Полная занятость.
При отклике прикрепите свое портфолио и укажите стоимость часа вашей работы. LENNUF.ru ищет DevOps - инженера для выполнения работ по разворачиванию коробочного решения платформы LENNUF и кастомизации в рамках требований клиентского проекта.
Вводные для потенциального кандидата:
- ПО LENNUF -общее описание представлено в ВИКИ по ссылке
- Технические требования заказчика представлены ниже
- Наработки: https://disk.yandex.ru/d/n_m_l1HLDc0GmQ
Основные требования к кандидату: обязательный доказанный опыт работы с
- опыт работы с YANDEX CLOUD ENVIRONMENT
- Zabbix
- Linux Ubuntu/Debian
- Bash
- CI/CD: Jenkins, ansible (написание плейбуков и т.д с нуля).
- Опыт организации CI/CD по схеме zero-downtime
- Ngnix (Reverse Proxy, caсhing, load balancing), UWSGI (optimization)
- PostgreSQL/MySQL репликация, оптимизация запросов, Redis
- Elasticsearch/logstash/grafana/graylog
- Умеете оперировать CI/CD pipelines
- Знакомы с микросервисной архитектурой и инфраструктура как код
- Имеете начальные знания программирования на PHP или JavaScript
Обязанности:
- Разворачивание коробочного решения LENNUF в инфраструктуре заказчика в Yandex Cloud с использованием k8s, Docker
- Работа с командой по осуществлению релизов кастомного продукта / багфиксингу
- Техническое сопровождение стенда заказчика в инфраструктуре, обеспечение выполнения всех технических требований заказчика, связанных с проектом (изложены ниже).
- Обеспечение работоспособности и отказоустойчивости высоконагруженных сервисов (наши микросервисы написаны на Laravel(php), NodeJS,)
- Планирование развития и администрирование DevOps стека, разработка инструментов и автоматизация процессов развертывания и тестирования систем, проектов и окружений, внедрение сервисов
- Решение текущих проблем функционирования сервисов и предотвращение их повторного возникновения
- Участие в создании / поддержке /оптимизации архитектуры проекта
- Автоматизация "ручных/рутинных" процессов
- Performance тестирование, нагрузочное тестирование и обеспечение мониторингом проектов.
- Взаимодействие с командой разработчиков.
- Автоматизация развертывания инфраструктуры на ansible/puppet
- Развертка контуров (dev, qas, prod)
- Сборка и обновление из репозиториев
ТЕХНИЧЕСКИЕ ТРЕБОВАНИЯ ЗАКАЗЧИКА ПРОЕКТА:
Технологии и инструменты разработки:
- OS: Linux
- Упаковка решения по умолчанию в Docker Container (возможность развернуть в Kubernetes без доп настроек)
- Базы данных, такие как MySQL или PostgreSQL для хранения данных
- Для хранения статического контента использование S3 Storage
- Динамически создаваемый контент в ходе работы приложений хранится в S3 либо в БД
- Поддержка «Миграции БД» в рамках framework
- Возможность изменения агентством тонких настроек среды (nginx, apache, php и т.д.). Изменения производятся только путем комитов в Git (IaC) подход.
Хостинг–YANDEX CLOUD ENVIRONMENT
- Infrastructure as a code approach
- Поддержка frameworkом подхода “Migration DB”
- Должно поддерживаться объектное хранилище
- Все работы выполняются через учетную запись клиента
- Стандарты безопасности должны соблюдаться
Требования по безопасности:
- Front, app, db слои изолированы Web Application Firewall'ами под управлением заказчика
- Защита административной панели с помощью Single sign-on (документация будет предоставлена)
- Вход на сайт для клиента осуществляется через корпоративную систему авторизации Blitz Identity
- Доступ к dev среде только через VPN
- Доступ к тест среде только через SSO
- Продуктивные среды каждого сайта изолированы друг от друга
- По коммиту в соотв. ветку (dev, test, prod) gitlab’a запускаются пайплайны развертывания приложения
- Автоматизированные Security проверки проводятся на каждом шаге пайплайна
- В прод допускаются только приложения без уязвимостей
- Изменение контента вебсайтов делается только через git (в т.ч. через Git LFS), либо заливка в S3
- При доступе через “белый” IP адрес, должна соблюдаться парольная политика.
- Регулярное создание резервных копий сайта.
- Шифрование данных at rest, в т.ч. БД ключами заказчика
- Централизованное хранилище стороне заказчика секретов/ключей на используемых в коде вебсайтов
- Использование глобально верифицируемого SSL-сертификата для защиты передачи данных (автоматическая конфигурация, выписывание и обновление SSL сертификатов)
- Код сайта не должен быть доступен глобально, в т.ч. находиться в глобальных репозиториях
- Перед переносом сайта на продуктовую среду необходимо провести и предоставить результаты следующих тестирований:
- SAST (Static Application Security Testing),
- DAST (Dynamic Application Security Testing),
- TVM Scan
- Прямые соединения вебсайтов с внутренними системами заказчика по умолчанию запрещены. Каждое такое соединение должно проходить review ИБ и Еnterprise architecture
- Автоскейлинг с настраиваемыми параметрами
- Прямой доступ SSH внутрь инстансов запрещен
- Stateless инстансы приложений (Не используем persistent volumes внутри кластера).
- У поставщика будет доступ к логам инстансов/сервисов
- Управление DNS со стороны заказчика через Cloud DNS
- При необходимости можно подключить CDN, по умолчанию CDN не подключаем
- Изменение ресурсов облаков агентств по модели IaC сотрудниками заказчика или подрядчиками, сопровождающими платформу
- Адаптация типового пайплайна сборки приложения осуществляется разработчиками приложения при поддержке сотрудников заказчика и организации, осуществляющей поддержку платформы
- Разработчики не имеют прямого доступа к БД prod сред
- Изменение структуры баз данных в процессе разработки и развертывания приложения в prod среду выполняется с использованием database migrations.