Senior DevOps engineer

LENNUF.ru ищет DevOps - инженера для выполнения работ по разворачиванию коробочного решения платформы LENNUF и кастомизации в рамках требований клиентского проекта.

Вводные для потенциального кандидата:

• ПО LENNUF -общее описание представлено в ВИКИ по ссылке
• Технические требования заказчика представлены ниже
• Наработки: https://disk.yandex.ru/d/n_m_l1HLDc0GmQ

Основные требования к кандидату: обязательный доказанный опыт работы с

• k8s, Docker

• опыт работы с YANDEX CLOUD ENVIRONMENT

• Zabbix
• Linux Ubuntu/Debian
• Bash
• CI/CD: Jenkins, ansible (написание плейбуков и т.д с нуля).
• Опыт организации CI/CD по схеме zero-downtime
• Ngnix (Reverse Proxy, caсhing, load balancing), UWSGI (optimization)
• PostgreSQL/MySQL репликация, оптимизация запросов, Redis
• Elasticsearch/logstash/grafana/graylog
• Умеете оперировать CI/CD pipelines

• Знакомы с микросервисной архитектурой и инфраструктура как код
• Имеете начальные знания программирования на PHP или JavaScript

Обязанности:

• Разворачивание коробочного решения LENNUF в инфраструктуре заказчика в Yandex Cloud с использованием k8s, Docker
• Работа с командой по осуществлению релизов кастомного продукта / багфиксингу
• Техническое сопровождение стенда заказчика в инфраструктуре, обеспечение выполнения всех технических требований заказчика, связанных с проектом (изложены ниже).
• Обеспечение работоспособности и отказоустойчивости высоконагруженных сервисов (наши микросервисы написаны на Laravel(php), NodeJS,)

• Планирование развития и администрирование DevOps стека, разработка инструментов и автоматизация процессов развертывания и тестирования систем, проектов и окружений, внедрение сервисов
• Решение текущих проблем функционирования сервисов и предотвращение их повторного возникновения
• Участие в создании / поддержке /оптимизации архитектуры проекта
• Автоматизация "ручных/рутинных" процессов
• Performance тестирование, нагрузочное тестирование и обеспечение мониторингом проектов.
• Взаимодействие с командой разработчиков.
• Автоматизация развертывания инфраструктуры на ansible/puppet
• Развертка контуров (dev, qas, prod)
• Сборка и обновление из репозиториев

ТЕХНИЧЕСКИЕ ТРЕБОВАНИЯ ЗАКАЗЧИКА ПРОЕКТА:

Технологии и инструменты разработки:

1. OS: Linux
2. Упаковка решения по умолчанию в Docker Container (возможность развернуть в Kubernetes без доп настроек)
3. Базы данных, такие как MySQL или PostgreSQL для хранения данных
4. Для хранения статического контента использование S3 Storage
5. Динамически создаваемый контент в ходе работы приложений хранится в S3 либо в БД
6. Поддержка «Миграции БД» в рамках framework
7. Возможность изменения агентством тонких настроек среды (nginx, apache, php и т.д.). Изменения производятся только путем комитов в Git (IaC) подход.

Хостинг–YANDEX CLOUD ENVIRONMENT

• Infrastructure as a code approach
• Поддержка frameworkом подхода “Migration DB”
• Должно поддерживаться объектное хранилище
• Все работы выполняются через учетную запись клиента
• Стандарты безопасности должны соблюдаться

Требования по безопасности:

1. Front, app, db слои изолированы Web Application Firewall'ами под управлением заказчика
2. Защита административной панели с помощью Single sign-on (документация будет предоставлена)
3. Вход на сайт для клиента осуществляется через корпоративную систему авторизации Blitz Identity
4. Доступ к dev среде только через VPN
5. Доступ к тест среде только через SSO
6. Продуктивные среды каждого сайта изолированы друг от друга
7. По коммиту в соотв. ветку (dev, test, prod) gitlab’a запускаются пайплайны развертывания приложения
8. Автоматизированные Security проверки проводятся на каждом шаге пайплайна
9. В прод допускаются только приложения без уязвимостей
10. Изменение контента вебсайтов делается только через git (в т.ч. через Git LFS), либо заливка в S3
11. При доступе через “белый” IP адрес, должна соблюдаться парольная политика.
12. Регулярное создание резервных копий сайта.
13. Шифрование данных at rest, в т.ч. БД ключами заказчика
14. Централизованное хранилище стороне заказчика секретов/ключей на используемых в коде вебсайтов
15. Использование глобально верифицируемого SSL-сертификата для защиты передачи данных (автоматическая конфигурация, выписывание и обновление SSL сертификатов)
16. Код сайта не должен быть доступен глобально, в т.ч. находиться в глобальных репозиториях
17. Перед переносом сайта на продуктовую среду необходимо провести и предоставить результаты следующих тестирований:
    1. SAST (Static Application Security Testing),
    2. DAST (Dynamic Application Security Testing),
    3. TVM Scan
18. Прямые соединения вебсайтов с внутренними системами заказчика по умолчанию запрещены. Каждое такое соединение должно проходить review ИБ и Еnterprise architecture
19. Автоскейлинг с настраиваемыми параметрами
20. Прямой доступ SSH внутрь инстансов запрещен
21. Stateless инстансы приложений (Не используем persistent volumes внутри кластера).
22. У поставщика будет доступ к логам инстансов/сервисов
23. Управление DNS со стороны заказчика через Cloud DNS
24. При необходимости можно подключить CDN, по умолчанию CDN не подключаем
25. Изменение ресурсов облаков агентств по модели IaC сотрудниками заказчика или подрядчиками, сопровождающими платформу
26. Адаптация типового пайплайна сборки приложения осуществляется разработчиками приложения при поддержке сотрудников заказчика и организации, осуществляющей поддержку платформы
27. Разработчики не имеют прямого доступа к БД prod сред
28. Изменение структуры баз данных в процессе разработки и развертывания приложения в prod среду выполняется с использованием database migrations.