User Tools
devsecops_и_промышленные_решения
Differences
This shows you the differences between two versions of the page.
| Both sides previous revision Previous revision Next revision | Previous revision | ||
|
devsecops_и_промышленные_решения [2025/12/15 11:23] val |
devsecops_и_промышленные_решения [2025/12/25 16:08] (current) val [2.1 Развертывание Keycloak] |
||
|---|---|---|---|
| Line 65: | Line 65: | ||
| ==== 1.3 Развертывание FreeIPA ==== | ==== 1.3 Развертывание FreeIPA ==== | ||
| - | * Развертывание FreeIPA [[Решение FreeIPA#С использованием docker compose]] ? попробовать из репозитория вендора, для решения проблемы доступа к ДНС из других контейнеров на этой системе? или убрать на gate.isp.un A запись server.corpX.un | + | * Развертывание FreeIPA [[Решение FreeIPA#С использованием docker compose]] (docker из репозитория вендора, для решения проблемы клиента ДНС) |
| ==== 1.4 Развертывание Kubernetes ==== | ==== 1.4 Развертывание Kubernetes ==== | ||
| Line 91: | Line 91: | ||
| * [[Система Kubernetes#Подготовка к развертыванию через Kubespray]] | * [[Система Kubernetes#Подготовка к развертыванию через Kubespray]] | ||
| * Развертывание Kubernetes через Kubespray ([[Система Kubernetes#Вариант 2 (docker)]]) | * Развертывание Kubernetes через Kubespray ([[Система Kubernetes#Вариант 2 (docker)]]) | ||
| - | |||
| - | ==== 1.5 (??? может в k8s?) Развертывание GitLab ==== | ||
| - | |||
| - | * FreeIPA [[Решение FreeIPA#Создание ключа и сертификата для gitlab на той же системе]] | ||
| - | * Инструмент GitLab [[Инструмент GitLab|Установка через docker-compose]] | ||
| - | <code> | ||
| - | # cat docker-compose.yml | ||
| - | ... | ||
| - | userns_mode: 'host' | ||
| - | ... | ||
| - | external_url 'https://server.corpX.un:4443' | ||
| - | ... | ||
| - | - '4443:4443' | ||
| - | ... | ||
| - | </code> | ||
| - | |||
| - | * Создать УЗ student через [[Инструмент GitLab#REST API интерфейс]] ??? Может это в ДЕВОПС2 а здесь интегрировать с KC? | ||
| - | |||
| - | * ??? Может, не понадобится, или не сразу | ||
| - | |||
| ==== 1.5 Установка и инициализация компьютеров пользователей ==== | ==== 1.5 Установка и инициализация компьютеров пользователей ==== | ||
| Line 130: | Line 110: | ||
| * [[Система Kubernetes#MetalLB]] | * [[Система Kubernetes#MetalLB]] | ||
| * [[Система Kubernetes#Установка Helm]] | * [[Система Kubernetes#Установка Helm]] | ||
| - | * [[Система Kubernetes#ingress-nginx]] | + | * [[Система Kubernetes#ingress-nginx]] (не DaemonSet) |
| * [[Решение FreeIPA#Создание ключа и сертификата для стороннего сервиса]] | * [[Решение FreeIPA#Создание ключа и сертификата для стороннего сервиса]] | ||
| Line 142: | Line 122: | ||
| * Сервис Keycloak в [[Сервис Keycloak#Kubernetes]] (версия 25.2.0, tls: true, postgresql.enabled: false, externalDatabase.host: "my-pgcluster-rw.my-pgcluster-ns") | * Сервис Keycloak в [[Сервис Keycloak#Kubernetes]] (версия 25.2.0, tls: true, postgresql.enabled: false, externalDatabase.host: "my-pgcluster-rw.my-pgcluster-ns") | ||
| - | * [[Сервис Keycloak#Базовая конфигурация]] | + | * [[Сервис Keycloak#Базовая конфигурация]] (только realm, преподавателю можно user2) |
| * [[Авторизация с использованием LDAP сервера]] (демонстрирует преподаватель, можно с gate) | * [[Авторизация с использованием LDAP сервера]] (демонстрирует преподаватель, можно с gate) | ||
| Line 236: | Line 216: | ||
| </code> | </code> | ||
| - | * Стратегии развертывания и масштабирование нагрузки | + | * Создать УЗ user1 через [[Инструмент GitLab#REST API интерфейс]] и связать через [[Инструмент GitLab#Клиент OpenID]] |
| - | * ArgoCD и универсальный Helm Chart | + | |
| + | ==== 2.3 Стратегии развертывания и масштабирование нагрузки ==== | ||
| + | |||
| + | * Добавляем корпоративный сертификат в кластер kubernetes | ||
| + | <code> | ||
| + | server# | ||
| + | |||
| + | bash -c ' | ||
| + | scp /opt/freeipa-data/etc/ipa/ca.crt kube1:/usr/local/share/ca-certificates/ | ||
| + | ssh kube1 update-ca-certificates | ||
| + | ssh kube1 systemctl restart containerd | ||
| + | scp /opt/freeipa-data/etc/ipa/ca.crt kube2:/usr/local/share/ca-certificates/ | ||
| + | ssh kube2 update-ca-certificates | ||
| + | ssh kube2 systemctl restart containerd | ||
| + | scp /opt/freeipa-data/etc/ipa/ca.crt kube3:/usr/local/share/ca-certificates/ | ||
| + | ssh kube3 update-ca-certificates | ||
| + | ssh kube3 systemctl restart containerd | ||
| + | scp /opt/freeipa-data/etc/ipa/ca.crt kube4:/usr/local/share/ca-certificates/ | ||
| + | ssh kube4 update-ca-certificates | ||
| + | ssh kube4 systemctl restart containerd | ||
| + | ' | ||
| + | </code> | ||
| + | |||
| + | * [[Система Kubernetes#Управление образами]] | ||
| + | |||
| + | * [[Стратегии деплоя в Kubernetes]] | ||
| + | |||
| + | ==== 2.4 ArgoCD и универсальный Helm Chart ==== | ||
| ===== Модуль 3: Безопасность в DevOps ===== | ===== Модуль 3: Безопасность в DevOps ===== | ||
| Line 276: | Line 283: | ||
| * Service Mesh (Istio) | * Service Mesh (Istio) | ||
| - | <code> | ||
| - | bash -c ' | ||
| - | scp /opt/freeipa-data/etc/ipa/ca.crt kube1:/usr/local/share/ca-certificates/ | ||
| - | ssh kube1 update-ca-certificates | ||
| - | ssh kube1 systemctl restart containerd | ||
| - | scp /opt/freeipa-data/etc/ipa/ca.crt kube2:/usr/local/share/ca-certificates/ | ||
| - | ssh kube2 update-ca-certificates | ||
| - | ssh kube2 systemctl restart containerd | ||
| - | scp /opt/freeipa-data/etc/ipa/ca.crt kube3:/usr/local/share/ca-certificates/ | ||
| - | ssh kube3 update-ca-certificates | ||
| - | ssh kube3 systemctl restart containerd | ||
| - | scp /opt/freeipa-data/etc/ipa/ca.crt kube4:/usr/local/share/ca-certificates/ | ||
| - | ssh kube4 update-ca-certificates | ||
| - | ssh kube4 systemctl restart containerd | ||
| - | ' | ||
| - | kubeN# | ||
| - | crictl pull server.corpX.un:5000/student/gowebd | ||
| - | crictl images | ||
| - | crictl rmi server.corpX.un:5000/student/gowebd | ||
| - | </code> | ||
devsecops_и_промышленные_решения.1765786996.txt.gz · Last modified: 2025/12/15 11:23 by val
Page Tools
Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Share Alike 4.0 International
