The tms-dp from kignatovich

Реализация Infrastructure as Code для дипломного проекта.

Состав проекта:

- https://github.com/kignatovich/tms-dp - все для создания среды для разработки: ci\cd, мониторинг и тд;

- https://github.com/kignatovich/tms-dp-bot - телеграмм бот и терраформ;

- https://github.com/kignatovich/myproject-dp - приложение.

Используемые технологии/программы/утилиты/яп:

Docker (Docker-compose)
Jenkins(IAC)
SonarQube
Python (bot)
Groovy (pipeline) готов тестовый пайплайн, нужно переделать в "боевой".
Bash
Nginx + SSL (certbot)
Prometheus
Loki
Grafana
caDvisor
Ansible
Pylint (можно заменить на flake8)
Apache Benchmark (нагрузочное тестирвоание)
Telegram (notification). Alertmanager - алерты готовы, остались в пайплайне jenkins.
Checkov - сканирование файлов на наличие ошибок в конфигурации(terraform, Dockerfile и т.д.)
trivy - сканирование образов docker
gpg (скрипт)

ВАЖНО: на данный момент все разворачивается автоматическ при использовании только одной команды. Единственное исключение - webhook. Его в jenkins нужно включать в пайплайнах вручную.

Ссылка на приложение, который будет учавствовать в сборке.

Начало работы.

При запуске команды в боте телеграм (/deploy), выполняется комнада terraform apply. В это время автоматически разворачиваются sqnarqube, jenkins и сопутсвующие сервисы/скрипты. Вывод команды terraform apply.

Один из важных скриптов которые отрабатывают в самом началае секции remote-exec - prepare.sh находящийся в шифрованом архиве keyp.zip, который добавляет возможность "читать ВМ" приватные репозитории gitlab.

#!/bin/bash
mv  ./id_rsa ./.ssh/
ssh-keyscan github.com >> /home/ubuntu/.ssh/known_hosts

После добавления закрытого ключа, remote-exec "стирает" его следы.

Главная страница

После успешного разворачивания инфраструктуры - будет создана главная страница проекта, доступная по адресу https://tms-dp1.devsecops.by.

Описание ресурсов:

Дженкинс - https://jenkins1.devsecops.by (логин admin пароль из файла конфига terraform по умолчанию 123456789)
Сонаркьюб - https://sonarqube1.devsecops.by (логин admin пароль из файла конфига terraform по умолчанию 123456789)
Графана - https://grafana1.devsecops.by логин admin пароль из файла конфига terraform по умолчанию 123456789)
Prometheus - https://prom1.devsecops.by (basic auth admin:password)
Cadvisor - https://cad1.devsecops.by (basic auth admin:password)
Prod - https://prod1.devsecops.by
DEV - https://dev1.devsecops.by

Jenkins

После деплоя инфраструктуры в дженкинсе появляются два пайплайна: один для ветки main, второй для ветки dev.

Шаги пайплайнов:

Clone repository - клонируем код из репозитория(main или dev)
Checkov scaner - проверка правильности написания Dockerfile (может сканировать yaml, tf и т.д.)
Code style используется pylint
Sonar-scanner - сканирование с помощью sonarqube (каждый запуск отдельяная запись)
Deploy project - деплой c помощью ansible на другой сервер(клонирование репозитория, билд проекта, проверка сканером уязвимости билда проекта, запуск проекта)
code 200 & page search - тест ответа сервера 200 и поиск по главной странице определнного текста
Apache benchmark test - нагрузочный тест main или dev среды
Declarative: Post Actions уведомления, реализованы через телеграмм скрипт.