Из 2024 в 2025: вспоминаем лучшие практики CI/CD

[Uint16Array]

шаблонно

[fujinon]

Я не понял, почему multistage это практика CI/CD. Вы можете пользоваться multistage без привязки к CI/CD и наоборот. Более того, артифакты гитлаба могут заменить вам multistage и наоборот. В чем конкретно проблемы с повсеместно применяемом DinD тоже непонятно.

[slonopotamus]

В чем конкретно проблемы с повсеместно применяемом DinD тоже непонятно.

В том что для его работы нужен privileged-контейнер, а значит можно из CI-скрипта выбраться на хост-машину с рутовыми правами и нашалить.

[fujinon]

Это понятно, но ведь и гитлаб и раннеры это внутренние сервера? Злоумышленники внутри компании?

[slonopotamus]

Ну раз вы спрашиваете, то нет и да.

[andreynekrasov]

sysbox помогает от побега из dind для раннеров.

[eastasenko]

В начале статьи задекларировали правильные и рабочие идеи. Но примеры и реализация вызывает много вопросов. Если проследить за руками, то можно заметить что в итоговом пайплайне в build_* мы используем образ kaniko, в нем же авторизацию vault, откуда в нем бинарь волта появился? Изначально был сниппет с образом vault. Насколько ок хранить секреты в образах? По итогу тестируем и отправляем в прод тоже разные образы? Так же очень утрирован процесс деплоя с argo, в какой момент обновляется версия в манифесте арго?

[donRumatta]

Тоже не разобрал, что за лучшие практики билдить отдельно под каждый стенд)

[Abix5]

Вы уж извините, но kaniko далеко не практика и не лучшая тулза с кучей багов и приколов от версии к версии. Так же нет rootless.

[Cmuser]

Было бы интересно углубиться и понять как это все развернуть на нескольких разных серверах для устойчивости, тут, как я понимаю, все на одной машине/сервере, верно ?