First batch

2026-06-03 22:42:43 +02:00
parent c6fa0bff6a
commit 95d1839f05
31 changed files with 3527 additions and 485 deletions
--- a/CICD.md
+++ b/CICD.md
@@ -60,7 +60,7 @@ on:
    branches: [main]

 env:
-  NODE_VERSION: "20"
+  NODE_VERSION: "22"

 jobs:
  lint:
@@ -78,7 +78,7 @@ jobs:
    needs: lint
    strategy:
      matrix:
-        node-version: [18, 20, 22]
+        node-version: [22, 24]
    steps:
      - uses: actions/checkout@v4
      - name: Run tests
@@ -142,14 +142,14 @@ variables:

 lint:
  stage: lint
-  image: node:20
+  image: node:22
  script:
    - npm ci
    - npm run lint

 test:
  stage: test
-  image: node:20
+  image: node:22
  needs: ["lint"]
  script:
    - npm test
@@ -205,7 +205,67 @@ lint ──→ test ──→ build ──→ deploy-staging ──→ deploy-pr
 | Ansible | Imperative/Config | YAML |
 | Chef/Puppet | Config mgmt | Ruby DSL |

-### Terraform detail
+### Infrastructure as Code (2. vydání) — Kief Morris
+
+Klíčová reference pro navrhování a provozování dynamické cloudové infrastruktury pomocí IaC. Kniha je tool-agnostic — zaměřuje se na vzory a postupy, ne na konkrétní nástroje.
+
+#### Tři základní praktiky
+
+| Praktika | Popis |
+|----------|-------|
+| **Define everything as code** | Veškerá infrastruktura definovaná v kódu, version control, repeatabilita |
+| **Continuously test and deliver** | Každá změna prochází pipeline s automatickými testy |
+| **Small, independent pieces** | Malé, volně provázané komponenty — snadnější změna a testování |
+
+#### Principy cloudové infrastruktury
+
+- **Systems reproducible** — infrastructure can be recreated from code at any time
+- **Systems disposable** — instance mohou být zničeny a znovu vytvořeny
+- **Systems consistent** — všechny prostředí identická (žádné snowflake servery)
+- **Processes repeatable** — automatizace namísto manuálních postupů
+- **Design always changing** — infrastruktura se neustále vyvíjí (není build-and-forget)
+
+#### Anti-vzory (pitfalls)
+
+| Anti-vzor | Popis |
+|-----------|-------|
+| **Snowflake server** | Každý server jiný, nelze reprodukovat |
+| **Configuration drift** | Ruční změny → odchylky od definovaného stavu |
+| **Server sprawl** | Příliš mnoho serverů bez správy |
+| **Fragile infrastructure** | Křehká infrastruktura — změny často rozbijí systém |
+| **Automation fear** | Strach z automatizace → ruční zásahy |
+
+#### Struktura knihy (4 části)
+
+1. **Foundations** — rámec nástrojů a technologií pro cloud platformy
+2. **Working with infrastructure stacks** — definice, provisionování, testování a CD změn infrastruktury
+3. **Working with servers and application runtime platforms** — provisionování a konfigurace serverů a clusterů
+4. **Working with large systems and teams** — workflow, governance, architektonické vzory pro více týmů
+
+#### Organizace IaC kódu
+
+| Vzor | Popis |
+|------|-------|
+| **Monorepo** | Jeden repozitář pro vše — build-time integrace, vhodný pro malé týmy |
+| **Microrepo** | Samostatný repozitář pro každý projekt — izolace, vhodný pro velké týmy |
+| **Domain organization** | Organizace kódu podle doménových konceptů (ne podle technologií) |
+
+**Doporučení:**
+- Infrastruktura a aplikace mohou být ve stejném nebo odděleném repozitáři záleží na organizační struktuře (Team Topologies)
+- Konfigurační soubory per-environment (test, staging, production) ukládat v rámci projektu
+- Testy patří k projektu, integrační testy mohou být v samostatném projektu
+- Infrastrukturní kód by neměl přímo deployovat aplikace — použít OS packaging (RPM, deb)
+
+#### Expand-Contract pattern pro změny infrastruktury
+
+Stejný princip jako u databázových migrací:
+1. **Expand** — přidat nový resource (nestará verze stále běží)
+2. **Migrate** — přesunout traffic / závislosti na nový resource
+3. **Contract** — odstranit starý resource
+
+Zabraňuje výpadkům při refaktorování infrastruktury.
+
+## Terraform detail

 #### State locking mechanism

@@ -278,11 +338,95 @@ terraform fmt     → Formátování HCL
 - State locking (DynamoDB, Consul)
 - Workspaces pro oddělení prostředí

+### Terraform: Up and Running (3rd ed.) — Yevgeniy Brikman
+
+Praktický průvodce Terraformem od zakladatele Gruntwork. 3. vydání (2022) přidává přes 100 stran nového obsahu, aktualizaci z Terraform 0.12 na 1.2 a dvě nové kapitoly.
+
+#### Co je nového ve 3. vydání
+
+| Novinka | Popis |
+|---------|-------|
+| **Kapitola: Secrets management** | Správa tajemství s Terraformem — Vault, AWS Secrets Manager, KMS, OIDC, `sensitive` proměnné |
+| **Kapitola: Multiple providers** | Práce s vícero regiony, účty, cloudy včetně Kubernetes (AWS EKS) |
+| **Terraform 1.0+** | Backward compatibility promise, stabilita, HashiCorp IPO |
+| **Provider versioning** | `required_providers` blok + `terraform.lock.hcl` (lock file) |
+| **Module iteration** | `count` a `for_each` na modulech (od Terraform 0.13) |
+| **Variable validation** | `validation {}` bloky, `precondition` / `postcondition` |
+| **Refactoring** | `moved` bloky — bezpečný refactoring bez ruční manipulace se state |
+| **CI/CD security** | OIDC autentizace, isolated workers pro `terraform apply` |
+
+#### Secrets management s Terraformem
+
+```hcl
+# Proměnná označená jako sensitive — nikdy se nezobrazí v logu
+variable "db_password" {
+  type      = string
+  sensitive = true
+}
+
+# Čtení secrets z AWS Secrets Manager
+data "aws_secretsmanager_secret" "db" {
+  name = "production/db/master"
+}
+
+data "aws_secretsmanager_secret_version" "db" {
+  secret_id = data.aws_secretsmanager_secret.db.id
+}
+```
+
+**Doporučená hierarchie bezpečnosti:**
+1. **OIDC** — nejbezpečnější, bez creds na CI serveru (GitHub Actions → IAM role)
+2. **IAM role** — instance profile (EC2, ECS, EKS)
+3. **Environment variables** — omezené, riziko úniku v logu
+4. **Isolated workers** — oddělený worker s admin permissions, API pouze `plan`/`apply`
+
+#### Testing Terraform kódu
+
+| Vrstva | Nástroje | Popis |
+|--------|----------|-------|
+| **Static analysis** | `terraform validate`, `tflint`, `tfsec`, `checkov` | Analýza kódu bez běhu |
+| **Plan testing** | `conftest` + OPA (Rego), `terraform plan` parse | Validace plánu proti policy |
+| **Unit tests** | Terratest (Go), `terraform fmt`, `terraform validate` | Testování modulů izolovaně |
+| **Integration tests** | Terratest (Go) | Skutečné provisionování + assert |
+| **End-to-end tests** | Terratest | Plný stack, smoke testy |
+
+#### Policy enforcement
+
+```rego
+# OPA / conftest — zakázat veřejné S3 bucket
+package main
+
+deny[msg] {
+  resource := input.resource_changes[_]
+  resource.type == "aws_s3_bucket"
+  resource.change.after.acl == "public-read"
+  msg = sprintf("%s must not be public", [resource.address])
+}
+```
+
+#### Production-grade checklist dle Brikmana
+
+1. **Small modules** — jeden modul = jedna věc (single responsibility)
+2. **Composable modules** — moduly se dají skládat do větších celků
+3. **Testable modules** — každý modul má testy (Terratest)
+4. **Releasable modules** — verzování (Git tagy, Terraform Registry)
+5. **Version control** — všechno v gitu, včetně `.terraform.lock.hcl`
+6. **Remote state** — S3 + DynamoDB nebo Terraform Cloud
+7. **CI/CD pipeline** — `plan` na MR, `apply` po merge do main
+8. **Secrets management** — žádné secrets v plaintextu v kódu
+9. **Policy as code** — OPA / Sentinel pro compliance
+10. **Sandbox prostředí** — každý vývojář má vlastní izolované prostředí
+
+#### Zlaté pravidlo (Golden Rule of Terraform)
+
+> **Master branch state musí být vždy v souladu s produkčním prostředím.**
+> Nikdy nespouštět `terraform apply` ručně lokálně na produkci — vždy přes CI/CD.
+
 ## Dockerfile best practices

 ```dockerfile
 # Multi-stage build
-FROM node:20-alpine AS builder
+FROM node:22-alpine AS builder
 WORKDIR /app
 COPY package*.json ./
 RUN npm ci --only=production
@@ -290,7 +434,7 @@ COPY . .
 RUN npm run build

 # Runtime stage — distroless
-FROM gcr.io/distroless/nodejs20-debian12
+FROM gcr.io/distroless/nodejs22-debian12
 WORKDIR /app
 COPY --from=builder /app/dist ./dist
 COPY --from=builder /app/node_modules ./node_modules
@@ -494,5 +638,17 @@ Nové nástroje: Harness (AI-native CD), GitLab 19.0 (agentic MR workflows, secr
 ## Zdroje

 Odkazy, knihy a standardy: [sources/cicd/sources.md](sources/cicd/sources.md)
+
+### Doporučená literatura
+
+| Kniha | Autoři | ISBN | Klíčový přínos |
+|-------|--------|------|----------------|
+| The DevOps Handbook | Kim, Humble, Debois, Willis | 978-1942788003 | Principy CALMS (Culture, Automation, Lean, Measurement, Sharing), flow mapa, deployment pipeline |
+| Continuous Delivery | Humble, Farley | 978-0321601912 | Deployment pipeline, commit stage, acceptance tests, capacity testing, zero-downtime release |
+| CI/CD Design Patterns | Bajpai, Schildmeijer, Piwosz, Mishra | 978-1-83588-965-7 | 30+ návrhových vzorů pro CI/CD — pipeline patterns, GitOps, security, testing, deployment strategie |
+| DevOps Frameworks, Techniques, and Tools | Vijayakumaran, Kofler, Öggl, Springer | 978-1-4932-2670-2 | Rámec pro adopci DevOps, srovnání nástrojů (Jenkins vs GitLab vs GitHub Actions), techniky pro monitoring a observabilitu |
+
 - **Quality gates** — automated checks před každým povýšením do dalšího prostředí
 - **Pipeline visibility** — dashboard s aktuálním stavem všech pipeline (GitHub, GitLab, ArgoCD)
+
+*Poslední revize: 2026-06-03*