Initial commit RAW

Author: justgithubaccount

.claude/CLAUDE.md

@@ -0,0 +1,71 @@
+# CLAUDE.md
+
+## Обзор проекта
+
+GitOps-репозиторий для управления Kubernetes через ArgoCD. Использует App-of-Apps паттерн с Kustomize для управления несколькими окружениями.
+
+## Структура
+
+```
+clusters/       # Точки входа для каждого окружения (dev, prd)
+platform/       # Платформенные компоненты (infra, observability, gitops)
+tenants/        # Приложения команд
+policies/       # OPA Rego политики для валидации
+```
+
+## Ключевые файлы
+
+- `clusters/<env>/kustomization.yaml` — главный файл окружения, собирает все ресурсы
+- `clusters/<env>/destination.yaml` — патч для подстановки имени кластера
+- `platform/core/cluster-bootstrap/app-of-apps.yaml` — root ArgoCD Application
+- `platform/gitops/appsets/` — ApplicationSets для генерации Applications
+
+## Паттерны
+
+### ArgoCD Application
+Каждый компонент — это ArgoCD Application в `base/application.yaml`:
+- Helm charts указываются через `spec.source.repoURL` + `chart`
+- Kustomize через `spec.source.path`
+- `destination.name: CLUSTER` — placeholder, заменяется патчем
+
+### Sync Waves
+`argocd.argoproj.io/sync-wave: "N"` — порядок деплоя (меньше = раньше)
+
+### Image Updater
+Аннотации для автообновления образов:
+```yaml
+argocd-image-updater.argoproj.io/image-list: alias=registry/image:^1
+argocd-image-updater.argoproj.io/alias.update-strategy: semver
+argocd-image-updater.argoproj.io/write-back-method: git
+```
+
+## Команды
+
+```bash
+# Рендер манифестов
+kubectl kustomize clusters/dev/
+
+# Валидация
+kubeconform -summary -strict rendered.yaml
+
+# Проверка политик
+opa eval -f pretty -d policies/ -i rendered.yaml "data.kubernetes.deny[msg]"
+```
+
+## Добавление компонента
+
+1. Создай `platform/infrastructure/<category>/<name>/base/`
+2. Добавь `application.yaml` и `kustomization.yaml`
+3. Включи в `clusters/<env>/kustomization.yaml`
+
+## Добавление tenant приложения
+
+1. Создай `tenants/<team>/apps/<app>/base/`
+2. Добавь Application с нужными аннотациями
+3. Включи в `clusters/<env>/kustomization.yaml`
+
+## Важно
+
+- Все Applications деплоятся в namespace `argocd`
+- Секреты шифруются через sealed-secrets или тянутся через external-secrets
+- Политики в `policies/kubernetes.rego` проверяются в CI

.github/workflows/validate.yaml

@@ -0,0 +1,36 @@
+name: Validate K8s Manifests
+
+on:
+  pull_request:
+    paths:
+      - 'platform/**'
+      - 'clusters/**'
+      - 'tenants/**'
+      - 'policies/**'
+
+jobs:
+  validate:
+    runs-on: ubuntu-latest
+    strategy:
+      matrix:
+        env: [dev]
+    steps:
+      - uses: actions/checkout@v4
+
+      - name: Setup tools
+        run: |
+          curl -LO https://github.com/yannh/kubeconform/releases/latest/download/kubeconform-linux-amd64.tar.gz
+          tar -xf kubeconform-linux-amd64.tar.gz && sudo mv kubeconform /usr/local/bin
+          curl -LO https://openpolicyagent.org/downloads/latest/opa_linux_amd64
+          chmod +x opa_linux_amd64 && sudo mv opa_linux_amd64 /usr/local/bin/opa
+
+      - name: Validate Kustomize
+        run: |
+          kubectl kustomize clusters/${{ matrix.env }}/ > rendered.yaml
+
+      - name: Kubeconform validation
+        run: kubeconform -summary -strict rendered.yaml
+
+      - name: OPA policy check
+        run: |
+          opa eval -f pretty -d policies/ -i rendered.yaml "data.kubernetes.deny[msg]"

.gitignore

@@ -0,0 +1,3 @@
+rendered.yaml
+*.tgz
+.DS_Store

LICENSE

@@ -0,0 +1,21 @@
+MIT License
+
+Copyright (c) 2025 Yevgeny Kulikov
+
+Permission is hereby granted, free of charge, to any person obtaining a copy
+of this software and associated documentation files (the "Software"), to deal
+in the Software without restriction, including without limitation the rights
+to use, copy, modify, merge, publish, distribute, sublicense, and/or sell
+copies of the Software, and to permit persons to whom the Software is
+furnished to do so, subject to the following conditions:
+
+The above copyright notice and this permission notice shall be included in all
+copies or substantial portions of the Software.
+
+THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR
+IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
+FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
+AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
+LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
+OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
+SOFTWARE.

README.md

@@ -0,0 +1,126 @@
+# GitOps Kubernetes Platform
+
+GitOps-репозиторий для управления Kubernetes-инфраструктурой через ArgoCD.
+
+## Архитектура
+
+```
+├── clusters/           # Конфигурации окружений
+│   ├── dev/            # Development кластер
+│   └── prd/            # Production кластер
+├── platform/           # Платформенные компоненты
+│   ├── core/           # Bootstrap ArgoCD, RBAC
+│   ├── gitops/         # ApplicationSets, Image Updater
+│   ├── infrastructure/ # Инфраструктура (nginx, cert-manager, storage)
+│   └── observability/  # Мониторинг (Grafana, Loki, OTEL)
+├── tenants/            # Приложения команд
+│   └── product-team/   # Tenant: product-team
+├── policies/           # OPA Rego политики
+└── .github/workflows/  # CI валидация
+```
+
+## Как это работает
+
+### App-of-Apps паттерн
+
+1. **Root Application** (`platform/core/cluster-bootstrap/app-of-apps.yaml`) указывает на `clusters/<env>/`
+2. **Kustomization** (`clusters/<env>/kustomization.yaml`) собирает все ArgoCD Applications
+3. **Патчи** подставляют правильный destination кластер через `destination.yaml`
+
+```
+Git Push → ArgoCD → Sync Applications → Kubernetes
+              ↑
+    argocd-image-updater (автообновление образов)
+```
+
+### Sync Waves
+
+Порядок деплоя контролируется через `argocd.argoproj.io/sync-wave`:
+- `0` — Ingress, базовая инфраструктура
+- `5` — Приложения (chat-api)
+
+## Компоненты
+
+### Infrastructure
+| Компонент | Описание |
+|-----------|----------|
+| ingress-nginx | Ingress controller |
+| cert-manager | TLS сертификаты (Let's Encrypt) |
+| external-dns | DNS записи в Cloudflare |
+| sealed-secrets | Шифрование секретов в git |
+| external-secrets | Синхронизация секретов из внешних хранилищ |
+| reflector | Репликация секретов между namespace |
+| longhorn | Distributed storage |
+
+### Observability
+| Компонент | Описание |
+|-----------|----------|
+| Grafana | Дашборды и визуализация |
+| Loki | Агрегация логов |
+| OTEL Collector | Сбор телеметрии |
+
+### AI Platform
+| Компонент | Описание |
+|-----------|----------|
+| Open WebUI | UI для LLM моделей |
+
+## Добавление нового приложения
+
+1. Создай директорию в `tenants/<team>/apps/<app>/base/`
+2. Добавь `application.yaml` с ArgoCD Application
+3. Добавь `kustomization.yaml`
+4. Включи в `clusters/<env>/kustomization.yaml`:
+   ```yaml
+   resources:
+     - ../../tenants/<team>/apps/<app>/base
+   ```
+
+## Автообновление образов
+
+Для автоматического обновления версий используется argocd-image-updater:
+
+```yaml
+annotations:
+  argocd-image-updater.argoproj.io/image-list: app=ghcr.io/org/app:^1
+  argocd-image-updater.argoproj.io/app.update-strategy: semver
+  argocd-image-updater.argoproj.io/write-back-method: git
+```
+
+## CI/CD
+
+GitHub Actions валидирует манифесты на каждый PR:
+
+1. **Kustomize build** — рендеринг манифестов
+2. **Kubeconform** — валидация против JSON схем
+3. **OPA** — проверка политик безопасности
+
+### Политики (policies/)
+
+- Контейнеры должны иметь limits (cpu, memory)
+- Обязательные probes (liveness, readiness)
+- Запуск не от root (`runAsNonRoot: true`)
+- Наличие namespace
+- OTEL endpoint для телеметрии
+
+## Локальная разработка
+
+```bash
+# Рендеринг манифестов
+kubectl kustomize clusters/dev/
+
+# Валидация
+kubeconform -summary -strict <(kubectl kustomize clusters/dev/)
+
+# Проверка политик
+opa eval -f pretty -d policies/ -i rendered.yaml "data.kubernetes.deny[msg]"
+```
+
+## Требования
+
+- Kubernetes кластер
+- ArgoCD установлен в namespace `argocd`
+- Доступ к GitHub репозиторию
+
+## Лицензия
+
+MIT

clusters/dev/bootstrap.yaml

@@ -0,0 +1,14 @@
+# clusters/dev/bootstrap.yaml
+apiVersion: argoproj.io/v1alpha1
+kind: Application
+metadata:
+  name: root-app-dev
+  namespace: argocd
+spec:
+  source:
+    repoURL: https://github.com/justgithubaccount/app-release.git
+    path: platform/core/cluster-bootstrap
+    targetRevision: main
+  destination:
+    server: https://kubernetes.default.svc
+    namespace: argocd

clusters/dev/chat-values.yaml

@@ -0,0 +1,8 @@
+helm:
+  parameters:
+  - name: image.name
+    value: ghcr.io/justgithubaccount/chat-api
+    forcestring: true
+  - name: image.tag
+    value: 1.1.7
+    forcestring: true

clusters/dev/destination.yaml

@@ -0,0 +1,10 @@
+# infra/clusters/dev/destination.yaml
+apiVersion: argoproj.io/v1alpha1
+kind: Application
+metadata:
+  name: all
+  namespace: argocd
+spec:
+  project: default
+  destination:
+    name: in-cluster

clusters/dev/kustomization.yaml

@@ -0,0 +1,32 @@
+apiVersion: kustomize.config.k8s.io/v1beta1
+kind: Kustomization
+# All app names must be unique across the ArgoCD instance
+# So let's prefix the app names with the cluster name (dev- | demo-worker1-)
+# namePrefix: dev-
+resources:
+  # Security
+  - ../../platform/infrastructure/security/sealed-secrets/base
+  - ../../platform/infrastructure/security/reflector/base
+  - ../../platform/infrastructure/security/external-secrets/base
+  # Networking
+  - ../../platform/infrastructure/networking/nginx/base
+  - ../../platform/infrastructure/networking/cert-manager/base
+  - ../../platform/infrastructure/networking/external-dns/base
+  # Storage
+  - ../../platform/infrastructure/storage/longhorn/base
+  # AI Platform
+  - ../../platform/infrastructure/ai-platform/open-webui/base
+  # Observability
+  - ../../platform/observability/monitoring/loki
+  - ../../platform/observability/monitoring/grafana
+  - ../../platform/observability/opentelemetry/collector/otel-collector
+  # GitOps
+  - ../../platform/gitops/argocd-image-updater
+  # Tenants
+  - ../../tenants/product-team/apps/chat/base
+
+patches:
+  # Override .spec.destination.name
+  - path: destination.yaml
+    target:
+      kind: Application

clusters/dev/values/infrastructure-values.yaml

@@ -0,0 +1,13 @@
+# Infrastructure values for dev cluster
+# Override helm values here
+
+ingress-nginx:
+  controller:
+    replicaCount: 1
+
+cert-manager:
+  installCRDs: true
+
+longhorn:
+  persistence:
+    defaultClassReplicaCount: 1