DOCS - PLATFORM: add DevOps security handoff
This commit is contained in:
Codex
parent
ffd29c4f0b
commit
60e70bf86d
|
|
@ -0,0 +1,275 @@
|
|||
# DevOps Security Handoff
|
||||
|
||||
Актуализировано: 2026-05-12.
|
||||
|
||||
Документ фиксирует границу передачи NODE.DC platform DevOps-инженеру. Локальная разработка закрывает код, конфиги, preflight и smoke-сценарии, которые можно честно проверить без реального staging host. DevOps закрывает серверные домены, TLS, secrets, firewall и финальную staging acceptance.
|
||||
|
||||
## Что уже подготовлено локально
|
||||
|
||||
### Platform / Authentik / reverse proxy
|
||||
|
||||
Репозиторий:
|
||||
|
||||
```text
|
||||
/Users/dcconstructions/Downloads/mnt/NODEDC/platform
|
||||
```
|
||||
|
||||
Готовые артефакты:
|
||||
|
||||
```text
|
||||
docs/STAGING_SECURITY_PLAN.md
|
||||
docs/SECURITY_CHECKLIST.md
|
||||
infra/docker-compose.staging.example.yml
|
||||
infra/reverse-proxy/Caddyfile.staging
|
||||
infra/.env.staging.example
|
||||
infra/scripts/check-staging-env.sh
|
||||
```
|
||||
|
||||
Локально проверено:
|
||||
|
||||
```bash
|
||||
cd platform/infra
|
||||
NODEDC_STAGING_ENV_FILE=.env.staging.example docker compose --env-file .env.staging.example -f docker-compose.staging.example.yml config
|
||||
docker run --rm --env-file .env.staging.example -v "$PWD/reverse-proxy/Caddyfile.staging:/etc/caddy/Caddyfile:ro" caddy:2-alpine caddy validate --config /etc/caddy/Caddyfile
|
||||
./scripts/check-staging-env.sh .env.staging.example
|
||||
```
|
||||
|
||||
Ожидаемый результат: compose и Caddyfile валидны; preflight на `.env.staging.example` падает, потому что example содержит placeholder secrets.
|
||||
|
||||
### Launcher / control plane
|
||||
|
||||
Репозиторий:
|
||||
|
||||
```text
|
||||
/Users/dcconstructions/Downloads/mnt/data/nodedc_launcher
|
||||
```
|
||||
|
||||
Подготовлено:
|
||||
|
||||
- control-plane snapshot перенесён из public static в server-only storage;
|
||||
- `/storage/launcher-data.json` закрыт;
|
||||
- `/api/storage/data` и `/api/storage/upload` требуют session;
|
||||
- `/api/apps` отдаёт только приложения с app access;
|
||||
- hard delete вызывает Tasker cleanup: sessions, identity links, workspace/project memberships, issue assignees;
|
||||
- internal API token отделён от OIDC client secret;
|
||||
- повторный accept уже принятого invite отклоняется.
|
||||
|
||||
Локально проверено:
|
||||
|
||||
```bash
|
||||
cd nodedc_launcher
|
||||
node --check server/dev-server.mjs
|
||||
npm run build
|
||||
npm test
|
||||
curl -i http://launcher.local.nodedc/api/me
|
||||
curl -i http://launcher.local.nodedc/api/apps
|
||||
curl -i http://launcher.local.nodedc/api/services/task-manager/launch
|
||||
```
|
||||
|
||||
Ожидаемый результат без session: `401`.
|
||||
|
||||
### Task Manager / Operational Core
|
||||
|
||||
Репозиторий:
|
||||
|
||||
```text
|
||||
/Users/dcconstructions/Downloads/mnt/data/dc_taskmanager/NODEDC_TASKMANAGER
|
||||
```
|
||||
|
||||
Готовые артефакты:
|
||||
|
||||
```text
|
||||
plane-app/plane.env.staging.example
|
||||
scripts/check-tasker-staging-env.sh
|
||||
```
|
||||
|
||||
Подготовлено:
|
||||
|
||||
- `PLANE_NODEDC_ACCESS_TOKEN` больше не fallback-ится на `PLANE_OIDC_CLIENT_SECRET`;
|
||||
- unlinked old sessions могут отзываться через `PLANE_NODEDC_ACCESS_ENFORCE_UNLINKED=1`;
|
||||
- internal logout умеет чистить ExternalIdentityLink, WorkspaceMember, ProjectMember, IssueAssignee;
|
||||
- self-host workspace invite снова создаёт pending request в Launcher;
|
||||
- launcher-managed workspace отклоняет self-service invite request;
|
||||
- Tasker proxy получает `TRUSTED_PROXIES` из env.
|
||||
|
||||
Локально проверено:
|
||||
|
||||
```bash
|
||||
cd NODEDC_TASKMANAGER
|
||||
docker compose --env-file plane-app/plane.env.staging.example -f plane-app/docker-compose.yaml config
|
||||
./scripts/check-tasker-staging-env.sh plane-app/plane.env.staging.example
|
||||
```
|
||||
|
||||
Ожидаемый результат: compose валиден; preflight на example падает из-за placeholder secrets.
|
||||
|
||||
## Что DevOps должен сделать на сервере
|
||||
|
||||
## Последний локальный smoke перед передачей
|
||||
|
||||
Выполнено 2026-05-12 после rebuild `nodedc/plane-backend:local` и `nodedc/plane-frontend:ru`, затем `./setup.sh stop && ./setup.sh start`.
|
||||
|
||||
Контейнеры Tasker:
|
||||
|
||||
```text
|
||||
admin, api, beat-worker, live, plane-db, plane-minio, plane-mq, plane-redis, proxy, space, web, worker — Up
|
||||
web/admin/space — healthy
|
||||
```
|
||||
|
||||
HTTP smoke:
|
||||
|
||||
```text
|
||||
http://auth.local.nodedc/ -> 302
|
||||
http://launcher.local.nodedc/healthz -> 200
|
||||
http://task.local.nodedc/ -> 200
|
||||
http://localhost:8090/ -> 200
|
||||
```
|
||||
|
||||
Unauth negative paths:
|
||||
|
||||
```text
|
||||
GET http://launcher.local.nodedc/api/me -> 401
|
||||
GET http://launcher.local.nodedc/api/apps -> 401
|
||||
GET http://launcher.local.nodedc/api/services/task-manager/launch -> 401
|
||||
POST http://launcher.local.nodedc/api/internal/access/check without token -> 401
|
||||
POST http://task.local.nodedc/api/internal/nodedc/logout/ without token -> 401
|
||||
```
|
||||
|
||||
Этот smoke закрывает локальную runtime-ready часть. Он не заменяет DevOps staging smoke на реальных HTTPS-доменах.
|
||||
|
||||
### 1. Подготовить DNS и host
|
||||
|
||||
Выбрать реальные домены:
|
||||
|
||||
```text
|
||||
auth.<staging-domain>
|
||||
launcher.<staging-domain>
|
||||
task.<staging-domain>
|
||||
```
|
||||
|
||||
Все DNS-записи должны указывать на staging host или ingress. Порты `80/tcp` и `443/tcp` должны быть доступны снаружи для TLS/ACME.
|
||||
|
||||
### 2. Создать реальные env-файлы
|
||||
|
||||
Platform:
|
||||
|
||||
```bash
|
||||
cd platform/infra
|
||||
cp .env.staging.example .env.staging
|
||||
```
|
||||
|
||||
Tasker:
|
||||
|
||||
```bash
|
||||
cd NODEDC_TASKMANAGER
|
||||
cp plane-app/plane.env.staging.example plane-app/plane.env.staging
|
||||
```
|
||||
|
||||
Заменить все `replace-with-*` на реальные значения. Нельзя использовать local/dev secrets, `change-me`, `local-dev`, `.local.nodedc`, `localhost`.
|
||||
|
||||
Обязательное правило:
|
||||
|
||||
- `NODEDC_INTERNAL_ACCESS_TOKEN` должен совпадать с `PLANE_NODEDC_ACCESS_TOKEN`;
|
||||
- `NODEDC_INTERNAL_ACCESS_TOKEN` не должен совпадать ни с одним OIDC client secret;
|
||||
- `LAUNCHER_OIDC_CLIENT_SECRET` и `PLANE_OIDC_CLIENT_SECRET` должны быть разными;
|
||||
- `COOKIE_SECURE=true`;
|
||||
- все public/OIDC/internal URLs должны быть `https://`.
|
||||
|
||||
### 3. Ограничить proxy trust
|
||||
|
||||
В staging нельзя оставлять broad ranges:
|
||||
|
||||
```text
|
||||
0.0.0.0/0
|
||||
::/0
|
||||
10.0.0.0/8
|
||||
172.16.0.0/12
|
||||
192.168.0.0/16
|
||||
127.0.0.0/8
|
||||
```
|
||||
|
||||
Нужно указать только фактический subnet reverse proxy / ingress:
|
||||
|
||||
```text
|
||||
AUTHENTIK_LISTEN__TRUSTED_PROXY_CIDRS=<edge-or-ingress-cidr>
|
||||
TRUSTED_PROXIES=<edge-or-ingress-cidr>
|
||||
```
|
||||
|
||||
### 4. Прогнать preflight
|
||||
|
||||
Platform:
|
||||
|
||||
```bash
|
||||
cd platform/infra
|
||||
./scripts/check-staging-env.sh .env.staging
|
||||
docker compose --env-file .env.staging -f docker-compose.staging.example.yml config
|
||||
```
|
||||
|
||||
Tasker:
|
||||
|
||||
```bash
|
||||
cd NODEDC_TASKMANAGER
|
||||
./scripts/check-tasker-staging-env.sh plane-app/plane.env.staging
|
||||
docker compose --env-file plane-app/plane.env.staging -f plane-app/docker-compose.yaml config
|
||||
```
|
||||
|
||||
Preflight обязан пройти на реальных env-файлах. Если падает — staging не запускать.
|
||||
|
||||
### 5. Поднять runtime
|
||||
|
||||
Platform:
|
||||
|
||||
```bash
|
||||
cd platform/infra
|
||||
docker compose --env-file .env.staging -f docker-compose.staging.example.yml up -d
|
||||
```
|
||||
|
||||
Tasker команда зависит от выбранной topology. Если используется текущий Plane runtime:
|
||||
|
||||
```bash
|
||||
cd NODEDC_TASKMANAGER
|
||||
docker compose --env-file plane-app/plane.env.staging -f plane-app/docker-compose.yaml up -d
|
||||
```
|
||||
|
||||
Если Tasker стоит за platform reverse proxy, наружу публикуется только platform edge. Postgres, Redis/Valkey, MinIO, RabbitMQ, Authentik server/worker, Launcher BFF и Tasker API не публикуются напрямую наружу.
|
||||
|
||||
### 6. Bootstrap Authentik
|
||||
|
||||
Создать/обновить:
|
||||
|
||||
- отдельное Application/Provider для Launcher;
|
||||
- отдельное Application/Provider для Tasker;
|
||||
- отдельные OIDC client secrets;
|
||||
- группы `nodedc:superadmin`, `nodedc:launcher:admin`, `nodedc:launcher:user`, `nodedc:taskmanager:admin`, `nodedc:taskmanager:user`;
|
||||
- access policies для каждого приложения;
|
||||
- redirect/logout URI только на staging HTTPS domains.
|
||||
|
||||
### 7. Проверить финальный staging smoke
|
||||
|
||||
Минимальный smoke:
|
||||
|
||||
1. `https://auth...`, `https://launcher...`, `https://task...` открываются по HTTPS.
|
||||
2. HTTP делает redirect на HTTPS.
|
||||
3. Ответы содержат HSTS.
|
||||
4. Cookies выставляются как `Secure` и `HttpOnly`.
|
||||
5. Без login Launcher ведёт в Authentik.
|
||||
6. Active user видит только разрешённые сервисы.
|
||||
7. User без Task Manager app access не видит Task Manager в Launcher и получает deny по прямому `https://task...`.
|
||||
8. Blocked/annulled user теряет Launcher и Tasker session после hard refresh.
|
||||
9. Self-host workspace invite создаёт pending request в Launcher.
|
||||
10. Launcher-managed workspace не принимает self-service invite request из Tasker.
|
||||
11. Hard delete удаляет active Tasker WorkspaceMember/ProjectMember/IssueAssignee.
|
||||
12. Повторный accept уже принятого invite отклоняется.
|
||||
13. Internal endpoints без token дают `401`.
|
||||
14. Audit содержит admin actions: approve/reject/access change/hard delete.
|
||||
15. Снаружи не доступны Postgres, Redis/Valkey, MinIO, RabbitMQ, Authentik server/worker, Launcher BFF и Tasker API-порты.
|
||||
|
||||
## Что не входит в текущую передачу
|
||||
|
||||
- billing;
|
||||
- тарифы;
|
||||
- email automation;
|
||||
- production HA/backup automation;
|
||||
- production monitoring/SIEM;
|
||||
- public self-service без ручного approve.
|
||||
|
||||
Эти темы не являются блокерами текущего закрытого demo release.
|
||||
|
|
@ -1,6 +1,7 @@
|
|||
# Security Checklist
|
||||
|
||||
Staging path and runbook: `docs/STAGING_SECURITY_PLAN.md`.
|
||||
DevOps handoff: `docs/DEVOPS_SECURITY_HANDOFF.md`.
|
||||
|
||||
## Network
|
||||
|
||||
|
|
|
|||
Loading…
Reference in New Issue