Цифровий продукт — це будь-який контент, який покупець отримує у вигляді файлу або доступу: електронна книга, відеокурс, Notion-шаблон, пресет для Lightroom, гайд у PDF, пензлі для Procreate.

Головна перевага над фізичними товарами — нульова собівартість кожного наступного продажу. Ви створюєте продукт один раз, а продаєте його необмежену кількість разів. Немає склadu, доставки, залишків.

У 2026 році ринок цифрових продуктів в Україні активно зростає. За даними глобальних досліджень, ринок e-learning щорічно збільшується на 15–20%. Українські автори — дизайнери, нутриціологи, SMM-спеціалісти, коучі — все частіше монетизують свою експертизу саме через цифровий контент.

Що можна продавати: конкретні приклади

Освіта та експертиза:

• Відеокурси та вебінари
• PDF-гайди та чек-листи
• Воркбуки та практичні завдання
• Закриті Telegram-канали з навчальними матеріалами

Дизайн та творчість:

• Шаблони для Notion, Figma, Canva, Excel
• Пресети для Lightroom та Capture One
• Пензлі та текстури для Procreate та Photoshop
• Стоковий цифровий арт та 3D-моделі

Бізнес та автоматизація:

• Готові скрипти для продажів
• Таблиці фінансового обліку
• Медіаплани та контент-стратегії

Де продавати цифрові продукти в Україні

Це найважливіше питання. Розберемо варіанти.

Варіант 1: "На картку через Telegram"

Найпоширеніший спосіб серед початківців. Покупець переказує гроші, автор вручну надсилає файл.

Проблеми:

• Прийом оплат на особисту картку за товари є порушенням податкового законодавства при регулярному характері
• Немає автоматизації — кожен продаж вимагає вашого часу
• Неможливо масштабуватися
• Немає аналітики, статистики, повторних продажів

Варіант 2: Іноземні платформи (Gumroad, Patreon, Stanstore)

Здавалося б, зручне рішення. Але для українських авторів — суцільний головний біль.

Реальні проблеми:

• Gumroad вимагає Payoneer або PayPal для виводу — обидва погано або зовсім не працюють з українськими ФОП
• Подвійна конвертація: долар → гривня через посередника — це додаткові 2–4% втрат
• Блокування виплат без пояснень — масова проблема 2022–2024 років
• Покупці в Україні часто не можуть оплатити через іноземний еквайринг українськими картками

Варіант 3: Українська платформа BlackSea

BlackSea — перший спеціалізований маркетплейс цифрових продуктів в Україні.

Ключові переваги:

• Гроші надходять напряму на ваш рахунок ФОП без посередників
• Покупці платять зручно: Monobank, PrivatBank, Apple Pay, Google Pay
• Комісія 10% від продажу — і більше нічого (жодних підписок, плати за зберігання файлів або вивід коштів)
• Платформа автоматично надсилає файл покупцеві одразу після оплати
• Підтримує як ФОП, так і фізичних осіб

Як легально продавати: питання ФОП та податків

Це питання зупиняє багатьох авторів. Насправді все простіше, ніж здається.

Хто може продавати цифрові продукти?

ФОП (фізична особа-підприємець) — найзручніший варіант. Для продажу цифрових продуктів підходить ФОП 2-ї або 3-ї групи спрощеної системи оподаткування. Ставка — 5% від доходу для 3-ї групи.

Фізична особа — технічно можливо, але при регулярному доході потрібно сплачувати ПДФО (18%) та військовий збір (5%). Якщо ви серйозно плануєте монетизацію, реєстрація ФОП — правильний крок.

Як відбувається оподаткування через BlackSea?

При роботі через платформу з агентською схемою платформа виступає агентом. Ваш оподатковуваний дохід — сума, що надходить на ваш рахунок після вирахування комісії. Платформа надає всі необхідні документи для звітності.

Покроковий план: як почати продавати

Крок 1. Визначте свій продукт

Запитайте себе: яке питання ваша аудиторія ставить найчастіше? Відповідь на це питання у зручному форматі (PDF, відео, шаблон) — це і є ваш перший цифровий продукт.

Не намагайтеся зробити "ідеальний" великий курс одразу. Почніть з малого: гайд на 10–15 сторінок або чек-лист вирішать конкретну проблему і коштуватимуть 150–500 грн.

Крок 2. Встановіть ціну

Розповсюджена помилка — занижувати ціну. Цифровий продукт вирішує реальну проблему, і це коштує грошей. Орієнтири для українського ринку:

• Чек-лист / короткий гайд: 100–300 грн
• Детальний гайд / воркбук: 300–800 грн
• Шаблони (Notion, Figma): 200–600 грн
• Міні-курс (3–5 відео): 500–1500 грн
• Повноцінний курс: 1500–5000+ грн

Крок 3. Зареєструйтеся на платформі

Реєстрація на BlackSea займає кілька хвилин. Завантажте свій продукт, заповніть опис, встановіть ціну — і ваша сторінка продажу готова. Посилання можна одразу розміщувати в Instagram Bio, Telegram-каналі або YouTube.

Крок 4. Просування

Для першого продажу не потрібна велика аудиторія. Достатньо 200–300 підписників у будь-якій соцмережі. Розкажіть про свій продукт у сторіс, напишіть пост-кейс, покажіть, яку проблему він вирішує — і перші продажі не змусять чекати.

Крок 5. Масштабування

Отримавши перші відгуки, вдосконалюйте продукт і додавайте нові. Авторам із BlackSea доступний каталог маркетплейсу — ваш продукт побачать покупці, які самостійно шукають контент у вашій ніші (з комісією 15%).

Поширені питання (FAQ)

Чи можна продавати без ФОП? Так, BlackSea працює з фізичними особами. Але якщо ви плануєте стабільний дохід, реєстрація ФОП 3-ї групи захистить від зайвих питань з боку податкової.

Як покупець отримує товар? Автоматично на пошту одразу після підтвердження оплати. Ваша участь не потрібна.

Що якщо мій продукт скопіюють і поширять безкоштовно? Повністю захиститися неможливо, але правильне ціноутворення і регулярне оновлення контенту роблять "злив" менш критичним. Нові покупці завжди купуватимуть актуальну версію.

Чи є мінімальна сума для виводу коштів? На BlackSea виплати надходять безпосередньо на рахунок автора без значних затримок.

Скільки часу займає налаштування? Реально — від 30 хвилин до кількох годин залежно від складності продукту. Платформа не вимагає технічних знань.

Висновок

Продавати цифрові продукти в Україні у 2026 році — реально, легально і без зайвих технічних складнощів. Головне — обрати правильний інструмент, який бере на себе всю операційну роботу: прийом платежів, зберігання файлів, видачу покупцям і аналітику.

Якщо ви хочете почати без зайвого головного болю — зареєструйтесь на BlackSea і опублікуйте перший продукт сьогодні.

Стаття оновлена у квітні 2026 року.

Що означає заробляти онлайн у 2026 році

Онлайн-заробіток у 2026 — це не обов'язково фріланс і не обов'язково блогерство. Найстійкіша модель сьогодні — пасивний дохід через цифрові продукти: одного разу створюєш, продаєш нескінченно. Саме тому монетизація контенту та цифрові продукти стали головним трендом серед українських авторів.

Є кілька базових моделей онлайн-заробітку, кожна з яких підходить різним людям залежно від досвіду та ресурсів.

1. Онлайн-курси та навчальні матеріали

Якщо ти знаєш щось краще за інших — це вже продукт. Онлайн-курс може бути записаним відео, серією PDF-уроків, або навіть текстовим гайдом. Головне — конкретний результат для покупця. Найчастіше питають: з чого почати? Відповідь: з однієї болючої проблеми твоєї аудиторії.

2. Шаблони, пресети та цифрові файли

Canva-шаблони, Notion-бази, Lightroom-пресети, Figma-компоненти — все це продається. Причому без записів, без вебінарів і без великої аудиторії. Дизайнер один раз робить шаблон — і він може продаватись роками. Це і є пасивний дохід у найчистішому вигляді.

3. Консультації та менторство

Якщо у тебе є практичний досвід — консультації є найшвидшим способом монетизувати його онлайн. Перші продажі зазвичай йдуть саме через цей формат, бо немає порогу входу: не потрібно нічого створювати наперед.

4. Доступ до спільноти або закритого контенту

Підписна модель набирає популярність і в Україні. Це може бути закритий Telegram-канал, курс з регулярним оновленням, або база знань для вузької ніші.

Як створити онлайн продукт: 5 кроків для початківців

Одна з найпоширеніших помилок — намагатись зробити ідеальний продукт перш ніж продати хоч один. Реальність: кращий перший продукт — це той, що ти вже можеш продати цього тижня.

• Визнач одну конкретну проблему своєї аудиторії — не тему, а проблему
• Вибери найпростіший формат: PDF-гайд, шаблон або запис консультації
• Поставь ціну — навіть символічну. Безкоштовне не вчить продавати
• Вибери платформу для продажу з автодоставкою файлу покупцю
• Отримай перший відгук і покращ продукт на основі реального досвіду

Пасивний дохід в інтернеті: міф чи реальність для українців?

Слово «пасивний» часто вводить в оману. Пасивний дохід не означає «без роботи» — він означає «без постійної присутності». Ти вкладаєш зусилля один раз при створенні продукту, а потім система продажів працює без тебе.

В Україні є кілька специфічних бар'єрів: складнощі з отриманням міжнародних платежів, питання ФОП-оподаткування, відсутність зручних локальних інструментів продажу. Саме тому для українських авторів критично важливо вибирати платформи, які вирішують ці проблеми нативно — з гривневими платежами, локальними платіжними системами та відповідністю українському законодавству.

Монетизація контенту: коли аудиторія — не обов'язкова умова

Популярний міф: «спочатку набери 10 000 підписників, потім монетизуй». Практика показує інше. Автори з мікро-аудиторією у 500–1000 реальних читачів часто заробляють більше, ніж блогери з десятками тисяч підписників. Ключ — точне потрапляння продукту в потребу конкретної людини.

Монетизація контенту в Україні у 2025 — це не реклама і не донати. Це цифрові продукти: курси, шаблони, гайди, консультації. І найзручніший спосіб їх продавати — через спеціалізований маркетплейс, де вже є інфраструктура для прийому платежів, доставки файлів та юридичного оформлення.

→ Почніть продавати свій перший цифровий продукт на BlackSea — безкоштовна реєстрація за 5 хвилин

Висновок

Заробляти онлайн в Україні реально — і у 2026 році для цього є більше інструментів, ніж будь-коли. Найстійкіша стратегія: одна аудиторія, одна проблема, один цифровий продукт, одна платформа для продажу. Починай з малого — і масштабуй те, що вже продається.

Ссылки на источники указаны в тексте в виде цитат.

Почему один продукт упоминают все — и как это меняет сознание аудитории

Маркетинг в соцсетях — это игра повторений. Когда один и тот же бренд «случайно» встречается в каруселях полезных инструментов, кейсах и туториалах в разных лентах и от разных авторов, мозг делает вывод: «Если об этом говорят повсюду, значит, это стоит внимания».

Kuse AI добился именно этого эффекта: узнаваемость через «естественную» многократность в независимых каналах. Не агрессивная реклама, а будто органическая рекомендация экспертов.

Боль аудитории: контент есть, но охваты и доверие не растут

• Один бренд‑аккаунт тонет в шумах.
• Реклама дорожает, конверсия падает.
• «Пост от лица компании» воспринимается как продажа, а не как помощь.
• Алгоритм любит сохранения, репосты и дискуссии — но большинству постов нечем зацепить.

Вывод: нужно присутствовать шире и умнее, чем «одна страница — одна подача».

Почему стандартные решения не срабатывают

• Закупить рекламу? Быстро проедает бюджет, выгорает аудитория, растёт цена клика.
• Попросить блогеров? Одноразовые интеграции без системности не строят узнаваемость.
• Писать «полезный контент» на одном канале? Хорошо, но медленно и с ограниченным охватом.

Нужен способ масштабировать органику без «пахоты в никуда» и без бесконечных согласований.

Инсайт: сеть профильных аккаунтов + три формата контента = эффект домино

Из анализа постов на Threads за последние полгода (около 10 публикаций из разных аккаунтов, включая @ai.tools.learn, @buildinhq, @ai.ezhacker, @ai.academy_, @kenchoi.kc и @kusehq) заметны повторяющиеся паттерны:

• Формат «топ‑N инструментов» с призывом «сохранить» — взрывает охваты: высокие save/share по умолчанию.
• Кейсы под конкретные боли сегментов (студенты, преподаватели): «5 минут — и готов DSE‑экзамен в PDF». Практичность → регистрация.
• Официальный аккаунт докручивает позиционирование: «почему Kuse», визуальный интерфейс, контекст, мультимодальность.
• Межъязыковая диверсификация: англ./китайский; одинаковая структура подачи — разная локализация.
• Взаимодействие между аккаунтами создаёт «эффект живого сообщества», а не рекламной сетки.

Ключ: не один громкий канал, а согласованная сеть носителей смысла. Матричная подача — как музыкальная тема, которую подхватывают разные инструменты.

Конструктор матричной стратегии для вашего стартапа

Ниже — пошагово, что и как делать. Это работает и в Threads, и в Telegram, и в X/LinkedIn.

Шаг 1. Разбейте аудиторию на кластеры

• Студенты и преподаватели
• SMM/контент‑менеджеры
• Продакт‑менеджеры/операторы бизнес‑процессов
• Фаундеры/малый бизнес

Для каждого — свой язык, проблемы и формат доказательства.

Шаг 2. Заводим 3–6 профильных аккаунтов

• Тематические «дайджесты инструментов» (как бы независимые кураторы)
• Нишевые «практики» (кейсы «как решить X за 5 минут»)
• Официальный бренд‑аккаунт (стратегия, фичи, road‑map, milestone’ы)

Важно: стиль дружелюбного эксперта, а не «рекламной листовки». Никакого спама.

Шаг 3. Три опорных формата контента

1. Топ‑N инструментов с призывом «Save/Share»
2. Пошаговые туториалы/кейсы на боль сегмента
3. Позиционирующие треды от бренда: «почему мы → чем отличаемся → где выигрываем»

Шаг 4. Ритм и перекрёстная поддержка

• 3–4 поста в неделю по сети с разнотипными форматами.
• Взаимные упоминания, ответы, продолжения («разбор вопросов из вирусного поста»).
• Синхронизированные CTA (единая ссылка/линк‑хаб).

Шаг 5. Измеряем только то, что влияет на рост

• Save/Share Rate у «топов».
• CTR/Sign‑ups у кейсов.
• LTV/Retention по каналам (какие аккаунты приводят «долгоиграющих»).

Как производить такой контент быстро и качественно

Матричная стратегия упирается в один узкий горлышко: скорость и стабильность производства. Здесь вступают в игру AI‑инструменты, которые закрывают разные уровни контент‑воронки:

• Идеи и структуру — генерируем промпт‑инжинирингом под GPT‑5.
• Визуал для каруселей и тредов — синтез по готовым стилям.
• Видео‑демо, кейсы и анонсы — скрипт → сцен‑план → рендер через видео‑AI.

Ниже — готовая связка инструментов, которыми я лично пользуюсь и которые доступно собраны в продуктах «под ключ».

Инструменты, которые экономят месяцы и делают контент предсказуемо сильным

В этой системе каждый продукт — модуль большого «контент‑двигателя». Их можно использовать по отдельности, но максимальный эффект — в связке.

1. Гайд по промптам для GPT‑5: точные ответы без лишних итераций
   https://lalirun.gumroad.com/l/PromptOptimizationCookbook

Что решает:

• Боль «много воды и мало сути», «постоянно переспрашивать ИИ».
• Дает конструкцию промптов, которые возвращают сразу продаваемый текст: хук, доказательства, CTA, тред‑структуры.
• Специальные промпты для «топ‑N», «гайдов за 5 минут», «разборов кейсов», «ответов на возражения».

Где применять:

• Threads‑треды, Telegram‑лента, email‑лиды, лендинги.
• Подготовка сценариев для видео/вебинаров.

1. Veo 3: Visual Command Protocol (VCP) — революционная технология создания AI‑видео
   https://lalirun.gumroad.com/l/CommandProtocol

Что решает:

• Быстрое производство кинематографичных, «продающих» видео под треды/сторис/лендинги.
• Пошаговый протокол команд: от идеи → сториборда → сцен‑плана → камерных команд → финального рендера.
• 50+ шаблонов на любые ниши: демо‑продукта, кейс‑истории, туториалы, тизеры.

Где применять:

• Видео‑кейсы «как за 5 минут решить задачу» (идеально для матричной стратегии).
• «Вирусные» анонсы функционала, сравнения «до/после», тизеры запуска.

1. AI‑Agent Guide — как построить собственных контент‑агентов
   https://lalirun.gumroad.com/l/ai-agent-guide

Что решает:

• Автоматизацию: агент сам выбирает тему (по рандому или по слоту календаря), тянет актуальные факты, собирает структуру, подставляет UTM и публикует в нужные каналы.
• Сценарии для разных форматов: «топ‑N», «гайд 5 шагов», «разбор боли», «кейсы с метриками».
• Подключение к CMS/ноушен‑базе, контроль качества, шаблоны проверки «без воды».

Где применять:

• Масштабирование сети аккаунтов без роста штата.
• Регулярный выпуск контента с единым тоном и CTA.

Практика: как это запустить за 14 дней

Ниже — реальный план, которым можно руководствоваться.

Дни 1–3

• Определяем 3–4 кластера аудитории и «болезненные задачи» (по 2 на кластер).
• Настраиваем шаблоны промптов из Prompt Optimization Cookbook под каждый кластер.
• Готовим 12–16 постов: 6 «топ‑N», 6 мини‑кейсов, 2 позиционирующих треда.

Дни 4–6

• Поднимаем 3–5 профильных аккаунтов в Threads.
• Подключаем AI‑агентов: темы, источники, расписание, формат вывода.
• Готовим визуальные карусели (единый стиль), делаем 2 коротких видео по VCP.

Дни 7–10

• Публикуем по сетке:
• Пн/Ср/Пт — «топ‑N» с CTA «Save/Share».
• Вт/Чт — туториалы/кейсы с CTA «Try now».
• Сб — позиционирующий тред от бренда.
• В тредах аккаунты «подхватывают» друг друга: ответы, дополнения, уточнения.
• Параллельно — Telegram‑репосты: «3 инсайта за неделю» с ссылками.

Дни 11–14

• Аналитика: какие форматы дали больше Save/Share/CTR.
• Ротация постов в новых языках (локализация).
• Видео‑дубляж: тот же кейс — короткое видео по VCP с выдержкой 30–45 секунд.
• Первый оффер: «только сегодня гайд/шаблоны со скидкой», «бонус — чек‑лист».

Модель контента под матрицу: примеры, которые можно вставить в прод

Пример 1: Топ‑пост для сохранений
Заголовок: 10 AI‑инструментов, которые реально экономят 10 часов в неделю
Структура: 10 пунктов по 1–2 строки, призыв «Save и вернись к этому вечером».
CTA: «Если нужны готовые промпты под эти инструменты — гайд по GPT‑5 в профиле».

Пример 2: Туториал «5 минут — готово»
«Как за 5 минут собрать экзамен по шаблону и выгрузить в PDF»
Шаги: 1) приложить шаблон 2) команда X 3) проверка структуры 4) экспорт
CTA: «Сохранить на потом» + ссылка «шаблон команд — в гайде VCP».

Пример 3: Позиционирующий тред
«Почему мы отказались от линейного чата и перешли к визуальному рабочему полю: меньше контекста — меньше шума — быстрее результат».
CTA: «Полная методика и готовые сценарии — в AI‑Agent Guide».

Риски и как их обойти

• «Нас обвинят в сетке фейков». Выводите пользу на первое место: реальные кейсы, микро‑инструкции, ответы на вопросы.
• «Контент будет однообразным». Ротируйте форматы: списки, кейсы, сравнения, «миф/факт», short‑видео.
• «Сложно держать качество». Стандартизируйте промпты и чек‑листы проверки. Агентами — публикуйте черновики, финальный штрих — человеком.
• «Нет мощности для видео». VCP даёт сцен‑план и командный протокол — 80% времени экономится на пре‑продакшне.

Что произойдёт через 30–60 дней при такой стратегии

• Ваш бренд начинают «видеть везде» — и это ощущается органично.
• Сообщество отвечает не на один пост, а на тему — её продолжают другие аккаунты.
• Переходы на лендинг растут за счёт сохранений и рекомендаций.
• Кейсы дают не лайки, а регистрацию/триал, потому что закрывают конкретную боль «здесь и сейчас».

Cоберите свою матрицу уже сегодня

Если хочется перестать «стрелять вслепую» и построить систему публикаций, которая работает на узнаваемость и продажи, начните с базового набора:

Products

1. Гайд по промптам для GPT‑5: точные ответы без лишних итераций
   https://lalirun.gumroad.com/l/PromptOptimizationCookbook
2. Veo 3: Visual Command Protocol (VCP) — революционная технология создания AI‑видео
   https://lalirun.gumroad.com/l/CommandProtocol
3. AI‑Agent Guide — как собрать и запустить контент‑агентов
   https://lalirun.gumroad.com/l/ai-agent-guide

Эта тройка закрывает весь цикл: текст → визуал/видео → автоматизация. Под ваш тон, ваши каналы и вашу цель.

Финальная мысль

Алгоритмы меняются. Привычки людей — тоже. Неподвижным остаётся одно: победа у тех, кто умеет приходить к аудитории с пользой — часто, разными голосами, в правильный момент.

Kuse AI показал, что «матрица» побеждает «одиночный голос». Ваша задача — собрать свою и включить её на максимум.

Готов обсудить вашу сферу и предложить первую матрицу контента под ключ. В каком сегменте вы работаете? Напишите в комментариях нишу и продукт — предложу 3 формата постов на ближайшую неделю.

CapCut, конечно, красиво монтирует, но с 12 июня 2025 начал красиво и забирать себе права на твои видео, лицо и голос. Даже если это просто черновик. Даже если ты ничего не публиковал.

Ну окей, подумали open-source ребята — и запилили OpenCut. Бесплатный аналог CapCut, где всё хранится только на твоём компе, без рекламы и “вечных лицензий”.

🎬 Уже 8.4K звёзд на GitHub. Проект живёт, обновляется и всё больше становится похож на нормальную монтажку.

Хочешь попробовать? Вот как установить (максимально просто):

📍 Для macOS (MacBook)

• Установи Git:

xcode-select --install

• Скачай Docker Desktop:
  docker.com/products/docker-desktop
• Установи bun:

curl -fsSL https://bun.sh/install | bash

exec /bin/zsh

• Клонируй проект:

git clone https://github.com/OpenCut-app/OpenCut.git

cd OpenCut

• Запусти сервисы:

docker-compose up -d

• Подготовь настройки:

cd apps/web

cp .env.example .env.local

• Установи зависимости:

bun install

• Подключи базу:

bun run db:push:local

• Запусти:

bun run dev

Открой в браузере: http://localhost:3000

👀 Если хочешь такую же инструкцию для Windows — пиши, скину отдельно.

А ещё могу сделать PDF или короткое видео, если хочешь сохранить. Напомни, и соберу 💾

OpenCut — это open-source альтернатива CapCut, которая:
✅ не сохраняет твои видео в облако
✅ не присваивает права на твой контент
✅ работает локально — всё только у тебя на компе

🔧 Что нужно заранее:

1. Git for Windows
   ➤ Скачай: https://git-scm.com/downloads
   Во время установки поставь галочку “Git Bash” — пригодится.
2. Docker Desktop
   ➤ Скачай: https://www.docker.com/products/docker-desktop
   Во время установки включи поддержку WSL2 (если попросит) и запусти Docker.
3. Bun (вместо npm)
   ➤ Открой Git Bash (не PowerShell, не CMD) и вставь:

curl -fsSL https://bun.sh/install | bash exec bash

📦 Установка OpenCut:

• Клонируй проект:

git clone https://github.com/OpenCut-app/OpenCut.git

cd OpenCut

• Запусти бэкенд:

docker-compose up -d

• Перейди в папку фронтенда:

cd apps/web

cp .env.example .env.local

• Установи зависимости:

bun install

• Прокинь базу:

bun run db:push:local

• Запусти фронтенд:

bun run dev

Открывай: 👉 http://localhost:3000

🔒 Что такое DevSecOps?

DevSecOps — это эволюция DevOps, которая интегрирует безопасность на каждом этапе разработки и эксплуатации. Вместо того чтобы думать о безопасности в конце, DevSecOps делает её частью повседневного процесса разработки.

По данным исследований 2025 года, более 85% инцидентов безопасности связаны с неправильной конфигурацией компонентов и недостаточной защитой в CI/CD пайплайнах. DevSecOps решает эти проблемы через автоматизацию проверок безопасности.

🎯 Принцип "Shift Left Security"

Shift Left означает перенос проверок безопасности как можно раньше в цикле разработки:

• Анализ кода на этапе написания
• Автоматические проверки при commit
• Сканирование зависимостей при сборке
• Тестирование безопасности в CI/CD
• Мониторинг безопасности в продакшне

Преимущества Shift Left

Снижение затрат — исправление уязвимостей на раннем этапе в 100 раз дешевле
Быстрая обратная связь — разработчики получают уведомления о проблемах сразу
Повышение качества — безопасность становится частью культуры разработки

⚠️ Основные угрозы безопасности

OWASP Top 10 — критичные уязвимости 2025

1. Broken Access Control — нарушения контроля доступа
2. Cryptographic Failures — криптографические сбои
3. Injection — SQL, NoSQL, OS injection атаки
4. Insecure Design — небезопасный дизайн приложения
5. Security Misconfiguration — неправильная конфигурация
6. Vulnerable Components — уязвимые компоненты
7. Authentication Failures — сбои аутентификации
8. Software Integrity Failures — нарушения целостности ПО
9. Logging Failures — недостаточное логирование
10. Server-Side Request Forgery — SSRF атаки

🔐 Безопасность в CI/CD пайплайне

Многоуровневая защита пайплайна

# .github/workflows/security.yml
name: Security Checks

on:
  push:
    branches: [ main, develop ]
  pull_request:
    branches: [ main ]

jobs:
  security-scan:
    runs-on: ubuntu-latest
    
    steps:
    - name: Checkout code
      uses: actions/checkout@v4

    # 1. Сканирование секретов в коде
    - name: Scan for secrets
      uses: trufflesecurity/trufflehog@main
      with:
        path: ./
        base: ${{ github.event.repository.default_branch }}
        head: HEAD

    # 2. Статический анализ кода (SAST)
    - name: Run CodeQL Analysis
      uses: github/codeql-action/init@v2
      with:
        languages: javascript, python

    - name: Autobuild
      uses: github/codeql-action/autobuild@v2

    - name: Perform CodeQL Analysis
      uses: github/codeql-action/analyze@v2

    # 3. Сканирование зависимостей (SCA)
    - name: Run Snyk to check vulnerabilities
      uses: snyk/actions/node@master
      env:
        SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}
      with:
        args: --severity-threshold=high

    # 4. Проверка Docker образа
    - name: Build Docker image
      run: docker build -t myapp:${{ github.sha }} .

    - name: Scan Docker image with Trivy
      uses: aquasecurity/trivy-action@master
      with:
        image-ref: 'myapp:${{ github.sha }}'
        format: 'sarif'
        output: 'trivy-results.sarif'

    - name: Upload Trivy results
      uses: github/codeql-action/upload-sarif@v2
      with:
        sarif_file: 'trivy-results.sarif'

    # 5. Проверка Infrastructure as Code
    - name: Run Checkov on Terraform
      uses: bridgecrewio/checkov-action@master
      with:
        directory: terraform/
        framework: terraform
        output_format: sarif
        output_file_path: checkov-report.sarif

    - name: Upload Checkov results
      uses: github/codeql-action/upload-sarif@v2
      with:
        sarif_file: checkov-report.sarif

🔑 Управление секретами

Никогда не храните секреты в коде!

Проблемы хранения секретов в коде:

• Утечка через публичные репозитории
• Доступ к секретам всех разработчиков
• Сложность ротации паролей
• Отсутствие аудита доступа

HashiCorp Vault — централизованное управление

# Установка Vault
wget https://releases.hashicorp.com/vault/1.15.0/vault_1.15.0_linux_amd64.zip
unzip vault_1.15.0_linux_amd64.zip
sudo mv vault /usr/local/bin/

# Запуск Vault в dev режиме (только для обучения!)
vault server -dev

# Сохранение секрета
vault kv put secret/myapp/db \
    password="super-secret-password" \
    username="dbuser"

# Получение секрета
vault kv get secret/myapp/db

# Получение только пароля
vault kv get -field=password secret/myapp/db

Интеграция Vault с приложениями

# Python приложение с Vault
import hvac
import os

def get_db_credentials():
    # Подключение к Vault
    client = hvac.Client(
        url=os.getenv('VAULT_URL', 'http://localhost:8200'),
        token=os.getenv('VAULT_TOKEN')
    )
    
    # Получение секретов
    response = client.secrets.kv.v2.read_secret_version(
        path='myapp/db'
    )
    
    credentials = response['data']['data']
    return credentials['username'], credentials['password']

# Использование в приложении
username, password = get_db_credentials()
db_url = f"postgresql://{username}:{password}@localhost:5432/myapp"

Kubernetes Secrets

# k8s-secrets.yaml
apiVersion: v1
kind: Secret
metadata:
  name: app-secrets
type: Opaque
data:
  database-password: <base64-encoded-password>
  api-key: <base64-encoded-api-key>
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: secure-app
spec:
  template:
    spec:
      containers:
      - name: app
        image: myapp:latest
        env:
        - name: DB_PASSWORD
          valueFrom:
            secretKeyRef:
              name: app-secrets
              key: database-password
        - name: API_KEY
          valueFrom:
            secretKeyRef:
              name: app-secrets
              key: api-key

🛡️ Сканирование контейнеров

Безопасный Dockerfile

# Используем минимальный базовый образ
FROM node:18-alpine

# Обновляем пакеты для устранения уязвимостей
RUN apk update && apk upgrade && \
    apk add --no-cache dumb-init && \
    rm -rf /var/cache/apk/*

# Создаем непривилегированного пользователя
RUN addgroup -g 1001 -S nodejs && \
    adduser -S nextjs -u 1001

# Устанавливаем рабочую директорию
WORKDIR /app

# Копируем только файлы зависимостей для кэширования
COPY package*.json ./

# Устанавливаем только production зависимости
RUN npm ci --only=production && \
    npm cache clean --force && \
    npm audit fix

# Копируем исходный код
COPY --chown=nextjs:nodejs . .

# Удаляем ненужные файлы
RUN rm -rf .git .gitignore README.md

# Переключаемся на непривилегированного пользователя
USER nextjs

# Используем init процесс для правильной обработки сигналов
ENTRYPOINT ["dumb-init", "--"]

# Указываем команду запуска
CMD ["npm", "start"]

# Открываем только необходимый порт
EXPOSE 3000

# Добавляем health check
HEALTHCHECK --interval=30s --timeout=3s --start-period=5s --retries=3 \
  CMD curl -f http://localhost:3000/health || exit 1

# Добавляем метки для трекинга
LABEL org.opencontainers.image.source="https://github.com/user/repo"
LABEL org.opencontainers.image.version="1.0.0"
LABEL org.opencontainers.image.created="2025-06-11"

Автоматическое сканирование с Trivy

# Сканирование локального образа
trivy image myapp:latest

# Сканирование с выводом только критических уязвимостей
trivy image --severity HIGH,CRITICAL myapp:latest

# Сканирование с сохранением в файл
trivy image --format json --output results.json myapp:latest

# Сканирование файловой системы
trivy fs .

# Сканирование Kubernetes манифестов
trivy config k8s/

# Сканирование Terraform файлов
trivy config terraform/

🛠️ Практические задания

Задание 11.1: Настройка security scanning в CI/CD

# 1. Создание проекта с уязвимостями для демонстрации
mkdir devsecops-demo
cd devsecops-demo

# 2. Создание package.json с уязвимыми зависимостями
cat > package.json << 'EOF'
{
  "name": "devsecops-demo",
  "version": "1.0.0",
  "dependencies": {
    "express": "4.16.0",
    "lodash": "4.17.4",
    "moment": "2.19.0"
  }
}
EOF

# 3. Создание простого приложения
cat > app.js << 'EOF'
const express = require('express');
const _ = require('lodash');
const moment = require('moment');

const app = express();
app.use(express.json());

// Уязвимый endpoint (SQL injection)
app.get('/user/:id', (req, res) => {
  const query = `SELECT * FROM users WHERE id = ${req.params.id}`;
  // Это уязвимо к SQL injection!
  res.json({ query, message: 'This is vulnerable!' });
});

// Секрет в коде (плохая практика)
const API_KEY = "sk-1234567890abcdef";
const DB_PASSWORD = "password123";

app.listen(3000, () => {
  console.log('Server running on port 3000');
});
EOF

# 4. Создание GitHub Actions workflow (используйте пример выше)
mkdir -p .github/workflows
# Скопируйте security.yml из примера выше

Задание 11.2: Установка и настройка Vault

# 1. Установка Vault
wget https://releases.hashicorp.com/vault/1.15.0/vault_1.15.0_linux_amd64.zip
unzip vault_1.15.0_linux_amd64.zip
sudo mv vault /usr/local/bin/

# 2. Создание конфигурации Vault
cat > vault-config.hcl << 'EOF'
storage "file" {
  path = "./vault-data"
}

listener "tcp" {
  address = "127.0.0.1:8200"
  tls_disable = true
}

ui = true
EOF

# 3. Инициализация Vault
vault server -config=vault-config.hcl &
export VAULT_ADDR='http://127.0.0.1:8200'

# Инициализация (сохраните ключи!)
vault operator init

# Разблокировка Vault (используйте 3 ключа из вывода init)
vault operator unseal <key1>
vault operator unseal <key2>
vault operator unseal <key3>

# 4. Настройка секретов приложения
vault auth <root-token>

# Включение KV секретов
vault secrets enable -path=secret kv-v2

# Сохранение секретов
vault kv put secret/myapp/database \
    username="dbuser" \
    password="secure-password-123"

vault kv put secret/myapp/api \
    key="sk-secure-api-key-456" \
    url="https://api.example.com"

Задание 11.3: Сканирование безопасности

# 1. Установка инструментов сканирования
# Trivy
curl -sfL https://raw.githubusercontent.com/aquasecurity/trivy/main/contrib/install.sh | sh -s -- -b /usr/local/bin

# TruffleHog для поиска секретов
pip install truffleHog

# 2. Сканирование проекта
# Поиск секретов в Git истории
truffleHog --regex --entropy=False .

# Сканирование зависимостей
npm audit

# Сканирование Docker образа
docker build -t vulnerable-app .
trivy image vulnerable-app

# 3. Создание отчета безопасности
cat > security-scan.sh << 'EOF'
#!/bin/bash

echo "=== Security Scan Report ==="
echo "Date: $(date)"
echo

echo "=== Dependency Vulnerabilities ==="
npm audit --json > npm-audit.json
cat npm-audit.json | jq '.vulnerabilities | length'

echo "=== Secret Scanning ==="
truffleHog --regex --entropy=False . > secrets-report.txt
cat secrets-report.txt

echo "=== Container Scanning ==="
trivy image --format json vulnerable-app > container-scan.json
cat container-scan.json | jq '.Results[].Vulnerabilities | length'
EOF

chmod +x security-scan.sh
./security-scan.sh

Задание 11.4: Network Security в Kubernetes

# network-policies.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: frontend-netpol
  namespace: production
spec:
  podSelector:
    matchLabels:
      app: frontend
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          name: ingress-nginx
    ports:
    - protocol: TCP
      port: 80
  egress:
  - to:
    - podSelector:
        matchLabels:
          app: backend
    ports:
    - protocol: TCP
      port: 8080
  - to: []  # DNS разрешение
    ports:
    - protocol: UDP
      port: 53
---
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: backend-netpol
  namespace: production
spec:
  podSelector:
    matchLabels:
      app: backend
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: frontend
    ports:
    - protocol: TCP
      port: 8080
  egress:
  - to:
    - podSelector:
        matchLabels:
          app: database
    ports:
    - protocol: TCP
      port: 5432

🔍 Мониторинг безопасности

Falco для обнаружения аномалий

# falco-deployment.yaml
apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: falco
  namespace: falco-system
spec:
  selector:
    matchLabels:
      app: falco
  template:
    metadata:
      labels:
        app: falco
    spec:
      serviceAccount: falco
      hostNetwork: true
      hostPID: true
      containers:
      - name: falco
        image: falcosecurity/falco:latest
        securityContext:
          privileged: true
        args:
          - /usr/bin/falco
          - --cri=/run/containerd/containerd.sock
          - --k8s-api=https://kubernetes.default:443
        volumeMounts:
        - name: dev
          mountPath: /host/dev
        - name: proc
          mountPath: /host/proc
        - name: boot
          mountPath: /host/boot
        - name: lib-modules
          mountPath: /host/lib/modules
        - name: usr
          mountPath: /host/usr
        - name: etc
          mountPath: /host/etc
      volumes:
      - name: dev
        hostPath:
          path: /dev
      - name: proc
        hostPath:
          path: /proc
      - name: boot
        hostPath:
          path: /boot
      - name: lib-modules
        hostPath:
          path: /lib/modules
      - name: usr
        hostPath:
          path: /usr
      - name: etc
        hostPath:
          path: /etc

Пользовательские правила Falco

# custom-rules.yaml
- rule: Suspicious Network Activity
  desc: Detect suspicious network connections
  condition: >
    spawned_process and
    proc.name in (nc, ncat, netcat) and
    not proc.args contains "-l"
  output: >
    Suspicious network activity detected
    (user=%user.name command=%proc.cmdline container=%container.name)
  priority: WARNING

- rule: Unauthorized File Access
  desc: Detect access to sensitive files
  condition: >
    open_read and
    fd.name in (/etc/passwd, /etc/shadow, /etc/hosts) and
    not proc.name in (systemd, sshd)
  output: >
    Unauthorized access to sensitive file
    (user=%user.name file=%fd.name proc=%proc.name container=%container.name)
  priority: CRITICAL

📊 Compliance и аудит

CIS Kubernetes Benchmark

# Установка kube-bench
kubectl apply -f https://raw.githubusercontent.com/aquasecurity/kube-bench/main/job.yaml

# Просмотр результатов
kubectl logs job.batch/kube-bench

# Сохранение отчета
kubectl logs job.batch/kube-bench > cis-benchmark-report.txt

# Проверка соответствия с kube-score
kubectl score deployment.yaml

Policy as Code с Open Policy Agent

# security-policies.rego
package kubernetes.security

# Запрет запуска контейнеров от root
deny[msg] {
    input.kind == "Pod"
    input.spec.securityContext.runAsUser == 0
    msg := "Containers must not run as root user"
}

# Обязательное использование read-only root filesystem
deny[msg] {
    input.kind == "Pod"
    container := input.spec.containers[_]
    not container.securityContext.readOnlyRootFilesystem
    msg := sprintf("Container %s must have read-only root filesystem", [container.name])
}

# Запрет privileged контейнеров
deny[msg] {
    input.kind == "Pod"
    container := input.spec.containers[_]
    container.securityContext.privileged == true
    msg := sprintf("Container %s cannot run in privileged mode", [container.name])
}

# Обязательные resource limits
deny[msg] {
    input.kind == "Pod"
    container := input.spec.containers[_]
    not container.resources.limits.memory
    msg := sprintf("Container %s must have memory limits", [container.name])
}

# Запрет использования latest тегов
deny[msg] {
    input.kind == "Pod"
    container := input.spec.containers[_]
    endswith(container.image, ":latest")
    msg := sprintf("Container %s must not use 'latest' tag", [container.name])
}

📖 Полезные ресурсы

• OWASP DevSecOps Guideline — практики безопасности в DevOps
• NIST Cybersecurity Framework — стандарты кибербезопасности
• CIS Controls — критичные контроли безопасности
• YouTube: "DevSecOps: безопасность в CI/CD" — практические видеоуроки
• Awesome DevSecOps — коллекция инструментов и ресурсов

✅ Чек-лист модуля

• Понимаю принципы DevSecOps и Shift Left Security
• Настроил автоматическое сканирование безопасности в CI/CD
• Интегрировал проверку секретов с TruffleHog
• Добавил сканирование зависимостей с Snyk
• Настроил сканирование Docker образов с Trivy
• Установил и настроил HashiCorp Vault
• Создал безопасные Dockerfile согласно best practices
• Настроил Network Policies в Kubernetes
• Изучил мониторинг безопасности с Falco
• Понимаю основы compliance и Policy as Code

☁️ Зачем изучать облачные платформы?

Облако — это не просто чужие компьютеры. Это глобальная инфраструктура с автоматическим масштабированием, managed сервисами и pay-as-you-use моделью. Современные компании мигрируют в облако для снижения затрат, повышения гибкости и ускорения разработки.

По данным исследований 2025 года, более 94% предприятий используют облачные сервисы, а 83% рабочих нагрузок работают в облаке. Знание облачных платформ стало обязательным навыком для DevOps-инженеров.

🏆 Большая тройка облачных провайдеров

Amazon Web Services (AWS)

Лидер рынка с самой широкой экосистемой сервисов (более 200 сервисов). Первопроходец в области облачных вычислений.

Microsoft Azure

Отличная интеграция с корпоративными продуктами Microsoft. Сильные позиции в hybrid cloud решениях.

Google Cloud Platform (GCP)

Сильные позиции в машинном обучении и анализе данных. Инновационные решения для контейнеров и Kubernetes.

🔧 Основные сервисы облачных платформ

Вычислительные ресурсы

Виртуальные машины:

• AWS EC2 — Elastic Compute Cloud
• Azure Virtual Machines — виртуальные машины Azure
• GCP Compute Engine — вычислительные экземпляры

Serverless вычисления:

• AWS Lambda — выполнение кода без серверов
• Azure Functions — событийно-ориентированные функции
• Google Cloud Functions — легковесные функции

Контейнерные сервисы:

• AWS ECS/EKS — управляемые контейнеры и Kubernetes
• Azure AKS — Azure Kubernetes Service
• GCP GKE — Google Kubernetes Engine

Хранение данных

Объектное хранилище:

• AWS S3 — Simple Storage Service
• Azure Blob Storage — хранилище больших объектов
• GCP Cloud Storage — объектное хранилище Google

Базы данных:

• AWS RDS — реляционные базы данных
• Azure SQL Database — управляемый SQL Server
• GCP Cloud SQL — управляемые БД

Сетевые сервисы

Виртуальные сети:

• AWS VPC — Virtual Private Cloud
• Azure Virtual Network — виртуальные сети Azure
• GCP VPC — Virtual Private Cloud Google

CDN и доставка контента:

• AWS CloudFront — глобальная сеть доставки контента
• Azure CDN — сеть доставки контента Microsoft
• GCP Cloud CDN — CDN от Google

🛠️ Практика с AWS

Настройка AWS CLI

# Установка AWS CLI v2
curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
unzip awscliv2.zip
sudo ./aws/install

# Проверка установки
aws --version

# Настройка credentials (нужен AWS аккаунт)
aws configure
# AWS Access Key ID: [ваш ключ]
# AWS Secret Access Key: [ваш секретный ключ]
# Default region name: us-west-2
# Default output format: json

Создание EC2 инстанса

# Создание ключевой пары
aws ec2 create-key-pair \
    --key-name devops-course-key \
    --query 'KeyMaterial' \
    --output text > devops-course-key.pem

chmod 400 devops-course-key.pem

# Создание security group
aws ec2 create-security-group \
    --group-name devops-sg \
    --description "Security group for DevOps course"

# Получение ID security group
SG_ID=$(aws ec2 describe-security-groups \
    --group-names devops-sg \
    --query 'SecurityGroups[0].GroupId' \
    --output text)

# Разрешение SSH доступа
aws ec2 authorize-security-group-ingress \
    --group-id $SG_ID \
    --protocol tcp \
    --port 22 \
    --cidr 0.0.0.0/0

# Разрешение HTTP доступа
aws ec2 authorize-security-group-ingress \
    --group-id $SG_ID \
    --protocol tcp \
    --port 80 \
    --cidr 0.0.0.0/0

# Запуск EC2 инстанса
aws ec2 run-instances \
    --image-id ami-0c02fb55956c7d316 \
    --count 1 \
    --instance-type t2.micro \
    --key-name devops-course-key \
    --security-group-ids $SG_ID \
    --tag-specifications 'ResourceType=instance,Tags=[{Key=Name,Value=DevOps-Course-Server}]'

🛠️ Практические задания

Задание 10.1: Развертывание веб-приложения в AWS

# 1. Получение публичного IP созданного инстанса
INSTANCE_ID=$(aws ec2 describe-instances \
    --filters "Name=tag:Name,Values=DevOps-Course-Server" \
    --query 'Reservations[0].Instances[0].InstanceId' \
    --output text)

PUBLIC_IP=$(aws ec2 describe-instances \
    --instance-ids $INSTANCE_ID \
    --query 'Reservations[0].Instances[0].PublicIpAddress' \
    --output text)

echo "Instance IP: $PUBLIC_IP"

# 2. Подключение к серверу
ssh -i devops-course-key.pem ubuntu@$PUBLIC_IP

# 3. Установка Docker на сервере
sudo apt update
sudo apt install -y docker.io
sudo systemctl start docker
sudo systemctl enable docker
sudo usermod -aG docker ubuntu

# 4. Запуск простого веб-приложения
docker run -d --name web-app -p 80:80 nginx:alpine

# 5. Проверка работы
curl http://$PUBLIC_IP

Задание 10.2: Создание S3 bucket и загрузка файлов

# Создание уникального имени bucket
BUCKET_NAME="devops-course-$(date +%s)"

# Создание S3 bucket
aws s3 mb s3://$BUCKET_NAME

# Создание тестового файла
echo "Hello from DevOps course!" > test-file.txt

# Загрузка файла в S3
aws s3 cp test-file.txt s3://$BUCKET_NAME/

# Просмотр содержимого bucket
aws s3 ls s3://$BUCKET_NAME/

# Создание статического веб-сайта
cat > index.html << 'EOF'
<!DOCTYPE html>
<html>
<head>
    <title>DevOps Course - S3 Static Website</title>
</head>
<body>
    <h1>Welcome to DevOps Course!</h1>
    <p>This website is hosted on AWS S3</p>
    <p>Deployed at: <span id="timestamp"></span></p>
    <script>
        document.getElementById('timestamp').textContent = new Date().toLocaleString();
    </script>
</body>
</html>
EOF

# Загрузка веб-сайта
aws s3 cp index.html s3://$BUCKET_NAME/ --acl public-read

# Настройка статического хостинга
aws s3 website s3://$BUCKET_NAME/ \
    --index-document index.html \
    --error-document error.html

echo "Website URL: http://$BUCKET_NAME.s3-website-us-west-2.amazonaws.com"

Задание 10.3: Serverless функция с AWS Lambda

# lambda_function.py
import json
import boto3
from datetime import datetime

def lambda_handler(event, context):
    """
    AWS Lambda функция для обработки HTTP запросов
    """
    
    # Логирование входящего события
    print(f"Received event: {json.dumps(event)}")
    
    # Получение параметров из запроса
    http_method = event.get('httpMethod', 'GET')
    path = event.get('path', '/')
    query_params = event.get('queryStringParameters') or {}
    
    # Обработка различных путей
    if path == '/health':
        return {
            'statusCode': 200,
            'headers': {
                'Content-Type': 'application/json',
                'Access-Control-Allow-Origin': '*'
            },
            'body': json.dumps({
                'status': 'healthy',
                'timestamp': datetime.utcnow().isoformat(),
                'version': '1.0.0'
            })
        }
    
    elif path == '/info' and http_method == 'GET':
        return {
            'statusCode': 200,
            'headers': {
                'Content-Type': 'application/json',
                'Access-Control-Allow-Origin': '*'
            },
            'body': json.dumps({
                'message': 'DevOps Course Lambda Function',
                'timestamp': datetime.utcnow().isoformat(),
                'method': http_method,
                'query_params': query_params
            })
        }
    
    else:
        return {
            'statusCode': 404,
            'headers': {
                'Content-Type': 'application/json',
                'Access-Control-Allow-Origin': '*'
            },
            'body': json.dumps({
                'error': 'Not Found',
                'path': path,
                'method': http_method
            })
        }

# Создание Lambda функции
zip lambda_function.zip lambda_function.py

# Создание роли для Lambda
aws iam create-role \
    --role-name lambda-execution-role \
    --assume-role-policy-document '{
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Principal": {
                    "Service": "lambda.amazonaws.com"
                },
                "Action": "sts:AssumeRole"
            }
        ]
    }'

# Присоединение политики
aws iam attach-role-policy \
    --role-name lambda-execution-role \
    --policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole

# Создание Lambda функции
aws lambda create-function \
    --function-name devops-course-function \
    --runtime python3.9 \
    --role arn:aws:iam::ACCOUNT-ID:role/lambda-execution-role \
    --handler lambda_function.lambda_handler \
    --zip-file fileb://lambda_function.zip

# Тестирование функции
aws lambda invoke \
    --function-name devops-course-function \
    --payload '{"httpMethod": "GET", "path": "/health"}' \
    response.json

cat response.json

🔧 Terraform для облачной инфраструктуры

AWS инфраструктура с Terraform

# main.tf
terraform {
  required_providers {
    aws = {
      source  = "hashicorp/aws"
      version = "~> 5.0"
    }
  }
}

provider "aws" {
  region = var.aws_region
}

# VPC
resource "aws_vpc" "main" {
  cidr_block           = "10.0.0.0/16"
  enable_dns_hostnames = true
  enable_dns_support   = true

  tags = {
    Name = "devops-course-vpc"
  }
}

# Internet Gateway
resource "aws_internet_gateway" "main" {
  vpc_id = aws_vpc.main.id

  tags = {
    Name = "devops-course-igw"
  }
}

# Public Subnet
resource "aws_subnet" "public" {
  vpc_id                  = aws_vpc.main.id
  cidr_block              = "10.0.1.0/24"
  availability_zone       = "${var.aws_region}a"
  map_public_ip_on_launch = true

  tags = {
    Name = "devops-course-public-subnet"
  }
}

# Route Table
resource "aws_route_table" "public" {
  vpc_id = aws_vpc.main.id

  route {
    cidr_block = "0.0.0.0/0"
    gateway_id = aws_internet_gateway.main.id
  }

  tags = {
    Name = "devops-course-public-rt"
  }
}

resource "aws_route_table_association" "public" {
  subnet_id      = aws_subnet.public.id
  route_table_id = aws_route_table.public.id
}

# Security Group
resource "aws_security_group" "web" {
  name_prefix = "devops-course-web-"
  vpc_id      = aws_vpc.main.id

  ingress {
    from_port   = 80
    to_port     = 80
    protocol    = "tcp"
    cidr_blocks = ["0.0.0.0/0"]
  }

  ingress {
    from_port   = 443
    to_port     = 443
    protocol    = "tcp"
    cidr_blocks = ["0.0.0.0/0"]
  }

  ingress {
    from_port   = 22
    to_port     = 22
    protocol    = "tcp"
    cidr_blocks = ["0.0.0.0/0"]
  }

  egress {
    from_port   = 0
    to_port     = 0
    protocol    = "-1"
    cidr_blocks = ["0.0.0.0/0"]
  }

  tags = {
    Name = "devops-course-web-sg"
  }
}

# Application Load Balancer
resource "aws_lb" "main" {
  name               = "devops-course-alb"
  internal           = false
  load_balancer_type = "application"
  security_groups    = [aws_security_group.web.id]
  subnets            = [aws_subnet.public.id, aws_subnet.public2.id]

  enable_deletion_protection = false

  tags = {
    Name = "devops-course-alb"
  }
}

# Auto Scaling Group
resource "aws_launch_template" "web" {
  name_prefix   = "devops-course-"
  image_id      = data.aws_ami.ubuntu.id
  instance_type = var.instance_type

  vpc_security_group_ids = [aws_security_group.web.id]

  user_data = base64encode(templatefile("${path.module}/user_data.sh", {
    app_name = "devops-course"
  }))

  tag_specifications {
    resource_type = "instance"
    tags = {
      Name = "devops-course-web-server"
    }
  }
}

resource "aws_autoscaling_group" "web" {
  name                = "devops-course-asg"
  vpc_zone_identifier = [aws_subnet.public.id]
  target_group_arns   = [aws_lb_target_group.web.arn]
  health_check_type   = "ELB"
  
  min_size         = 1
  max_size         = 3
  desired_capacity = 2

  launch_template {
    id      = aws_launch_template.web.id
    version = "$Latest"
  }

  tag {
    key                 = "Name"
    value               = "devops-course-asg-instance"
    propagate_at_launch = true
  }
}

💰 Управление затратами в облаке

AWS Cost Management

# Просмотр текущих затрат
aws ce get-cost-and-usage \
    --time-period Start=2025-01-01,End=2025-01-31 \
    --granularity MONTHLY \
    --metrics BlendedCost

# Создание бюджета
cat > budget.json << 'EOF'
{
  "BudgetName": "DevOps-Course-Budget",
  "BudgetLimit": {
    "Amount": "50",
    "Unit": "USD"
  },
  "TimeUnit": "MONTHLY",
  "CostFilters": {
    "TagKey": ["Project"],
    "TagValue": ["DevOps-Course"]
  },
  "BudgetType": "COST"
}
EOF

aws budgets create-budget \
    --account-id $(aws sts get-caller-identity --query Account --output text) \
    --budget file://budget.json

Оптимизация затрат

Лучшие практики:

• Используйте Reserved Instances для долгосрочных нагрузок
• Настройте Auto Scaling для динамического масштабирования
• Регулярно проверяйте неиспользуемые ресурсы
• Используйте Spot Instances для некритичных задач
• Настройте lifecycle policies для S3

🔒 Безопасность в облаке

Основные принципы

Shared Responsibility Model — модель разделенной ответственности:

• Облачный провайдер отвечает за безопасность облака
• Клиент отвечает за безопасность в облаке

IAM (Identity and Access Management)

json
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": "arn:aws:s3:::devops-course-bucket/*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "arn:aws:logs:*:*:*"
    }
  ]
}

Лучшие практики безопасности

• Принцип минимальных привилегий — предоставляйте только необходимые права
• Multi-Factor Authentication — включите 2FA для всех аккаунтов
• Шифрование данных — в покое и при передаче
• Регулярный аудит — проверяйте права доступа и логи
• Сетевая сегментация — используйте VPC и security groups

📖 Полезные ресурсы

• AWS Free Tier — бесплатные ресурсы для изучения AWS
• Azure Free Account — $200 кредитов для новых пользователей
• Google Cloud Free Tier — $300 кредитов и Always Free ресурсы
• YouTube: "AWS для DevOps инженеров" — практические видеоуроки
• Cloud Architecture Center — паттерны облачной архитектуры

✅ Чек-лист модуля

• Понимаю основные концепции облачных вычислений
• Изучил основные сервисы AWS/Azure/GCP
• Настроил AWS CLI и создал первые ресурсы
• Развернул веб-приложение в облаке
• Создал S3 bucket и настроил статический хостинг
• Написал и развернул Lambda функцию
• Использовал Terraform для создания облачной инфраструктуры
• Настроил мониторинг затрат и бюджеты
• Изучил основы безопасности в облаке
• Понимаю принципы выбора облачного провайдера

📊 Зачем нужен мониторинг?

Мониторинг — это процесс непрерывного наблюдения за состоянием системы, сбора метрик и генерации предупреждений. Без мониторинга вы узнаете о проблемах только когда пользователи начнут жаловаться. Это как водить машину с закрытыми глазами — опасно и безответственно.

По данным исследований 2025 года, 87% компаний с зрелыми практиками мониторинга обнаруживают проблемы до того, как они повлияют на пользователей1. Prometheus и Grafana стали стандартом де-факто для мониторинга в DevOps — как нож и вилка, вместе они делают мониторинг инфраструктуры и приложений простым и наглядным1.

🎯 Четыре золотых сигнала мониторинга

Google SRE определила четыре ключевые метрики, которые должен отслеживать любой сервис:

1. Latency (Задержка)

Время ответа на запросы. Критично для пользовательского опыта.

2. Traffic (Трафик)

Количество запросов в секунду. Показывает нагрузку на систему.

3. Errors (Ошибки)

Процент неуспешных запросов. Индикатор качества сервиса.

4. Saturation (Насыщенность)

Использование ресурсов (CPU, память, диск). Предупреждает о приближении к лимитам.

🔥 Prometheus — сердце мониторинга

Prometheus — open-source система мониторинга, которая собирает метрики, хранит их в виде временных рядов и предоставляет мощный язык запросов PromQL1. Это движок мониторинга, который сам опрашивает сервисы, собирает данные и сохраняет их в своей базе1.

Архитектура Prometheus

Prometheus Server — основной компонент, который:

• Собирает метрики с целевых систем (pull-модель)
• Хранит данные в формате временных рядов
• Предоставляет HTTP API для запросов
• Оценивает правила алертов

Exporters — программы, которые собирают метрики:

• Node Exporter — метрики ОС Linux
• cAdvisor — метрики Docker контейнеров
• MySQL Exporter — метрики базы данных
• Blackbox Exporter — проверка доступности сервисов

Alertmanager — компонент для управления алертами и уведомлениями

⚙️ Установка стека мониторинга

Docker Compose для полного стека

# docker-compose.yml
version: '3.8'

services:
  prometheus:
    image: prom/prometheus:latest
    container_name: prometheus
    ports:
      - "9090:9090"
    volumes:
      - ./prometheus/prometheus.yml:/etc/prometheus/prometheus.yml
      - ./prometheus/rules:/etc/prometheus/rules
      - prometheus_data:/prometheus
    command:
      - '--config.file=/etc/prometheus/prometheus.yml'
      - '--storage.tsdb.path=/prometheus'
      - '--web.console.libraries=/etc/prometheus/console_libraries'
      - '--web.console.templates=/etc/prometheus/consoles'
      - '--storage.tsdb.retention.time=200h'
      - '--web.enable-lifecycle'
      - '--web.enable-admin-api'
    restart: unless-stopped

  grafana:
    image: grafana/grafana:latest
    container_name: grafana
    ports:
      - "3000:3000"
    environment:
      - GF_SECURITY_ADMIN_PASSWORD=admin123
      - GF_USERS_ALLOW_SIGN_UP=false
    volumes:
      - grafana_data:/var/lib/grafana
      - ./grafana/provisioning:/etc/grafana/provisioning
    restart: unless-stopped

  node-exporter:
    image: prom/node-exporter:latest
    container_name: node-exporter
    ports:
      - "9100:9100"
    volumes:
      - /proc:/host/proc:ro
      - /sys:/host/sys:ro
      - /:/rootfs:ro
    command:
      - '--path.procfs=/host/proc'
      - '--path.rootfs=/rootfs'
      - '--path.sysfs=/host/sys'
      - '--collector.filesystem.mount-points-exclude=^/(sys|proc|dev|host|etc)($$|/)'
    restart: unless-stopped

  cadvisor:
    image: gcr.io/cadvisor/cadvisor:latest
    container_name: cadvisor
    ports:
      - "8080:8080"
    volumes:
      - /:/rootfs:ro
      - /var/run:/var/run:rw
      - /sys:/sys:ro
      - /var/lib/docker/:/var/lib/docker:ro
      - /dev/disk/:/dev/disk:ro
    privileged: true
    restart: unless-stopped

  alertmanager:
    image: prom/alertmanager:latest
    container_name: alertmanager
    ports:
      - "9093:9093"
    volumes:
      - ./alertmanager/alertmanager.yml:/etc/alertmanager/alertmanager.yml
    restart: unless-stopped

volumes:
  prometheus_data:
  grafana_data:

Конфигурация Prometheus

# prometheus/prometheus.yml
global:
  scrape_interval: 15s
  evaluation_interval: 15s

rule_files:
  - "rules/*.yml"

scrape_configs:
  - job_name: 'prometheus'
    static_configs:
      - targets: ['localhost:9090']

  - job_name: 'node-exporter'
    static_configs:
      - targets: ['node-exporter:9100']

  - job_name: 'cadvisor'
    static_configs:
      - targets: ['cadvisor:8080']

  - job_name: 'my-app'
    static_configs:
      - targets: ['my-app:3000']
    metrics_path: '/metrics'
    scrape_interval: 5s

alerting:
  alertmanagers:
    - static_configs:
        - targets:
          - alertmanager:9093

📈 Основы PromQL

PromQL — язык запросов Prometheus для анализа метрик:

Базовые запросы

# Текущее значение метрики
up

# Фильтрация по лейблам
up{job="node-exporter"}

# Арифметические операции
node_memory_MemTotal_bytes - node_memory_MemAvailable_bytes

# Процент использования памяти
(1 - (node_memory_MemAvailable_bytes / node_memory_MemTotal_bytes)) * 100

# Загрузка CPU за последние 5 минут
100 - (avg by (instance) (irate(node_cpu_seconds_total{mode="idle"}[5m])) * 100)

Функции времени

# Количество запросов в секунду
rate(http_requests_total[5m])

# Увеличение за период
increase(http_requests_total[1h])

# 95-й процентиль времени ответа
histogram_quantile(0.95, rate(http_request_duration_seconds_bucket[5m]))

# Среднее значение за период
avg_over_time(cpu_usage[10m])

🛠️ Практические задания

Задание 9.1: Запуск стека мониторинга

# 1. Создание структуры проекта
mkdir monitoring-stack
cd monitoring-stack
mkdir -p prometheus/rules grafana/provisioning alertmanager

# 2. Создание docker-compose.yml (используйте пример выше)

# 3. Запуск стека
docker-compose up -d

# 4. Проверка сервисов
curl http://localhost:9090/targets    # Prometheus targets
curl http://localhost:3000           # Grafana (admin/admin123)
curl http://localhost:9100/metrics   # Node Exporter metrics

Задание 9.2: Мониторинг приложения

// app.js - Node.js приложение с метриками
const express = require('express');
const promClient = require('prom-client');

const app = express();
const port = process.env.PORT || 3000;

// Создание реестра метрик
const register = new promClient.Registry();

// Счетчик запросов
const httpRequestsTotal = new promClient.Counter({
  name: 'http_requests_total',
  help: 'Total number of HTTP requests',
  labelNames: ['method', 'route', 'status_code'],
  registers: [register]
});

// Гистограмма времени ответа
const httpRequestDuration = new promClient.Histogram({
  name: 'http_request_duration_seconds',
  help: 'Duration of HTTP requests in seconds',
  labelNames: ['method', 'route', 'status_code'],
  buckets: [0.1, 0.3, 0.5, 0.7, 1, 3, 5, 7, 10],
  registers: [register]
});

// Gauge для активных подключений
const activeConnections = new promClient.Gauge({
  name: 'active_connections',
  help: 'Number of active connections',
  registers: [register]
});

// Middleware для сбора метрик
app.use((req, res, next) => {
  const start = Date.now();
  
  res.on('finish', () => {
    const duration = (Date.now() - start) / 1000;
    const route = req.route?.path || req.path;
    
    httpRequestsTotal
      .labels(req.method, route, res.statusCode.toString())
      .inc();
    
    httpRequestDuration
      .labels(req.method, route, res.statusCode.toString())
      .observe(duration);
  });
  
  next();
});

// Эндпоинт для метрик
app.get('/metrics', async (req, res) => {
  res.set('Content-Type', register.contentType);
  res.end(await register.metrics());
});

// API эндпоинты
app.get('/', (req, res) => {
  res.json({ 
    message: 'Hello Monitoring!',
    timestamp: new Date().toISOString()
  });
});

app.get('/health', (req, res) => {
  res.json({ status: 'healthy' });
});

app.get('/api/users', (req, res) => {
  // Симуляция времени обработки
  setTimeout(() => {
    res.json({ users: ['Alice', 'Bob', 'Charlie'] });
  }, Math.random() * 100);
});

app.listen(port, () => {
  console.log(`Server running on port ${port}`);
});

Задание 9.3: Настройка алертов

# prometheus/rules/alerts.yml
groups:
  - name: system.rules
    rules:
      - alert: InstanceDown
        expr: up == 0
        for: 1m
        labels:
          severity: critical
        annotations:
          summary: "Instance {{ $labels.instance }} down"
          description: "{{ $labels.instance }} has been down for more than 1 minute."

      - alert: HighCPUUsage
        expr: 100 - (avg by (instance) (irate(node_cpu_seconds_total{mode="idle"}[5m])) * 100) > 80
        for: 2m
        labels:
          severity: warning
        annotations:
          summary: "High CPU usage on {{ $labels.instance }}"
          description: "CPU usage is above 80% for more than 2 minutes."

      - alert: HighMemoryUsage
        expr: (1 - (node_memory_MemAvailable_bytes / node_memory_MemTotal_bytes)) * 100 > 90
        for: 2m
        labels:
          severity: critical
        annotations:
          summary: "High memory usage on {{ $labels.instance }}"
          description: "Memory usage is above 90% for more than 2 minutes."

      - alert: DiskSpaceLow
        expr: (node_filesystem_avail_bytes{mountpoint="/"} / node_filesystem_size_bytes{mountpoint="/"}) * 100 < 10
        for: 1m
        labels:
          severity: warning
        annotations:
          summary: "Low disk space on {{ $labels.instance }}"
          description: "Disk space is below 10% on {{ $labels.instance }}."

      - alert: HighErrorRate
        expr: rate(http_requests_total{status_code=~"5.."}[5m]) / rate(http_requests_total[5m]) > 0.1
        for: 5m
        labels:
          severity: critical
        annotations:
          summary: "High error rate detected"
          description: "Error rate is above 10% for more than 5 minutes."

Конфигурация Alertmanager

# alertmanager/alertmanager.yml
global:
  smtp_smarthost: 'localhost:587'
  smtp_from: 'alerts@company.com'

route:
  group_by: ['alertname']
  group_wait: 10s
  group_interval: 10s
  repeat_interval: 1h
  receiver: 'web.hook'

receivers:
- name: 'web.hook'
  email_configs:
  - to: 'admin@company.com'
    subject: 'Alert: {{ .GroupLabels.alertname }}'
    body: |
      {{ range .Alerts }}
      Alert: {{ .Annotations.summary }}
      Description: {{ .Annotations.description }}
      {{ end }}
  
  slack_configs:
  - api_url: 'YOUR_SLACK_WEBHOOK_URL'
    channel: '#alerts'
    title: 'Alert: {{ .GroupLabels.alertname }}'
    text: |
      {{ range .Alerts }}
      {{ .Annotations.summary }}
      {{ .Annotations.description }}
      {{ end }}

inhibit_rules:
  - source_match:
      severity: 'critical'
    target_match:
      severity: 'warning'
    equal: ['alertname', 'dev', 'instance']

📊 Grafana — визуализация данных

Создание дашборда

json
# grafana/provisioning/dashboards/system-overview.json
{
  "dashboard": {
    "title": "System Overview",
    "tags": ["system", "monitoring"],
    "panels": [
      {
        "title": "CPU Usage",
        "type": "stat",
        "targets": [
          {
            "expr": "100 - (avg(irate(node_cpu_seconds_total{mode=\"idle\"}[5m])) * 100)",
            "legendFormat": "CPU Usage %"
          }
        ],
        "fieldConfig": {
          "defaults": {
            "unit": "percent",
            "thresholds": {
              "steps": [
                {"color": "green", "value": null},
                {"color": "yellow", "value": 70},
                {"color": "red", "value": 90}
              ]
            }
          }
        }
      },
      {
        "title": "Memory Usage",
        "type": "timeseries",
        "targets": [
          {
            "expr": "(1 - (node_memory_MemAvailable_bytes / node_memory_MemTotal_bytes)) * 100",
            "legendFormat": "Memory Usage %"
          }
        ]
      },
      {
        "title": "HTTP Requests Rate",
        "type": "timeseries",
        "targets": [
          {
            "expr": "rate(http_requests_total[5m])",
            "legendFormat": "{{ method }} {{ route }}"
          }
        ]
      }
    ]
  }
}

🔍 Логирование с ELK Stack

Docker Compose для ELK

# elk-stack.yml
version: '3.8'
services:
  elasticsearch:
    image: elasticsearch:8.11.0
    environment:
      - discovery.type=single-node
      - xpack.security.enabled=false
      - "ES_JAVA_OPTS=-Xms512m -Xmx512m"
    ports:
      - "9200:9200"
    volumes:
      - elasticsearch_data:/usr/share/elasticsearch/data

  kibana:
    image: kibana:8.11.0
    ports:
      - "5601:5601"
    environment:
      - ELASTICSEARCH_HOSTS=http://elasticsearch:9200
    depends_on:
      - elasticsearch

  logstash:
    image: logstash:8.11.0
    volumes:
      - ./logstash/pipeline:/usr/share/logstash/pipeline
    ports:
      - "5000:5000"
    depends_on:
      - elasticsearch

volumes:
  elasticsearch_data:

Конфигурация Logstash

ruby
# logstash/pipeline/logstash.conf
input {
  beats {
    port => 5044
  }
  
  tcp {
    port => 5000
    codec => json
  }
}

filter {
  if [fields][service] == "nginx" {
    grok {
      match => { "message" => "%{NGINXACCESS}" }
    }
    
    date {
      match => [ "timestamp", "dd/MMM/yyyy:HH:mm:ss Z" ]
    }
  }
}

output {
  elasticsearch {
    hosts => ["elasticsearch:9200"]
    index => "logs-%{+YYYY.MM.dd}"
  }
  
  stdout {
    codec => rubydebug
  }
}

📖 Полезные ресурсы

• Prometheus Documentation — официальная документация
• Grafana Documentation — руководство по Grafana
• PromQL Tutorial — изучение языка запросов1
• YouTube: "Мониторинг в DevOps с Prometheus и Grafana" — практический курс
• The Four Golden Signals — принципы мониторинга от Google SRE

✅ Чек-лист модуля

• Понимаю важность мониторинга в DevOps
• Знаю четыре золотых сигнала мониторинга
• Установил и настроил Prometheus
• Освоил основы PromQL для запросов метрик
• Настроил сбор метрик с Node Exporter и cAdvisor
• Создал дашборды в Grafana
• Настроил алерты в Prometheus и Alertmanager
• Добавил метрики в собственное приложение
• Изучил основы логирования с ELK Stack
• Понимаю разницу между мониторингом и наблюдаемостью

🏗️ Что такое Infrastructure as Code?

IaC — это практика управления инфраструктурой через код вместо ручной настройки. Вместо того чтобы настраивать сервера через веб-интерфейс или командную строку, вы описываете желаемое состояние инфраструктуры в текстовых файлах и применяете их автоматически.

По данным исследований 2025 года, компании, использующие IaC, развертывают инфраструктуру в 10 раз быстрее и имеют на 50% меньше ошибок конфигурации1.

🎯 Преимущества IaC

Версионирование

Инфраструктура хранится в Git с полной историей изменений. Можно откатиться к любой версии и отследить, кто что изменил.

Воспроизводимость

Одинаковые конфигурации в разных средах (dev, staging, production). Исключается проблема "работает на моей машине".

Автоматизация

Быстрое создание и удаление инфраструктуры. Новая среда разворачивается за минуты, а не дни.

Документация

Код служит живой документацией архитектуры. Всегда актуальное описание инфраструктуры.

Совместная работа

Команда может вместе работать над инфраструктурой через pull requests и code review.

🔧 Terraform — лидер IaC

Terraform — инструмент от HashiCorp, который позволяет описывать инфраструктуру на декларативном языке HCL (HashiCorp Configuration Language). Он поддерживает сотни провайдеров: AWS, Azure, GCP, Kubernetes, Docker и многие другие.

Основные концепции Terraform

Provider — плагин для взаимодействия с API сервиса (AWS, Azure, etc.)
Resource — компонент инфраструктуры (сервер, база данных, сеть)
Data Source — информация о существующих ресурсах
Variable — входные параметры конфигурации
Output — выходные значения конфигурации
State — текущее состояние инфраструктуры

⚙️ Установка Terraform

# Загрузка и установка Terraform
wget https://releases.hashicorp.com/terraform/1.7.0/terraform_1.7.0_linux_amd64.zip
unzip terraform_1.7.0_linux_amd64.zip
sudo mv terraform /usr/local/bin/

# Проверка установки
terraform version

# Включение автодополнения
terraform -install-autocomplete

🛠️ Первый проект на Terraform

Структура проекта

terraform-project/
├── main.tf          # Основная конфигурация
├── variables.tf     # Переменные
├── outputs.tf       # Выходные значения
├── terraform.tfvars # Значения переменных
└── providers.tf     # Провайдеры

providers.tf

terraform {
  required_version = ">= 1.0"
  required_providers {
    aws = {
      source  = "hashicorp/aws"
      version = "~> 5.0"
    }
  }
}

provider "aws" {
  region = var.aws_region
}

variables.tf

variable "aws_region" {
  description = "AWS region"
  type        = string
  default     = "us-west-2"
}

variable "instance_type" {
  description = "EC2 instance type"
  type        = string
  default     = "t3.micro"
}

variable "environment" {
  description = "Environment name"
  type        = string
  validation {
    condition     = contains(["dev", "staging", "prod"], var.environment)
    error_message = "Environment must be dev, staging, or prod."
  }
}

variable "project_name" {
  description = "Name of the project"
  type        = string
  default     = "devops-course"
}

main.tf

# Data source для получения AMI
data "aws_ami" "ubuntu" {
  most_recent = true
  owners      = ["099720109477"] # Canonical

  filter {
    name   = "name"
    values = ["ubuntu/images/hvm-ssd/ubuntu-22.04-amd64-server-*"]
  }

  filter {
    name   = "virtualization-type"
    values = ["hvm"]
  }
}

# Security Group
resource "aws_security_group" "web_sg" {
  name_prefix = "${var.environment}-${var.project_name}-web-"
  description = "Security group for web servers"

  ingress {
    description = "HTTP"
    from_port   = 80
    to_port     = 80
    protocol    = "tcp"
    cidr_blocks = ["0.0.0.0/0"]
  }

  ingress {
    description = "HTTPS"
    from_port   = 443
    to_port     = 443
    protocol    = "tcp"
    cidr_blocks = ["0.0.0.0/0"]
  }

  ingress {
    description = "SSH"
    from_port   = 22
    to_port     = 22
    protocol    = "tcp"
    cidr_blocks = ["0.0.0.0/0"]
  }

  egress {
    from_port   = 0
    to_port     = 0
    protocol    = "-1"
    cidr_blocks = ["0.0.0.0/0"]
  }

  tags = {
    Name        = "${var.environment}-${var.project_name}-web-sg"
    Environment = var.environment
    Project     = var.project_name
  }
}

# EC2 Instance
resource "aws_instance" "web_server" {
  ami                    = data.aws_ami.ubuntu.id
  instance_type          = var.instance_type
  vpc_security_group_ids = [aws_security_group.web_sg.id]

  user_data = base64encode(templatefile("${path.module}/user_data.sh", {
    environment = var.environment
    project     = var.project_name
  }))

  tags = {
    Name        = "${var.environment}-${var.project_name}-web-server"
    Environment = var.environment
    Project     = var.project_name
  }
}

# Elastic IP
resource "aws_eip" "web_eip" {
  instance = aws_instance.web_server.id
  domain   = "vpc"

  tags = {
    Name        = "${var.environment}-${var.project_name}-eip"
    Environment = var.environment
  }
}

outputs.tf

output "instance_public_ip" {
  description = "Public IP address of the EC2 instance"
  value       = aws_eip.web_eip.public_ip
}

output "instance_public_dns" {
  description = "Public DNS name of the EC2 instance"
  value       = aws_instance.web_server.public_dns
}

output "security_group_id" {
  description = "ID of the security group"
  value       = aws_security_group.web_sg.id
}

output "ssh_command" {
  description = "SSH command to connect to the instance"
  value       = "ssh -i ~/.ssh/your-key.pem ubuntu@${aws_eip.web_eip.public_ip}"
}

terraform.tfvars

aws_region    = "us-west-2"
instance_type = "t3.micro"
environment   = "dev"
project_name  = "devops-learning"

user_data.sh

#!/bin/bash
apt update
apt install -y nginx docker.io

# Настройка nginx
systemctl start nginx
systemctl enable nginx

# Создание простой страницы
cat > /var/www/html/index.html << EOF
<!DOCTYPE html>
<html>
<head>
    <title>${project} - ${environment}</title>
</head>
<body>
    <h1>Welcome to ${project}!</h1>
    <p>Environment: ${environment}</p>
    <p>Server deployed with Terraform</p>
    <p>Timestamp: $(date)</p>
</body>
</html>
EOF

# Настройка Docker
systemctl start docker
systemctl enable docker
usermod -aG docker ubuntu

🚀 Основные команды Terraform

# Инициализация проекта (загрузка провайдеров)
terraform init

# Форматирование кода
terraform fmt

# Валидация конфигурации
terraform validate

# Планирование изменений (dry-run)
terraform plan

# Планирование с сохранением в файл
terraform plan -out=tfplan

# Применение изменений
terraform apply

# Применение сохраненного плана
terraform apply tfplan

# Просмотр текущего состояния
terraform show

# Список ресурсов в state
terraform state list

# Подробная информация о ресурсе
terraform state show aws_instance.web_server

# Уничтожение инфраструктуры
terraform destroy

# Импорт существующего ресурса
terraform import aws_instance.web_server i-1234567890abcdef0

🛠️ Практические задания

Задание 8.1: Создание базовой инфраструктуры

# 1. Создание проекта
mkdir terraform-aws-demo
cd terraform-aws-demo

# 2. Настройка AWS CLI (если еще не настроен)
aws configure

# 3. Создание файлов конфигурации
# (используйте примеры выше)

# 4. Инициализация и применение
terraform init
terraform plan
terraform apply

# 5. Проверка результата
curl http://$(terraform output -raw instance_public_ip)

Задание 8.2: Модули Terraform

# modules/vpc/main.tf
resource "aws_vpc" "main" {
  cidr_block           = var.cidr_block
  enable_dns_hostnames = true
  enable_dns_support   = true

  tags = {
    Name = var.vpc_name
  }
}

resource "aws_internet_gateway" "main" {
  vpc_id = aws_vpc.main.id

  tags = {
    Name = "${var.vpc_name}-igw"
  }
}

resource "aws_subnet" "public" {
  count             = length(var.public_subnet_cidrs)
  vpc_id            = aws_vpc.main.id
  cidr_block        = var.public_subnet_cidrs[count.index]
  availability_zone = var.availability_zones[count.index]

  map_public_ip_on_launch = true

  tags = {
    Name = "${var.vpc_name}-public-${count.index + 1}"
    Type = "public"
  }
}

resource "aws_route_table" "public" {
  vpc_id = aws_vpc.main.id

  route {
    cidr_block = "0.0.0.0/0"
    gateway_id = aws_internet_gateway.main.id
  }

  tags = {
    Name = "${var.vpc_name}-public-rt"
  }
}

resource "aws_route_table_association" "public" {
  count          = length(aws_subnet.public)
  subnet_id      = aws_subnet.public[count.index].id
  route_table_id = aws_route_table.public.id
}

# modules/vpc/variables.tf
variable "vpc_name" {
  description = "Name of the VPC"
  type        = string
}

variable "cidr_block" {
  description = "CIDR block for VPC"
  type        = string
  default     = "10.0.0.0/16"
}

variable "public_subnet_cidrs" {
  description = "CIDR blocks for public subnets"
  type        = list(string)
  default     = ["10.0.1.0/24", "10.0.2.0/24"]
}

variable "availability_zones" {
  description = "Availability zones"
  type        = list(string)
  default     = ["us-west-2a", "us-west-2b"]
}

# modules/vpc/outputs.tf
output "vpc_id" {
  description = "ID of the VPC"
  value       = aws_vpc.main.id
}

output "public_subnet_ids" {
  description = "IDs of the public subnets"
  value       = aws_subnet.public[*].id
}

output "internet_gateway_id" {
  description = "ID of the Internet Gateway"
  value       = aws_internet_gateway.main.id
}

Использование модуля

# main.tf
module "vpc" {
  source = "./modules/vpc"

  vpc_name             = "my-vpc"
  cidr_block           = "10.0.0.0/16"
  public_subnet_cidrs  = ["10.0.1.0/24", "10.0.2.0/24"]
  availability_zones   = ["us-west-2a", "us-west-2b"]
}

resource "aws_instance" "web" {
  ami           = data.aws_ami.ubuntu.id
  instance_type = "t3.micro"
  subnet_id     = module.vpc.public_subnet_ids[0]

  tags = {
    Name = "web-server-in-custom-vpc"
  }
}

🔄 Ansible — управление конфигурациями

Ansible — инструмент автоматизации для управления конфигурациями серверов. В отличие от Terraform, который создает инфраструктуру, Ansible настраивает программное обеспечение.

Установка Ansible

# Ubuntu/Debian
sudo apt update
sudo apt install ansible

# Проверка установки
ansible --version

Inventory файл

# inventory/hosts.yml
all:
  children:
    webservers:
      hosts:
        web1.example.com:
          ansible_host: 192.168.1.10
          ansible_user: ubuntu
        web2.example.com:
          ansible_host: 192.168.1.11
          ansible_user: ubuntu
    databases:
      hosts:
        db1.example.com:
          ansible_host: 192.168.1.20
          ansible_user: ubuntu
      vars:
        db_port: 5432

Playbook для настройки веб-сервера

# playbooks/webserver.yml
---
- name: Configure web servers
  hosts: webservers
  become: yes
  vars:
    nginx_port: 80
    app_name: "devops-demo"
    
  tasks:
    - name: Update apt cache
      apt:
        update_cache: yes
        cache_valid_time: 3600

    - name: Install required packages
      apt:
        name:
          - nginx
          - docker.io
          - git
          - curl
        state: present

    - name: Start and enable nginx
      systemd:
        name: nginx
        state: started
        enabled: yes

    - name: Start and enable docker
      systemd:
        name: docker
        state: started
        enabled: yes

    - name: Add ubuntu user to docker group
      user:
        name: ubuntu
        groups: docker
        append: yes

    - name: Create application directory
      file:
        path: /opt/{{ app_name }}
        state: directory
        owner: ubuntu
        group: ubuntu
        mode: '0755'

    - name: Configure nginx
      template:
        src: nginx.conf.j2
        dest: /etc/nginx/sites-available/{{ app_name }}
      notify: restart nginx

    - name: Enable nginx site
      file:
        src: /etc/nginx/sites-available/{{ app_name }}
        dest: /etc/nginx/sites-enabled/{{ app_name }}
        state: link
      notify: restart nginx

    - name: Remove default nginx site
      file:
        path: /etc/nginx/sites-enabled/default
        state: absent
      notify: restart nginx

    - name: Open firewall for HTTP
      ufw:
        rule: allow
        port: "{{ nginx_port }}"

  handlers:
    - name: restart nginx
      systemd:
        name: nginx
        state: restarted

Шаблон Nginx

# templates/nginx.conf.j2
server {
    listen {{ nginx_port }};
    server_name {{ inventory_hostname }};

    location / {
        proxy_pass http://localhost:3000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }

    location /health {
        access_log off;
        return 200 "healthy\n";
        add_header Content-Type text/plain;
    }
}

Запуск Ansible

# Проверка подключения
ansible all -i inventory/hosts.yml -m ping

# Запуск playbook
ansible-playbook -i inventory/hosts.yml playbooks/webserver.yml

# Запуск с ограничением на группу хостов
ansible-playbook -i inventory/hosts.yml playbooks/webserver.yml --limit webservers

# Dry-run (проверка без изменений)
ansible-playbook -i inventory/hosts.yml playbooks/webserver.yml --check

📊 Интеграция Terraform и Ansible

Terraform с Ansible provisioner

resource "aws_instance" "web_server" {
  ami           = data.aws_ami.ubuntu.id
  instance_type = var.instance_type
  key_name      = aws_key_pair.deployer.key_name

  tags = {
    Name = "web-server"
  }

  provisioner "remote-exec" {
    inline = [
      "sudo apt update",
      "sudo apt install -y python3"
    ]

    connection {
      type        = "ssh"
      user        = "ubuntu"
      private_key = file("~/.ssh/id_rsa")
      host        = self.public_ip
    }
  }

  provisioner "local-exec" {
    command = "ansible-playbook -i '${self.public_ip},' --private-key ~/.ssh/id_rsa playbooks/webserver.yml"
  }
}

Генерация Ansible inventory из Terraform

# outputs.tf
output "ansible_inventory" {
  value = templatefile("${path.module}/inventory.tpl", {
    webservers = aws_instance.web_servers[*].public_ip
    databases  = aws_instance.db_servers[*].private_ip
  })
}

resource "local_file" "ansible_inventory" {
  content  = templatefile("${path.module}/inventory.tpl", {
    webservers = aws_instance.web_servers[*].public_ip
    databases  = aws_instance.db_servers[*].private_ip
  })
  filename = "${path.module}/generated_inventory.yml"
}

📖 Полезные ресурсы

• Terraform Documentation — официальная документация
• Terraform Registry — готовые модули и провайдеры
• Ansible Documentation — руководство по Ansible
• YouTube: "Terraform от А до Я" — практический курс по IaC8
• Infrastructure as Code Guide — подробное руководство

✅ Чек-лист модуля

• Понимаю концепции Infrastructure as Code
• Установил и настроил Terraform
• Создал первую инфраструктуру с Terraform
• Освоил основные команды Terraform
• Работал с переменными и outputs
• Создал и использовал Terraform модули
• Настроил удаленное хранение state
• Установил и изучил Ansible
• Создал Ansible playbook для настройки серверов
• Интегрировал Terraform с Ansible

🔄 Что такое CI/CD?

CI/CD — это набор практик, которые автоматизируют процесс доставки кода от разработчика до пользователя. Это позволяет выпускать изменения быстро, безопасно и с минимальным вмешательством человека.

Continuous Integration (CI) — автоматическая сборка, тестирование и интеграция изменений в основную ветку кода

Continuous Delivery (CD) — автоматическая подготовка изменений к развертыванию

Continuous Deployment (CD) — автоматическое развертывание изменений в продакшн

По данным DevOps Research and Assessment 2024, команды с зрелыми CI/CD практиками развертывают код в 208 раз чаще и восстанавливаются после сбоев в 106 раз быстрее.

🎯 Зачем нужен CI/CD?

Проблемы традиционной разработки

• Долгие циклы релизов (месяцы)
• Высокий риск ошибок при развертывании
• Сложности интеграции кода разных разработчиков
• Ручные процессы тестирования и развертывания
• "Integration Hell" — проблемы при слиянии кода

Преимущества CI/CD

• Быстрая обратная связь — ошибки обнаруживаются в течение минут
• Снижение рисков — маленькие изменения легче откатить
• Повышение качества — автоматические тесты на каждом этапе
• Ускорение доставки — от идеи до пользователя за часы, а не месяцы

🏗️ Архитектура CI/CD пайплайна

Типичный пайплайн включает этапы:

1. Source        → Разработчик делает commit в Git
2. Build         → Автоматическая сборка приложения
3. Test          → Запуск автоматических тестов
4. Security Scan → Проверка на уязвимости
5. Package       → Создание артефактов (Docker образы)
6. Deploy Staging → Развертывание в тестовую среду
7. Integration Tests → Тестирование в реальной среде
8. Deploy Production → Развертывание в продакшн
9. Monitor       → Мониторинг работы приложения

Стратегии развертывания

Blue-Green — две идентичные среды, переключение между ними
Canary — постепенный перевод трафика на новую версию
Rolling — поэтапная замена экземпляров приложения

🚀 GitHub Actions — современный CI/CD

Основные концепции

Workflow — автоматизированный процесс, описанный в YAML файле
Job — набор шагов, выполняющихся на одном runner
Step — отдельная задача (команда или action)
Runner — сервер, выполняющий workflows

Базовый workflow для Node.js

# .github/workflows/ci-cd.yml
name: CI/CD Pipeline

on:
  push:
    branches: [ main, develop ]
  pull_request:
    branches: [ main ]

env:
  NODE_VERSION: '18'
  REGISTRY: ghcr.io
  IMAGE_NAME: ${{ github.repository }}

jobs:
  test:
    runs-on: ubuntu-latest
    
    strategy:
      matrix:
        node-version: [16.x, 18.x, 20.x]
    
    steps:
    - name: Checkout code
      uses: actions/checkout@v4
    
    - name: Setup Node.js ${{ matrix.node-version }}
      uses: actions/setup-node@v4
      with:
        node-version: ${{ matrix.node-version }}
        cache: 'npm'
    
    - name: Install dependencies
      run: npm ci
    
    - name: Run linter
      run: npm run lint
    
    - name: Run unit tests
      run: npm test -- --coverage
    
    - name: Upload coverage to Codecov
      uses: codecov/codecov-action@v3
      with:
        file: ./coverage/lcov.info
    
    - name: Run security audit
      run: npm audit --audit-level moderate

  build-and-push:
    needs: test
    runs-on: ubuntu-latest
    if: github.ref == 'refs/heads/main'
    
    outputs:
      image-digest: ${{ steps.build.outputs.digest }}
    
    steps:
    - name: Checkout code
      uses: actions/checkout@v4
    
    - name: Set up Docker Buildx
      uses: docker/setup-buildx-action@v3
    
    - name: Login to Container Registry
      uses: docker/login-action@v3
      with:
        registry: ${{ env.REGISTRY }}
        username: ${{ github.actor }}
        password: ${{ secrets.GITHUB_TOKEN }}
    
    - name: Extract metadata
      id: meta
      uses: docker/metadata-action@v5
      with:
        images: ${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}
        tags: |
          type=ref,event=branch
          type=sha,prefix={{branch}}-
          type=raw,value=latest,enable={{is_default_branch}}
    
    - name: Build and push Docker image
      id: build
      uses: docker/build-push-action@v5
      with:
        context: .
        push: true
        tags: ${{ steps.meta.outputs.tags }}
        labels: ${{ steps.meta.outputs.labels }}
        cache-from: type=gha
        cache-to: type=gha,mode=max

  deploy-staging:
    needs: build-and-push
    runs-on: ubuntu-latest
    environment: staging
    
    steps:
    - name: Deploy to staging
      run: |
        echo "Deploying to staging environment..."
        echo "Image: ${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}:${{ github.sha }}"
        # Здесь команды для развертывания в staging

  integration-tests:
    needs: deploy-staging
    runs-on: ubuntu-latest
    
    steps:
    - name: Checkout code
      uses: actions/checkout@v4
    
    - name: Run integration tests
      run: |
        echo "Running integration tests against staging..."
        # npm run test:integration

  deploy-production:
    needs: [build-and-push, integration-tests]
    runs-on: ubuntu-latest
    environment: production
    if: github.ref == 'refs/heads/main'
    
    steps:
    - name: Deploy to production
      run: |
        echo "Deploying to production..."
        echo "Image: ${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}:${{ github.sha }}"
        # kubectl set image deployment/myapp myapp=${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}:${{ github.sha }}

🛠️ Практические задания

Задание 7.1: Создание простого CI пайплайна

# 1. Создание Node.js приложения
mkdir ci-cd-demo
cd ci-cd-demo
npm init -y

# 2. Установка зависимостей
npm install express
npm install --save-dev jest supertest eslint nodemon

# 3. Настройка package.json
cat > package.json << 'EOF'
{
  "name": "ci-cd-demo",
  "version": "1.0.0",
  "description": "Demo app for CI/CD learning",
  "main": "app.js",
  "scripts": {
    "start": "node app.js",
    "dev": "nodemon app.js",
    "test": "jest",
    "test:watch": "jest --watch",
    "lint": "eslint .",
    "lint:fix": "eslint . --fix"
  },
  "dependencies": {
    "express": "^4.18.2"
  },
  "devDependencies": {
    "jest": "^29.7.0",
    "supertest": "^6.3.3",
    "eslint": "^8.57.0",
    "nodemon": "^3.0.2"
  }
}
EOF

Создание приложения

// app.js
const express = require('express');
const app = express();
const port = process.env.PORT || 3000;

app.use(express.json());

// Простая база данных в памяти
let users = [
  { id: 1, name: 'Alice', email: 'alice@example.com' },
  { id: 2, name: 'Bob', email: 'bob@example.com' }
];

app.get('/', (req, res) => {
  res.json({ 
    message: 'Hello CI/CD!', 
    version: '1.0.0',
    timestamp: new Date().toISOString()
  });
});

app.get('/health', (req, res) => {
  res.json({ 
    status: 'OK', 
    uptime: process.uptime(),
    timestamp: new Date().toISOString()
  });
});

app.get('/users', (req, res) => {
  res.json(users);
});

app.post('/users', (req, res) => {
  const { name, email } = req.body;
  
  if (!name || !email) {
    return res.status(400).json({ error: 'Name and email are required' });
  }
  
  const newUser = {
    id: users.length + 1,
    name,
    email
  };
  
  users.push(newUser);
  res.status(201).json(newUser);
});

if (require.main === module) {
  app.listen(port, () => {
    console.log(`Server running on port ${port}`);
  });
}

module.exports = app;

Создание тестов

// app.test.js
const request = require('supertest');
const app = require('./app');

describe('App', () => {
  test('GET / should return hello message', async () => {
    const response = await request(app).get('/');
    expect(response.status).toBe(200);
    expect(response.body.message).toBe('Hello CI/CD!');
    expect(response.body.version).toBe('1.0.0');
  });

  test('GET /health should return OK status', async () => {
    const response = await request(app).get('/health');
    expect(response.status).toBe(200);
    expect(response.body.status).toBe('OK');
    expect(response.body.uptime).toBeGreaterThanOrEqual(0);
  });

  test('GET /users should return users list', async () => {
    const response = await request(app).get('/users');
    expect(response.status).toBe(200);
    expect(Array.isArray(response.body)).toBe(true);
    expect(response.body.length).toBeGreaterThan(0);
  });

  test('POST /users should create new user', async () => {
    const newUser = {
      name: 'Charlie',
      email: 'charlie@example.com'
    };

    const response = await request(app)
      .post('/users')
      .send(newUser);

    expect(response.status).toBe(201);
    expect(response.body.name).toBe(newUser.name);
    expect(response.body.email).toBe(newUser.email);
    expect(response.body.id).toBeDefined();
  });

  test('POST /users should return 400 for invalid data', async () => {
    const response = await request(app)
      .post('/users')
      .send({ name: 'Test' }); // missing email

    expect(response.status).toBe(400);
    expect(response.body.error).toBe('Name and email are required');
  });
});

Задание 7.2: Dockerfile для приложения

# Dockerfile
FROM node:18-alpine AS builder

WORKDIR /app
COPY package*.json ./
RUN npm ci --only=production

FROM node:18-alpine AS runtime

# Создание пользователя
RUN addgroup -g 1001 -S nodejs && \
    adduser -S nextjs -u 1001

WORKDIR /app

# Копирование зависимостей
COPY --from=builder /app/node_modules ./node_modules
COPY --chown=nextjs:nodejs . .

# Переключение на непривилегированного пользователя
USER nextjs

EXPOSE 3000

# Health check
HEALTHCHECK --interval=30s --timeout=3s --start-period=5s --retries=3 \
  CMD node -e "require('http').get('http://localhost:3000/health', (res) => { process.exit(res.statusCode === 200 ? 0 : 1) })"

CMD ["npm", "start"]

Задание 7.3: GitHub Actions workflow

# .github/workflows/ci-cd.yml
name: CI/CD Pipeline

on:
  push:
    branches: [ main, develop ]
  pull_request:
    branches: [ main ]

env:
  REGISTRY: ghcr.io
  IMAGE_NAME: ${{ github.repository }}

jobs:
  test:
    runs-on: ubuntu-latest
    
    steps:
    - uses: actions/checkout@v4
    
    - name: Setup Node.js
      uses: actions/setup-node@v4
      with:
        node-version: '18'
        cache: 'npm'
    
    - name: Install dependencies
      run: npm ci
    
    - name: Run linter
      run: npm run lint
    
    - name: Run tests
      run: npm test
    
    - name: Security audit
      run: npm audit --audit-level moderate

  build:
    needs: test
    runs-on: ubuntu-latest
    if: github.event_name == 'push'
    
    steps:
    - uses: actions/checkout@v4
    
    - name: Set up Docker Buildx
      uses: docker/setup-buildx-action@v3
    
    - name: Login to GitHub Container Registry
      uses: docker/login-action@v3
      with:
        registry: ${{ env.REGISTRY }}
        username: ${{ github.actor }}
        password: ${{ secrets.GITHUB_TOKEN }}
    
    - name: Build and push
      uses: docker/build-push-action@v5
      with:
        context: .
        push: true
        tags: |
          ${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}:${{ github.sha }}
          ${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}:latest

🔧 Jenkins — классический CI/CD

Установка Jenkins

# Установка Java
sudo apt update
sudo apt install openjdk-11-jdk

# Добавление репозитория Jenkins
wget -q -O - https://pkg.jenkins.io/debian/jenkins.io.key | sudo apt-key add -
sudo sh -c 'echo deb http://pkg.jenkins.io/debian-stable binary/ > /etc/apt/sources.list.d/jenkins.list'

# Установка Jenkins
sudo apt update
sudo apt install jenkins

# Запуск Jenkins
sudo systemctl start jenkins
sudo systemctl enable jenkins

# Получение первоначального пароля
sudo cat /var/lib/jenkins/secrets/initialAdminPassword

Jenkinsfile пример

groovy
pipeline {
    agent any
    
    environment {
        DOCKER_IMAGE = "myapp"
        DOCKER_TAG = "${BUILD_NUMBER}"
        DOCKER_REGISTRY = "ghcr.io"
    }
    
    stages {
        stage('Checkout') {
            steps {
                checkout scm
            }
        }
        
        stage('Install Dependencies') {
            steps {
                sh 'npm install'
            }
        }
        
        stage('Lint') {
            steps {
                sh 'npm run lint'
            }
        }
        
        stage('Test') {
            steps {
                sh 'npm test'
            }
            post {
                always {
                    publishTestResults testResultsPattern: 'test-results.xml'
                }
            }
        }
        
        stage('Security Scan') {
            steps {
                sh 'npm audit'
            }
        }
        
        stage('Build Docker Image') {
            steps {
                script {
                    def image = docker.build("${DOCKER_IMAGE}:${DOCKER_TAG}")
                    docker.withRegistry("https://${DOCKER_REGISTRY}", 'github-registry-credentials') {
                        image.push()
                        image.push("latest")
                    }
                }
            }
        }
        
        stage('Deploy to Staging') {
            steps {
                sh """
                    docker run -d --name staging-${BUILD_NUMBER} \
                    -p 3001:3000 \
                    ${DOCKER_IMAGE}:${DOCKER_TAG}
                """
            }
        }
        
        stage('Integration Tests') {
            steps {
                sh 'npm run test:integration'
            }
        }
        
        stage('Deploy to Production') {
            when {
                branch 'main'
            }
            steps {
                script {
                    input message: 'Deploy to production?', ok: 'Deploy'
                }
                sh """
                    kubectl set image deployment/myapp-deployment \
                    myapp=${DOCKER_IMAGE}:${DOCKER_TAG}
                """
            }
        }
    }
    
    post {
        always {
            cleanWs()
        }
        success {
            slackSend channel: '#deployments', 
                      message: "✅ Pipeline succeeded for ${env.JOB_NAME} #${env.BUILD_NUMBER}"
        }
        failure {
            slackSend channel: '#deployments',
                      message: "❌ Pipeline failed for ${env.JOB_NAME} #${env.BUILD_NUMBER}"
        }
    }
}

📊 Мониторинг пайплайнов

Метрики CI/CD

Lead Time — время от коммита до развертывания
Deployment Frequency — частота развертываний
Mean Time to Recovery — время восстановления после сбоя
Change Failure Rate — процент неудачных изменений

Уведомления и алерты

# Добавление в GitHub Actions
- name: Notify Slack on failure
  if: failure()
  uses: 8398a7/action-slack@v3
  with:
    status: failure
    webhook_url: ${{ secrets.SLACK_WEBHOOK }}
    message: |
      ❌ Build failed!
      Repository: ${{ github.repository }}
      Branch: ${{ github.ref }}
      Commit: ${{ github.sha }}

📖 Полезные ресурсы

• GitHub Actions Documentation — официальная документация
• Jenkins Handbook — полное руководство по Jenkins
• GitLab CI/CD — альтернативная платформа CI/CD
• YouTube: "CI/CD с нуля до продакшена" — практический курс
• The DevOps Handbook — книга о DevOps практиках

✅ Чек-лист модуля

• Понимаю концепции CI/CD и их преимущества
• Создал простое приложение с тестами
• Настроил GitHub Actions workflow
• Реализовал автоматическую сборку Docker образов
• Настроил автоматическое развертывание
• Изучил стратегии развертывания (Blue-Green, Canary)
• Добавил проверки безопасности в пайплайн
• Настроил уведомления о статусе сборки
• Понимаю метрики эффективности CI/CD
• Умею отлаживать проблемы в пайплайнах