Add step-by-step deploy walkthrough for CLOUD-SITE-TEST-01.

Document bootstrap, post-deploy fixes, and day-to-day workflow on remote test contour. Co-authored-by: Cursor <cursoragent@cursor.com>
2026-06-10 11:00:16 +03:00
parent 18ff93ad1e
commit 5814ece51e
3 changed files with 358 additions and 0 deletions
@@ -120,6 +120,7 @@ export default defineConfig({
              { text: 'Grafana / Prometheus / Loki', link: '/infrastructure/test-contour/guides/monitoring' },
              { text: 'Redmine', link: '/infrastructure/test-contour/guides/redmine' },
              { text: 'CLOUD-SITE-TEST-01 (удалённый сервер)', link: '/infrastructure/test-contour/cloud-site-test-01' },
              { text: 'Как развернуть (пошагово)', link: '/infrastructure/test-contour/deploy-walkthrough' },
              { text: 'Что сделано + перенос на сервер', link: '/infrastructure/test-contour/test-contour-article' },
              { text: 'Git-flow: ветки и релизы', link: '/infrastructure/test-contour/git-flow' },
              { text: 'Система тегов CI/CD', link: '/infrastructure/test-contour/tags' },
@@ -0,0 +1,356 @@
 # Как развернуть test-контур на CLOUD-SITE-TEST-01
 Пошаговый рассказ: что делали при переносе песочницы с локальной Multipass-VM на удалённый сервер **CLOUD-SITE-TEST-01** (`dev.sovamed.ru`). Для справочника по архитектуре см. [CLOUD-SITE-TEST-01](./cloud-site-test-01.md), для общего плана — [`k3s/DEPLOY.md`](../../../../k3s/DEPLOY.md).
 ---
 ## 0. Что было до этого
 Локально крутилась **Multipass-ферма** (`vm-k8s-git`, `*.sova.local`, NodePort). Для общего test-контура на железе решили:
 - один сервер, один **k3s**;
 - публичные домены **`*.dev.sovamed.ru`**;
 - **Let's Encrypt** вместо self-signed;
 - **без Redmine** (экономия RAM);
 - CI/CD и GitOps — как на локалке: Gitea → ArgoCD → Helm.
 Исходники лежат в монорепо: оркестрация в **`k3s/`**, приложения и Helm — в **`k8s/`**.
 ---
 ## 1. Подготовка сервера и DNS
 ### Сервер
 | | |
 |--|--|
 | Имя | CLOUD-SITE-TEST-01 |
 | Публичный IP | `46.243.172.227` |
 | VPN / SSH / kubectl | `10.0.186.3` |
 | Пользователь | `petrov` |
 | RAM | 12 GB (+ swap 8 GB) |
 ### DNS
 A-записи на **`46.243.172.227`**:
 ```
 git.dev.sovamed.ru
 argocd.dev.sovamed.ru
 grafana.dev.sovamed.ru
 api.dev.sovamed.ru
 adm.dev.sovamed.ru
 cabinet.dev.sovamed.ru
 docs.dev.sovamed.ru
 ```
 Порт **80** с интернета обязателен — без него Let's Encrypt (HTTP-01) не выпустит сертификаты.
 ### VPN
 SSH и `kubectl` с рабочей машины — через VPN на **`10.0.186.3`**. Браузер — на публичные URL через DNS.
 ---
 ## 2. Настройка на Mac
 ```bash
 cd k3s
 cp remote.env.example remote.env
 ```
 Заполнил **`remote.env`** (главное):
 ```bash
 SERVER_IP=10.0.186.3          # VPN для SSH/kubectl
 BASE_DOMAIN=dev.sovamed.ru
 GITEA_DOMAIN=git.dev.sovamed.ru
 API_DOMAIN=api.dev.sovamed.ru
 # ... остальные домены
 ENABLE_TLS=1
 LETSENCRYPT_EMAIL=devops@sovamed.ru
 CLUSTER_ISSUER=letsencrypt-prod
 SWAP_GB=8
 SKIP_REDMINE=1
 KUBECONFIG_PATH=~/.kube/config-sova-remote-test
 ```
 SSH-пароль и sudo — в `remote.env` (или ключ). **SSH-пароль на сервере потом не меняли** — только сервисные креды в k8s.
 Права на скрипты:
 ```bash
 chmod +x scripts/*.sh scripts/lib/*.sh
 chmod +x ../k8s/scripts/*.sh
 ```
 Проверка:
 ```bash
 ssh petrov@10.0.186.3
 ```
 ---
 ## 3. Автоматический bootstrap (основной прогон)
 ```bash
 cd k3s
 ./scripts/bootstrap-remote-test.sh
 ```
 Скрипт **`bootstrap-remote-test.sh`** по шагам:
 | Шаг | Что происходит |
 |-----|----------------|
 | **1** | На сервере: swap 8 GB, apt, установка **k3s** (`--disable traefik`), скачивание **kubeconfig** на Mac |
 | **2** | Platform: ingress-nginx (LB 80/443), cert-manager, sealed-secrets, ArgoCD, Prometheus/Grafana, Loki, Gitea; **basic auth** + ingress для git/argocd/grafana |
 | **3** | Gitea: org `sova`, push репозиториев (backend, adminpanel, cabinet, docs, sova-deploy, sova-mocks) |
 | **4** | Gitea Actions runner, CI secrets, **registries.yaml** на ноде для pull образов |
 | **5** | PostgreSQL, MySQL, Redis, WireMock/Mailpit, db-init |
 | **6** | ArgoCD: project, test-contour apps, ожидание Healthy |
 | **7** | TLS: ClusterIssuer Let's Encrypt, выпуск сертификатов |
 | **8** | Итог: список URL и паролей |
 Если упало на середине — продолжить:
 ```bash
 BOOTSTRAP_FROM_STEP=4 ./scripts/bootstrap-remote-test.sh
 ```
 Kubeconfig после шага 1:
 ```bash
 export KUBECONFIG=~/.kube/config-sova-remote-test
 kubectl get nodes
 ```
 ---
 ## 4. Что правили после bootstrap
 Автомат не покрывает всё — ниже реальные доработки на этом контуре.
 ### 4.1. Домены в GitOps
 В **`k8s/sova-deploy/apps/*/values-test.yaml`** выставили хосты `*.dev.sovamed.ru`, TLS, образы из Gitea registry:
 ```yaml
 ingress:
  host: api.dev.sovamed.ru
  tls:
    enabled: true
    clusterIssuer: letsencrypt-prod
 image:
  repository: git.sova.local/sova/backend
  tag: backend-v1.0.13-test
 ```
 Запушили ветку **`test`** в Gitea (`sova/sova-deploy`) → ArgoCD подхватил.
 ### 4.2. Registry и pull образов
 CI пушит в registry под **`git.sova.local`**, нода должна резолвить registry:
 - **`/etc/hosts`** на сервере: `10.0.186.3 git.dev.sovamed.ru git.sova.local`
 - **`/etc/rancher/k3s/registries.yaml`** — mirror + credentials
 - Скрипт: `k8s/scripts/configure-k3s-registry-remote.sh`
 ### 4.3. CI/CD под HTTPS
 Обновили workflow **`build.yml`** в app-репозиториях и скрипты (`gitea-url.sh`, `release-tag.sh`, `bootstrap-gitea-ci-secrets.sh`) — Gitea с Mac/VPN через `https://10.0.186.3` + заголовок `Host: git.dev.sovamed.ru`.
 Проверка релиза:
 ```bash
 cd k8s
 export KUBECONFIG=~/.kube/config-sova-remote-test
 export VM_IP=10.0.186.3 GITEA_SCHEME=https GITEA_HTTP_PORT=443 GITEA_INSECURE_TLS=1
 export GITEA_HOST=git.dev.sovamed.ru
 ./scripts/release-tag.sh backend backend-v1.0.13-test
 ```
 Цепочка: **тег → Gitea Actions → образ в registry → commit в sova-deploy → ArgoCD sync → pod**.
 ### 4.4. Ветки issues/27
 Перенесли feature-ветки из монорепо в Gitea и смержили в **`test`**:
 ```bash
 ./scripts/migrate-issues-27-branches.sh
 # merge issues/27 → test для backend, adminpanel, cabinet
 ```
 ### 4.5. TLS на приложениях
 После sync ArgoCD ingress терял TLS — добавили блок `tls` в Helm-шаблоны `sova-deploy/apps/*/templates/all.yaml` и `ingress.tls.enabled` в values-test.
 ### 4.6. Redmine убрали
 Redmine на этом сервере не нужен:
 ```bash
 kubectl delete application redmine-test -n argocd
 ```
 ### 4.7. Пароли
 Сгенерировали сложные пароли для Gitea, ArgoCD, Grafana, БД, app secrets. Применили:
 - helm/API для platform;
 - `ALTER USER` в PostgreSQL/MySQL;
 - GitOps (`sova-deploy/data/test`, `apps/*/values.yaml`);
 - bcrypt для seed-пользователей admin/cabinet.
 Все креды — **`k8s/.generated/platform-credentials.env`** (не в git). SSH не трогали.
 ### 4.8. Admin Panel — API URL
 Admin Panel не логинился: в **`values-test.yaml`** был ключ `env:` вместо **`runtimeEnv:`** → в pod уходил `http://api.test.sova.local`. Исправили:
 ```yaml
 runtimeEnv:
  API_BASE_URL: https://api.dev.sovamed.ru
 ```
 ### 4.9. Grafana + Loki
 Grafana падала из-за двух default datasource. Решение:
 - Loki подключён через **`grafana.additionalDataSources`** в `values-lite-12gb.yaml`;
 - отдельный ConfigMap `loki-loki-stack` удаляется после helm loki-stack.
 ### 4.10. Basic Auth на периметре
 Все публичные URL закрыты **HTTP Basic Auth** на ingress:
 ```bash
 ./scripts/bootstrap-ingress-basic-auth.sh   # secret contour-basic-auth
 ./scripts/deploy-platform-ingress.sh        # platform ingress
 ```
 Логin: **`sova-contour`**, пароль — в `platform-credentials.env`.
 Для Gitea — **два Ingress**: `/api`, `/v2`, `/sova` без auth (CI/git), веб-UI `/` — с auth.
 ---
 ## 5. Типичный рабочий цикл после развёртывания
 ### kubectl
 ```bash
 export KUBECONFIG=~/.kube/config-sova-remote-test
 kubectl get applications -n argocd
 kubectl get pods -n sova-test
 ```
 ### Выкат новой версии приложения
 ```bash
 cd k8s
 ./scripts/release-tag.sh backend backend-v1.0.14-test
 # аналогично: adminpanel, cabinet, docs
 ```
 ### Выкат документации
 ```bash
 ./scripts/release-tag.sh docs docs-v1.0.15-test
 ```
 ### ArgoCD sync вручную
 ```bash
 kubectl annotate application backend-test -n argocd argocd.argoproj.io/refresh=hard --overwrite
 ```
 ### Креды
 ```bash
 cat k8s/.generated/platform-credentials.env
 ./scripts/print-credentials.sh
 ```
 ---
 ## 6. Проверка «всё живо»
 ```bash
 export KUBECONFIG=~/.kube/config-sova-remote-test
 source k8s/.generated/platform-credentials.env
 # Basic auth + TLS
 curl -sk -o /dev/null -w "%{http_code}\n" -u "${BASIC_AUTH_USER}:${BASIC_AUTH_PASS}" \
  -H "Host: api.dev.sovamed.ru" https://10.0.186.3/
 # ArgoCD
 kubectl get applications -n argocd
 # Сертификаты
 kubectl get certificate -A
 # CI
 curl -sk -u "gitea_admin:${GITEA_ADMIN_PASS}" -H "Host: git.dev.sovamed.ru" \
  "https://10.0.186.3/api/v1/repos/sova/backend/actions/runs?limit=1"
 ```
 Чеклист:
 - [ ] `kubectl get nodes` — Ready
 - [ ] ArgoCD apps — Synced / Healthy
 - [ ] URL открываются (с basic auth → затем логин сервиса)
 - [ ] `kubectl get certificate -A` — Ready
 - [ ] CI по тегу `*-test` — success
 - [ ] Grafana Explore → Loki → `{namespace="sova-test"}`
 ---
 ## 7. Карта скриптов (что за что отвечает)
 ```
 k3s/scripts/bootstrap-remote-test.sh     ← главная команда «развернуть всё»
 k3s/remote.env                           ← IP, домены, TLS, SSH
 k8s/scripts/deploy-platform-remote.sh  ← Helm: ingress, cert-manager, ArgoCD, Gitea…
 k8s/scripts/deploy-platform-ingress.sh   ← Ingress git / argocd / grafana (+ basic auth)
 k8s/scripts/bootstrap-ingress-basic-auth.sh
 k8s/scripts/bootstrap-gitea.sh           ← org, repos, admin
 k8s/scripts/bootstrap-gitea-runner.sh    ← Actions runner
 k8s/scripts/bootstrap-gitea-ci-secrets.sh
 k8s/scripts/configure-k3s-registry-remote.sh
 k8s/scripts/deploy-test-stack.sh         ← БД + mocks (DATA_ONLY=1)
 k8s/scripts/bootstrap-argocd.sh          ← GitOps apps
 k8s/scripts/bootstrap-tls.sh            ← Let's Encrypt
 k8s/scripts/release-tag.sh               ← тег → CI → deploy
 ```
 ---
 ## 8. Частые проблемы
 | Симптом | Что делали |
 |---------|------------|
 | ImagePullBackOff | `configure-k3s-registry-remote.sh`, `/etc/hosts` на ноде |
 | ArgoCD «Failed to authenticate» к Gitea | обновить secret `repo-sova-deploy` с новым паролем Gitea |
 | Admin Panel не логинится | `runtimeEnv.API_BASE_URL`, не `env:` |
 | Grafana CrashLoop | один default datasource; Loki через Helm `additionalDataSources` |
 | Symfony «parameter 3Dbi6a» | в `REDIS_URL`/`DATABASE_URL` удвоить `%` → `%%` для GitOps |
 | CI 403 на push | проверить Gitea credentials, `gitea_git_remote_url` (URL-encode пароля) |
 | Let's Encrypt pending | DNS, порт 80, `/.well-known/acme-challenge` без auth |
 ---
 ## 9. Ссылки
 - [CLOUD-SITE-TEST-01 — справочник по системе](./cloud-site-test-01.md)
 - [Gitea CI / теги](./guides/gitea-ci.md)
 - [Система тегов](./tags.md)
 - [ArgoCD apps](./argocd-apps.md)
 - [Grafana / Loki](./guides/monitoring.md)
 - [`k3s/TLS.md`](../../../../k3s/TLS.md)
 ---
 *Документ описывает фактический процесс развёртывания test-контура на CLOUD-SITE-TEST-01 (2026).*
@@ -17,6 +17,7 @@
 ### Текстовая документация
 - [**CLOUD-SITE-TEST-01: удалённый test-сервер**](./cloud-site-test-01) — домены, TLS, basic auth, CI/CD, мониторинг
 - [**Как развернуть test-контур (пошагово)**](./deploy-walkthrough) — bootstrap, доработки, рабочий цикл
 - [Git-flow: ветки, теги, автодеплой](./git-flow) — prod / test / stage, PR, пример через UI Gitea
 - [Test-контур: что сделано и перенос на server](./test-contour-article) — полная статья
 - [Система тегов CI/CD](./tags) — формат тегов и release-скрипт