User Tools
devsecops_и_промышленные_решения
Differences
This shows you the differences between two versions of the page.
| Both sides previous revision Previous revision Next revision | Previous revision | ||
|
devsecops_и_промышленные_решения [2025/09/23 05:11] val |
devsecops_и_промышленные_решения [2025/10/20 15:16] (current) val [Вы будете знать] |
||
|---|---|---|---|
| Line 2: | Line 2: | ||
| * [[https://habr.com/ru/companies/nubes/articles/808035/|Автоматический выпуск SSL-сертификатов. Используем Kubernetes и FreeIPA]] | * [[https://habr.com/ru/companies/nubes/articles/808035/|Автоматический выпуск SSL-сертификатов. Используем Kubernetes и FreeIPA]] | ||
| + | |||
| + | ===== Вы научитесь ===== | ||
| + | |||
| + | - Интегрировать решения безопасности в CI | ||
| + | - Создавать CD в Кubernetes, используя ArgoCD | ||
| + | - Интегрировать приложения в Kubernetes с FreeIPA | ||
| + | - Настраивать решения Observability кластера Кubernetes | ||
| + | |||
| + | ===== Вы будете знать ===== | ||
| + | |||
| + | - Как использовать распределенные блочные хранилища в Кubernetes | ||
| + | - Как использовать операторы Kubernetes для управления сертификатами и базами данных | ||
| + | - Как настроить IDS/IPS приложения в Kubernetes | ||
| + | - Как восстановить кластер Kubernetes после сбоя | ||
| ===== Модуль 1: Развертывание инфраструктуры предприятия ===== | ===== Модуль 1: Развертывание инфраструктуры предприятия ===== | ||
| - | * Развертывание FreeIPA | + | * Развертывание FreeIPA [[Решение FreeIPA]] |
| - | * Развертывание GitLab | + | * Развертывание Kubernetes [[Система Kubernetes#Развертывание через Kubespray]] |
| - | * Развертывание Kubernetes | + | * Развертывание GitLab [[Инструмент GitLab|Установка через docker-compose]] |
| + | <code> | ||
| + | # cat docker-compose.yml | ||
| + | ... | ||
| + | userns_mode: 'host' | ||
| + | ... | ||
| + | external_url 'https://server.corp13.un:4443' | ||
| + | ... | ||
| + | - '4443:4443' | ||
| + | ... | ||
| + | </code> | ||
| + | * Создать УЗ student через [[Инструмент GitLab#REST API интерфейс]] | ||
| + | * FreeIPA [[Решение FreeIPA#Установка и инициализация клиента]] client1 | ||
| + | * FreeIPA [[Решение FreeIPA#Управление пользователями]] user1 | ||
| + | * Настройка [[Firefox#Использование системных сертификатов]] в Firefox | ||
| - | ===== Модуль 2: Управление доступом в Kubernetes ===== | + | * Может, не понадобится, или не сразу |
| + | <code> | ||
| + | bash -c ' | ||
| + | scp /opt/freeipa-data/etc/ipa/ca.crt kube1:/usr/local/share/ca-certificates/ | ||
| + | ssh kube1 update-ca-certificates | ||
| + | ssh kube1 systemctl restart containerd | ||
| + | scp /opt/freeipa-data/etc/ipa/ca.crt kube2:/usr/local/share/ca-certificates/ | ||
| + | ssh kube2 update-ca-certificates | ||
| + | ssh kube2 systemctl restart containerd | ||
| + | scp /opt/freeipa-data/etc/ipa/ca.crt kube3:/usr/local/share/ca-certificates/ | ||
| + | ssh kube3 update-ca-certificates | ||
| + | ssh kube3 systemctl restart containerd | ||
| + | scp /opt/freeipa-data/etc/ipa/ca.crt kube4:/usr/local/share/ca-certificates/ | ||
| + | ssh kube4 update-ca-certificates | ||
| + | ssh kube4 systemctl restart containerd | ||
| + | ' | ||
| - | * Kubernetes RBAC | + | kubeN# |
| - | * Cert-manager | + | crictl pull server.corpX.un:5000/student/gowebd |
| - | * Интеграция с внешними системами | + | crictl images |
| + | crictl rmi server.corpX.un:5000/student/gowebd | ||
| + | </code> | ||
| - | ===== Модуль N: Восстановление кластера после сбоев ===== | + | ===== Модуль 2: Развертывание приложений в кластере Kubernetes ===== |
| - | * Восстановление управляющих и рабочих узлов | + | * Стратегии развертывания и масштабирование нагрузки |
| - | * Восстановление etcd | + | * [[Система Kubernetes#MetalLB]], [[Система Kubernetes#ingress-nginx]] |
| + | * Использование баз данных ([[Сервис PostgreSQL#CloudNativePG]]) | ||
| + | * Сервис Keycloak в [[Сервис Keycloak#Kubernetes]], [[Сервис Keycloak#Базовая конфигурация]], LDAP [[Сервис Keycloak#FreeIPA]] | ||
| + | * Сервис Keycloak [[Сервис Keycloak#Аутентификация пользователей WEB приложения]], [[Технология Docker#Приложение apwebd]], [[Система Kubernetes#Deployment]], [[Система Kubernetes#Service]], [[Решение FreeIPA#Создание ключа и сертификата для стороннего сервиса]], [[Система Kubernetes#ingress example]] | ||
| + | * Использование распределённых хранилищ ([[Система Kubernetes#longhorn]]) | ||
| + | * ArgoCD и универсальный Helm Chart | ||
| + | |||
| + | ===== Модуль 3: Безопасность в DevOps ===== | ||
| + | |||
| + | * Инструменты для статического анализа кода | ||
| + | * Анализ уязвимостей в контейнерах | ||
| + | * Интеграция инструментов безопасности в CI/CD | ||
| + | * Управление секретами и сертификатами | ||
| + | * Управление доступом в Kubernetes | ||
| + | * Интеграция с внешними системами идентификации | ||
| + | * Использование IDS/IPS в Kubernetes | ||
| + | |||
| + | ===== Модуль 4: Восстановление кластера после сбоев ===== | ||
| + | |||
| + | * Мониторинг кластера Kubernetes | ||
| + | * Резервное копирование и восстановление данных приложений | ||
| + | * Восстановление управляющих и рабочих узлов | ||
| + | * Восстановление etcd | ||
| ===== Черновик ===== | ===== Черновик ===== | ||
| ==== DevSecOps ==== | ==== DevSecOps ==== | ||
| + | |||
| * [[DevSecOps]] | * [[DevSecOps]] | ||
| - | * Анализ кода и контейнеров на уязвимости | + | * - Анализ кода и контейнеров на уязвимости |
| - | * Управление доступом в K8S | + | * - Управление доступом в K8S |
| - | * Управление чувствительными данными в CI/CD (Hashicorp Vault, Mozilla Sops) | + | * - Управление чувствительными данными в CI/CD (Hashicorp Vault, Mozilla Sops) |
| - | * Управление сертификатами (K8S cert-manager и FreeIPA) | + | * - Управление сертификатами (K8S cert-manager и FreeIPA) |
| * Использование LDAP и OpenID для управления идентификацией (Keycloak и FreeIPA) | * Использование LDAP и OpenID для управления идентификацией (Keycloak и FreeIPA) | ||
| * IDS/IPS (Suricata) | * IDS/IPS (Suricata) | ||
devsecops_и_промышленные_решения.1758593469.txt.gz · Last modified: 2025/09/23 05:11 by val
Page Tools
Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Share Alike 4.0 International
