[Task] Uruchomienie środowiska staging

[msz13]

Desription

Wymagania:

• [ ] jeden serwer
• [ ] konfiguracja storagów
• [ ] instalacja serwisów infrastrukturalnych
  • [ ] prometheus, grafana, loki - własna, grafana claud?
  • [ ] ssl certifcates
  • [ ] postgresql operator
  • [ ] argocd/flux
  • [ ] secrets encription
  • [ ] dodanie skryptów konfiguracji bazy danych
• [ ] definicja środowiska staging dla kustomize - aplikacja działa na środowisku staging
• [x] konfiguracja serwera dns - domena

Faza druga, środowisko produkcyjne: wymagania

• performance
• resilence
• security

zadania:

• multi node environemnt
• network configuration -- [x] sieć, load balanser do kubernetesa i agentów
• back up bazy
• back środowisk
• firewall rules na vm
• inny user niz rancher, inny port ssh

• jak to podzielić? wykorzystac gotowe moduły po modyfikacji? k3os?

[msz13]

Problem - server node musi mieć min. 2 cory

versja podstawowa 1 server i 2 agenty

wersja produkcyjna 3 servery

wersja full wypas 3 servery - 2 vpc, 4gb 4 agenty - po 1vps, 2gb

mam jeszcze dwie instancje amd 1/4 core i 1 gb memory

Propozycja architektury

1. LB - 6643,22 forward to server subnet, 80, 443 to agents subnet
2. server subnet dla control plane, worker subnet dla agents
3. zasady komunikacji między sieciami

Propozycja architektury HA - networking, basic security

1. Każdy control plane node w osobnej avability zone
2. Public subnet for control plane
3. kubernetes load balancer do decyzji - oci albo metallb albo z k3s
4. service gatway do object storage
5. konfiguracja dns do mojej domeny

czy load balanser musi być stworozny w node pool, czy można go dodać kubernetees oci controller

Zabezpieczenie node-ów

• dezaktowaoc roota
• tylko user z ssh moze sie logowac
• zmienic port ssh na inny niz 22
• firewal rules
  • zezwól na połaczenia wychodzące
  • na przychodzące tylko, z load balanser, albo 80 i 443, ssh, komunikacja miedzy kubernetes
  • https://www.digitalocean.com/community/tutorials/how-to-use-cloud-config-for-your-initial-server-setup
  • failtoban -ssh, i kubernetes acces

skomplikowana siec https://docs.oracle.com/en-us/iaas/Content/Resources/Assets/whitepapers/using-oci-load-balancing-with-wordpress.pdf

lb https://docs.oracle.com/en-us/iaas/Content/GSG/Tasks/loadbalancing.htm

dostep poprzez bastion https://blogs.oracle.com/cloudsecurity/post/secure-access-with-oci-bastion

• https://medium.com/geekculture/how-to-create-an-always-free-k8s-cluster-in-oracle-cloud-60be3b107c44 *

https://docs.oracle.com/en-us/iaas/Content/Security/Reference/compute_security.htm

https://medium.com/oracledevs/k3s-on-oci-a-kubernetes-cluster-in-under-5-mins-d7c194c19d59 https://github.com/k8s-at-home/awesome-home-kubernetes

k3s production https://digitalis.io/blog/kubernetes/k3s-lightweight-kubernetes-made-ready-for-production-part-1/

k3s cluster with k3os https://github.com/r0b2g1t/k3s-cluster-on-oracle-cloud-infrastructure

[msz13]

Konfiguracja DNS

dostępne dla administratora z adresu kube.admin.zapisywarka.pl monitoring grafana.admin.zapisywarka.pl baza danych postgres.admin.zapisywarka.pl

dwie trasy:

1. kube.admin.zapisywarka.pl przekierowany jest do kube admin
2. reszta zapytan przekierowana jest do kubernetes ingress controller

opcje:

• czy kube api jest pod publiczna domena, czy oracle.com
• dns serivce -claudfire - przekierowuje domeny na publiczne ip kube api i load balancer
• dns serivce -claudfire - przekierowuje wszystko na ip lb oracle, a on na podstawie domen przekirowuje do odpowiednich serwisow
• dns service oracle, i konfigurjace jak wyzej.

[msz13]

Architektura:

1. Publiczne porty
   • kube API - 6443 k3s, albo 16443 dla microk8s
   • 80, 443 - aplikacja
   • 22

[msz13]

k3s terraform module

inputs: oci provider node pool k3s agents numbers of agents nodes number of server nodes public ports - 6443, 80, 443 domain name

output

• server ip
• kubectl config

[msz13]

TODO

• [ oddzielić base image od vev environment ]
• zdecydować repozytorium infrastruktury

[msz13]

deployment api

• rozdzielic base i dev i stage overlays
• stworzyć image do db-migrations i pushowac do registry
• zrobić job do db migrations, z init container do db-ready, z braniem connections z secretu
• zrobić step w ci job z migracja bazy???
• wybrać docelowy operator bazy?

[msz13]

• cloud init
• k3 config

• warianty:

• kluster jedno nodowy

  • vcn
  • subnet, security list

• kluster 3 nody - servery - k3s

• kluster 3 nody - oce

[msz13]

Add iptable rule

sed '/-A INPUT -j REJECT --reject-with icmp-host-prohibited/i -A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT/' rules.v4.bak sudo iptables-restore < /etc/iptables/rules.v

[msz13]

Struktura

• apps/zapisywarka-api/deployment
  • db-cluster
  • dotnet
• tools/deployment/infrastrukture

dev stag

dev: deploy infra - helmfile, powalczyć raw manifests, template,

deploy api - ddeploy operator, database. dotnet app deploy infra sh script: helm install stackgres ..

deploy api i server

[msz13]

TODO

• uruchomić komendy
• deploy infra
• deploy api
• deploy local

na srodowisku dev i na srodowisku staging

[msz13]

Do decyzji, jak zrobić warianty helm

Elementy aplikacji • Zapisywarka-rejestracja • Zapisywarka-api • Postgresql Różnice

• namespace
• name-prefix
• images
• instances/replicas/autoscaling
• host path - url

Postgresql

• staging
• beckups
• monitoring Infra Development • Stackgres-operator

Staging • Cert manager • Clusterissuer • Seald secrets?? • ImagePullSecret • Grafana agent?

Preview • Cert manager • Clusterissuer • Seald secrets?? • ImagePullSecret

Budowa zależności

• jedna aplikacja helmowa – subcharty
• definicja całego środowiska w helmfile
• definicja poszczególnych aplikacji w oddzielnych helmfile
• na staging – argocd/flux I w development helm file/charts

Shared resources Postgresql Password Username Imagepull secrets Cert manager Issuer

Pytanie jak będzie deployowana aplikacja?

[msz13]

https://stackoverflow.com/questions/29420706/best-practices-for-user-permissions-in-postgresql

[msz13]

{{- define "test"}}
{{- $randomVal := randAlphaNum 12 -}}
{{ printf "%s" $randomVal }}
{{ end  -}}

---
apiVersion: stackgres.io/v1
kind: SGCluster
metadata:
  name: {{ template "test" . }}
spec:
  instances: {{ .Values.instances  | default 1 }}
  postgres:
    version: {{ .Values.pgVersion | default "latest" | quote }} 
  pods:
    persistentVolume:
      size: {{ required .Values.storageSize  }}
---
---
instances: 1
pgVersion: 14
storageSize: 2Gi

[msz13]

https://supabase.com/blog https://neon.tech/

[msz13]

Zwykły helm Realises

1. zapisywarka-api a. zapisywarka-db
2. zapisywarka-rejestracja
3. infrastructure

[msz13]

Budowa zależności

• jedna aplikacja helmowa – subcharty
• definicja całego środowiska w helmfile
• definicja poszczególnych aplikacji w oddzielnych helmfile
• na staging – argocd/flux I w development helm file/charts

Kryteria szybkść stworzenia, łatwość obsługi, prostota, funkcjonalnosc Helmfile vs argo

helmfile - stworzenie pliku i konfiguracji instalacja helmfile lokalnie argo -

[msz13]

#staging

#production
releaseName: prod-zapisywarka

global:
  registry: ghcr.io
  imagePullSecrets: ghcr-cred
  domain: test.zapisywarka.pl  
  certyficateIssuerRef:
    type: Cluster

ssl: 
  enable: true
  issuer: ACMA - prod

db-cluster:
  name: zapisywarka-db
  profile: 'small'
  storageSize: '2Gi'
  webUi:
    ingress:
      domainPrefix: postgres-admin.pr-34567.zapisywarka.pl
  database:
    users:
      - name: dbowner
        roles: [pg_db_owner ....]
        secretName: zapisywarka-db-dbowner
      - name: dbuser
        roles: [...]
        secretName: zapisywarka-db-dbowner

image: 
  repository: ghcr.com/msz13
  secrets:
    imagePullSecrets:
      user: msz13 
      auth: xxx

zapisywarka-api:
  #nameOverride: api
  needs: ..
  ingress:
    domainPrefix: api
    tls:
      - hosts:
          - api.zapisywarka.pl
        secretName: 
  image:
    tag: "123"
  replicas: 2
  env:
    DB_CONNECTION:
      secretRef: zapisywarka-db-dbuser
        ..

zapisywarka-rejestracja:

db_migration:
  filePaths: "/ss"
  env:
    DB_CONNECTION:
      secretRef:

db_migration:
  enable: false
  filePaths: "/ss"
  env:
    DB_CONNECTION:
      secretRef:

zapisywarka-rejestracja:
  hostNamePrefix: api
  image:
    registry:
    repository:
    tag:  
enableMonitoring: true

[msz13]

środowisko dev:

• deploy local cluster
• deploy only api
  • db cluster
  • db operator

[msz13]

db migrations warianty

• kube job z config map ***
• kube job z docker
• separate release

[msz13]

TODO:

• [x] dodani definicji helm frontendu
• [ ] konfiguracja helm file
• [ ] odpowiednie nazwanie i nadanie labeli dla wszystkich elementów
• [ ] generowanie zminnej nazwy joba migracja, albo annotacji o z sha config map
• [ ] decyzja jak będzie wyglądał proces na w ci/cd
• [ ] wgranie na srodowisko staging
• [ ] konfiguracja cert managera
• [x] jeszcze raz zdeployować rejestracja po nowym buldzie kodu
• [ ] poprawić deploy local
• [ ] dodać w common image pull secrets
• [ ] zrobić impotentne skrypty

[msz13]

Lables

aplikacje: zapisywarka-api zapisywarka-rejestracja zapisywarka-db

postgresql-cluster part of: zapisywArka

app.kubernetes.io/name: aspnet-co app.kubernetes.io/instance: zapisywarka-api app.kubernetes.io/version: "4.9.4" app.kubernetes.io/managed-by: helm app.kubernetes.io/component: server app.kubernetes.io/part-of: zapisywarka

name: zapisywarka-api instance: staging-1

[msz13]

Install environment

1. Install stacgres
2. Install cluster
3. Install imagePullSecrets
4. Install zapisywarka-api

[msz13]

https://mixi-developers.mixi.co.jp/argocd-with-helm-fee954d1003c

[msz13]

repositories:

• name: stackgres-charts url: https://stackgres.io/downloads/stackgres-k8s/stackgres/helm/
• name: bitnami url: https://charts.bitnami.com/bitnami
• name: jetstack url: https://charts.jetstack.io

releases:

• name: stackgres-operator chart: stackgres-charts/stackgres-operator

• name: postgresql-cluster

• name: zapisywarka-api

• name: zapisywarka-rejestracja

environments: dev:

[msz13]

---
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: {{ .Values.issuerName }}
  spec:
    acme:
       # The ACME server URL
      server: {{ .Values.server }}
       # Email address used for ACME registration
      email: {{ .Values.email }}
       # Name of a secret used to store the ACME account private key
      privateKeySecretRef:
        name: {{ .Values.issuerSecret }}
       # Enable the HTTP-01 challenge provider
      solvers:
        - http01:
            ingress:
              class: {{ .Values.ingressClass }}
---
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: acme-crt
spec:
  secretName: {{ .Values.certyficateSecret }}
  dnsNames:
{{ .Values.hostNames | toYaml | indent 3 }}
  issuerRef:
    name: {{ .Values.issuerName }}
    # We can reference ClusterIssuers by changing the kind here.
    # The default value is Issuer (i.e. a locally namespaced Issuer)
    kind: ClusterIssuer
    group: cert-manager.io

[msz13]

environemnts.docx

[msz13]

oracle container engine

• założyć poprzez quick start i konsole
• założyć prosty claster przez terraform, albo moduł, albo własne definicje

[msz13]

---
{{- define "webservice.imagePullSecrets" -}}
{{- $pullSecrets := .Values.global.imagePullSecrets | default .Values.imagePullSecrets -}}
{{- if $pullSecrets -}}
imagePullSecrets: 
  - name: {{ $pullSecrets }}  
{{ end }}
{{- end }}

example: 
{{- include "webservice.imagePullSecrets" . | nindent 0 -}}
containers:

[msz13]

https://helm-playground.com/#t=N7C0AIBMFMDMEsB21wCIAuBDAzgawHSKYC20q4oAvpQFAjgAOATkurGgKTahfn4DCAC0xN0%2BAHIkU%2BAErQANtBzQJU8LIVLsKuQDd42eAHtE4anTDhoiSBXOgHNTA3gA1aE0MmAXOABGmOgAxoIA9LoAjDS4SJC%2BAFJGfjSkWJCBmN404OBEpL70SEHyAK4waFh4hFJ8ZrQ5mIiIRljoxojYvtk54DTYDNBBWTno0MQM8oHQwz39gzM94EEmWEgend2LEHnT4PQCwqKqpHWbi%2BDwxJgA5rsDTPLeAKz4AMwALPgADGeLy8RXGwFYDqVyYUrQbD4f6A2zmc49ETXTp7EH4MEQqFI7CnBFMSFYUQABSM8ngQQAnr5xNBdB5ugEgrgjLBYAAZS7wdC%2Bd40IA&v=LQhQGIBcEMGcGsA0ACAVgewEalAOgMIAW0ATpLgHLQC2ApgFzIAqc8OoAltdAOYOjJkJWjw6xIJAJ6MARDIFDaAB3SwOkdFNnzBMHttABjdNW4A7ACaMA2hfSQztSChIBXM7gsAbALqhSPLA2foTo6PCMSsIcZuLQXl4oUbSuSjwk0Ba0oKHhAOq0HDyEkIzAAIwADJX%2BhpAcAG60ACK0mV4xtADKtMaWQchVlUA

[msz13]

• poprawić image pull secrets
• dodać steps do db-migrations do ci/cd
• dodac cert manager

[msz13]

local workflow

• build image
• tag
• deploy witth: set $appname.image.tag $tag

ci/cd worflow local workflow

• build image
• tag
• update manifests yq $appname.image.tag: $tag
• deploy witth:

[msz13]

Components • app o Webservice o Task o imagePullSecret • Infrastructure o Cert issuer o Imagepull secrets

extraDeploy: | apiVersion: bitnami.com/v1alpha1 kind: SealedSecret metadata: name: mysecret namespace: mynamespace annotations: "kubectl.kubernetes.io/last-applied-configuration": .... spec: encryptedData: .dockerconfigjson: AgBy3i4OJSWK+PiTySYZZA9rO43cGDEq..... template: type: kubernetes.io/dockerconfigjson

this is an example of labels and annotations that will be added to the output secret

  metadata:
    labels:
      "jenkins.io/credentials-type": usernamePassword
    annotations:
      "jenkins.io/credentials-description": credentials from Kubernetes

[msz13]

How to add single resource to app: • extra deploy • template z secretem i values • chart referencing sub chart z dodanymi pełnymi resourcami w template • flux cd o kustomisation  release  namespace  selad secret – dockerconfigjson kubectl apply namespace dokcer config json helm release

[msz13]

export PROJECT=test1 export ${PROJECT}_IMAGE="TESTVALUE" echo $test1_IMAGE

[msz13]

Do zrobienia:

• albo uruchamianie app i testow z serve i start db (wtedy trzeba podac inny adres do testow)
• uruchamianie w kubernetesie - trzeba uzyc skrypt na start local k3d i uruchamiac z helm
• uruchamiac po prostu z docker (i tylko dodac link do definicji helm i kustomize)

[msz13]

Server Site MVC Dotnet-Apa – serverd in dotnet SPA, back, served separatley baza danych

Środowisko deweloperskie Docker + docker database

Run script (run database, migrate, serve) Docker compose (run database, migrate, run docker) Manage by test test containers

Środowisko staging

• APP insights
• Fly.io
• App containers/App instances
• Kubernetes

Deploying front Deploying backend Deoploung data base schema