<> = Kubernetes = Die Seite beschreibt an Hand von der CTA-Cloud welche Punkte demnächst umgesetzt werden oder umgesetzt sind. == Zielarchitektur == {{attachment:architektur.png}} == Todo Liste == * CentOS 8 * Kernel updates * NFTables portieren * Repo Sync * Rancher auf eine unterstützte Umgebung umziehen und über Ansible deployen (ins 102er) * S3 User für Backup erstellen (welcher Cluster soll benutzt werden) * Benutzer Backup Longhorn live * Benutzer Backup Longhorn dev * allgemeines Backup da TSM nicht benutzt werden kann [[https://rclone.org/|rclone]] * Services auflisten die aus dem Netz erreicht werden sollen um mit dem Netzwerkteam zu diskutieren. * erweiterte Sicherheitskonzepte untersuchen * Falco * [[https://github.com/kyverno/kyverno|kyverno]] * Jenkins Setup für CTA * Rootless Docker testen? https://get.docker.com/rootless * Helm Workflow etablieren * Monitoring * Prometheus in K8S (die Version von Rancher?) * Grafana (auch in K8S?) * Loki (auch in K8S?) * Entscheidung welcher Ingress genommen werden soll. Nginx <-> Ambassador oder doch gleich Nginx mit Istio * Konzept für Network Policies entwickeln. cis-1.5 könnte eine große Hilfe sein [[https://docs.rke2.io/security/policies/#network-policies|cis-15 in RKE2]] * disaster recovery * Fleed oder [[https://github.com/ansible-collections/community.kubernetes|community.kubernetes]] * wie werden die snapshots von etcd eingespielt == Netzwerkzugriffe == === in die CTA-Cloud === * Http/https * Internet * Desy * ssh aus dem Desynetz * API Server (Port 6443) aus dem Desynetz (reicht das für Ranger?) nur Admin Netzwerk === aus der CTA-Cloud === * TFTP (Picard) * RPM Repos (https/http picard) * DNS dns1 und dns2 znsun1 und eos Zonenmaster (Hiddenmaster für cloud.zeuthen.desy.de) * Ceph S3 (443 s3.zeuthen.desy.de RZ) * Ceph Blockdevice (Port??? RZ) * vault Port 8200 * git-proxy für sue-ng * Kerberos?