DevSecOps и промышленные решения

• Автоматический выпуск SSL-сертификатов. Используем Kubernetes и FreeIPA

• DevSecOps и промышленные решения

1. Узнать и записать свой номер стенда: X=
2. Сообщить его в чат преподавателю

• Разворачиваем стенд курса Linux. Уровень 2. Администрирование сервисов и сетей или Развертывание стенда дома (смотреть с 13-й минуты)

• !!! kubeN 8Gb RAM + 4 CPU!!!

Запустите с правами Administrator

C:\cmder\cmder.exe

bash

cd

test -d conf && rm -rf conf

git clone http://val.bmstu.ru/unix/conf.git

cd conf/virtualbox/

!!! 10 - это номер курса, вместо X укажите Ваш номер стенда, если не знаете его, спросите преподавателя !!!

./setup.sh X 10

• Настройка виртуальных систем Unix с использованием Скрипты автоконфигурации

• gate

# sh net_gate.sh

# init 6

• server

# sh net_server.sh

# init 6

• Создать в Putty профили gate, server и подключиться

• Развертывание FreeIPA С использованием docker compose ? попробовать из репозитория вендора, для решения проблемы доступа к ДНС из других контейнеров на этой системе? или убрать на gate.isp.un A запись server.corpX.un

• Настройка сервера DHCP на gate

gate:~# ###git -C conf/ pull

gate:~# sh conf/dhcp.sh

• Настройка MAC адресов 08:00:27:12:34:5N (для получения назначенного IP через Сервис DHCP) и запуск kube1-4

• Управление DNS для добавления A записей kubeN

• Настройка клиента DNS на gate и server

# cat /etc/resolv.conf

search corpX.un
nameserver 192.168.X.10

# host kubeN

• Подготовка к развертыванию через Kubespray
• Развертывание Kubernetes через Kubespray (Вариант 2 (docker))

• Импорт ВМ client1
• Инсталяция системы в конфигурации Desktop

• FreeIPA Установка и инициализация клиента client1
• FreeIPA Управление пользователями user1
• Настройка Использование системных сертификатов в Firefox

• Dynamic Volume Provisioning rancher local-path-provisioner
• Использование баз данных (CloudNativePG)

• MetalLB
• Установка Helm
• ingress-nginx

• Создание ключа и сертификата для стороннего сервиса
• secrets tls (keycloak-tls в ns my-keycloak-ns)

kube1:~# kubectl create ns my-keycloak-ns

kube1:~# kubectl create secret tls keycloak-tls --key /tmp/keycloak.key --cert /tmp/keycloak.crt -n my-keycloak-ns

• Сервис Keycloak в Kubernetes (версия 25.2.0, tls: true, postgresql.enabled: false, externalDatabase.host: “my-pgcluster-rw.my-pgcluster-ns”)

• Базовая конфигурация

• Авторизация с использованием LDAP сервера (демонстрирует преподаватель, можно с gate)
• Интеграция Keycloak с FreeIPA через LDAP

• Аутентификация пользователей WEB приложения

• Демонстрирует преподаватель
• Приложение apwebd, Deployment, Service, Создание ключа и сертификата для стороннего сервиса, ingress example

• Использование распределённых хранилищ (longhorn)

• Создание ключа и сертификата для стороннего сервиса

server# scp /opt/freeipa-data/gitlab.* kube1:/tmp/

server# scp /opt/freeipa-data/etc/ipa/ca.crt kube1:/tmp/

kubectl -n my-gitlab-ns create secret generic gitlab-tls \
  --from-file=tls.crt=/tmp/gitlab.crt \
  --from-file=tls.key=/tmp/gitlab.key \
  --from-file=ca.crt=/tmp/ca.crt

• Инструмент GitLab Установка через docker-compose + %s/server.corpX/gitlab.corpX/

...
    privileged: true
...
      - '22:22'
...
#      - '/etc/gitlab:/etc/gitlab'
...

• Инструмент GitLab Клиент OpenID + %s/^/8пробелов/

• kompose

kube1:~/gitlab# kompose convert

kube1:~/gitlab# cat vol1-persistentvolumeclaim.yaml

...
      storage: 2000Mi

kube1:~/gitlab# cat gitlab-deployment.yaml

...
          image: ...
          lifecycle:
            postStart:
              exec:
                command:
                - /bin/sh
                - -c
                - |
                  mkdir -p /etc/gitlab/trusted-certs/
                  cp /etc/gitlab/tmp/ca.crt /etc/gitlab/trusted-certs/ca.crt
...   
          volumeMounts:
            - name: secret-tls-volume
              subPath: tls.crt
              mountPath: /etc/gitlab/ssl/gitlab.corpX.un.crt
            - name: secret-tls-volume
              subPath: tls.key
              mountPath: /etc/gitlab/ssl/gitlab.corpX.un.key
            - name: secret-tls-volume
              subPath: ca.crt
              mountPath: /etc/gitlab/tmp/ca.crt
...
      hostname: gitlab
      volumes:
        - name: secret-tls-volume
          secret:
            secretName: gitlab-tls
...

kube1:~/gitlab# cat gitlab-service.yaml

...
spec: 
  loadBalancerIP: 192.168.X.66
  type: LoadBalancer	
...

kube1:~/gitlab# kubectl -n my-gitlab-ns apply -f vol1-persistentvolumeclaim.yaml,gitlab-service.yaml,gitlab-deployment.yaml

kube1:~/gitlab# kubectl -n my-gitlab-ns logs pods/gitlab-<TAB> -f

• Создать УЗ user1 через REST API интерфейс и связать через Клиент OpenID

• Добавляем корпоративный сертификат в кластер kubernetes

server#

bash -c '
scp /opt/freeipa-data/etc/ipa/ca.crt kube1:/usr/local/share/ca-certificates/
ssh kube1 update-ca-certificates
ssh kube1 systemctl restart containerd
scp /opt/freeipa-data/etc/ipa/ca.crt kube2:/usr/local/share/ca-certificates/
ssh kube2 update-ca-certificates
ssh kube2 systemctl restart containerd
scp /opt/freeipa-data/etc/ipa/ca.crt kube3:/usr/local/share/ca-certificates/
ssh kube3 update-ca-certificates
ssh kube3 systemctl restart containerd
scp /opt/freeipa-data/etc/ipa/ca.crt kube4:/usr/local/share/ca-certificates/
ssh kube4 update-ca-certificates
ssh kube4 systemctl restart containerd
'

• Управление образами

• Стратегии деплоя в Kubernetes

• Инструменты для статического анализа кода
• Анализ уязвимостей в контейнерах
• Интеграция инструментов безопасности в CI/CD
• Управление секретами и сертификатами
• Управление доступом в Kubernetes
• Интеграция с внешними системами идентификации
• Использование IDS/IPS в Kubernetes

• Мониторинг кластера Kubernetes
• Резервное копирование и восстановление данных приложений
• Восстановление управляющих и рабочих узлов
• Восстановление etcd

• DevSecOps
• - Анализ кода и контейнеров на уязвимости
• - Управление доступом в K8S
• - Управление чувствительными данными в CI/CD (Hashicorp Vault, Mozilla Sops)
• - Управление сертификатами (K8S cert-manager и FreeIPA)
• Использование LDAP и OpenID для управления идентификацией (Keycloak и FreeIPA)
• IDS/IPS (Suricata)

• ArgoCD и универсальный Helm Chart
• Распределенные блочные хранилища в K8S (Longhorn)
• Операторы K8S и СУБД (CloudNativePG)
• Брокеры сообщения (Kafka или RabbitMQ)
• Service Mesh (Istio)