Globalcode – Open4education

3 of 44

Jaime Nagase

Embaixador DevOps

ITIL Expert

Ex-Head de Cloud & DevOps Porto Seguro e

Ex-Tech Manager do Itaú Unibanco e Cielo

Atualmente Principal AppMod Containers Spec para LATAM

Autor do Livro: Application Modernization Strategy

https://www.linkedin.com/in/jnagase/

4 of 44

Bruno Lopes

Sr. Specialist Solutions Architect na AWS LATAM, com mais de 17 anos de experiência em TI. Especialista em Containers e Kubernetes na AWS, ele atua com clientes em toda a América Latina, acelerando a modernização de aplicações e a adoção de ambientes híbridos.

Ao longo da carreira, também atuou como Consultor, Technical Trainer e Evangelista, ajudando equipes a superarem desafios técnicos com soluções inovadoras e práticas.

/in/blopesinfo

/brunokktro

lopbruno@amazon.com

5 of 44

Modelo Operacional Pré 2000

Time de Desenvolvimento

Time de Operações

6 of 44

Evolução do Modelo Operacional

Amazon EKS

Amazon S3

Amazon EBS

Amazon Route 53

Amazon EMR

Amazon RDS

ElastiCache

Amazon SNS

Camada de Infraestrutrura

Camada de Aplicação

Infra como Código

Ferramentas e processos CI/CD

Time de Devs

Time de Operações

7 of 44

Evolução do Modelo Operacional

Amazon EKS

Amazon S3

Amazon EBS

Amazon Route 53

Amazon EMR

Amazon RDS

ElastiCache

Amazon SNS

Camada de Infra Estrutura

Gestão de

Mudanças

Deploy�updates

Time de Dev

Time de Ops

Ticket

8 of 44

Por que isso é tão complexo em ambientes?�

9 of 44

Quais as fronteiras entre os times?

Autonomia

Padronização

Time de Operações

Time de Desenvolvimento

Developers want freedom and autonomy. They want to use serverless building blocks like Lambda, StepFunctions, EventBridge and so on, without being gated by the infrastructure or operations teams. They want to rapidly iterate, build code and deploy microservices.

On the other hand, you have infra/ops teams. And they’re trying to do things we’ve discussed before. Those are mandatory things that app developers are usually not so excited about – standards, governance, security.

Building a platform requires striking a balance. Too much standardization, and developers might find your blueprints too restrictive, and they’ll go search for a different solution. Too little governance, and some developer accidently creates a public S3 bucket or an API without authorization, or accidently forgets to reserve concurrency for a Lambda function.

In order to understand how to strike this balance, let’s try to understand what are the potential challenge areas

10 of 44

Chegando num consenso?

Autonomia

Time de Ops

Time de Dev

Padronização

Startups

Empresas muito regulamentadas

11 of 44

Chegando num consenso?

Autnomia

Padronização

Time de Ops

Time de Dev

Vc deve estar aqui?

12 of 44

Chegando num consenso?

Autonomia

Padronização

Platform Engineering

Time de Ops

Time de Dev

13 of 44

Personas e Plataforma

14 of 44

Requerimentos para Plataforma

Quero padronizar o deployment e garantir conformidade de infra-estrutura na minha organização

Engenheiro de Plataforma

Preciso abstrair complexidade!

Engenheiro de Aplicações

Quero focar no Código da minha aplicação e consumir infra-estrutura de maneira simples

PO da Plataforma

Quero melhorar os produtos e serviços disponíveis

Preciso de dados e insights!

15 of 44

Infraestrutura como Código

16 of 44

Infraestrutura como Código e Plataformas��

AWS Cloudformation

AWS Cloud Development Kit

Executam no cliente

Desktop

Workflow

Montam building blocks de infra-estrutura

Traduzem Código para chamadas de múltiplas APIs

APIs Low Level

Para perspectiva de infra-estrutura

AWS API

Precisamos abstrair a complexidade

Preciamos criar produtos ou serviços

17 of 44

Infraestrutura como Código e Plataformas��

Commit

Push

Engenheiro de Aplicação

Repositório Git

Engenheiro de Segurança

Repositório Git

Policy as Code

Engenheiro de Plataforma

Repositório Git

Checkov

Cfn-Guard

OPA

CFN –lint

TFLint

Estágios de Pipeline

Shift Left

Abstração

Padronização e Conformidade

Execução no cliente!

Produto ou Serviço

APIs AWS

Product Owner

Módulos

18 of 44

Infraestrutura como Código e Plataformas

Produto ou Serviço

Product Owner

Quantos databases foram lançados com a versão X do módulo Y?

Quais versões de módulo/composição existem no ambiente?

Quantos clusters com versão X estão depreciados no ambiente e como realizar o enforce para nova versão?

Quais ambientes sofreram drift e precisam de reconciliação?

Quantos incidentes estão relacionados versão X do módulo Y?

Quantos foram removidos no último mês?

Quais os clientes que lançaram a última versão da abstração de storage?

Qual o custo que a versão X da abração Y representa em ambientes críticos?

Executam no cliente!

Desktop

Workflow

Pipelines fragmentados ou distribuídos
Não temos uma API/Entrypoint para CRUDL de abstrações ou composições

19 of 44

Infraestrutura como Código e Plataformas

Consigo ter uma Plataforma usando IaC e Pipelines?

SIM!

Consigo ter dados com o valor agregado das abstrações, módulos e composições?

20 of 44

Infraestrutura como Código e Plataformas��

Commit

Push

Engenheiro de Aplicação

Repositório Git

Engenheiro de Segurança

Repositório Git

Policy as Code

Engenheiro de Plataforma

Repositório Git

APIs AWS

Checkov

Cfn-Guard

OPA

CFN –lint

TFLint

Estágios de Pipeline

Shift Left

Abstração

Padronização e Conformidade

Instrumentação do pipeline e módulos com tags

Internal Developer Portal

Service Catalog

Scaffold

AWS Config

AWS Glue

AWS LakeFormation

Amazon QuickSight

Metadados democratizados em um datalake

ETL

Product Owner

Módulos

21 of 44

Control Planes no EKS e Engenharia de Plataforma

22 of 44

Control Plane e Data Plane - AWS

Data�Plane�APIs

Clientes de Data Plane

Clientes de Control plane

Async�Workflows

Schedulers

Controllers

Operators

Aplicação

APIs low level

Control Plane APIs

CLI

23 of 44

Control Plane e Data Plane - k8s

Data�Plane�

Clientes de Data Plane

Control Plane

Aplicação

Clientes de Control plane

Controllers não são “one shot”! Eles continuam calculando drifts e reconciliamentos

24 of 44

24

Deploy de aplicações no EKS

AWS Account

EKS Cluster

Development

Teams

Platform Team

code

Deploy

25 of 44

25

AWS

EKS Cluster

S3

SQS

DynamoDB

Deploy de aplicações no EKS

26 of 44

Developer

Ticketing system

Platform team

AWS CDK

Amazon S3

Amazon SQS

Amazon DynamoDB

AWS CDK

Deploy de aplicações no EKS

27 of 44

27

Deploy AWS Dependencies

AWS

EKS Cluster

S3

?

SQS

DynamoDB

28 of 44

28

AWS

EKS Cluster

S3

?

Role

Policy

Deploy de aplicações no EKS

29 of 44

29

AWS

EKS Cluster

S3

Role

Policy

Deploy de aplicações no EKS

30 of 44

30

Deploy AWS Dependencies

AWS

EKS Cluster

S3

Role

Policy

1

2

31 of 44

31

AWS

EKS Cluster

S3

Role

Policy

1

2

3

4

🤞

6

code

Deploy

values.yaml

5

Deploy de aplicações no EKS

Let’s say we’ve built this system. It gives us ability to apply the Terraform to AWS and wait for the resources to get created

<CLICK>

Once created I need to grab some values that I will pass to my application to be able to talk to the bucket.

In this case bucketName is pretty straight forward

But for a developer role of ARN might not be that intuitive

<CLICK>

I get those two, pass them manually to my application, hopefully I know exactly where and redeploy

<CLICK>

And if this works the first time around, it is my lucky day

This is the best case scenario. And it still would take couple hours to create that bucket and deploy application.

Applications rarely use just one resource, which means countless hours spent deploying them.

---

Pause for customer questions:

How does a developer create these resources today?
How long does it take them to deploy a new service in production with all it is resource dependencies?
Is that best case or worse case scenario?

Continue

---

Let’s talk a bit about what happens when thing don’t work smoothly out of the box, for example what if

<CLICK>

the compliance team is running a continuous compliance tool that might modify my bucket

32 of 44

Arquiteto de Database

Engenheiro de Plataforma

Conformidade

Engenheiro de Segurança

Revisa

Permissões

Arquiteto de Aplicações

Capacidades

Git Repo

Guardrails

Consome

Engenheiro de Aplicações

Cria

Policies

Policy

Autenticação

Abstrações

Shift Left

Estado

API

Deploy de recursos AWS como dependencias

Product Owner

Produto

Abstrações

33 of 44

Composições no Crossplane

Composite Resource Definition (XRD)

Database (Claim)

implementa

uses

AWS Composição

On-Premises Composição

PostgreSQL

Prometheus

AWS

IAM

Amazon

RDS

Amazon

CloudWatch

Engenheiro de Plataforma

Engenheiro de Aplicações

34 of 44

34

AWS Account

EKS Cluster

Development

Teams

Platform Team

code

Automation

Controller

S3

values.yaml

Deploy de aplicações no EKS

35 of 44

35

AWS Account

EKS Cluster

Development

Teams

Platform Team

code

Automation

Controller

S3

values.yaml

s3:

enable: true

S3

Role

Policy

S3

Deploy de recursos AWS como dependencias

36 of 44

Futuro da Engenharia de Plataforma ou seria o presente?

37 of 44

37

GenAI na Engenharia de Plataforma

Utilizar a IU do Backstage para interagir com seus padrões

38 of 44

38

GenAI na Engenharia de Plataforma

LLM trata o contexto de sistemas externos

Modelo Decide o que ele precisa usar

Se necessário ele chama um outra API ou Aplicação

39 of 44

39

GenAI na Engenharia de Plataforma

Back-end Plugin facilita na conexão com as ferramentas

Essas ferramentas criam um wrap para os plugins

O Agent manda as invocações paras ferramentas e troca informações com elas

40 of 44

Lições Aprendidas

41 of 44

1 - Antes de tudo, Faça sua Fundação!

H

Landing Zone

Estratégia de múltiplas contas

Network

Identity Access Management

Controles de Prevenção, Detecção e Correção

42 of 44

2 – Escale bons padrões de arquitetura de software

12-factor App

Arquitetura hexagonal ou “Cebola”

Arquitetura orientada à eventos

CQRS

43 of 44

3 – Adoção

Segurança em primeiro lugar

Crie sua plataforma para arquitetos, desenvolvedores, time de segurança e infra

Tenha uma sandbox, ou Break the glass

Metrifique tudo…

44 of 44

Jaime Nagase

https://www.linkedin.com/in/jnagase/

/in/blopesinfo

lopbruno@amazon.com

Bruno Lopes

Obrigado!

Amazon Web Services, AWS, the Powered by AWS logo, and all AWS service names used in this slide deck are trademarks of Amazon.com, Inc. or its affiliates.