https://ru-admin.github.io/tags/vault/Recent content in Vault on DevOps-инженер & CloudAdminHugo -- gohugo.ioru-RUhttps://ru-admin.github.io/posts/blockchain-k8s-cluster/Mon, 01 Jan 0001 00:00:00 +0000https://ru-admin.github.io/posts/blockchain-k8s-cluster/<h2 id="геораспределённый-кластер-блокчейн-нод-в-kubernetes">Геораспределённый кластер блокчейн-нод в Kubernetes</h2> <hr> <h4 id="клиент">Клиент</h4> <p>Криптовалютная платформа (Web3 / DeFi)</p> <hr> <h4 id="задача">Задача</h4> <p>Клиенту требовалась отказоустойчивая инфраструктура для запуска ETH и BSC full-нод в четырёх регионах (EU, US, AP, LatAm) с минимальной задержкой для конечных пользователей, защитой от DDoS и спама на RPC, безопасным HSM-подписанием транзакций и централизованным мониторингом. Синхронизация нод с нуля занимает 2–3 недели — требовалось решение для быстрого старта.</p> <hr> <h4 id="решение">Решение</h4> <h6 id="1-инфраструктура-и-iac-terraform--eks">1. Инфраструктура и IaC (Terraform + EKS)</h6> <ul> <li>Terraform-модули: VPC, subnets, security groups для 4 регионов (Frankfurt, Virginia, Singapore, São Paulo)</li> <li>Managed Kubernetes (EKS 1.29+) per region с выделенными node pools: full nodes, archive nodes, signing service</li> <li>NVMe StorageClass (gp3) через CSI-драйвер для высокопроизводительного хранения chaindata</li> <li>Helm chart для geth / bsc-node с кастомными values per region</li> </ul> <h6 id="2-gitops-flux-cd-multi-cluster">2. GitOps: Flux CD multi-cluster</h6> <ul> <li>Flux CD v2 с <code>Kustomization</code> per region — единый источник истины для всех кластеров</li> <li>Secrets management: HashiCorp Vault + External Secrets Operator (ESO)</li> <li>Изменения в инфраструктуре применяются через git push без прямого доступа к кластерам</li> </ul> <h6 id="3-балансировка-и-anti-spam">3. Балансировка и Anti-Spam</h6> <ul> <li>HAProxy 2.8: sticky sessions, health checks по <code>eth_syncing</code> — трафик только к синхронизированным нодам</li> <li>Nginx Ingress: rate limiting, IP reputation filtering (Lua-скрипты в стиле fail2ban)</li> <li>Cloudflare Workers: geo-routing + защита от DDoS L7</li> <li>Custom sidecar (Go): health endpoint, который возвращает ready только при полной синхронизации ноды</li> </ul> <h6 id="4-hsm-интеграция-для-подписания-транзакций">4. HSM-интеграция для подписания транзакций</h6> <ul> <li>AWS CloudHSM (prod) / YubiHSM2 (staging) для хранения приватных ключей</li> <li>Go-микросервис с PKCS#11 абстракцией — смена HSM-вендора без переписывания кода</li> <li>Изолированный K8s namespace + NetworkPolicy: нет egress кроме HSM endpoint</li> <li>gRPC API для backend: sign tx, get pubkey</li> <li>Аудит-лог всех операций подписания → Loki</li> </ul> <h6 id="5-мониторинг-и-алертинг">5. Мониторинг и алертинг</h6> <ul> <li>Custom Prometheus exporter (Go): <code>eth_blockNumber</code>, <code>eth_syncing</code>, peer count per node</li> <li>Grafana dashboards: sync lag, block height per region, RPC latency, SLO 99.9%</li> <li>Alertmanager → PagerDuty: алерты на block lag &gt; N блоков, node down, peer count &lt; threshold</li> <li>Loki + Promtail: структурированные логи всех нод с корреляцией по region/pod</li> </ul> <h6 id="6-операционка-и-disaster-recovery">6. Операционка и Disaster Recovery</h6> <ul> <li>Snapshot bootstrap: chaindata из S3 через rclone — нода готова за часы вместо недель</li> <li>DR playbook: пошаговые runbook&rsquo;и для восстановления региона</li> <li>Chaos Engineering (Chaos Mesh): тесты на node kill, network partition, pod failure</li> <li>Architecture Decision Records (ADR) для всех ключевых решений</li> </ul> <hr> <h4 id="технологии">Технологии</h4> <div class="row"> <div class="col col-sm-12 col-lg-2"> <div style="text-align: center;"> <p><img src="https://ru-admin.github.io/icons/kubernetes-plain.svg" alt="Kubernetes"></p>