• Теги
Ansible
Aws
Caddy
Docker
Element
Flux
Fluxcd
Gitlab
Grafana
Haproxy
Helm
Kubernetes
Loki
Matrix
Monitoring
Nginx
Postgresql
Prometheus
Terraform
Vault
Vpn
Yandex

CI/CD и инфраструктура для Dating-сервиса

Инфраструктура и CI/CD для продакшен запуска Dating-сервиса Клиент Dating-сервис Puzzle Master Задача Стартап разработал бэкенд на Nest.js + фронтенд на Angular и был готов к запуску, но не имел никакой инфраструктуры: деплой был ручным, не было CI/CD, мониторинга, бэкапов и разделения dev/prod окружений. Требовалось выстроить полный DevOps-стек с нуля под продакшен. Решение 1. Контейнеризация приложения Multi-stage Dockerfile для backend (Nest.js + Prisma, non-root пользователь) Multi-stage Dockerfile для frontend (Angular 12, legacy OpenSSL, Nginx для статики) Docker Compose с полным стеком: PostgreSQL 15, Redis 7, imgproxy, Nginx Healthchecks и depends_on для правильного порядка запуска Раздельные окружения dev и prod в /opt/dev и /opt/prod 2. GitLab CI/CD Миграция репозиториев с Bitbucket на GitLab Пайплайны для backend и frontend: build → push → deploy GitLab Container Registry для хранения Docker образов Автоматический деплой в dev, ручной trigger для prod SSH деплой на VPS через SSH_PRIVATE_KEY 3. Nginx Reverse Proxy Универсальный конфиг через envsubst для dev/prod SSL/TLS (TLSv1.2, TLSv1.3) с сертификатами Cloudflare Проксирование /api/* → backend:4000, /* → frontend:80 Редирект www → основной домен (301) Отдельный стек imgproxy с SSL терминацией на img.pm.life 4. Безопасность (Ansible) Настройка сервера через Ansible: SSH только по ключам, отключён root UFW Firewall: открыты только порты 80, 443, кастомный SSH Доступ к БД только через SSH Tunnel (Beekeeper Studio) Секреты в переменных GitLab CI/CD 5. Мониторинг Prometheus + Grafana с автоматическим провижинингом дашбордов Exporters: Node, cAdvisor, Postgres, Redis, Nginx, Blackbox 5 Grafana дашбордов: сервер, Docker контейнеры, PostgreSQL, Redis, Nginx Alertmanager с интеграцией в Telegram, алерты на CPU/RAM/Disk/API/SSL 6. Бэкапы БД Автоматический pg_dump каждый час Сжатие gzip и загрузка в Cloudflare R2 (S3-compatible) Prometheus метрики бэкапов: успех, размер, timestamp Алерты: DatabaseBackupMissing, DatabaseBackupFailed, DatabaseBackupSizeAnomaly Технологии

• gitlab
• docker
• ansible
• prometheus
• nginx
• postgresql

Читать

VPN для доступа к зарубежным сервисам

VPN для доступа к зарубежным сервисам Задача После блокировки зарубежных IT-сервисов команда разработчиков потеряла доступ к критически важным инструментам: OpenAI API, GitHub Copilot, различным CDN и документации. Требовалось быстро развернуть надежное VPN-решение с высокой скоростью и стабильностью. Решение 1. Выбор технологии Анализ протоколов: OpenVPN, WireGuard, Outline Выбор WireGuard за скорость и простоту Docker для изоляции и портативности Ansible для автоматизации развертывания 2. Инфраструктура VPS в нейтральной юрисдикции (Нидерланды) Docker Compose для оркестрации WireGuard в контейнере Nginx для веб-панели управления Prometheus + Grafana для мониторинга 3. Автоматизация # Ansible playbook для развертывания - name: Deploy WireGuard VPN hosts: vpn_servers roles: - docker - wireguard - monitoring - backup 4. Безопасность Автоматическая ротация ключей Firewall правила (UFW) Fail2ban для защиты от брутфорса Шифрование трафика ChaCha20-Poly1305 5. Мониторинг Метрики пропускной способности Алерты при недоступности Логирование подключений Автоматический перезапуск при сбоях Технологии

• docker
• ansible
• vpn

Читать