O objetivo deste projeto é criar e implementar uma aplicação em Kubernetes, utilizando as melhores práticas de segurança e otimização.

Este projeto utiliza como base a aplicação Giropops-Senhas.

• Docker
• Kubernetes
• Helm
• Prometheus
• Grafana
• Metrics Server
• Cert-Manager
• Ingress NGINX Controller
• Kyverno
• Cosign
• Trivy
• yamlint
• Digestabot
• Zora Dashboard
• Locust
• Terrafom
• OpenTofu
• OCI
• Kind

A aplicação foi construída utilizando como base as imagens Python da Chainguard, que já possuem as melhores práticas de segurança implementadas. Utilizando a técnica de multi-stage build para reduzir o tamanho final e principalmente aumentar a segurança.

Você pode buildar a imagem localmente utilizando os arquivos na pasta 'giropops-senhas' com o comando:

docker build -t <login-docker-hub>/linuxtips-giropops-senhas:{versao} .

E rodar testes de segurança utilizando o Trivy

curl -sfL https://raw.githubusercontent.com/aquasecurity/trivy/main/contrib/install.sh | sh -s -- -b /usr/local/bin v0.47.0
trivy image <login-docker-hub>/linuxtips-giropops-senhas:{versao}

Ou utilizar a imagem disponível no Docker Hub com a garantia de utilizar sempre a versão mais recente e livre de vulnerabilidades. Já que a imagem é buildada automaticamente sempre que houver qualquer alterção, utilizando o Digestabot para manter a imagem base sempre atualizada, o Trivy para verificar se a imagem possui alguma vulnerabilidade e o Cosign para assinar a imagem e garantir que ela não foi alterada.

• Caso tenha interesse em conhecer mais sobre o Digestabot, você pode ler o meu artigo Você já conhece o Digestabot?.

Como o objetivo deste projeto é aplicar as melhores práticas de segurança e otimização, foram utilizadas as seguintes técnicas:

• Secrets para armazenar as variáveis de ambiente??
• Limites de Recursos para limitar o uso de CPU e Memória
• Network Policies para limitar o acesso a aplicação
• Pod Security Policies para limitar o acesso a aplicação
• RBAC para limitar o acesso a aplicação
• Service Account para limitar o acesso a aplicação
• Pod Disruption Budget para garantir que sempre haverá pelo menos um pod rodando ??
• Horizontal Pod Autoscaler para escalar a aplicação horizontalmente
• Pod Affinity para garantir que os pods rodem no mesmo node
• ConfigMap para armazenar as configurações da aplicação
• Pod Monitor Para definir as métricas de monitoramento
• Strategy para garantir que a aplicação seja atualizada sem downtime
• Image Pull Policy para garantir que a aplicação utilize sempre a imagem mais recente
• Security Context para definir o usuário e grupo que a aplicação irá rodar
• Probes para verificar se a aplicação está saudável
• Policy para garantir que a aplicação utilize sempre a imagem mais recente

A aplicação foi dividida nos seguintes componentes:

• giropops-senhas - Responsável por gerar as senhas
• redis - Responsável por armazenar as senhas
• locust - Responsável por gerar testes de carga na aplicação
• ingress-nginx - Responsável por gerar o ingress da aplicação
• kube-prometheus - Responsável por gerar o dashboard de monitoramento
• metrics-server - Responsável por gerar métricas de monitoramento
• zora-dashboard - Responsável por gerar um dashboard de vulnerabilidades

O deploy da aplicação pode ser feito de forma local, utilizando o Kind, ou em um cluster na Oracle Cloud utilizando outro projeto que desenvolvi como base, o OKE-FREE

• Local - Kind
• OCI - Oracle Cloud