4204d4

ESH26 - Énoncé du projet de session

💡 Acte d’énoncer, d’exprimer en termes nets.

Version 1.0:2026.05.15

Remise de la partie 1 (20/35) - Dimanche le 17 mai

Via LEA (fichier zip)
GitHub - branche main
Remise de la partie 2 (15/35) - lundi le 25 mai
Via LEA (fichier zip)
GitHub - branche etape2

Examen de fin de session (35/35) - 19 et 22 mai

Il n’y aura pas d’accès à un ordinateur, téléphone ou autres appareils électroniques…
Une feuille recto/verso permise, à main - pas de photocopie.
Durée: une période (50 minutes)

Détails sur l’examen théorique

20 questions de compréhension sur les lectures suivantes:
15 questions de compréhension sur les manifestes du projet de session ESH26

Ce projet comporte deux étapes de réalisation.

1️⃣ - Déployer, avec K8s, des applications en mode local et les présenter via HomePage
- Toutes les images sont sur un (votre) dépot Harbor
- Certains contenus sont de type NFS -> via un service NFS sur cloud.google
- Le DNS local est esh26
- Le DNS, pour l’accès aux images est harbor-matricule.duckdns.org
- REMISE: 16 mai, 👉 fin de journée
2️⃣ - Déployer, avec K8s, des applications en mode cloud et les ajouter à HomePage
- Le DNS est esh26.matricule.duckdns.org
- REMISE: 25 mai, 👉 fin de journée
💡 Détails pour la remise:
- Un dépot github privé ( 💡inviter ve2cuy)
  - 👉 Avec un README.md comme journal de bord pour y documenter,
    - Les étapes d’installation (VM, harbor, certificats, nfs, ftp, metallb sur k8s, …)
    - Les commandes à exécuter pour lancer les pré-requis (metallb, traefik, …)
    - Les commandes à éxécuter pour lancer les applications; locales et cloud, …

Étape 1 - Déployer des applications en mode local - `👉 remise le 17 mai`

À partir d’une VM cloud.google
- Nommée es-4204d4-h26
  - e2-small (2 vCPUs, 2 GB Memory) Us-central-1f
  - —»» Disque de 22 GO «<—
  - Sous ubuntu-minimal-2604-resolute-amd64
  - NOTE: 😉 Il est recommandé d’utiliser des clés ssh pour la connexion à la VM.
    - 💡 Si la commande sudo ne reconnait plus le mot de passe, redémarrer la session ssh.
- Installer Harbor avec certificats TLS
  - 👉 Attention au mot de passe
  - 🛑 Ne pas activer le port 80
  - 💡 Harbor ne doit pas rouler lors de la génération des certificats.
- Renseigner un DNS sur DuckDNS -> harbor-matricule.duckdns.org
- Sous Harbor, créer un dépot (projet) nommé esh26
  - Placer les images suivantes dans le dépot
    - homepage:esh26 (à partir de ghcr.io/gethomepage/homepage:latest)
      - Exemple: docker tag ghcr.io/gethomepage/homepage:latest 4204d4.duckdns.org/esh26/homepage:esh26
      - docker push 4204d4.duckdns.org/esh26/homepage:esh26
    - wordpress:esh26 (à partir de wordpress:latest)
    - mariadb:esh26 (à partir de mariadb:latest)
    - jenkins:esh26 (à partir de jenkins/jenkins:lts)
    - node-red:esh26 (à partir de nodered/node-red:latest)
    - mattermost:esh26 (à partir de mattermost/mattermost-preview)
- Mettre en place un volume NFS sur le dossier /esh26
  - créer les dossiers /esh26, /esh26/themes, /esh26/plugins et /esh26/node-red
À partir d’un déploiment k8s local (soit via VMs ou Docker-Desktop)
- Installer metallb
- Installer traefik (http://dashbord.esh26)
  - Note: Sous docker-desktop il faut utiliser 127.0.0.1 dashboard.esh26 wordpress.esh26 ... dans hosts, sinon, il faut utiliser l’adress IP publique du service traefik.
- Déployer homepage
  - Utiliser l’image du dépot harbor
    - Exemple: image: 4204d4.duckdns.org/esh26/homepage:esh26
  - Utiliser des configMap, voir les notes de cours, pour les fichiers:
    - config.yaml
    - services.yaml
    - widgets.yaml
    - bookmarks.yaml
    - settings.yaml
  - Renseigner les liens suivants sous homepage:
    - http://node-red.esh26/
    - http://jenkins.esh26/
    - http://wordpress.esh26/
    - http://mattermost.esh26/
    - https://harbor.matricule.duckdns.org 👉 Accès seulement en https!
  - 👉 Le lien pour la page homepage est http://tp02.esh26

Captures d’écrans et détails sur les applications

Harbor

👉 La connexion est sécurisée (service disponible sur 443 en https)

👉 Les images sont disponibles dans le projet esh26

Homepage

Détails

Les fichiers de configuaration sont disponibles via des configmap voir ici
L’image provient du dépôt harbor via harbor.matricule.duckdns.org/esh26/harbor:esh26

NOTE: 🛑 Si harbor a été démarré avec le mot de passe par défaut, il faudra effacer la base de données et recommencer la configuration:

sudo docker-compose down -v
rm -r /data/database
rm -r /data/registry
sudo ./prepare
sudo docker-compose up -d

Wordpress

Des thèmes supplémentaires proviennent du volune NFS /esh26/wordpress/themes voir ici
Ils doivent-être copiés localement par un conteneur d’initialisation.
- Ou bien le dossier NFS peut-être monté localement, à vous de choisir.
Les thèmes sont disponibles –> ici
Mariadb
- Le volume de Mariadb est de type local-path voir ici
- Les informations de connexions doivent-être dans un secret voir ici

Contenu NFS des thèmes Wordpress

Node-red

Le dossier /data de node-red est monté sur le volume NFS /esh26/node-red

Contenu NFS de Node-red

Mattermost

Jenkins

Le volume PVC de jenkins est de type local-path

apiVersion: v1
kind: PersistentVolumeClaim
metadata:
  name: jenkins-pvc
spec:
  accessModes:
    - ReadWriteOnce
  storageClassName: local-path
  resources:
    requests:
      storage: 5Gi

💡 Voici des astuces d’aide à la réalisation du projet

Certificats pour Harbor

# Générer le certificat
sudo certbot certonly --standalone -d 4204d4.duckdns.org

# Renseigner le fichier `harbor.yml`
nano harbor.yml
https:
  # https port for harbor, default is 443
  port: 443
  # The path of cert and key files for nginx
  certificate: /etc/letsencrypt/live/4204d4.duckdns.org/fullchain.pem
  private_key: /etc/letsencrypt/live/4204d4.duckdns.org/privkey.pem

Exemples de PV, PVC à partir d’un volume NFS

Voir ici

apiVersion: v1
kind: PersistentVolume
metadata:
  name: pv-nfs-node-red
spec:
  ...
  storageClassName: nfs-node-red
  nfs:
    server: esh26-mon-matricule.duckdns.org
    path: /esh26/node-red

---
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
  name: pvc-nfs-node-red
spec:
  storageClassName: nfs-node-red
  ...

Renseigner un fichier à partir d’un configMap

# ============================================================
# ConfigMap — config.yaml de Homepage
# ============================================================
apiVersion: v1
kind: ConfigMap
metadata:
  name: homepage-config
data:
  config.yaml: |
    title: Homepage
    theme: dark
    color: slate
  
    allowedHosts: homepage.esh26

Exemple d’utilisation du dépôt harbor

apiVersion: apps/v1
kind: Deployment
metadata:
  name: homepage
spec:
  replicas: 1
  selector:
    matchLabels:
      app: homepage
  template:
    metadata:
      labels:
        app: homepage
    spec:
      containers:
      - name: homepage
        image: harbor.matricule.duckdns.org/esh26/homepage:esh26

### Lancer une application multi-fichiers YAML

# kustomization.yaml
# kubectl apply -k ./
resources:
  - esh26.yaml
  - traefik-ns.yaml
  - jenkins.yaml
  - node-red.yaml
  - wordpress.yaml

PV et PVC

Dans les notes de cours, il est indiqué qu’un PVC est toujours dépendant d’un PV.

Par contre, pour un volume local il est possible d’utiliser la classe storageClassName: local-path si le service local-path à été installé.

# Installation d'un `local-path-storage`
kubectl apply -f https://raw.githubusercontent.com/rancher/local-path-provisioner/v0.0.32/deploy/local-path-storage.yaml

Liste des ressources du projet - partie 01

$ kga
NAME                              READY   STATUS    RESTARTS   AGE
pod/homepage-76fb784c47-gqspg     1/1     Running   0          24h
pod/jenkins-55b96dfc79-t9h4n      1/1     Running   0          23h
pod/mariadb-8544495789-4s4sv      1/1     Running   0          24h
pod/mattermost-69f568bcf9-rtk76   1/1     Running   0          24h
pod/node-red-68b55c5bfb-xhz65     1/1     Running   0          24h
pod/wordpress-5d9548759d-v7dh5    1/1     Running   0          24h

NAME                         TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)            AGE
service/homepage             ClusterIP   10.109.226.194   <none>        80/TCP             24h
service/kubernetes           ClusterIP   10.96.0.1        <none>        443/TCP            24h
service/mariadb-service      ClusterIP   10.100.209.86    <none>        3306/TCP           24h
service/service-jenkins      ClusterIP   10.103.139.150   <none>        80/TCP,50000/TCP   23h
service/service-mattermost   ClusterIP   10.107.102.101   <none>        8065/TCP           24h
service/service-node-red     ClusterIP   10.100.73.1      <none>        80/TCP             24h
service/wordpress-service    ClusterIP   10.104.185.125   <none>        80/TCP             24h

NAME                         READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/homepage     1/1     1            1           24h
deployment.apps/jenkins      1/1     1            1           23h
deployment.apps/mariadb      1/1     1            1           24h
deployment.apps/mattermost   1/1     1            1           24h
deployment.apps/node-red     1/1     1            1           24h
deployment.apps/wordpress    1/1     1            1           24h

NAME                                    DESIRED   CURRENT   READY   AGE
replicaset.apps/homepage-76fb784c47     1         1         1       24h
replicaset.apps/jenkins-55b96dfc79      1         1         1       23h
replicaset.apps/mariadb-8544495789      1         1         1       24h
replicaset.apps/mattermost-69f568bcf9   1         1         1       24h
replicaset.apps/node-red-68b55c5bfb     1         1         1       24h
replicaset.apps/wordpress-5d9548759d    1         1         1       24h

Étape 2 - Déployer des applications en nuage - `remise le 25 mai`

Dans un cluster `k8s` de type `auto-pilote`, sur google, nommé `tu-parles-dun-projet`

Déployer traefik
- En utilisant le nom de domaine etape-02-MATRICULE.duckdns.org, renseigner des routes vers
- Toutes les applications de la partie 02
  - Le dashboard de Traefik, protégé par un mot de passe
    - dashboard.etape-02-MATRICULE.duckdns.org
  - Démonstration d’un auto-scaling (manifeste fourni)
    - scaling.etape-02-MATRICULE.duckdns.org
  - Immich avec données stockées sur un volume NFS
    - immich.etape-02-MATRICULE.duckdns.org
- Les images n’ont pas à être installées sur votre dépôt

💡💡💡 Faire des tests en mode local avant le déploiement final sur `gcloud`. Cette section représente des coûts d’environ 8$ par jour. Idéalement, il faudrait déployer sur `gcloud` autour de la date de remise.

2.1 - Homepage - partie 2

2.2 - Le dashboard de `traefik`

Le dashboard de traefik doit être protégé par un mot de passe:

💡 Indices

Avec Traefik, on utilise le middleware BasicAuth.

htpasswd -nb admin leMotDePasseHyperSecret

apiVersion: traefik.io/v1alpha1
kind: Middleware
metadata:
  name: basic-auth
  namespace: traefik
spec:
  basicAuth:
    secret: traefik-auth-secret
---
apiVersion: v1
kind: Secret
metadata:
  name: traefik-auth-secret
  namespace: traefik
type: Opaque
stringData:
  users: "admin:$apr1$......"   # ← coller le résultat de htpasswd ici

Puis, référer au Middleware dans le fichier values.yaml de traefik

helm upgrade traefik traefik/traefik -n traefik -f values.yaml

2.3 - Démo d’un auto-scaling sur K8s

À partir du manifeste disponible –> ICI, déployer l’application de démonstration de la fonction K8s d’auto-scaling.

Ce projet permet d’expérimenter avec le scaling des pods en fonction de la demande. Le bouton Démarrer la charge va lancer un pod qui va saturer le site web. Par conséquent, le réplicatset va augmenter le nombre de pods pour maintenir le pression cpu sous 50%.

😉 Dans ce manifeste, il ne manque que la route ingress.

NOTE: 🛑 Les ressources de ce manifeste ne seront pas créées dans le namespace default. Par défaut, traefik ne voit pas les services qui sont dans un autre espace de nom que default.

💡Indice:

  kubernetesCRD:
    allowCrossNamespace: true   # ← ajouter ceci

2.4 - Immich : Librairie de photos

Il faut déployer le gestionnaire de photos Immich en utilisant un volume NFS pour le contenu.

#/etc/export
/esh26/immich  *(rw,sync,no_subtree_check,all_squash,anonuid=65534,anongid=65534,insecure)