Lali

Як продавати цифрові продукти в Україні: повний гайд 2026

2026-04-09T19:00:48.238Z

Що таке цифровий продукт і чому це вигідно

Цифровий продукт — це будь-який контент, який покупець отримує у вигляді файлу або доступу: електронна книга, відеокурс, Notion-шаблон, пресет для Lightroom, гайд у PDF, пензлі для Procreate.

Головна перевага над фізичними товарами — нульова собівартість кожного наступного продажу. Ви створюєте продукт один раз, а продаєте його необмежену кількість разів. Немає склadu, доставки, залишків.

У 2026 році ринок цифрових продуктів в Україні активно зростає. За даними глобальних досліджень, ринок e-learning щорічно збільшується на 15–20%. Українські автори — дизайнери, нутриціологи, SMM-спеціалісти, коучі — все частіше монетизують свою експертизу саме через цифровий контент.

Що можна продавати: конкретні приклади

Освіта та експертиза:

Відеокурси та вебінари
PDF-гайди та чек-листи
Воркбуки та практичні завдання
Закриті Telegram-канали з навчальними матеріалами

Дизайн та творчість:

Шаблони для Notion, Figma, Canva, Excel
Пресети для Lightroom та Capture One
Пензлі та текстури для Procreate та Photoshop
Стоковий цифровий арт та 3D-моделі

Бізнес та автоматизація:

Готові скрипти для продажів
Таблиці фінансового обліку
Медіаплани та контент-стратегії

Де продавати цифрові продукти в Україні

Це найважливіше питання. Розберемо варіанти.

Варіант 1: "На картку через Telegram"

Найпоширеніший спосіб серед початківців. Покупець переказує гроші, автор вручну надсилає файл.

Проблеми:

Прийом оплат на особисту картку за товари є порушенням податкового законодавства при регулярному характері
Немає автоматизації — кожен продаж вимагає вашого часу
Неможливо масштабуватися
Немає аналітики, статистики, повторних продажів

Варіант 2: Іноземні платформи (Gumroad, Patreon, Stanstore)

Здавалося б, зручне рішення. Але для українських авторів — суцільний головний біль.

Реальні проблеми:

Gumroad вимагає Payoneer або PayPal для виводу — обидва погано або зовсім не працюють з українськими ФОП
Подвійна конвертація: долар → гривня через посередника — це додаткові 2–4% втрат
Блокування виплат без пояснень — масова проблема 2022–2024 років
Покупці в Україні часто не можуть оплатити через іноземний еквайринг українськими картками

Варіант 3: Українська платформа BlackSea

BlackSea — перший спеціалізований маркетплейс цифрових продуктів в Україні.

Ключові переваги:

Гроші надходять напряму на ваш рахунок ФОП без посередників
Покупці платять зручно: Monobank, PrivatBank, Apple Pay, Google Pay
Комісія 10% від продажу — і більше нічого (жодних підписок, плати за зберігання файлів або вивід коштів)
Платформа автоматично надсилає файл покупцеві одразу після оплати
Підтримує як ФОП, так і фізичних осіб

Як легально продавати: питання ФОП та податків

Це питання зупиняє багатьох авторів. Насправді все простіше, ніж здається.

Хто може продавати цифрові продукти?

ФОП (фізична особа-підприємець) — найзручніший варіант. Для продажу цифрових продуктів підходить ФОП 2-ї або 3-ї групи спрощеної системи оподаткування. Ставка — 5% від доходу для 3-ї групи.

Фізична особа — технічно можливо, але при регулярному доході потрібно сплачувати ПДФО (18%) та військовий збір (5%). Якщо ви серйозно плануєте монетизацію, реєстрація ФОП — правильний крок.

Як відбувається оподаткування через BlackSea?

При роботі через платформу з агентською схемою платформа виступає агентом. Ваш оподатковуваний дохід — сума, що надходить на ваш рахунок після вирахування комісії. Платформа надає всі необхідні документи для звітності.

Покроковий план: як почати продавати

Крок 1. Визначте свій продукт

Запитайте себе: яке питання ваша аудиторія ставить найчастіше? Відповідь на це питання у зручному форматі (PDF, відео, шаблон) — це і є ваш перший цифровий продукт.

Не намагайтеся зробити "ідеальний" великий курс одразу. Почніть з малого: гайд на 10–15 сторінок або чек-лист вирішать конкретну проблему і коштуватимуть 150–500 грн.

Крок 2. Встановіть ціну

Розповсюджена помилка — занижувати ціну. Цифровий продукт вирішує реальну проблему, і це коштує грошей. Орієнтири для українського ринку:

Чек-лист / короткий гайд: 100–300 грн
Детальний гайд / воркбук: 300–800 грн
Шаблони (Notion, Figma): 200–600 грн
Міні-курс (3–5 відео): 500–1500 грн
Повноцінний курс: 1500–5000+ грн

Крок 3. Зареєструйтеся на платформі

Реєстрація на BlackSea займає кілька хвилин. Завантажте свій продукт, заповніть опис, встановіть ціну — і ваша сторінка продажу готова. Посилання можна одразу розміщувати в Instagram Bio, Telegram-каналі або YouTube.

Крок 4. Просування

Для першого продажу не потрібна велика аудиторія. Достатньо 200–300 підписників у будь-якій соцмережі. Розкажіть про свій продукт у сторіс, напишіть пост-кейс, покажіть, яку проблему він вирішує — і перші продажі не змусять чекати.

Крок 5. Масштабування

Отримавши перші відгуки, вдосконалюйте продукт і додавайте нові. Авторам із BlackSea доступний каталог маркетплейсу — ваш продукт побачать покупці, які самостійно шукають контент у вашій ніші (з комісією 15%).

Поширені питання (FAQ)

Чи можна продавати без ФОП? Так, BlackSea працює з фізичними особами. Але якщо ви плануєте стабільний дохід, реєстрація ФОП 3-ї групи захистить від зайвих питань з боку податкової.

Як покупець отримує товар? Автоматично на пошту одразу після підтвердження оплати. Ваша участь не потрібна.

Що якщо мій продукт скопіюють і поширять безкоштовно? Повністю захиститися неможливо, але правильне ціноутворення і регулярне оновлення контенту роблять "злив" менш критичним. Нові покупці завжди купуватимуть актуальну версію.

Чи є мінімальна сума для виводу коштів? На BlackSea виплати надходять безпосередньо на рахунок автора без значних затримок.

Скільки часу займає налаштування? Реально — від 30 хвилин до кількох годин залежно від складності продукту. Платформа не вимагає технічних знань.

Висновок

Продавати цифрові продукти в Україні у 2026 році — реально, легально і без зайвих технічних складнощів. Головне — обрати правильний інструмент, який бере на себе всю операційну роботу: прийом платежів, зберігання файлів, видачу покупцям і аналітику.

Якщо ви хочете почати без зайвого головного болю — зареєструйтесь на BlackSea і опублікуйте перший продукт сьогодні.

Стаття оновлена у квітні 2026 року.

Як заробляти онлайн в Україні у 2026: покроковий гайд для авторів

2026-03-16T12:55:35.674Z

Ринок онлайн-заробітку в Україні більше не є нішевою темою. Щороку тисячі людей — дизайнери, коучи, педагоги, маркетологи, фотографи — шукають відповідь на одне просте запитання: як перетворити свої знання або навички на стабільний дохід в інтернеті? Ця стаття — не про швидке збагачення. Це про реальні моделі, які працюють саме в українських реаліях.

Що означає заробляти онлайн у 2026 році

Онлайн-заробіток у 2026 — це не обов'язково фріланс і не обов'язково блогерство. Найстійкіша модель сьогодні — пасивний дохід через цифрові продукти: одного разу створюєш, продаєш нескінченно. Саме тому монетизація контенту та цифрові продукти стали головним трендом серед українських авторів.

Є кілька базових моделей онлайн-заробітку, кожна з яких підходить різним людям залежно від досвіду та ресурсів.

1. Онлайн-курси та навчальні матеріали

Якщо ти знаєш щось краще за інших — це вже продукт. Онлайн-курс може бути записаним відео, серією PDF-уроків, або навіть текстовим гайдом. Головне — конкретний результат для покупця. Найчастіше питають: з чого почати? Відповідь: з однієї болючої проблеми твоєї аудиторії.

2. Шаблони, пресети та цифрові файли

Canva-шаблони, Notion-бази, Lightroom-пресети, Figma-компоненти — все це продається. Причому без записів, без вебінарів і без великої аудиторії. Дизайнер один раз робить шаблон — і він може продаватись роками. Це і є пасивний дохід у найчистішому вигляді.

3. Консультації та менторство

Якщо у тебе є практичний досвід — консультації є найшвидшим способом монетизувати його онлайн. Перші продажі зазвичай йдуть саме через цей формат, бо немає порогу входу: не потрібно нічого створювати наперед.

4. Доступ до спільноти або закритого контенту

Підписна модель набирає популярність і в Україні. Це може бути закритий Telegram-канал, курс з регулярним оновленням, або база знань для вузької ніші.

Як створити онлайн продукт: 5 кроків для початківців

Одна з найпоширеніших помилок — намагатись зробити ідеальний продукт перш ніж продати хоч один. Реальність: кращий перший продукт — це той, що ти вже можеш продати цього тижня.

Визнач одну конкретну проблему своєї аудиторії — не тему, а проблему
Вибери найпростіший формат: PDF-гайд, шаблон або запис консультації
Поставь ціну — навіть символічну. Безкоштовне не вчить продавати
Вибери платформу для продажу з автодоставкою файлу покупцю
Отримай перший відгук і покращ продукт на основі реального досвіду

Пасивний дохід в інтернеті: міф чи реальність для українців?

Слово «пасивний» часто вводить в оману. Пасивний дохід не означає «без роботи» — він означає «без постійної присутності». Ти вкладаєш зусилля один раз при створенні продукту, а потім система продажів працює без тебе.

В Україні є кілька специфічних бар'єрів: складнощі з отриманням міжнародних платежів, питання ФОП-оподаткування, відсутність зручних локальних інструментів продажу. Саме тому для українських авторів критично важливо вибирати платформи, які вирішують ці проблеми нативно — з гривневими платежами, локальними платіжними системами та відповідністю українському законодавству.

Монетизація контенту: коли аудиторія — не обов'язкова умова

Популярний міф: «спочатку набери 10 000 підписників, потім монетизуй». Практика показує інше. Автори з мікро-аудиторією у 500–1000 реальних читачів часто заробляють більше, ніж блогери з десятками тисяч підписників. Ключ — точне потрапляння продукту в потребу конкретної людини.

Монетизація контенту в Україні у 2025 — це не реклама і не донати. Це цифрові продукти: курси, шаблони, гайди, консультації. І найзручніший спосіб їх продавати — через спеціалізований маркетплейс, де вже є інфраструктура для прийому платежів, доставки файлів та юридичного оформлення.

→ Почніть продавати свій перший цифровий продукт на BlackSea — безкоштовна реєстрація за 5 хвилин

Висновок

Заробляти онлайн в Україні реально — і у 2026 році для цього є більше інструментів, ніж будь-коли. Найстійкіша стратегія: одна аудиторія, одна проблема, один цифровий продукт, одна платформа для продажу. Починай з малого — і масштабуй те, що вже продається.

Как Kuse AI «взломал» Threads: разбор матричной стратегии и пошаговый план, как повторить это для своего стартапа

2025-08-18T06:25:32.421Z

За последние полгода в сети Threads регулярно появлялись посты, упоминающие сервис Kuse AI. Эти публикации часто создавались несколькими аккаунтами, и в них почти всегда присутствовала только Kuse. Чтобы понять, как такой “матричный” маркетинг помогает продвигать стартап, были проанализированы доступные посты (около 10 публикаций) из разных аккаунтов на Threads: @ai.tools.learn, @buildinhq, @ai.ezhacker, @ai.academy_, @kenchoi.kc и официального аккаунта @kusehq. С помощью браузерных инструментов была собрана информация о контенте, которая систематизирована ниже.

Ссылки на источники указаны в тексте в виде цитат.

Почему один продукт упоминают все — и как это меняет сознание аудитории

Маркетинг в соцсетях — это игра повторений. Когда один и тот же бренд «случайно» встречается в каруселях полезных инструментов, кейсах и туториалах в разных лентах и от разных авторов, мозг делает вывод: «Если об этом говорят повсюду, значит, это стоит внимания».

Kuse AI добился именно этого эффекта: узнаваемость через «естественную» многократность в независимых каналах. Не агрессивная реклама, а будто органическая рекомендация экспертов.

Боль аудитории: контент есть, но охваты и доверие не растут

Один бренд‑аккаунт тонет в шумах.
Реклама дорожает, конверсия падает.
«Пост от лица компании» воспринимается как продажа, а не как помощь.
Алгоритм любит сохранения, репосты и дискуссии — но большинству постов нечем зацепить.

Вывод: нужно присутствовать шире и умнее, чем «одна страница — одна подача».

Почему стандартные решения не срабатывают

Закупить рекламу? Быстро проедает бюджет, выгорает аудитория, растёт цена клика.
Попросить блогеров? Одноразовые интеграции без системности не строят узнаваемость.
Писать «полезный контент» на одном канале? Хорошо, но медленно и с ограниченным охватом.

Нужен способ масштабировать органику без «пахоты в никуда» и без бесконечных согласований.

Инсайт: сеть профильных аккаунтов + три формата контента = эффект домино

Из анализа постов на Threads за последние полгода (около 10 публикаций из разных аккаунтов, включая @ai.tools.learn, @buildinhq, @ai.ezhacker, @ai.academy_, @kenchoi.kc и @kusehq) заметны повторяющиеся паттерны:

Формат «топ‑N инструментов» с призывом «сохранить» — взрывает охваты: высокие save/share по умолчанию.
Кейсы под конкретные боли сегментов (студенты, преподаватели): «5 минут — и готов DSE‑экзамен в PDF». Практичность → регистрация.
Официальный аккаунт докручивает позиционирование: «почему Kuse», визуальный интерфейс, контекст, мультимодальность.
Межъязыковая диверсификация: англ./китайский; одинаковая структура подачи — разная локализация.
Взаимодействие между аккаунтами создаёт «эффект живого сообщества», а не рекламной сетки.

Ключ: не один громкий канал, а согласованная сеть носителей смысла. Матричная подача — как музыкальная тема, которую подхватывают разные инструменты.

Конструктор матричной стратегии для вашего стартапа

Ниже — пошагово, что и как делать. Это работает и в Threads, и в Telegram, и в X/LinkedIn.

Шаг 1. Разбейте аудиторию на кластеры

Студенты и преподаватели
SMM/контент‑менеджеры
Продакт‑менеджеры/операторы бизнес‑процессов
Фаундеры/малый бизнес

Для каждого — свой язык, проблемы и формат доказательства.

Шаг 2. Заводим 3–6 профильных аккаунтов

Тематические «дайджесты инструментов» (как бы независимые кураторы)
Нишевые «практики» (кейсы «как решить X за 5 минут»)
Официальный бренд‑аккаунт (стратегия, фичи, road‑map, milestone’ы)

Важно: стиль дружелюбного эксперта, а не «рекламной листовки». Никакого спама.

Шаг 3. Три опорных формата контента

Топ‑N инструментов с призывом «Save/Share»
Пошаговые туториалы/кейсы на боль сегмента
Позиционирующие треды от бренда: «почему мы → чем отличаемся → где выигрываем»

Шаг 4. Ритм и перекрёстная поддержка

3–4 поста в неделю по сети с разнотипными форматами.
Взаимные упоминания, ответы, продолжения («разбор вопросов из вирусного поста»).
Синхронизированные CTA (единая ссылка/линк‑хаб).

Шаг 5. Измеряем только то, что влияет на рост

Save/Share Rate у «топов».
CTR/Sign‑ups у кейсов.
LTV/Retention по каналам (какие аккаунты приводят «долгоиграющих»).

Как производить такой контент быстро и качественно

Матричная стратегия упирается в один узкий горлышко: скорость и стабильность производства. Здесь вступают в игру AI‑инструменты, которые закрывают разные уровни контент‑воронки:

Идеи и структуру — генерируем промпт‑инжинирингом под GPT‑5.
Визуал для каруселей и тредов — синтез по готовым стилям.
Видео‑демо, кейсы и анонсы — скрипт → сцен‑план → рендер через видео‑AI.

Ниже — готовая связка инструментов, которыми я лично пользуюсь и которые доступно собраны в продуктах «под ключ».

Инструменты, которые экономят месяцы и делают контент предсказуемо сильным

В этой системе каждый продукт — модуль большого «контент‑двигателя». Их можно использовать по отдельности, но максимальный эффект — в связке.

Гайд по промптам для GPT‑5: точные ответы без лишних итераций
https://lalirun.gumroad.com/l/PromptOptimizationCookbook

Что решает:

Боль «много воды и мало сути», «постоянно переспрашивать ИИ».
Дает конструкцию промптов, которые возвращают сразу продаваемый текст: хук, доказательства, CTA, тред‑структуры.
Специальные промпты для «топ‑N», «гайдов за 5 минут», «разборов кейсов», «ответов на возражения».

Где применять:

Threads‑треды, Telegram‑лента, email‑лиды, лендинги.
Подготовка сценариев для видео/вебинаров.

Veo 3: Visual Command Protocol (VCP) — революционная технология создания AI‑видео
https://lalirun.gumroad.com/l/CommandProtocol

Что решает:

Быстрое производство кинематографичных, «продающих» видео под треды/сторис/лендинги.
Пошаговый протокол команд: от идеи → сториборда → сцен‑плана → камерных команд → финального рендера.
50+ шаблонов на любые ниши: демо‑продукта, кейс‑истории, туториалы, тизеры.

Где применять:

Видео‑кейсы «как за 5 минут решить задачу» (идеально для матричной стратегии).
«Вирусные» анонсы функционала, сравнения «до/после», тизеры запуска.

AI‑Agent Guide — как построить собственных контент‑агентов
https://lalirun.gumroad.com/l/ai-agent-guide

Что решает:

Автоматизацию: агент сам выбирает тему (по рандому или по слоту календаря), тянет актуальные факты, собирает структуру, подставляет UTM и публикует в нужные каналы.
Сценарии для разных форматов: «топ‑N», «гайд 5 шагов», «разбор боли», «кейсы с метриками».
Подключение к CMS/ноушен‑базе, контроль качества, шаблоны проверки «без воды».

Где применять:

Масштабирование сети аккаунтов без роста штата.
Регулярный выпуск контента с единым тоном и CTA.

Практика: как это запустить за 14 дней

Ниже — реальный план, которым можно руководствоваться.

Дни 1–3

Определяем 3–4 кластера аудитории и «болезненные задачи» (по 2 на кластер).
Настраиваем шаблоны промптов из Prompt Optimization Cookbook под каждый кластер.
Готовим 12–16 постов: 6 «топ‑N», 6 мини‑кейсов, 2 позиционирующих треда.

Дни 4–6

Поднимаем 3–5 профильных аккаунтов в Threads.
Подключаем AI‑агентов: темы, источники, расписание, формат вывода.
Готовим визуальные карусели (единый стиль), делаем 2 коротких видео по VCP.

Дни 7–10

Публикуем по сетке:

Пн/Ср/Пт — «топ‑N» с CTA «Save/Share».
Вт/Чт — туториалы/кейсы с CTA «Try now».
Сб — позиционирующий тред от бренда.

В тредах аккаунты «подхватывают» друг друга: ответы, дополнения, уточнения.
Параллельно — Telegram‑репосты: «3 инсайта за неделю» с ссылками.

Дни 11–14

Аналитика: какие форматы дали больше Save/Share/CTR.
Ротация постов в новых языках (локализация).
Видео‑дубляж: тот же кейс — короткое видео по VCP с выдержкой 30–45 секунд.
Первый оффер: «только сегодня гайд/шаблоны со скидкой», «бонус — чек‑лист».

Модель контента под матрицу: примеры, которые можно вставить в прод

Пример 1: Топ‑пост для сохранений
Заголовок: 10 AI‑инструментов, которые реально экономят 10 часов в неделю
Структура: 10 пунктов по 1–2 строки, призыв «Save и вернись к этому вечером».
CTA: «Если нужны готовые промпты под эти инструменты — гайд по GPT‑5 в профиле».

Пример 2: Туториал «5 минут — готово»
«Как за 5 минут собрать экзамен по шаблону и выгрузить в PDF»
Шаги: 1) приложить шаблон 2) команда X 3) проверка структуры 4) экспорт
CTA: «Сохранить на потом» + ссылка «шаблон команд — в гайде VCP».

Пример 3: Позиционирующий тред
«Почему мы отказались от линейного чата и перешли к визуальному рабочему полю: меньше контекста — меньше шума — быстрее результат».
CTA: «Полная методика и готовые сценарии — в AI‑Agent Guide».

Риски и как их обойти

«Нас обвинят в сетке фейков». Выводите пользу на первое место: реальные кейсы, микро‑инструкции, ответы на вопросы.
«Контент будет однообразным». Ротируйте форматы: списки, кейсы, сравнения, «миф/факт», short‑видео.
«Сложно держать качество». Стандартизируйте промпты и чек‑листы проверки. Агентами — публикуйте черновики, финальный штрих — человеком.
«Нет мощности для видео». VCP даёт сцен‑план и командный протокол — 80% времени экономится на пре‑продакшне.

Что произойдёт через 30–60 дней при такой стратегии

Ваш бренд начинают «видеть везде» — и это ощущается органично.
Сообщество отвечает не на один пост, а на тему — её продолжают другие аккаунты.
Переходы на лендинг растут за счёт сохранений и рекомендаций.
Кейсы дают не лайки, а регистрацию/триал, потому что закрывают конкретную боль «здесь и сейчас».

Cоберите свою матрицу уже сегодня

Если хочется перестать «стрелять вслепую» и построить систему публикаций, которая работает на узнаваемость и продажи, начните с базового набора:

Products

Гайд по промптам для GPT‑5: точные ответы без лишних итераций
https://lalirun.gumroad.com/l/PromptOptimizationCookbook
Veo 3: Visual Command Protocol (VCP) — революционная технология создания AI‑видео
https://lalirun.gumroad.com/l/CommandProtocol
AI‑Agent Guide — как собрать и запустить контент‑агентов
https://lalirun.gumroad.com/l/ai-agent-guide

Эта тройка закрывает весь цикл: текст → визуал/видео → автоматизация. Под ваш тон, ваши каналы и вашу цель.

Финальная мысль

Алгоритмы меняются. Привычки людей — тоже. Неподвижным остаётся одно: победа у тех, кто умеет приходить к аудитории с пользой — часто, разными голосами, в правильный момент.

Kuse AI показал, что «матрица» побеждает «одиночный голос». Ваша задача — собрать свою и включить её на максимум.

Готов обсудить вашу сферу и предложить первую матрицу контента под ключ. В каком сегменте вы работаете? Напишите в комментариях нишу и продукт — предложу 3 формата постов на ближайшую неделю.

CapCut слил — OpenCut спас. Как установить?

2025-07-11T14:34:36.204Z

CapCut, конечно, красиво монтирует, но с 12 июня 2025 начал красиво и забирать себе права на твои видео, лицо и голос. Даже если это просто черновик. Даже если ты ничего не публиковал.

Ну окей, подумали open-source ребята — и запилили OpenCut. Бесплатный аналог CapCut, где всё хранится только на твоём компе, без рекламы и “вечных лицензий”.

🎬 Уже 8.4K звёзд на GitHub. Проект живёт, обновляется и всё больше становится похож на нормальную монтажку.

Хочешь попробовать? Вот как установить (максимально просто):

📍 Для macOS (MacBook)

Установи Git:

xcode-select --install

Скачай Docker Desktop:
docker.com/products/docker-desktop
Установи bun:

curl -fsSL https://bun.sh/install | bash

exec /bin/zsh

Клонируй проект:

git clone https://github.com/OpenCut-app/OpenCut.git

cd OpenCut

Запусти сервисы:

docker-compose up -d

Подготовь настройки:

cd apps/web

cp .env.example .env.local

Установи зависимости:

bun install

Подключи базу:

bun run db:push:local

Запусти:

bun run dev

Открой в браузере: http://localhost:3000

👀 Если хочешь такую же инструкцию для Windows — пиши, скину отдельно.

А ещё могу сделать PDF или короткое видео, если хочешь сохранить. Напомни, и соберу 💾

Вот инструкция для Windows — максимально просто и понятно 💻👇

2025-07-11T14:27:09.786Z

Как установить OpenCut на Windows

OpenCut — это open-source альтернатива CapCut, которая:
✅ не сохраняет твои видео в облако
✅ не присваивает права на твой контент
✅ работает локально — всё только у тебя на компе

🔧 Что нужно заранее:

Git for Windows
➤ Скачай: https://git-scm.com/downloads
Во время установки поставь галочку “Git Bash” — пригодится.
Docker Desktop
➤ Скачай: https://www.docker.com/products/docker-desktop
Во время установки включи поддержку WSL2 (если попросит) и запусти Docker.
Bun (вместо npm)
➤ Открой Git Bash (не PowerShell, не CMD) и вставь:

curl -fsSL https://bun.sh/install | bash exec bash

📦 Установка OpenCut:

Клонируй проект:

git clone https://github.com/OpenCut-app/OpenCut.git

cd OpenCut

Запусти бэкенд:

docker-compose up -d

Перейди в папку фронтенда:

cd apps/web

cp .env.example .env.local

Установи зависимости:

bun install

Прокинь базу:

bun run db:push:local

Запусти фронтенд:

bun run dev

Открывай: 👉 http://localhost:3000

Модуль 11: DevSecOps — Безопасность в DevOps

2025-06-11T11:15:54.164Z

Курс DevOps для новичков 2025

🔒 Что такое DevSecOps?

DevSecOps — это эволюция DevOps, которая интегрирует безопасность на каждом этапе разработки и эксплуатации. Вместо того чтобы думать о безопасности в конце, DevSecOps делает её частью повседневного процесса разработки.

По данным исследований 2025 года, более 85% инцидентов безопасности связаны с неправильной конфигурацией компонентов и недостаточной защитой в CI/CD пайплайнах. DevSecOps решает эти проблемы через автоматизацию проверок безопасности.

🎯 Принцип "Shift Left Security"

Shift Left означает перенос проверок безопасности как можно раньше в цикле разработки:

Анализ кода на этапе написания
Автоматические проверки при commit
Сканирование зависимостей при сборке
Тестирование безопасности в CI/CD
Мониторинг безопасности в продакшне

Преимущества Shift Left

Снижение затрат — исправление уязвимостей на раннем этапе в 100 раз дешевле
Быстрая обратная связь — разработчики получают уведомления о проблемах сразу
Повышение качества — безопасность становится частью культуры разработки

⚠️ Основные угрозы безопасности

OWASP Top 10 — критичные уязвимости 2025

Broken Access Control — нарушения контроля доступа
Cryptographic Failures — криптографические сбои
Injection — SQL, NoSQL, OS injection атаки
Insecure Design — небезопасный дизайн приложения
Security Misconfiguration — неправильная конфигурация
Vulnerable Components — уязвимые компоненты
Authentication Failures — сбои аутентификации
Software Integrity Failures — нарушения целостности ПО
Logging Failures — недостаточное логирование
Server-Side Request Forgery — SSRF атаки

🔐 Безопасность в CI/CD пайплайне

Многоуровневая защита пайплайна

# .github/workflows/security.yml
name: Security Checks

on:
  push:
    branches: [ main, develop ]
  pull_request:
    branches: [ main ]

jobs:
  security-scan:
    runs-on: ubuntu-latest
    
    steps:
    - name: Checkout code
      uses: actions/checkout@v4

    # 1. Сканирование секретов в коде
    - name: Scan for secrets
      uses: trufflesecurity/trufflehog@main
      with:
        path: ./
        base: ${{ github.event.repository.default_branch }}
        head: HEAD

    # 2. Статический анализ кода (SAST)
    - name: Run CodeQL Analysis
      uses: github/codeql-action/init@v2
      with:
        languages: javascript, python

    - name: Autobuild
      uses: github/codeql-action/autobuild@v2

    - name: Perform CodeQL Analysis
      uses: github/codeql-action/analyze@v2

    # 3. Сканирование зависимостей (SCA)
    - name: Run Snyk to check vulnerabilities
      uses: snyk/actions/node@master
      env:
        SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}
      with:
        args: --severity-threshold=high

    # 4. Проверка Docker образа
    - name: Build Docker image
      run: docker build -t myapp:${{ github.sha }} .

    - name: Scan Docker image with Trivy
      uses: aquasecurity/trivy-action@master
      with:
        image-ref: 'myapp:${{ github.sha }}'
        format: 'sarif'
        output: 'trivy-results.sarif'

    - name: Upload Trivy results
      uses: github/codeql-action/upload-sarif@v2
      with:
        sarif_file: 'trivy-results.sarif'

    # 5. Проверка Infrastructure as Code
    - name: Run Checkov on Terraform
      uses: bridgecrewio/checkov-action@master
      with:
        directory: terraform/
        framework: terraform
        output_format: sarif
        output_file_path: checkov-report.sarif

    - name: Upload Checkov results
      uses: github/codeql-action/upload-sarif@v2
      with:
        sarif_file: checkov-report.sarif

🔑 Управление секретами

Никогда не храните секреты в коде!

Проблемы хранения секретов в коде:

Утечка через публичные репозитории
Доступ к секретам всех разработчиков
Сложность ротации паролей
Отсутствие аудита доступа

HashiCorp Vault — централизованное управление

# Установка Vault
wget https://releases.hashicorp.com/vault/1.15.0/vault_1.15.0_linux_amd64.zip
unzip vault_1.15.0_linux_amd64.zip
sudo mv vault /usr/local/bin/

# Запуск Vault в dev режиме (только для обучения!)
vault server -dev

# Сохранение секрета
vault kv put secret/myapp/db \
    password="super-secret-password" \
    username="dbuser"

# Получение секрета
vault kv get secret/myapp/db

# Получение только пароля
vault kv get -field=password secret/myapp/db

Интеграция Vault с приложениями

# Python приложение с Vault
import hvac
import os

def get_db_credentials():
    # Подключение к Vault
    client = hvac.Client(
        url=os.getenv('VAULT_URL', 'http://localhost:8200'),
        token=os.getenv('VAULT_TOKEN')
    )
    
    # Получение секретов
    response = client.secrets.kv.v2.read_secret_version(
        path='myapp/db'
    )
    
    credentials = response['data']['data']
    return credentials['username'], credentials['password']

# Использование в приложении
username, password = get_db_credentials()
db_url = f"postgresql://{username}:{password}@localhost:5432/myapp"

Kubernetes Secrets

# k8s-secrets.yaml
apiVersion: v1
kind: Secret
metadata:
  name: app-secrets
type: Opaque
data:
  database-password: <base64-encoded-password>
  api-key: <base64-encoded-api-key>
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: secure-app
spec:
  template:
    spec:
      containers:
      - name: app
        image: myapp:latest
        env:
        - name: DB_PASSWORD
          valueFrom:
            secretKeyRef:
              name: app-secrets
              key: database-password
        - name: API_KEY
          valueFrom:
            secretKeyRef:
              name: app-secrets
              key: api-key

🛡️ Сканирование контейнеров

Безопасный Dockerfile

# Используем минимальный базовый образ
FROM node:18-alpine

# Обновляем пакеты для устранения уязвимостей
RUN apk update && apk upgrade && \
    apk add --no-cache dumb-init && \
    rm -rf /var/cache/apk/*

# Создаем непривилегированного пользователя
RUN addgroup -g 1001 -S nodejs && \
    adduser -S nextjs -u 1001

# Устанавливаем рабочую директорию
WORKDIR /app

# Копируем только файлы зависимостей для кэширования
COPY package*.json ./

# Устанавливаем только production зависимости
RUN npm ci --only=production && \
    npm cache clean --force && \
    npm audit fix

# Копируем исходный код
COPY --chown=nextjs:nodejs . .

# Удаляем ненужные файлы
RUN rm -rf .git .gitignore README.md

# Переключаемся на непривилегированного пользователя
USER nextjs

# Используем init процесс для правильной обработки сигналов
ENTRYPOINT ["dumb-init", "--"]

# Указываем команду запуска
CMD ["npm", "start"]

# Открываем только необходимый порт
EXPOSE 3000

# Добавляем health check
HEALTHCHECK --interval=30s --timeout=3s --start-period=5s --retries=3 \
  CMD curl -f http://localhost:3000/health || exit 1

# Добавляем метки для трекинга
LABEL org.opencontainers.image.source="https://github.com/user/repo"
LABEL org.opencontainers.image.version="1.0.0"
LABEL org.opencontainers.image.created="2025-06-11"

Автоматическое сканирование с Trivy

# Сканирование локального образа
trivy image myapp:latest

# Сканирование с выводом только критических уязвимостей
trivy image --severity HIGH,CRITICAL myapp:latest

# Сканирование с сохранением в файл
trivy image --format json --output results.json myapp:latest

# Сканирование файловой системы
trivy fs .

# Сканирование Kubernetes манифестов
trivy config k8s/

# Сканирование Terraform файлов
trivy config terraform/

🛠️ Практические задания

Задание 11.1: Настройка security scanning в CI/CD

# 1. Создание проекта с уязвимостями для демонстрации
mkdir devsecops-demo
cd devsecops-demo

# 2. Создание package.json с уязвимыми зависимостями
cat > package.json << 'EOF'
{
  "name": "devsecops-demo",
  "version": "1.0.0",
  "dependencies": {
    "express": "4.16.0",
    "lodash": "4.17.4",
    "moment": "2.19.0"
  }
}
EOF

# 3. Создание простого приложения
cat > app.js << 'EOF'
const express = require('express');
const _ = require('lodash');
const moment = require('moment');

const app = express();
app.use(express.json());

// Уязвимый endpoint (SQL injection)
app.get('/user/:id', (req, res) => {
  const query = `SELECT * FROM users WHERE id = ${req.params.id}`;
  // Это уязвимо к SQL injection!
  res.json({ query, message: 'This is vulnerable!' });
});

// Секрет в коде (плохая практика)
const API_KEY = "sk-1234567890abcdef";
const DB_PASSWORD = "password123";

app.listen(3000, () => {
  console.log('Server running on port 3000');
});
EOF

# 4. Создание GitHub Actions workflow (используйте пример выше)
mkdir -p .github/workflows
# Скопируйте security.yml из примера выше

Задание 11.2: Установка и настройка Vault

# 1. Установка Vault
wget https://releases.hashicorp.com/vault/1.15.0/vault_1.15.0_linux_amd64.zip
unzip vault_1.15.0_linux_amd64.zip
sudo mv vault /usr/local/bin/

# 2. Создание конфигурации Vault
cat > vault-config.hcl << 'EOF'
storage "file" {
  path = "./vault-data"
}

listener "tcp" {
  address = "127.0.0.1:8200"
  tls_disable = true
}

ui = true
EOF

# 3. Инициализация Vault
vault server -config=vault-config.hcl &
export VAULT_ADDR='http://127.0.0.1:8200'

# Инициализация (сохраните ключи!)
vault operator init

# Разблокировка Vault (используйте 3 ключа из вывода init)
vault operator unseal <key1>
vault operator unseal <key2>
vault operator unseal <key3>

# 4. Настройка секретов приложения
vault auth <root-token>

# Включение KV секретов
vault secrets enable -path=secret kv-v2

# Сохранение секретов
vault kv put secret/myapp/database \
    username="dbuser" \
    password="secure-password-123"

vault kv put secret/myapp/api \
    key="sk-secure-api-key-456" \
    url="https://api.example.com"

Задание 11.3: Сканирование безопасности

# 1. Установка инструментов сканирования
# Trivy
curl -sfL https://raw.githubusercontent.com/aquasecurity/trivy/main/contrib/install.sh | sh -s -- -b /usr/local/bin

# TruffleHog для поиска секретов
pip install truffleHog

# 2. Сканирование проекта
# Поиск секретов в Git истории
truffleHog --regex --entropy=False .

# Сканирование зависимостей
npm audit

# Сканирование Docker образа
docker build -t vulnerable-app .
trivy image vulnerable-app

# 3. Создание отчета безопасности
cat > security-scan.sh << 'EOF'
#!/bin/bash

echo "=== Security Scan Report ==="
echo "Date: $(date)"
echo

echo "=== Dependency Vulnerabilities ==="
npm audit --json > npm-audit.json
cat npm-audit.json | jq '.vulnerabilities | length'

echo "=== Secret Scanning ==="
truffleHog --regex --entropy=False . > secrets-report.txt
cat secrets-report.txt

echo "=== Container Scanning ==="
trivy image --format json vulnerable-app > container-scan.json
cat container-scan.json | jq '.Results[].Vulnerabilities | length'
EOF

chmod +x security-scan.sh
./security-scan.sh

Задание 11.4: Network Security в Kubernetes

# network-policies.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: frontend-netpol
  namespace: production
spec:
  podSelector:
    matchLabels:
      app: frontend
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          name: ingress-nginx
    ports:
    - protocol: TCP
      port: 80
  egress:
  - to:
    - podSelector:
        matchLabels:
          app: backend
    ports:
    - protocol: TCP
      port: 8080
  - to: []  # DNS разрешение
    ports:
    - protocol: UDP
      port: 53
---
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: backend-netpol
  namespace: production
spec:
  podSelector:
    matchLabels:
      app: backend
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: frontend
    ports:
    - protocol: TCP
      port: 8080
  egress:
  - to:
    - podSelector:
        matchLabels:
          app: database
    ports:
    - protocol: TCP
      port: 5432

🔍 Мониторинг безопасности

Falco для обнаружения аномалий

# falco-deployment.yaml
apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: falco
  namespace: falco-system
spec:
  selector:
    matchLabels:
      app: falco
  template:
    metadata:
      labels:
        app: falco
    spec:
      serviceAccount: falco
      hostNetwork: true
      hostPID: true
      containers:
      - name: falco
        image: falcosecurity/falco:latest
        securityContext:
          privileged: true
        args:
          - /usr/bin/falco
          - --cri=/run/containerd/containerd.sock
          - --k8s-api=https://kubernetes.default:443
        volumeMounts:
        - name: dev
          mountPath: /host/dev
        - name: proc
          mountPath: /host/proc
        - name: boot
          mountPath: /host/boot
        - name: lib-modules
          mountPath: /host/lib/modules
        - name: usr
          mountPath: /host/usr
        - name: etc
          mountPath: /host/etc
      volumes:
      - name: dev
        hostPath:
          path: /dev
      - name: proc
        hostPath:
          path: /proc
      - name: boot
        hostPath:
          path: /boot
      - name: lib-modules
        hostPath:
          path: /lib/modules
      - name: usr
        hostPath:
          path: /usr
      - name: etc
        hostPath:
          path: /etc

Пользовательские правила Falco

# custom-rules.yaml
- rule: Suspicious Network Activity
  desc: Detect suspicious network connections
  condition: >
    spawned_process and
    proc.name in (nc, ncat, netcat) and
    not proc.args contains "-l"
  output: >
    Suspicious network activity detected
    (user=%user.name command=%proc.cmdline container=%container.name)
  priority: WARNING

- rule: Unauthorized File Access
  desc: Detect access to sensitive files
  condition: >
    open_read and
    fd.name in (/etc/passwd, /etc/shadow, /etc/hosts) and
    not proc.name in (systemd, sshd)
  output: >
    Unauthorized access to sensitive file
    (user=%user.name file=%fd.name proc=%proc.name container=%container.name)
  priority: CRITICAL

📊 Compliance и аудит

CIS Kubernetes Benchmark

# Установка kube-bench
kubectl apply -f https://raw.githubusercontent.com/aquasecurity/kube-bench/main/job.yaml

# Просмотр результатов
kubectl logs job.batch/kube-bench

# Сохранение отчета
kubectl logs job.batch/kube-bench > cis-benchmark-report.txt

# Проверка соответствия с kube-score
kubectl score deployment.yaml

Policy as Code с Open Policy Agent

# security-policies.rego
package kubernetes.security

# Запрет запуска контейнеров от root
deny[msg] {
    input.kind == "Pod"
    input.spec.securityContext.runAsUser == 0
    msg := "Containers must not run as root user"
}

# Обязательное использование read-only root filesystem
deny[msg] {
    input.kind == "Pod"
    container := input.spec.containers[_]
    not container.securityContext.readOnlyRootFilesystem
    msg := sprintf("Container %s must have read-only root filesystem", [container.name])
}

# Запрет privileged контейнеров
deny[msg] {
    input.kind == "Pod"
    container := input.spec.containers[_]
    container.securityContext.privileged == true
    msg := sprintf("Container %s cannot run in privileged mode", [container.name])
}

# Обязательные resource limits
deny[msg] {
    input.kind == "Pod"
    container := input.spec.containers[_]
    not container.resources.limits.memory
    msg := sprintf("Container %s must have memory limits", [container.name])
}

# Запрет использования latest тегов
deny[msg] {
    input.kind == "Pod"
    container := input.spec.containers[_]
    endswith(container.image, ":latest")
    msg := sprintf("Container %s must not use 'latest' tag", [container.name])
}

📖 Полезные ресурсы

OWASP DevSecOps Guideline — практики безопасности в DevOps
NIST Cybersecurity Framework — стандарты кибербезопасности
CIS Controls — критичные контроли безопасности
YouTube: "DevSecOps: безопасность в CI/CD" — практические видеоуроки
Awesome DevSecOps — коллекция инструментов и ресурсов

✅ Чек-лист модуля

Понимаю принципы DevSecOps и Shift Left Security
Настроил автоматическое сканирование безопасности в CI/CD
Интегрировал проверку секретов с TruffleHog
Добавил сканирование зависимостей с Snyk
Настроил сканирование Docker образов с Trivy
Установил и настроил HashiCorp Vault
Создал безопасные Dockerfile согласно best practices
Настроил Network Policies в Kubernetes
Изучил мониторинг безопасности с Falco
Понимаю основы compliance и Policy as Code

🚀 Что дальше?

После освоения DevSecOps переходите к Финальному проекту, где объедините все изученные навыки для создания полноценной DevOps инфраструктуры с интегрированной безопасностью.

Модуль 10: Облачные платформы для DevOps

2025-06-11T11:12:24.931Z

Курс DevOps для новичков 2025

☁️ Зачем изучать облачные платформы?

Облако — это не просто чужие компьютеры. Это глобальная инфраструктура с автоматическим масштабированием, managed сервисами и pay-as-you-use моделью. Современные компании мигрируют в облако для снижения затрат, повышения гибкости и ускорения разработки.

По данным исследований 2025 года, более 94% предприятий используют облачные сервисы, а 83% рабочих нагрузок работают в облаке. Знание облачных платформ стало обязательным навыком для DevOps-инженеров.

🏆 Большая тройка облачных провайдеров

Amazon Web Services (AWS)

Лидер рынка с самой широкой экосистемой сервисов (более 200 сервисов). Первопроходец в области облачных вычислений.

Microsoft Azure

Отличная интеграция с корпоративными продуктами Microsoft. Сильные позиции в hybrid cloud решениях.

Google Cloud Platform (GCP)

Сильные позиции в машинном обучении и анализе данных. Инновационные решения для контейнеров и Kubernetes.

🔧 Основные сервисы облачных платформ

Вычислительные ресурсы

Виртуальные машины:

AWS EC2 — Elastic Compute Cloud
Azure Virtual Machines — виртуальные машины Azure
GCP Compute Engine — вычислительные экземпляры

Serverless вычисления:

AWS Lambda — выполнение кода без серверов
Azure Functions — событийно-ориентированные функции
Google Cloud Functions — легковесные функции

Контейнерные сервисы:

AWS ECS/EKS — управляемые контейнеры и Kubernetes
Azure AKS — Azure Kubernetes Service
GCP GKE — Google Kubernetes Engine

Хранение данных

Объектное хранилище:

AWS S3 — Simple Storage Service
Azure Blob Storage — хранилище больших объектов
GCP Cloud Storage — объектное хранилище Google

Базы данных:

AWS RDS — реляционные базы данных
Azure SQL Database — управляемый SQL Server
GCP Cloud SQL — управляемые БД

Сетевые сервисы

Виртуальные сети:

AWS VPC — Virtual Private Cloud
Azure Virtual Network — виртуальные сети Azure
GCP VPC — Virtual Private Cloud Google

CDN и доставка контента:

AWS CloudFront — глобальная сеть доставки контента
Azure CDN — сеть доставки контента Microsoft
GCP Cloud CDN — CDN от Google

🛠️ Практика с AWS

Настройка AWS CLI

# Установка AWS CLI v2
curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
unzip awscliv2.zip
sudo ./aws/install

# Проверка установки
aws --version

# Настройка credentials (нужен AWS аккаунт)
aws configure
# AWS Access Key ID: [ваш ключ]
# AWS Secret Access Key: [ваш секретный ключ]
# Default region name: us-west-2
# Default output format: json

Создание EC2 инстанса

# Создание ключевой пары
aws ec2 create-key-pair \
    --key-name devops-course-key \
    --query 'KeyMaterial' \
    --output text > devops-course-key.pem

chmod 400 devops-course-key.pem

# Создание security group
aws ec2 create-security-group \
    --group-name devops-sg \
    --description "Security group for DevOps course"

# Получение ID security group
SG_ID=$(aws ec2 describe-security-groups \
    --group-names devops-sg \
    --query 'SecurityGroups[0].GroupId' \
    --output text)

# Разрешение SSH доступа
aws ec2 authorize-security-group-ingress \
    --group-id $SG_ID \
    --protocol tcp \
    --port 22 \
    --cidr 0.0.0.0/0

# Разрешение HTTP доступа
aws ec2 authorize-security-group-ingress \
    --group-id $SG_ID \
    --protocol tcp \
    --port 80 \
    --cidr 0.0.0.0/0

# Запуск EC2 инстанса
aws ec2 run-instances \
    --image-id ami-0c02fb55956c7d316 \
    --count 1 \
    --instance-type t2.micro \
    --key-name devops-course-key \
    --security-group-ids $SG_ID \
    --tag-specifications 'ResourceType=instance,Tags=[{Key=Name,Value=DevOps-Course-Server}]'

🛠️ Практические задания

Задание 10.1: Развертывание веб-приложения в AWS

# 1. Получение публичного IP созданного инстанса
INSTANCE_ID=$(aws ec2 describe-instances \
    --filters "Name=tag:Name,Values=DevOps-Course-Server" \
    --query 'Reservations[0].Instances[0].InstanceId' \
    --output text)

PUBLIC_IP=$(aws ec2 describe-instances \
    --instance-ids $INSTANCE_ID \
    --query 'Reservations[0].Instances[0].PublicIpAddress' \
    --output text)

echo "Instance IP: $PUBLIC_IP"

# 2. Подключение к серверу
ssh -i devops-course-key.pem ubuntu@$PUBLIC_IP

# 3. Установка Docker на сервере
sudo apt update
sudo apt install -y docker.io
sudo systemctl start docker
sudo systemctl enable docker
sudo usermod -aG docker ubuntu

# 4. Запуск простого веб-приложения
docker run -d --name web-app -p 80:80 nginx:alpine

# 5. Проверка работы
curl http://$PUBLIC_IP

Задание 10.2: Создание S3 bucket и загрузка файлов

# Создание уникального имени bucket
BUCKET_NAME="devops-course-$(date +%s)"

# Создание S3 bucket
aws s3 mb s3://$BUCKET_NAME

# Создание тестового файла
echo "Hello from DevOps course!" > test-file.txt

# Загрузка файла в S3
aws s3 cp test-file.txt s3://$BUCKET_NAME/

# Просмотр содержимого bucket
aws s3 ls s3://$BUCKET_NAME/

# Создание статического веб-сайта
cat > index.html << 'EOF'
<!DOCTYPE html>
<html>
<head>
    <title>DevOps Course - S3 Static Website</title>
</head>
<body>
    <h1>Welcome to DevOps Course!</h1>
    <p>This website is hosted on AWS S3</p>
    <p>Deployed at: <span id="timestamp"></span></p>
    <script>
        document.getElementById('timestamp').textContent = new Date().toLocaleString();
    </script>
</body>
</html>
EOF

# Загрузка веб-сайта
aws s3 cp index.html s3://$BUCKET_NAME/ --acl public-read

# Настройка статического хостинга
aws s3 website s3://$BUCKET_NAME/ \
    --index-document index.html \
    --error-document error.html

echo "Website URL: http://$BUCKET_NAME.s3-website-us-west-2.amazonaws.com"

Задание 10.3: Serverless функция с AWS Lambda

# lambda_function.py
import json
import boto3
from datetime import datetime

def lambda_handler(event, context):
    """
    AWS Lambda функция для обработки HTTP запросов
    """
    
    # Логирование входящего события
    print(f"Received event: {json.dumps(event)}")
    
    # Получение параметров из запроса
    http_method = event.get('httpMethod', 'GET')
    path = event.get('path', '/')
    query_params = event.get('queryStringParameters') or {}
    
    # Обработка различных путей
    if path == '/health':
        return {
            'statusCode': 200,
            'headers': {
                'Content-Type': 'application/json',
                'Access-Control-Allow-Origin': '*'
            },
            'body': json.dumps({
                'status': 'healthy',
                'timestamp': datetime.utcnow().isoformat(),
                'version': '1.0.0'
            })
        }
    
    elif path == '/info' and http_method == 'GET':
        return {
            'statusCode': 200,
            'headers': {
                'Content-Type': 'application/json',
                'Access-Control-Allow-Origin': '*'
            },
            'body': json.dumps({
                'message': 'DevOps Course Lambda Function',
                'timestamp': datetime.utcnow().isoformat(),
                'method': http_method,
                'query_params': query_params
            })
        }
    
    else:
        return {
            'statusCode': 404,
            'headers': {
                'Content-Type': 'application/json',
                'Access-Control-Allow-Origin': '*'
            },
            'body': json.dumps({
                'error': 'Not Found',
                'path': path,
                'method': http_method
            })
        }

# Создание Lambda функции
zip lambda_function.zip lambda_function.py

# Создание роли для Lambda
aws iam create-role \
    --role-name lambda-execution-role \
    --assume-role-policy-document '{
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Principal": {
                    "Service": "lambda.amazonaws.com"
                },
                "Action": "sts:AssumeRole"
            }
        ]
    }'

# Присоединение политики
aws iam attach-role-policy \
    --role-name lambda-execution-role \
    --policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole

# Создание Lambda функции
aws lambda create-function \
    --function-name devops-course-function \
    --runtime python3.9 \
    --role arn:aws:iam::ACCOUNT-ID:role/lambda-execution-role \
    --handler lambda_function.lambda_handler \
    --zip-file fileb://lambda_function.zip

# Тестирование функции
aws lambda invoke \
    --function-name devops-course-function \
    --payload '{"httpMethod": "GET", "path": "/health"}' \
    response.json

cat response.json

🔧 Terraform для облачной инфраструктуры

AWS инфраструктура с Terraform

# main.tf
terraform {
  required_providers {
    aws = {
      source  = "hashicorp/aws"
      version = "~> 5.0"
    }
  }
}

provider "aws" {
  region = var.aws_region
}

# VPC
resource "aws_vpc" "main" {
  cidr_block           = "10.0.0.0/16"
  enable_dns_hostnames = true
  enable_dns_support   = true

  tags = {
    Name = "devops-course-vpc"
  }
}

# Internet Gateway
resource "aws_internet_gateway" "main" {
  vpc_id = aws_vpc.main.id

  tags = {
    Name = "devops-course-igw"
  }
}

# Public Subnet
resource "aws_subnet" "public" {
  vpc_id                  = aws_vpc.main.id
  cidr_block              = "10.0.1.0/24"
  availability_zone       = "${var.aws_region}a"
  map_public_ip_on_launch = true

  tags = {
    Name = "devops-course-public-subnet"
  }
}

# Route Table
resource "aws_route_table" "public" {
  vpc_id = aws_vpc.main.id

  route {
    cidr_block = "0.0.0.0/0"
    gateway_id = aws_internet_gateway.main.id
  }

  tags = {
    Name = "devops-course-public-rt"
  }
}

resource "aws_route_table_association" "public" {
  subnet_id      = aws_subnet.public.id
  route_table_id = aws_route_table.public.id
}

# Security Group
resource "aws_security_group" "web" {
  name_prefix = "devops-course-web-"
  vpc_id      = aws_vpc.main.id

  ingress {
    from_port   = 80
    to_port     = 80
    protocol    = "tcp"
    cidr_blocks = ["0.0.0.0/0"]
  }

  ingress {
    from_port   = 443
    to_port     = 443
    protocol    = "tcp"
    cidr_blocks = ["0.0.0.0/0"]
  }

  ingress {
    from_port   = 22
    to_port     = 22
    protocol    = "tcp"
    cidr_blocks = ["0.0.0.0/0"]
  }

  egress {
    from_port   = 0
    to_port     = 0
    protocol    = "-1"
    cidr_blocks = ["0.0.0.0/0"]
  }

  tags = {
    Name = "devops-course-web-sg"
  }
}

# Application Load Balancer
resource "aws_lb" "main" {
  name               = "devops-course-alb"
  internal           = false
  load_balancer_type = "application"
  security_groups    = [aws_security_group.web.id]
  subnets            = [aws_subnet.public.id, aws_subnet.public2.id]

  enable_deletion_protection = false

  tags = {
    Name = "devops-course-alb"
  }
}

# Auto Scaling Group
resource "aws_launch_template" "web" {
  name_prefix   = "devops-course-"
  image_id      = data.aws_ami.ubuntu.id
  instance_type = var.instance_type

  vpc_security_group_ids = [aws_security_group.web.id]

  user_data = base64encode(templatefile("${path.module}/user_data.sh", {
    app_name = "devops-course"
  }))

  tag_specifications {
    resource_type = "instance"
    tags = {
      Name = "devops-course-web-server"
    }
  }
}

resource "aws_autoscaling_group" "web" {
  name                = "devops-course-asg"
  vpc_zone_identifier = [aws_subnet.public.id]
  target_group_arns   = [aws_lb_target_group.web.arn]
  health_check_type   = "ELB"
  
  min_size         = 1
  max_size         = 3
  desired_capacity = 2

  launch_template {
    id      = aws_launch_template.web.id
    version = "$Latest"
  }

  tag {
    key                 = "Name"
    value               = "devops-course-asg-instance"
    propagate_at_launch = true
  }
}

💰 Управление затратами в облаке

AWS Cost Management

# Просмотр текущих затрат
aws ce get-cost-and-usage \
    --time-period Start=2025-01-01,End=2025-01-31 \
    --granularity MONTHLY \
    --metrics BlendedCost

# Создание бюджета
cat > budget.json << 'EOF'
{
  "BudgetName": "DevOps-Course-Budget",
  "BudgetLimit": {
    "Amount": "50",
    "Unit": "USD"
  },
  "TimeUnit": "MONTHLY",
  "CostFilters": {
    "TagKey": ["Project"],
    "TagValue": ["DevOps-Course"]
  },
  "BudgetType": "COST"
}
EOF

aws budgets create-budget \
    --account-id $(aws sts get-caller-identity --query Account --output text) \
    --budget file://budget.json

Оптимизация затрат

Лучшие практики:

Используйте Reserved Instances для долгосрочных нагрузок
Настройте Auto Scaling для динамического масштабирования
Регулярно проверяйте неиспользуемые ресурсы
Используйте Spot Instances для некритичных задач
Настройте lifecycle policies для S3

🔒 Безопасность в облаке

Основные принципы

Shared Responsibility Model — модель разделенной ответственности:

Облачный провайдер отвечает за безопасность облака
Клиент отвечает за безопасность в облаке

IAM (Identity and Access Management)

json
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": "arn:aws:s3:::devops-course-bucket/*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "arn:aws:logs:*:*:*"
    }
  ]
}

Лучшие практики безопасности

Принцип минимальных привилегий — предоставляйте только необходимые права
Multi-Factor Authentication — включите 2FA для всех аккаунтов
Шифрование данных — в покое и при передаче
Регулярный аудит — проверяйте права доступа и логи
Сетевая сегментация — используйте VPC и security groups

📖 Полезные ресурсы

AWS Free Tier — бесплатные ресурсы для изучения AWS
Azure Free Account — $200 кредитов для новых пользователей
Google Cloud Free Tier — $300 кредитов и Always Free ресурсы
YouTube: "AWS для DevOps инженеров" — практические видеоуроки
Cloud Architecture Center — паттерны облачной архитектуры

✅ Чек-лист модуля

Понимаю основные концепции облачных вычислений
Изучил основные сервисы AWS/Azure/GCP
Настроил AWS CLI и создал первые ресурсы
Развернул веб-приложение в облаке
Создал S3 bucket и настроил статический хостинг
Написал и развернул Lambda функцию
Использовал Terraform для создания облачной инфраструктуры
Настроил мониторинг затрат и бюджеты
Изучил основы безопасности в облаке
Понимаю принципы выбора облачного провайдера

🚀 Что дальше?

После освоения облачных платформ переходите к Модулю 11: DevSecOps — Безопасность в DevOps для изучения интеграции безопасности в процессы разработки и эксплуатации.

Модуль 9: Мониторинг и наблюдаемость в DevOps

2025-06-11T11:08:41.908Z

Курс DevOps для новичков 2025

📊 Зачем нужен мониторинг?

Мониторинг — это процесс непрерывного наблюдения за состоянием системы, сбора метрик и генерации предупреждений. Без мониторинга вы узнаете о проблемах только когда пользователи начнут жаловаться. Это как водить машину с закрытыми глазами — опасно и безответственно.

По данным исследований 2025 года, 87% компаний с зрелыми практиками мониторинга обнаруживают проблемы до того, как они повлияют на пользователей1. Prometheus и Grafana стали стандартом де-факто для мониторинга в DevOps — как нож и вилка, вместе они делают мониторинг инфраструктуры и приложений простым и наглядным1.

🎯 Четыре золотых сигнала мониторинга

Google SRE определила четыре ключевые метрики, которые должен отслеживать любой сервис:

1. Latency (Задержка)

Время ответа на запросы. Критично для пользовательского опыта.

2. Traffic (Трафик)

Количество запросов в секунду. Показывает нагрузку на систему.

3. Errors (Ошибки)

Процент неуспешных запросов. Индикатор качества сервиса.

4. Saturation (Насыщенность)

Использование ресурсов (CPU, память, диск). Предупреждает о приближении к лимитам.

🔥 Prometheus — сердце мониторинга

Prometheus — open-source система мониторинга, которая собирает метрики, хранит их в виде временных рядов и предоставляет мощный язык запросов PromQL1. Это движок мониторинга, который сам опрашивает сервисы, собирает данные и сохраняет их в своей базе1.

Архитектура Prometheus

Prometheus Server — основной компонент, который:

Собирает метрики с целевых систем (pull-модель)
Хранит данные в формате временных рядов
Предоставляет HTTP API для запросов
Оценивает правила алертов

Exporters — программы, которые собирают метрики:

Node Exporter — метрики ОС Linux
cAdvisor — метрики Docker контейнеров
MySQL Exporter — метрики базы данных
Blackbox Exporter — проверка доступности сервисов

Alertmanager — компонент для управления алертами и уведомлениями

⚙️ Установка стека мониторинга

Docker Compose для полного стека

# docker-compose.yml
version: '3.8'

services:
  prometheus:
    image: prom/prometheus:latest
    container_name: prometheus
    ports:
      - "9090:9090"
    volumes:
      - ./prometheus/prometheus.yml:/etc/prometheus/prometheus.yml
      - ./prometheus/rules:/etc/prometheus/rules
      - prometheus_data:/prometheus
    command:
      - '--config.file=/etc/prometheus/prometheus.yml'
      - '--storage.tsdb.path=/prometheus'
      - '--web.console.libraries=/etc/prometheus/console_libraries'
      - '--web.console.templates=/etc/prometheus/consoles'
      - '--storage.tsdb.retention.time=200h'
      - '--web.enable-lifecycle'
      - '--web.enable-admin-api'
    restart: unless-stopped

  grafana:
    image: grafana/grafana:latest
    container_name: grafana
    ports:
      - "3000:3000"
    environment:
      - GF_SECURITY_ADMIN_PASSWORD=admin123
      - GF_USERS_ALLOW_SIGN_UP=false
    volumes:
      - grafana_data:/var/lib/grafana
      - ./grafana/provisioning:/etc/grafana/provisioning
    restart: unless-stopped

  node-exporter:
    image: prom/node-exporter:latest
    container_name: node-exporter
    ports:
      - "9100:9100"
    volumes:
      - /proc:/host/proc:ro
      - /sys:/host/sys:ro
      - /:/rootfs:ro
    command:
      - '--path.procfs=/host/proc'
      - '--path.rootfs=/rootfs'
      - '--path.sysfs=/host/sys'
      - '--collector.filesystem.mount-points-exclude=^/(sys|proc|dev|host|etc)($$|/)'
    restart: unless-stopped

  cadvisor:
    image: gcr.io/cadvisor/cadvisor:latest
    container_name: cadvisor
    ports:
      - "8080:8080"
    volumes:
      - /:/rootfs:ro
      - /var/run:/var/run:rw
      - /sys:/sys:ro
      - /var/lib/docker/:/var/lib/docker:ro
      - /dev/disk/:/dev/disk:ro
    privileged: true
    restart: unless-stopped

  alertmanager:
    image: prom/alertmanager:latest
    container_name: alertmanager
    ports:
      - "9093:9093"
    volumes:
      - ./alertmanager/alertmanager.yml:/etc/alertmanager/alertmanager.yml
    restart: unless-stopped

volumes:
  prometheus_data:
  grafana_data:

Конфигурация Prometheus

# prometheus/prometheus.yml
global:
  scrape_interval: 15s
  evaluation_interval: 15s

rule_files:
  - "rules/*.yml"

scrape_configs:
  - job_name: 'prometheus'
    static_configs:
      - targets: ['localhost:9090']

  - job_name: 'node-exporter'
    static_configs:
      - targets: ['node-exporter:9100']

  - job_name: 'cadvisor'
    static_configs:
      - targets: ['cadvisor:8080']

  - job_name: 'my-app'
    static_configs:
      - targets: ['my-app:3000']
    metrics_path: '/metrics'
    scrape_interval: 5s

alerting:
  alertmanagers:
    - static_configs:
        - targets:
          - alertmanager:9093

📈 Основы PromQL

PromQL — язык запросов Prometheus для анализа метрик:

Базовые запросы

# Текущее значение метрики
up

# Фильтрация по лейблам
up{job="node-exporter"}

# Арифметические операции
node_memory_MemTotal_bytes - node_memory_MemAvailable_bytes

# Процент использования памяти
(1 - (node_memory_MemAvailable_bytes / node_memory_MemTotal_bytes)) * 100

# Загрузка CPU за последние 5 минут
100 - (avg by (instance) (irate(node_cpu_seconds_total{mode="idle"}[5m])) * 100)

Функции времени

# Количество запросов в секунду
rate(http_requests_total[5m])

# Увеличение за период
increase(http_requests_total[1h])

# 95-й процентиль времени ответа
histogram_quantile(0.95, rate(http_request_duration_seconds_bucket[5m]))

# Среднее значение за период
avg_over_time(cpu_usage[10m])

🛠️ Практические задания

Задание 9.1: Запуск стека мониторинга

# 1. Создание структуры проекта
mkdir monitoring-stack
cd monitoring-stack
mkdir -p prometheus/rules grafana/provisioning alertmanager

# 2. Создание docker-compose.yml (используйте пример выше)

# 3. Запуск стека
docker-compose up -d

# 4. Проверка сервисов
curl http://localhost:9090/targets    # Prometheus targets
curl http://localhost:3000           # Grafana (admin/admin123)
curl http://localhost:9100/metrics   # Node Exporter metrics

Задание 9.2: Мониторинг приложения

// app.js - Node.js приложение с метриками
const express = require('express');
const promClient = require('prom-client');

const app = express();
const port = process.env.PORT || 3000;

// Создание реестра метрик
const register = new promClient.Registry();

// Счетчик запросов
const httpRequestsTotal = new promClient.Counter({
  name: 'http_requests_total',
  help: 'Total number of HTTP requests',
  labelNames: ['method', 'route', 'status_code'],
  registers: [register]
});

// Гистограмма времени ответа
const httpRequestDuration = new promClient.Histogram({
  name: 'http_request_duration_seconds',
  help: 'Duration of HTTP requests in seconds',
  labelNames: ['method', 'route', 'status_code'],
  buckets: [0.1, 0.3, 0.5, 0.7, 1, 3, 5, 7, 10],
  registers: [register]
});

// Gauge для активных подключений
const activeConnections = new promClient.Gauge({
  name: 'active_connections',
  help: 'Number of active connections',
  registers: [register]
});

// Middleware для сбора метрик
app.use((req, res, next) => {
  const start = Date.now();
  
  res.on('finish', () => {
    const duration = (Date.now() - start) / 1000;
    const route = req.route?.path || req.path;
    
    httpRequestsTotal
      .labels(req.method, route, res.statusCode.toString())
      .inc();
    
    httpRequestDuration
      .labels(req.method, route, res.statusCode.toString())
      .observe(duration);
  });
  
  next();
});

// Эндпоинт для метрик
app.get('/metrics', async (req, res) => {
  res.set('Content-Type', register.contentType);
  res.end(await register.metrics());
});

// API эндпоинты
app.get('/', (req, res) => {
  res.json({ 
    message: 'Hello Monitoring!',
    timestamp: new Date().toISOString()
  });
});

app.get('/health', (req, res) => {
  res.json({ status: 'healthy' });
});

app.get('/api/users', (req, res) => {
  // Симуляция времени обработки
  setTimeout(() => {
    res.json({ users: ['Alice', 'Bob', 'Charlie'] });
  }, Math.random() * 100);
});

app.listen(port, () => {
  console.log(`Server running on port ${port}`);
});

Задание 9.3: Настройка алертов

# prometheus/rules/alerts.yml
groups:
  - name: system.rules
    rules:
      - alert: InstanceDown
        expr: up == 0
        for: 1m
        labels:
          severity: critical
        annotations:
          summary: "Instance {{ $labels.instance }} down"
          description: "{{ $labels.instance }} has been down for more than 1 minute."

      - alert: HighCPUUsage
        expr: 100 - (avg by (instance) (irate(node_cpu_seconds_total{mode="idle"}[5m])) * 100) > 80
        for: 2m
        labels:
          severity: warning
        annotations:
          summary: "High CPU usage on {{ $labels.instance }}"
          description: "CPU usage is above 80% for more than 2 minutes."

      - alert: HighMemoryUsage
        expr: (1 - (node_memory_MemAvailable_bytes / node_memory_MemTotal_bytes)) * 100 > 90
        for: 2m
        labels:
          severity: critical
        annotations:
          summary: "High memory usage on {{ $labels.instance }}"
          description: "Memory usage is above 90% for more than 2 minutes."

      - alert: DiskSpaceLow
        expr: (node_filesystem_avail_bytes{mountpoint="/"} / node_filesystem_size_bytes{mountpoint="/"}) * 100 < 10
        for: 1m
        labels:
          severity: warning
        annotations:
          summary: "Low disk space on {{ $labels.instance }}"
          description: "Disk space is below 10% on {{ $labels.instance }}."

      - alert: HighErrorRate
        expr: rate(http_requests_total{status_code=~"5.."}[5m]) / rate(http_requests_total[5m]) > 0.1
        for: 5m
        labels:
          severity: critical
        annotations:
          summary: "High error rate detected"
          description: "Error rate is above 10% for more than 5 minutes."

Конфигурация Alertmanager

# alertmanager/alertmanager.yml
global:
  smtp_smarthost: 'localhost:587'
  smtp_from: 'alerts@company.com'

route:
  group_by: ['alertname']
  group_wait: 10s
  group_interval: 10s
  repeat_interval: 1h
  receiver: 'web.hook'

receivers:
- name: 'web.hook'
  email_configs:
  - to: 'admin@company.com'
    subject: 'Alert: {{ .GroupLabels.alertname }}'
    body: |
      {{ range .Alerts }}
      Alert: {{ .Annotations.summary }}
      Description: {{ .Annotations.description }}
      {{ end }}
  
  slack_configs:
  - api_url: 'YOUR_SLACK_WEBHOOK_URL'
    channel: '#alerts'
    title: 'Alert: {{ .GroupLabels.alertname }}'
    text: |
      {{ range .Alerts }}
      {{ .Annotations.summary }}
      {{ .Annotations.description }}
      {{ end }}

inhibit_rules:
  - source_match:
      severity: 'critical'
    target_match:
      severity: 'warning'
    equal: ['alertname', 'dev', 'instance']

📊 Grafana — визуализация данных

Создание дашборда

json
# grafana/provisioning/dashboards/system-overview.json
{
  "dashboard": {
    "title": "System Overview",
    "tags": ["system", "monitoring"],
    "panels": [
      {
        "title": "CPU Usage",
        "type": "stat",
        "targets": [
          {
            "expr": "100 - (avg(irate(node_cpu_seconds_total{mode=\"idle\"}[5m])) * 100)",
            "legendFormat": "CPU Usage %"
          }
        ],
        "fieldConfig": {
          "defaults": {
            "unit": "percent",
            "thresholds": {
              "steps": [
                {"color": "green", "value": null},
                {"color": "yellow", "value": 70},
                {"color": "red", "value": 90}
              ]
            }
          }
        }
      },
      {
        "title": "Memory Usage",
        "type": "timeseries",
        "targets": [
          {
            "expr": "(1 - (node_memory_MemAvailable_bytes / node_memory_MemTotal_bytes)) * 100",
            "legendFormat": "Memory Usage %"
          }
        ]
      },
      {
        "title": "HTTP Requests Rate",
        "type": "timeseries",
        "targets": [
          {
            "expr": "rate(http_requests_total[5m])",
            "legendFormat": "{{ method }} {{ route }}"
          }
        ]
      }
    ]
  }
}

🔍 Логирование с ELK Stack

Docker Compose для ELK

# elk-stack.yml
version: '3.8'
services:
  elasticsearch:
    image: elasticsearch:8.11.0
    environment:
      - discovery.type=single-node
      - xpack.security.enabled=false
      - "ES_JAVA_OPTS=-Xms512m -Xmx512m"
    ports:
      - "9200:9200"
    volumes:
      - elasticsearch_data:/usr/share/elasticsearch/data

  kibana:
    image: kibana:8.11.0
    ports:
      - "5601:5601"
    environment:
      - ELASTICSEARCH_HOSTS=http://elasticsearch:9200
    depends_on:
      - elasticsearch

  logstash:
    image: logstash:8.11.0
    volumes:
      - ./logstash/pipeline:/usr/share/logstash/pipeline
    ports:
      - "5000:5000"
    depends_on:
      - elasticsearch

volumes:
  elasticsearch_data:

Конфигурация Logstash

ruby
# logstash/pipeline/logstash.conf
input {
  beats {
    port => 5044
  }
  
  tcp {
    port => 5000
    codec => json
  }
}

filter {
  if [fields][service] == "nginx" {
    grok {
      match => { "message" => "%{NGINXACCESS}" }
    }
    
    date {
      match => [ "timestamp", "dd/MMM/yyyy:HH:mm:ss Z" ]
    }
  }
}

output {
  elasticsearch {
    hosts => ["elasticsearch:9200"]
    index => "logs-%{+YYYY.MM.dd}"
  }
  
  stdout {
    codec => rubydebug
  }
}

📖 Полезные ресурсы

Prometheus Documentation — официальная документация
Grafana Documentation — руководство по Grafana
PromQL Tutorial — изучение языка запросов1
YouTube: "Мониторинг в DevOps с Prometheus и Grafana" — практический курс
The Four Golden Signals — принципы мониторинга от Google SRE

✅ Чек-лист модуля

Понимаю важность мониторинга в DevOps
Знаю четыре золотых сигнала мониторинга
Установил и настроил Prometheus
Освоил основы PromQL для запросов метрик
Настроил сбор метрик с Node Exporter и cAdvisor
Создал дашборды в Grafana
Настроил алерты в Prometheus и Alertmanager
Добавил метрики в собственное приложение
Изучил основы логирования с ELK Stack
Понимаю разницу между мониторингом и наблюдаемостью

🚀 Что дальше?

После освоения мониторинга переходите к Модулю 10: Облачные платформы для изучения современных облачных решений и их интеграции с системами мониторинга.

Модуль 8: Infrastructure as Code (IaC) — Управление инфраструктурой через код

2025-06-11T11:04:04.902Z

Курс DevOps для новичков 2025

🏗️ Что такое Infrastructure as Code?

IaC — это практика управления инфраструктурой через код вместо ручной настройки. Вместо того чтобы настраивать сервера через веб-интерфейс или командную строку, вы описываете желаемое состояние инфраструктуры в текстовых файлах и применяете их автоматически.

По данным исследований 2025 года, компании, использующие IaC, развертывают инфраструктуру в 10 раз быстрее и имеют на 50% меньше ошибок конфигурации1.

🎯 Преимущества IaC

Версионирование

Инфраструктура хранится в Git с полной историей изменений. Можно откатиться к любой версии и отследить, кто что изменил.

Воспроизводимость

Одинаковые конфигурации в разных средах (dev, staging, production). Исключается проблема "работает на моей машине".

Автоматизация

Быстрое создание и удаление инфраструктуры. Новая среда разворачивается за минуты, а не дни.

Документация

Код служит живой документацией архитектуры. Всегда актуальное описание инфраструктуры.

Совместная работа

Команда может вместе работать над инфраструктурой через pull requests и code review.

🔧 Terraform — лидер IaC

Terraform — инструмент от HashiCorp, который позволяет описывать инфраструктуру на декларативном языке HCL (HashiCorp Configuration Language). Он поддерживает сотни провайдеров: AWS, Azure, GCP, Kubernetes, Docker и многие другие.

Основные концепции Terraform

Provider — плагин для взаимодействия с API сервиса (AWS, Azure, etc.)
Resource — компонент инфраструктуры (сервер, база данных, сеть)
Data Source — информация о существующих ресурсах
Variable — входные параметры конфигурации
Output — выходные значения конфигурации
State — текущее состояние инфраструктуры

⚙️ Установка Terraform

# Загрузка и установка Terraform
wget https://releases.hashicorp.com/terraform/1.7.0/terraform_1.7.0_linux_amd64.zip
unzip terraform_1.7.0_linux_amd64.zip
sudo mv terraform /usr/local/bin/

# Проверка установки
terraform version

# Включение автодополнения
terraform -install-autocomplete

🛠️ Первый проект на Terraform

Структура проекта

terraform-project/
├── main.tf          # Основная конфигурация
├── variables.tf     # Переменные
├── outputs.tf       # Выходные значения
├── terraform.tfvars # Значения переменных
└── providers.tf     # Провайдеры

providers.tf

terraform {
  required_version = ">= 1.0"
  required_providers {
    aws = {
      source  = "hashicorp/aws"
      version = "~> 5.0"
    }
  }
}

provider "aws" {
  region = var.aws_region
}

variables.tf

variable "aws_region" {
  description = "AWS region"
  type        = string
  default     = "us-west-2"
}

variable "instance_type" {
  description = "EC2 instance type"
  type        = string
  default     = "t3.micro"
}

variable "environment" {
  description = "Environment name"
  type        = string
  validation {
    condition     = contains(["dev", "staging", "prod"], var.environment)
    error_message = "Environment must be dev, staging, or prod."
  }
}

variable "project_name" {
  description = "Name of the project"
  type        = string
  default     = "devops-course"
}

main.tf

# Data source для получения AMI
data "aws_ami" "ubuntu" {
  most_recent = true
  owners      = ["099720109477"] # Canonical

  filter {
    name   = "name"
    values = ["ubuntu/images/hvm-ssd/ubuntu-22.04-amd64-server-*"]
  }

  filter {
    name   = "virtualization-type"
    values = ["hvm"]
  }
}

# Security Group
resource "aws_security_group" "web_sg" {
  name_prefix = "${var.environment}-${var.project_name}-web-"
  description = "Security group for web servers"

  ingress {
    description = "HTTP"
    from_port   = 80
    to_port     = 80
    protocol    = "tcp"
    cidr_blocks = ["0.0.0.0/0"]
  }

  ingress {
    description = "HTTPS"
    from_port   = 443
    to_port     = 443
    protocol    = "tcp"
    cidr_blocks = ["0.0.0.0/0"]
  }

  ingress {
    description = "SSH"
    from_port   = 22
    to_port     = 22
    protocol    = "tcp"
    cidr_blocks = ["0.0.0.0/0"]
  }

  egress {
    from_port   = 0
    to_port     = 0
    protocol    = "-1"
    cidr_blocks = ["0.0.0.0/0"]
  }

  tags = {
    Name        = "${var.environment}-${var.project_name}-web-sg"
    Environment = var.environment
    Project     = var.project_name
  }
}

# EC2 Instance
resource "aws_instance" "web_server" {
  ami                    = data.aws_ami.ubuntu.id
  instance_type          = var.instance_type
  vpc_security_group_ids = [aws_security_group.web_sg.id]

  user_data = base64encode(templatefile("${path.module}/user_data.sh", {
    environment = var.environment
    project     = var.project_name
  }))

  tags = {
    Name        = "${var.environment}-${var.project_name}-web-server"
    Environment = var.environment
    Project     = var.project_name
  }
}

# Elastic IP
resource "aws_eip" "web_eip" {
  instance = aws_instance.web_server.id
  domain   = "vpc"

  tags = {
    Name        = "${var.environment}-${var.project_name}-eip"
    Environment = var.environment
  }
}

outputs.tf

output "instance_public_ip" {
  description = "Public IP address of the EC2 instance"
  value       = aws_eip.web_eip.public_ip
}

output "instance_public_dns" {
  description = "Public DNS name of the EC2 instance"
  value       = aws_instance.web_server.public_dns
}

output "security_group_id" {
  description = "ID of the security group"
  value       = aws_security_group.web_sg.id
}

output "ssh_command" {
  description = "SSH command to connect to the instance"
  value       = "ssh -i ~/.ssh/your-key.pem ubuntu@${aws_eip.web_eip.public_ip}"
}

terraform.tfvars

aws_region    = "us-west-2"
instance_type = "t3.micro"
environment   = "dev"
project_name  = "devops-learning"

user_data.sh

#!/bin/bash
apt update
apt install -y nginx docker.io

# Настройка nginx
systemctl start nginx
systemctl enable nginx

# Создание простой страницы
cat > /var/www/html/index.html << EOF
<!DOCTYPE html>
<html>
<head>
    <title>${project} - ${environment}</title>
</head>
<body>
    <h1>Welcome to ${project}!</h1>
    <p>Environment: ${environment}</p>
    <p>Server deployed with Terraform</p>
    <p>Timestamp: $(date)</p>
</body>
</html>
EOF

# Настройка Docker
systemctl start docker
systemctl enable docker
usermod -aG docker ubuntu

🚀 Основные команды Terraform

# Инициализация проекта (загрузка провайдеров)
terraform init

# Форматирование кода
terraform fmt

# Валидация конфигурации
terraform validate

# Планирование изменений (dry-run)
terraform plan

# Планирование с сохранением в файл
terraform plan -out=tfplan

# Применение изменений
terraform apply

# Применение сохраненного плана
terraform apply tfplan

# Просмотр текущего состояния
terraform show

# Список ресурсов в state
terraform state list

# Подробная информация о ресурсе
terraform state show aws_instance.web_server

# Уничтожение инфраструктуры
terraform destroy

# Импорт существующего ресурса
terraform import aws_instance.web_server i-1234567890abcdef0

🛠️ Практические задания

Задание 8.1: Создание базовой инфраструктуры

# 1. Создание проекта
mkdir terraform-aws-demo
cd terraform-aws-demo

# 2. Настройка AWS CLI (если еще не настроен)
aws configure

# 3. Создание файлов конфигурации
# (используйте примеры выше)

# 4. Инициализация и применение
terraform init
terraform plan
terraform apply

# 5. Проверка результата
curl http://$(terraform output -raw instance_public_ip)

Задание 8.2: Модули Terraform

# modules/vpc/main.tf
resource "aws_vpc" "main" {
  cidr_block           = var.cidr_block
  enable_dns_hostnames = true
  enable_dns_support   = true

  tags = {
    Name = var.vpc_name
  }
}

resource "aws_internet_gateway" "main" {
  vpc_id = aws_vpc.main.id

  tags = {
    Name = "${var.vpc_name}-igw"
  }
}

resource "aws_subnet" "public" {
  count             = length(var.public_subnet_cidrs)
  vpc_id            = aws_vpc.main.id
  cidr_block        = var.public_subnet_cidrs[count.index]
  availability_zone = var.availability_zones[count.index]

  map_public_ip_on_launch = true

  tags = {
    Name = "${var.vpc_name}-public-${count.index + 1}"
    Type = "public"
  }
}

resource "aws_route_table" "public" {
  vpc_id = aws_vpc.main.id

  route {
    cidr_block = "0.0.0.0/0"
    gateway_id = aws_internet_gateway.main.id
  }

  tags = {
    Name = "${var.vpc_name}-public-rt"
  }
}

resource "aws_route_table_association" "public" {
  count          = length(aws_subnet.public)
  subnet_id      = aws_subnet.public[count.index].id
  route_table_id = aws_route_table.public.id
}

# modules/vpc/variables.tf
variable "vpc_name" {
  description = "Name of the VPC"
  type        = string
}

variable "cidr_block" {
  description = "CIDR block for VPC"
  type        = string
  default     = "10.0.0.0/16"
}

variable "public_subnet_cidrs" {
  description = "CIDR blocks for public subnets"
  type        = list(string)
  default     = ["10.0.1.0/24", "10.0.2.0/24"]
}

variable "availability_zones" {
  description = "Availability zones"
  type        = list(string)
  default     = ["us-west-2a", "us-west-2b"]
}

# modules/vpc/outputs.tf
output "vpc_id" {
  description = "ID of the VPC"
  value       = aws_vpc.main.id
}

output "public_subnet_ids" {
  description = "IDs of the public subnets"
  value       = aws_subnet.public[*].id
}

output "internet_gateway_id" {
  description = "ID of the Internet Gateway"
  value       = aws_internet_gateway.main.id
}

Использование модуля

# main.tf
module "vpc" {
  source = "./modules/vpc"

  vpc_name             = "my-vpc"
  cidr_block           = "10.0.0.0/16"
  public_subnet_cidrs  = ["10.0.1.0/24", "10.0.2.0/24"]
  availability_zones   = ["us-west-2a", "us-west-2b"]
}

resource "aws_instance" "web" {
  ami           = data.aws_ami.ubuntu.id
  instance_type = "t3.micro"
  subnet_id     = module.vpc.public_subnet_ids[0]

  tags = {
    Name = "web-server-in-custom-vpc"
  }
}

🔄 Ansible — управление конфигурациями

Ansible — инструмент автоматизации для управления конфигурациями серверов. В отличие от Terraform, который создает инфраструктуру, Ansible настраивает программное обеспечение.

Установка Ansible

# Ubuntu/Debian
sudo apt update
sudo apt install ansible

# Проверка установки
ansible --version

Inventory файл

# inventory/hosts.yml
all:
  children:
    webservers:
      hosts:
        web1.example.com:
          ansible_host: 192.168.1.10
          ansible_user: ubuntu
        web2.example.com:
          ansible_host: 192.168.1.11
          ansible_user: ubuntu
    databases:
      hosts:
        db1.example.com:
          ansible_host: 192.168.1.20
          ansible_user: ubuntu
      vars:
        db_port: 5432

Playbook для настройки веб-сервера

# playbooks/webserver.yml
---
- name: Configure web servers
  hosts: webservers
  become: yes
  vars:
    nginx_port: 80
    app_name: "devops-demo"
    
  tasks:
    - name: Update apt cache
      apt:
        update_cache: yes
        cache_valid_time: 3600

    - name: Install required packages
      apt:
        name:
          - nginx
          - docker.io
          - git
          - curl
        state: present

    - name: Start and enable nginx
      systemd:
        name: nginx
        state: started
        enabled: yes

    - name: Start and enable docker
      systemd:
        name: docker
        state: started
        enabled: yes

    - name: Add ubuntu user to docker group
      user:
        name: ubuntu
        groups: docker
        append: yes

    - name: Create application directory
      file:
        path: /opt/{{ app_name }}
        state: directory
        owner: ubuntu
        group: ubuntu
        mode: '0755'

    - name: Configure nginx
      template:
        src: nginx.conf.j2
        dest: /etc/nginx/sites-available/{{ app_name }}
      notify: restart nginx

    - name: Enable nginx site
      file:
        src: /etc/nginx/sites-available/{{ app_name }}
        dest: /etc/nginx/sites-enabled/{{ app_name }}
        state: link
      notify: restart nginx

    - name: Remove default nginx site
      file:
        path: /etc/nginx/sites-enabled/default
        state: absent
      notify: restart nginx

    - name: Open firewall for HTTP
      ufw:
        rule: allow
        port: "{{ nginx_port }}"

  handlers:
    - name: restart nginx
      systemd:
        name: nginx
        state: restarted

Шаблон Nginx

# templates/nginx.conf.j2
server {
    listen {{ nginx_port }};
    server_name {{ inventory_hostname }};

    location / {
        proxy_pass http://localhost:3000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }

    location /health {
        access_log off;
        return 200 "healthy\n";
        add_header Content-Type text/plain;
    }
}

Запуск Ansible

# Проверка подключения
ansible all -i inventory/hosts.yml -m ping

# Запуск playbook
ansible-playbook -i inventory/hosts.yml playbooks/webserver.yml

# Запуск с ограничением на группу хостов
ansible-playbook -i inventory/hosts.yml playbooks/webserver.yml --limit webservers

# Dry-run (проверка без изменений)
ansible-playbook -i inventory/hosts.yml playbooks/webserver.yml --check

📊 Интеграция Terraform и Ansible

Terraform с Ansible provisioner

resource "aws_instance" "web_server" {
  ami           = data.aws_ami.ubuntu.id
  instance_type = var.instance_type
  key_name      = aws_key_pair.deployer.key_name

  tags = {
    Name = "web-server"
  }

  provisioner "remote-exec" {
    inline = [
      "sudo apt update",
      "sudo apt install -y python3"
    ]

    connection {
      type        = "ssh"
      user        = "ubuntu"
      private_key = file("~/.ssh/id_rsa")
      host        = self.public_ip
    }
  }

  provisioner "local-exec" {
    command = "ansible-playbook -i '${self.public_ip},' --private-key ~/.ssh/id_rsa playbooks/webserver.yml"
  }
}

Генерация Ansible inventory из Terraform

# outputs.tf
output "ansible_inventory" {
  value = templatefile("${path.module}/inventory.tpl", {
    webservers = aws_instance.web_servers[*].public_ip
    databases  = aws_instance.db_servers[*].private_ip
  })
}

resource "local_file" "ansible_inventory" {
  content  = templatefile("${path.module}/inventory.tpl", {
    webservers = aws_instance.web_servers[*].public_ip
    databases  = aws_instance.db_servers[*].private_ip
  })
  filename = "${path.module}/generated_inventory.yml"
}

📖 Полезные ресурсы

Terraform Documentation — официальная документация
Terraform Registry — готовые модули и провайдеры
Ansible Documentation — руководство по Ansible
YouTube: "Terraform от А до Я" — практический курс по IaC8
Infrastructure as Code Guide — подробное руководство

✅ Чек-лист модуля

Понимаю концепции Infrastructure as Code
Установил и настроил Terraform
Создал первую инфраструктуру с Terraform
Освоил основные команды Terraform
Работал с переменными и outputs
Создал и использовал Terraform модули
Настроил удаленное хранение state
Установил и изучил Ansible
Создал Ansible playbook для настройки серверов
Интегрировал Terraform с Ansible

🚀 Что дальше?

После освоения Infrastructure as Code переходите к Модулю 9: Мониторинг и наблюдаемость для изучения систем мониторинга инфраструктуры и приложений.

Модуль 7: CI/CD — Непрерывная интеграция и развертывание

2025-06-11T10:58:13.169Z

Курс DevOps для новичков 2025

🔄 Что такое CI/CD?

CI/CD — это набор практик, которые автоматизируют процесс доставки кода от разработчика до пользователя. Это позволяет выпускать изменения быстро, безопасно и с минимальным вмешательством человека.

Continuous Integration (CI) — автоматическая сборка, тестирование и интеграция изменений в основную ветку кода

Continuous Delivery (CD) — автоматическая подготовка изменений к развертыванию

Continuous Deployment (CD) — автоматическое развертывание изменений в продакшн

По данным DevOps Research and Assessment 2024, команды с зрелыми CI/CD практиками развертывают код в 208 раз чаще и восстанавливаются после сбоев в 106 раз быстрее.

🎯 Зачем нужен CI/CD?

Проблемы традиционной разработки

Долгие циклы релизов (месяцы)
Высокий риск ошибок при развертывании
Сложности интеграции кода разных разработчиков
Ручные процессы тестирования и развертывания
"Integration Hell" — проблемы при слиянии кода

Преимущества CI/CD

Быстрая обратная связь — ошибки обнаруживаются в течение минут
Снижение рисков — маленькие изменения легче откатить
Повышение качества — автоматические тесты на каждом этапе
Ускорение доставки — от идеи до пользователя за часы, а не месяцы

🏗️ Архитектура CI/CD пайплайна

Типичный пайплайн включает этапы:

1. Source        → Разработчик делает commit в Git
2. Build         → Автоматическая сборка приложения
3. Test          → Запуск автоматических тестов
4. Security Scan → Проверка на уязвимости
5. Package       → Создание артефактов (Docker образы)
6. Deploy Staging → Развертывание в тестовую среду
7. Integration Tests → Тестирование в реальной среде
8. Deploy Production → Развертывание в продакшн
9. Monitor       → Мониторинг работы приложения

Стратегии развертывания

Blue-Green — две идентичные среды, переключение между ними
Canary — постепенный перевод трафика на новую версию
Rolling — поэтапная замена экземпляров приложения

🚀 GitHub Actions — современный CI/CD

Основные концепции

Workflow — автоматизированный процесс, описанный в YAML файле
Job — набор шагов, выполняющихся на одном runner
Step — отдельная задача (команда или action)
Runner — сервер, выполняющий workflows

Базовый workflow для Node.js

# .github/workflows/ci-cd.yml
name: CI/CD Pipeline

on:
  push:
    branches: [ main, develop ]
  pull_request:
    branches: [ main ]

env:
  NODE_VERSION: '18'
  REGISTRY: ghcr.io
  IMAGE_NAME: ${{ github.repository }}

jobs:
  test:
    runs-on: ubuntu-latest
    
    strategy:
      matrix:
        node-version: [16.x, 18.x, 20.x]
    
    steps:
    - name: Checkout code
      uses: actions/checkout@v4
    
    - name: Setup Node.js ${{ matrix.node-version }}
      uses: actions/setup-node@v4
      with:
        node-version: ${{ matrix.node-version }}
        cache: 'npm'
    
    - name: Install dependencies
      run: npm ci
    
    - name: Run linter
      run: npm run lint
    
    - name: Run unit tests
      run: npm test -- --coverage
    
    - name: Upload coverage to Codecov
      uses: codecov/codecov-action@v3
      with:
        file: ./coverage/lcov.info
    
    - name: Run security audit
      run: npm audit --audit-level moderate

  build-and-push:
    needs: test
    runs-on: ubuntu-latest
    if: github.ref == 'refs/heads/main'
    
    outputs:
      image-digest: ${{ steps.build.outputs.digest }}
    
    steps:
    - name: Checkout code
      uses: actions/checkout@v4
    
    - name: Set up Docker Buildx
      uses: docker/setup-buildx-action@v3
    
    - name: Login to Container Registry
      uses: docker/login-action@v3
      with:
        registry: ${{ env.REGISTRY }}
        username: ${{ github.actor }}
        password: ${{ secrets.GITHUB_TOKEN }}
    
    - name: Extract metadata
      id: meta
      uses: docker/metadata-action@v5
      with:
        images: ${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}
        tags: |
          type=ref,event=branch
          type=sha,prefix={{branch}}-
          type=raw,value=latest,enable={{is_default_branch}}
    
    - name: Build and push Docker image
      id: build
      uses: docker/build-push-action@v5
      with:
        context: .
        push: true
        tags: ${{ steps.meta.outputs.tags }}
        labels: ${{ steps.meta.outputs.labels }}
        cache-from: type=gha
        cache-to: type=gha,mode=max

  deploy-staging:
    needs: build-and-push
    runs-on: ubuntu-latest
    environment: staging
    
    steps:
    - name: Deploy to staging
      run: |
        echo "Deploying to staging environment..."
        echo "Image: ${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}:${{ github.sha }}"
        # Здесь команды для развертывания в staging

  integration-tests:
    needs: deploy-staging
    runs-on: ubuntu-latest
    
    steps:
    - name: Checkout code
      uses: actions/checkout@v4
    
    - name: Run integration tests
      run: |
        echo "Running integration tests against staging..."
        # npm run test:integration

  deploy-production:
    needs: [build-and-push, integration-tests]
    runs-on: ubuntu-latest
    environment: production
    if: github.ref == 'refs/heads/main'
    
    steps:
    - name: Deploy to production
      run: |
        echo "Deploying to production..."
        echo "Image: ${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}:${{ github.sha }}"
        # kubectl set image deployment/myapp myapp=${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}:${{ github.sha }}

🛠️ Практические задания

Задание 7.1: Создание простого CI пайплайна

# 1. Создание Node.js приложения
mkdir ci-cd-demo
cd ci-cd-demo
npm init -y

# 2. Установка зависимостей
npm install express
npm install --save-dev jest supertest eslint nodemon

# 3. Настройка package.json
cat > package.json << 'EOF'
{
  "name": "ci-cd-demo",
  "version": "1.0.0",
  "description": "Demo app for CI/CD learning",
  "main": "app.js",
  "scripts": {
    "start": "node app.js",
    "dev": "nodemon app.js",
    "test": "jest",
    "test:watch": "jest --watch",
    "lint": "eslint .",
    "lint:fix": "eslint . --fix"
  },
  "dependencies": {
    "express": "^4.18.2"
  },
  "devDependencies": {
    "jest": "^29.7.0",
    "supertest": "^6.3.3",
    "eslint": "^8.57.0",
    "nodemon": "^3.0.2"
  }
}
EOF

Создание приложения

// app.js
const express = require('express');
const app = express();
const port = process.env.PORT || 3000;

app.use(express.json());

// Простая база данных в памяти
let users = [
  { id: 1, name: 'Alice', email: 'alice@example.com' },
  { id: 2, name: 'Bob', email: 'bob@example.com' }
];

app.get('/', (req, res) => {
  res.json({ 
    message: 'Hello CI/CD!', 
    version: '1.0.0',
    timestamp: new Date().toISOString()
  });
});

app.get('/health', (req, res) => {
  res.json({ 
    status: 'OK', 
    uptime: process.uptime(),
    timestamp: new Date().toISOString()
  });
});

app.get('/users', (req, res) => {
  res.json(users);
});

app.post('/users', (req, res) => {
  const { name, email } = req.body;
  
  if (!name || !email) {
    return res.status(400).json({ error: 'Name and email are required' });
  }
  
  const newUser = {
    id: users.length + 1,
    name,
    email
  };
  
  users.push(newUser);
  res.status(201).json(newUser);
});

if (require.main === module) {
  app.listen(port, () => {
    console.log(`Server running on port ${port}`);
  });
}

module.exports = app;

Создание тестов

// app.test.js
const request = require('supertest');
const app = require('./app');

describe('App', () => {
  test('GET / should return hello message', async () => {
    const response = await request(app).get('/');
    expect(response.status).toBe(200);
    expect(response.body.message).toBe('Hello CI/CD!');
    expect(response.body.version).toBe('1.0.0');
  });

  test('GET /health should return OK status', async () => {
    const response = await request(app).get('/health');
    expect(response.status).toBe(200);
    expect(response.body.status).toBe('OK');
    expect(response.body.uptime).toBeGreaterThanOrEqual(0);
  });

  test('GET /users should return users list', async () => {
    const response = await request(app).get('/users');
    expect(response.status).toBe(200);
    expect(Array.isArray(response.body)).toBe(true);
    expect(response.body.length).toBeGreaterThan(0);
  });

  test('POST /users should create new user', async () => {
    const newUser = {
      name: 'Charlie',
      email: 'charlie@example.com'
    };

    const response = await request(app)
      .post('/users')
      .send(newUser);

    expect(response.status).toBe(201);
    expect(response.body.name).toBe(newUser.name);
    expect(response.body.email).toBe(newUser.email);
    expect(response.body.id).toBeDefined();
  });

  test('POST /users should return 400 for invalid data', async () => {
    const response = await request(app)
      .post('/users')
      .send({ name: 'Test' }); // missing email

    expect(response.status).toBe(400);
    expect(response.body.error).toBe('Name and email are required');
  });
});

Задание 7.2: Dockerfile для приложения

# Dockerfile
FROM node:18-alpine AS builder

WORKDIR /app
COPY package*.json ./
RUN npm ci --only=production

FROM node:18-alpine AS runtime

# Создание пользователя
RUN addgroup -g 1001 -S nodejs && \
    adduser -S nextjs -u 1001

WORKDIR /app

# Копирование зависимостей
COPY --from=builder /app/node_modules ./node_modules
COPY --chown=nextjs:nodejs . .

# Переключение на непривилегированного пользователя
USER nextjs

EXPOSE 3000

# Health check
HEALTHCHECK --interval=30s --timeout=3s --start-period=5s --retries=3 \
  CMD node -e "require('http').get('http://localhost:3000/health', (res) => { process.exit(res.statusCode === 200 ? 0 : 1) })"

CMD ["npm", "start"]

Задание 7.3: GitHub Actions workflow

# .github/workflows/ci-cd.yml
name: CI/CD Pipeline

on:
  push:
    branches: [ main, develop ]
  pull_request:
    branches: [ main ]

env:
  REGISTRY: ghcr.io
  IMAGE_NAME: ${{ github.repository }}

jobs:
  test:
    runs-on: ubuntu-latest
    
    steps:
    - uses: actions/checkout@v4
    
    - name: Setup Node.js
      uses: actions/setup-node@v4
      with:
        node-version: '18'
        cache: 'npm'
    
    - name: Install dependencies
      run: npm ci
    
    - name: Run linter
      run: npm run lint
    
    - name: Run tests
      run: npm test
    
    - name: Security audit
      run: npm audit --audit-level moderate

  build:
    needs: test
    runs-on: ubuntu-latest
    if: github.event_name == 'push'
    
    steps:
    - uses: actions/checkout@v4
    
    - name: Set up Docker Buildx
      uses: docker/setup-buildx-action@v3
    
    - name: Login to GitHub Container Registry
      uses: docker/login-action@v3
      with:
        registry: ${{ env.REGISTRY }}
        username: ${{ github.actor }}
        password: ${{ secrets.GITHUB_TOKEN }}
    
    - name: Build and push
      uses: docker/build-push-action@v5
      with:
        context: .
        push: true
        tags: |
          ${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}:${{ github.sha }}
          ${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}:latest

🔧 Jenkins — классический CI/CD

Установка Jenkins

# Установка Java
sudo apt update
sudo apt install openjdk-11-jdk

# Добавление репозитория Jenkins
wget -q -O - https://pkg.jenkins.io/debian/jenkins.io.key | sudo apt-key add -
sudo sh -c 'echo deb http://pkg.jenkins.io/debian-stable binary/ > /etc/apt/sources.list.d/jenkins.list'

# Установка Jenkins
sudo apt update
sudo apt install jenkins

# Запуск Jenkins
sudo systemctl start jenkins
sudo systemctl enable jenkins

# Получение первоначального пароля
sudo cat /var/lib/jenkins/secrets/initialAdminPassword

Jenkinsfile пример

groovy
pipeline {
    agent any
    
    environment {
        DOCKER_IMAGE = "myapp"
        DOCKER_TAG = "${BUILD_NUMBER}"
        DOCKER_REGISTRY = "ghcr.io"
    }
    
    stages {
        stage('Checkout') {
            steps {
                checkout scm
            }
        }
        
        stage('Install Dependencies') {
            steps {
                sh 'npm install'
            }
        }
        
        stage('Lint') {
            steps {
                sh 'npm run lint'
            }
        }
        
        stage('Test') {
            steps {
                sh 'npm test'
            }
            post {
                always {
                    publishTestResults testResultsPattern: 'test-results.xml'
                }
            }
        }
        
        stage('Security Scan') {
            steps {
                sh 'npm audit'
            }
        }
        
        stage('Build Docker Image') {
            steps {
                script {
                    def image = docker.build("${DOCKER_IMAGE}:${DOCKER_TAG}")
                    docker.withRegistry("https://${DOCKER_REGISTRY}", 'github-registry-credentials') {
                        image.push()
                        image.push("latest")
                    }
                }
            }
        }
        
        stage('Deploy to Staging') {
            steps {
                sh """
                    docker run -d --name staging-${BUILD_NUMBER} \
                    -p 3001:3000 \
                    ${DOCKER_IMAGE}:${DOCKER_TAG}
                """
            }
        }
        
        stage('Integration Tests') {
            steps {
                sh 'npm run test:integration'
            }
        }
        
        stage('Deploy to Production') {
            when {
                branch 'main'
            }
            steps {
                script {
                    input message: 'Deploy to production?', ok: 'Deploy'
                }
                sh """
                    kubectl set image deployment/myapp-deployment \
                    myapp=${DOCKER_IMAGE}:${DOCKER_TAG}
                """
            }
        }
    }
    
    post {
        always {
            cleanWs()
        }
        success {
            slackSend channel: '#deployments', 
                      message: "✅ Pipeline succeeded for ${env.JOB_NAME} #${env.BUILD_NUMBER}"
        }
        failure {
            slackSend channel: '#deployments',
                      message: "❌ Pipeline failed for ${env.JOB_NAME} #${env.BUILD_NUMBER}"
        }
    }
}

📊 Мониторинг пайплайнов

Метрики CI/CD

Lead Time — время от коммита до развертывания
Deployment Frequency — частота развертываний
Mean Time to Recovery — время восстановления после сбоя
Change Failure Rate — процент неудачных изменений

Уведомления и алерты

# Добавление в GitHub Actions
- name: Notify Slack on failure
  if: failure()
  uses: 8398a7/action-slack@v3
  with:
    status: failure
    webhook_url: ${{ secrets.SLACK_WEBHOOK }}
    message: |
      ❌ Build failed!
      Repository: ${{ github.repository }}
      Branch: ${{ github.ref }}
      Commit: ${{ github.sha }}

📖 Полезные ресурсы

GitHub Actions Documentation — официальная документация
Jenkins Handbook — полное руководство по Jenkins
GitLab CI/CD — альтернативная платформа CI/CD
YouTube: "CI/CD с нуля до продакшена" — практический курс
The DevOps Handbook — книга о DevOps практиках

✅ Чек-лист модуля

Понимаю концепции CI/CD и их преимущества
Создал простое приложение с тестами
Настроил GitHub Actions workflow
Реализовал автоматическую сборку Docker образов
Настроил автоматическое развертывание
Изучил стратегии развертывания (Blue-Green, Canary)
Добавил проверки безопасности в пайплайн
Настроил уведомления о статусе сборки
Понимаю метрики эффективности CI/CD
Умею отлаживать проблемы в пайплайнах

🚀 Что дальше?

После освоения CI/CD переходите к Модулю 8: Infrastructure as Code для изучения управления инфраструктурой через код и автоматизации развертывания сред.