Differences

This shows you the differences between two versions of the page.

--- devsecops_и_промышленные_решения [2026/03/17 13:26]
val [2.4 ArgoCD и универсальный Helm Chart]
+++ devsecops_и_промышленные_решения [2026/03/22 10:52] (current)
val [Модуль 3: Безопасность в DevOps]
@@ Line 141: / Line 141: @@
   * [[Сервис Keycloak#Страница для проверки учетных записей]]
-  * [[Сервис Keycloak#Аутентификация пользователей WEB приложения]]
@@ Line 236: / Line 235: @@
   * [[Инструмент GitLab#Проверка конфигурации и перезапуск]] для процесса Sidekiq
-  * Для демонстрации OpenID можно создать УЗ user1 через [[Инструмент GitLab#REST API интерфейс]] и связать через [[Инструмент GitLab#Клиент OpenID]]
+  * Настройка подключения через OpenID
+  * [[Сервис Keycloak#Аутентификация пользователей WEB приложения]]
+  * Создать УЗ user1 через [[Инструмент GitLab#REST API интерфейс]] и связать через [[Инструмент GitLab#Клиент OpenID]]
 ==== 2.3 Стратегии развертывания и масштабирование нагрузки ====
@@ Line 324: / Line 325: @@
 ...
+kube1:~/webd-k8s# helm template my-ehwebd uni-webd-chart/ -f apps/ehwebd/values.yaml -f env.yaml
 </code>
 ===== Модуль 3: Безопасность в DevOps =====
-  * Инструменты для статического анализа кода
+  * [[https://habr.com/ru/companies/dsec/articles/702652/|SAST для самых маленьких. Обзор open-source инструментов поиска уязвимостей для C/C++]]
-  * Анализ уязвимостей в контейнерах
-  * Интеграция инструментов безопасности в CI/CD
+  * [[Инструмент Semgrep]] для статического анализа кода
+  * [[Сканер Trivy]] для анализ уязвимостей в контейнерах
+  * [[Система Kubernetes#gitlab-runner kubernetes]]
+  * Интеграция инструментов безопасности в [[Инструмент GitLab#Пример CI с использованием контейнеров|CI/CD]]
+  * Можно показать [[Контроллер ArgoCD#Развертывание множества приложений через ApplicationSet]], приложения pywebd, (потребует [[Система Kubernetes#Добавление корпоративного корневого сертификата в кластер]])
+<code>
+kube1:~/webd-k8s# mkdir apps/pywebd
+kube1:~/webd-k8s# cp uni-webd-chart/values.yaml apps/pywebd/
+...
+kube1:~/webd-k8s# helm template my-pywebd uni-webd-chart/ -f apps/pywebd/values.yaml -f env.yaml
+</code>
   * [[Управление секретами в сети предприятия]]
-  * [[Управление доступом в Kubernetes]]
+  * [[Система Kubernetes#Kustomize]] для сокрытия чувствительных данных
-  * Интеграция с внешними системами идентификации
+  * [[Система Kubernetes#Работа с чувствительными данными (секретами)]] в Helm
+  * [[Управление доступом в Kubernetes]] для пользователей и интеграция с внешними системами идентификации
+  * Практикум: адинистрирование NS по сертификату, всего кластера через токен service-account
+  * [[Система Kubernetes#Использование NetworkPolicy]] для управления доступом в сети кластера
+  * Тестируем доступ через [[Сервис PostgreSQL#Клиент psql]] из разных NS (используя pod-ы my-debian из [[Система Kubernetes#Базовые объекты k8s]]) и, непосредственно, с узлов кластера
   * Использование IDS/IPS в Kubernetes
@@ Line 374: / Line 401: @@
 update-ca-certificates
 systemctl reload docker
-</code>
-  * Добавляем корпоративный сертификат в кластер kubernetes
-<code>
-server#
-bash -c '
-scp /opt/freeipa-data/etc/ipa/ca.crt kube1:/usr/local/share/ca-certificates/
-ssh kube1 update-ca-certificates
-ssh kube1 systemctl restart containerd
-scp /opt/freeipa-data/etc/ipa/ca.crt kube2:/usr/local/share/ca-certificates/
-ssh kube2 update-ca-certificates
-ssh kube2 systemctl restart containerd
-scp /opt/freeipa-data/etc/ipa/ca.crt kube3:/usr/local/share/ca-certificates/
-ssh kube3 update-ca-certificates
-ssh kube3 systemctl restart containerd
-scp /opt/freeipa-data/etc/ipa/ca.crt kube4:/usr/local/share/ca-certificates/
-ssh kube4 update-ca-certificates
-ssh kube4 systemctl restart containerd
-'
 </code>

Методические материалы Лохтурова Вячеслава

User Tools

Site Tools

Differences

Page Tools