Yandex Cloud Infrastructure

Идеи

• Первым делом поднимается гитлаб, вручную (полностью рукотворный сервис)
  LetsEncrypt можно настроить в самом gitlab (в дистрибутив входит certbot)
  Сервер торчит в интернет, сделаны необходимые настройки безопасноти
  Нужно настроить почту, чтобы гитлаб мог отправять письма (bsight.pro - почта на яндексе)
  ~5500р/мес
• Пользователи будут заводиться в гитлабе
  Через Gitlab Auth будет прокидываться доступ в остальные системы
  Нужен 2FA, так как безопасность гитлаба становится сильно важной
  + наличие 2FA запретит использовать креды учеток для приложений
  Наличие пользователя в определенной группе с определенной ролью дает ему доступы к определенным системам с определенными правами
  Поэтому группы в гитлабе должны подчиняться неким правилам
• ВПН-сервер разворачивается через IaC из гитлаба
  Должен быть web-ui в который пользователь залогинится через gitlab-auth и сможет настроить себе клиент сам
  Доступ к vpn-ui выдается через добавление gitlab-пользователя в группу vpn
  То есть любой овнер группы vpn в гитлабе сможет выдавать доступ к веб-интерфейсу ВПНа нужным пользователям, а те в свою очередь смогут залогиниться туда и получить конфиг для клиента