Hyppää sisältöön

SCENE III: The Set and Suspense – Infrastruktuuri ja riskit

Nyt siirrymme suurille näyttämöille. Rakennamme modernin tuotantoympäristön Kubernetesilla ja Terraformilla. Tässä kohtauksessa jännitys kasvaa: infrastruktuuri on monimutkainen ja täynnä riskejä — mutta sinä opit hallitsemaan ne "lavastuksen" ja tietoturvatyökalujen avulla.

PHASE 1: Kubernetes (K8s) – Moderni näyttämö

Tavoite: Ymmärtää, miten sovelluksia ajetaan, skaalataan ja suojataan tuotannossa.

1. K8s Architecture & Objects

  • Teknologiat: K3s, Minikube tai Managed K8s (EKS/GKE).

  • Osaamistavoitteet:

    • Core Objects: Pod, Deployment, Service ja Ingress (liikenteen ohjaus).
    • Configuration: ConfigMap & Secret (sovellusasetusten ja salaisuuksien hallinta).
    • Segmentation: Namespace-ajattelu (eri sovellusten tai ympäristöjen erottelu klusterin sisällä).

2. K8s Security (Suojakaiteet)

  • Osaamistavoitteet:

    • RBAC (Role-Based Access Control): Käyttöoikeuksien rajoittaminen "Least Privilege" -periaatteen mukaisesti.
    • NetworkPolicies: Verkon eristäminen klusterin sisällä (kuka saa puhua kenelle).
    • Pod Security Standards: Varmistetaan, etteivät kontit aja juurioikeuksilla (Root).

PHASE 2: Infrastructure as Code (IaC) – Automaattinen lavastus

Tavoite: Rakentaa ja hallita koko infrastruktuuria koodina, toistettavasti ja turvallisesti.

3. Terraform Fundamentals

  • Teknologiat: Terraform (ensisijainen) tai Pulumi.

  • Osaamistavoitteet:

    • Core Logic: Providerit, resurssit, muuttujat ja State-tiedoston (sekä backendin) hallinta.
    • Modularity: Infran jakaminen uudelleenkäytettäviin moduuleihin ja ympäristöjen (Dev/Prod) erottelu.

  • Ydinajatus: Infra ei ole enää manuaalinen "musta laatikko", vaan Git-repoon tallennettu dokumentoitu koodi.

4. IaC Security (Ennakoiva tarkastus)

  • Teknologiat: tfsec tai Checkov.
  • Osaamistavoitteet: Kyky skannata Terraform-koodi ja löytää konfiguraatiovirheet (esim. avoin portti tai salaamaton levy) ennen kuin yhtäkään palvelinta on pystytetty.

PHASE 3: Security Tooling – The Deep Dive

Tavoite: Integroida syvällinen tietoturva-analyysi osaksi tuotantoputkea.

5. Advanced Security Testing (AST)

  • Teknologiat: SonarQube (SAST), OWASP ZAP (DAST), Snyk tai Trivy (SCA).

  • Osaamistavoitteet:

    • AST Integration: Rakentaa integraatiot CI/CD-putkeen niin, että kriittiset haavoittuvuudet pysäyttävät julkaisun automaattisesti.
    • Remediation Workflow: Oppia tulkitsemaan raportteja, poistamaan "false positives" ja priorisoimaan korjaukset riskitason mukaan.

HANDS-ON: Kohtauksen harjoitukset

1. Kubernetes-harjoitus

  • Pystytä paikallinen klusteri (Minikube/K3s).
  • Deploy: Vie backend-sovellus ja PostgreSQL-tietokanta klusteriin.
  • Operations: Testaa skaalausta, rollout-päivityksiä ja opettele debuggaus (logs, describe, exec).

2. Terraform-harjoitus

  • Rakenna koodilla virtuaaliverkko, palvelin tai simuloitu Kubernetes-ympäristö.
  • Vie koko infra Git-repoon ja testaa muutosten tekemistä koodin kautta.

Director's Note: The Suspense Control (Riskien hallinta)

Tässä vaiheessa "Core Literacy" (Phase II) muuttuu voimaksi. Kun ymmärrät Pythonia tai Go-kieltä, K8s-operaattorit ja Terraform-logiikka eivät ole enää mysteereitä. Scene III on onnistunut, kun infrastruktuuri tuntuu hallittavalta työkalulta, eikä pelottavalta riskiltä.