POLUYANOV.NET PDF резюме

Ключевой проект

Internal AI Knowledge Assistant

DevOps/SRE-кейс, в котором я спроектировал и реализовал внутреннего ИИ-ассистента знаний компании.

Проект развивался поэтапно: сначала локальный MVP в Docker Compose, затем Этап A (4 VM) и Этап B (single-node k3s). Получил опыт проектирования и автоматизации инфраструктуры: от VM-контура до Kubernetes.

Общая сервисная модель

  • Wiki.js — единый источник знаний
  • n8n — оркестратор workflow (web + worker)
  • Redis — брокер очереди для n8n
  • PostgreSQL — данные Wiki.js, состояние n8n и память диалога
  • Ollama — локальный LLM backend
  • Guard-логика: если контекст не найден, ассистент отвечает «Нет данных»

Эволюция платформы

Этап A

Terraform + Ansible + Docker Compose + Ansible Vault

  • Инфра-контур: 4 VM в Yandex Cloud (wiki edge, db, n8n, ollama)
  • Модель деплоя: Docker Compose + Ansible roles/playbooks
  • Точка входа: Nginx reverse proxy
  • Выпуск сертификатов: certbot + TLS Let’s Encrypt HTTP-01 (Ansible role edge_tls_acme)
  • Доступы: взаимодействие с n8n/wiki по HTTPS только из разрешенных allow-list CIDR
  • Админ-доступ: SSH 22 только из admin allow-list CIDR
  • Межсервисные правила: потоки между VM разрешены только по нужным направлениям (SG + firewalld), PostgreSQL дополнительно ограничен через pg_hba.conf по /32 для wiki и n8n
  • Эксплуатация: smoke checks + backup/restore + runbook-проверки
  • Секреты: Ansible Vault

Сетевая особенность: во внешний периметр выведен только edge/bastion-хост; приватные VM без public IP, прямой внешний доступ к сервисным портам закрыт, доступ к внутренним VM — только через SSH jump (ProxyJump) через bastion.

Схема инфраструктуры Этапа A

Этап B

Terraform + Ansible bootstrap + k3s + Helmfile + SOPS

  • Инфра-контур: single-node k3s в Yandex Cloud + namespaces
  • Модель деплоя: Helm/Helmfile (platform/apps слои)
  • Точка входа: Traefik ingress controller
  • Выпуск сертификатов: cert-manager + ClusterIssuer + TLS Let’s Encrypt HTTP-01
  • Доступы: взаимодействие с n8n/wiki по HTTPS только из разрешенных allow-list CIDR
  • Админ-доступ: SSH 22 и Kubernetes API 6443 только из admin allow-list CIDR
  • Сетевой контроль: NetworkPolicy default deny + explicit allow для сервисных потоков
  • Эксплуатация: bootstrap smoke + runbook/smoke проверки + backup CronJob + restore/import/model-pull jobs
  • Секреты: SOPS + encryption at rest в k3s

Сетевая особенность: zero-trust внутри кластера: baseline default deny и только явные межсервисные allow-правила, включая отдельный доступ к HTTP-01 solver-подам для выпуска/обновления TLS.

Схема инфраструктуры Этапа B

Какой инженерный опыт получил

Инфраструктура и автоматизация

Получил опыт проектирования и автоматизации инфраструктуры: от VM-контура до Kubernetes.

Сети и безопасность

Получил практический опыт с VPC, публичными и приватными подсетями, NAT, Security Groups, bastion/ProxyJump, firewalld/UFW, DNS, reverse proxy, TLS/ACME, Ingress и default-deny NetworkPolicy.

Kubernetes и системный деплой

На этапе k3s отработал namespace-изоляцию, Helmfile, cert-manager, SOPS, CronJob/Job и NetworkPolicy. Понимал ограничение single-node контура.

Публикации

Andrey172 1 ноя 2025 в 11:13

Как я уменьшил Docker-образ Go-приложения с 1.92 GB до 9 MB

DevOps * Go * Системное администрирование *

Обложка статьи про оптимизацию Docker-образа
Читать полностью

Навыки

Linux
Networks
Git
Docker
Terraform
Ansible
GitLab CI
Kubernetes
Prometheus
PostgreSQL
Redis
Python
Go

Образование

Югорский государственный университет (ЮГУ) Ханты-Мансийск

Бакалавриат • Программная инженерия • 2024-2028

Контакты