User Tools
devsecops_и_промышленные_решения
Differences
This shows you the differences between two versions of the page.
| Both sides previous revision Previous revision Next revision | Previous revision | ||
|
devsecops_и_промышленные_решения [2026/03/17 13:13] val [2.4 ArgoCD и универсальный Helm Chart] |
devsecops_и_промышленные_решения [2026/03/22 10:52] (current) val [Модуль 3: Безопасность в DevOps] |
||
|---|---|---|---|
| Line 141: | Line 141: | ||
| * [[Сервис Keycloak#Страница для проверки учетных записей]] | * [[Сервис Keycloak#Страница для проверки учетных записей]] | ||
| - | * [[Сервис Keycloak#Аутентификация пользователей WEB приложения]] | ||
| Line 236: | Line 235: | ||
| * [[Инструмент GitLab#Проверка конфигурации и перезапуск]] для процесса Sidekiq | * [[Инструмент GitLab#Проверка конфигурации и перезапуск]] для процесса Sidekiq | ||
| - | * Для демонстрации OpenID можно создать УЗ user1 через [[Инструмент GitLab#REST API интерфейс]] и связать через [[Инструмент GitLab#Клиент OpenID]] | + | * Настройка подключения через OpenID |
| + | * [[Сервис Keycloak#Аутентификация пользователей WEB приложения]] | ||
| + | * Создать УЗ user1 через [[Инструмент GitLab#REST API интерфейс]] и связать через [[Инструмент GitLab#Клиент OpenID]] | ||
| ==== 2.3 Стратегии развертывания и масштабирование нагрузки ==== | ==== 2.3 Стратегии развертывания и масштабирование нагрузки ==== | ||
| Line 318: | Line 319: | ||
| * Можно показать [[Контроллер ArgoCD#Развертывание множества приложений через ApplicationSet]], добавив приложение ehwebd | * Можно показать [[Контроллер ArgoCD#Развертывание множества приложений через ApplicationSet]], добавив приложение ehwebd | ||
| + | <code> | ||
| + | kube1:~/webd-k8s# mkdir apps/ehwebd | ||
| + | |||
| + | kube1:~/webd-k8s# cp uni-webd-chart/values.yaml apps/ehwebd/ | ||
| + | |||
| + | ... | ||
| + | |||
| + | kube1:~/webd-k8s# helm template my-ehwebd uni-webd-chart/ -f apps/ehwebd/values.yaml -f env.yaml | ||
| + | </code> | ||
| + | |||
| ===== Модуль 3: Безопасность в DevOps ===== | ===== Модуль 3: Безопасность в DevOps ===== | ||
| - | * Инструменты для статического анализа кода | + | * [[https://habr.com/ru/companies/dsec/articles/702652/|SAST для самых маленьких. Обзор open-source инструментов поиска уязвимостей для C/C++]] |
| - | * Анализ уязвимостей в контейнерах | + | |
| - | * Интеграция инструментов безопасности в CI/CD | + | * [[Инструмент Semgrep]] для статического анализа кода |
| + | * [[Сканер Trivy]] для анализ уязвимостей в контейнерах | ||
| + | |||
| + | * [[Система Kubernetes#gitlab-runner kubernetes]] | ||
| + | * Интеграция инструментов безопасности в [[Инструмент GitLab#Пример CI с использованием контейнеров|CI/CD]] | ||
| + | |||
| + | * Можно показать [[Контроллер ArgoCD#Развертывание множества приложений через ApplicationSet]], приложения pywebd, (потребует [[Система Kubernetes#Добавление корпоративного корневого сертификата в кластер]]) | ||
| + | <code> | ||
| + | kube1:~/webd-k8s# mkdir apps/pywebd | ||
| + | |||
| + | kube1:~/webd-k8s# cp uni-webd-chart/values.yaml apps/pywebd/ | ||
| + | |||
| + | ... | ||
| + | |||
| + | kube1:~/webd-k8s# helm template my-pywebd uni-webd-chart/ -f apps/pywebd/values.yaml -f env.yaml | ||
| + | </code> | ||
| * [[Управление секретами в сети предприятия]] | * [[Управление секретами в сети предприятия]] | ||
| - | * [[Управление доступом в Kubernetes]] | + | * [[Система Kubernetes#Kustomize]] для сокрытия чувствительных данных |
| - | * Интеграция с внешними системами идентификации | + | * [[Система Kubernetes#Работа с чувствительными данными (секретами)]] в Helm |
| + | |||
| + | * [[Управление доступом в Kubernetes]] для пользователей и интеграция с внешними системами идентификации | ||
| + | * Практикум: адинистрирование NS по сертификату, всего кластера через токен service-account | ||
| + | |||
| + | * [[Система Kubernetes#Использование NetworkPolicy]] для управления доступом в сети кластера | ||
| + | * Тестируем доступ через [[Сервис PostgreSQL#Клиент psql]] из разных NS (используя pod-ы my-debian из [[Система Kubernetes#Базовые объекты k8s]]) и, непосредственно, с узлов кластера | ||
| * Использование IDS/IPS в Kubernetes | * Использование IDS/IPS в Kubernetes | ||
| Line 367: | Line 401: | ||
| update-ca-certificates | update-ca-certificates | ||
| systemctl reload docker | systemctl reload docker | ||
| - | </code> | ||
| - | |||
| - | * Добавляем корпоративный сертификат в кластер kubernetes | ||
| - | <code> | ||
| - | server# | ||
| - | |||
| - | bash -c ' | ||
| - | scp /opt/freeipa-data/etc/ipa/ca.crt kube1:/usr/local/share/ca-certificates/ | ||
| - | ssh kube1 update-ca-certificates | ||
| - | ssh kube1 systemctl restart containerd | ||
| - | scp /opt/freeipa-data/etc/ipa/ca.crt kube2:/usr/local/share/ca-certificates/ | ||
| - | ssh kube2 update-ca-certificates | ||
| - | ssh kube2 systemctl restart containerd | ||
| - | scp /opt/freeipa-data/etc/ipa/ca.crt kube3:/usr/local/share/ca-certificates/ | ||
| - | ssh kube3 update-ca-certificates | ||
| - | ssh kube3 systemctl restart containerd | ||
| - | scp /opt/freeipa-data/etc/ipa/ca.crt kube4:/usr/local/share/ca-certificates/ | ||
| - | ssh kube4 update-ca-certificates | ||
| - | ssh kube4 systemctl restart containerd | ||
| - | ' | ||
| </code> | </code> | ||
devsecops_и_промышленные_решения.1773742410.txt.gz · Last modified: 2026/03/17 13:13 by val
Page Tools
Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Share Alike 4.0 International
