DefectDojo项目在Kubernetes环境中的部署指南-优快云博客

本文链接：https://blog.youkuaiyun.com/gitblog_01135/article/details/148550004

DefectDojo项目在Kubernetes环境中的部署指南

django-DefectDojo ASPM, DevSecOps, Vulnerability Management. All on one platform. 项目地址: https://gitcode.com/gh_mirrors/dj/django-DefectDojo

前言

DefectDojo作为一款开源的缺陷管理平台，在Kubernetes环境中的部署能够充分发挥其可扩展性和高可用性的优势。本文将详细介绍如何在Kubernetes集群中部署和管理DefectDojo应用。

核心组件与技术选型

Helm包管理器

DefectDojo在Kubernetes中的部署采用Helm作为包管理工具。Helm Chart帮助我们：

定义复杂的Kubernetes应用架构
实现一键式安装和升级
管理应用依赖关系
支持配置参数化部署

测试支持的Kubernetes版本

DefectDojo的Kubernetes部署方案经过严格测试，支持主流Kubernetes版本，包括：

最新稳定版Kubernetes
主流云服务商（如AWS EKS）支持的最旧版本

这种版本覆盖策略确保了部署方案在大多数生产环境中的兼容性。

快速入门：本地开发环境部署

环境准备

安装Minikube（本地Kubernetes环境）
安装Helm 3.x版本
获取DefectDojo最新代码

部署步骤

启动Minikube集群：

minikube start
minikube addons enable ingress

添加Bitnami Helm仓库：

helm repo add bitnami https://charts.bitnami.com/bitnami
helm repo update

更新依赖：

helm dependency update ./helm/defectdojo

安装DefectDojo：

helm install defectdojo ./helm/defectdojo \
  --set django.ingress.enabled=true \
  --set createSecret=true \
  --set createRedisSecret=true \
  --set createPostgresqlSecret=true

访问应用

设置端口转发：

kubectl port-forward service/defectdojo-django 8080:80

获取管理员密码：

kubectl get secret defectdojo --output jsonpath='{.data.DD_ADMIN_PASSWORD}' | base64 --decode

访问地址：http://localhost:8080

高级部署配置

镜像管理策略

使用本地构建镜像：

docker build -t defectdojo/defectdojo-django -f Dockerfile.django .
docker build -t defectdojo/defectdojo-nginx -f Dockerfile.nginx .

helm install ... --set imagePullPolicy=Never

私有镜像仓库集成：

kubectl create secret docker-registry defectdojoregistrykey \
  --docker-server=<registry-server> \
  --docker-username=<name> \
  --docker-password=<password>

helm install ... \
  --set repositoryPrefix=<myregistry.com/path> \
  --set imagePullSecrets=defectdojoregistrykey

持久化存储配置

生产环境必须配置持久化存储，支持多种后端存储方案：

mediaPersistentVolume:
  enabled: true
  type: pvc
  persistentVolumeClaim:
    create: true
    size: 5Gi
    accessModes:
    - ReadWriteMany
    storageClassName: ""

关键注意事项：

确保存储后端支持指定的访问模式
多副本部署必须使用ReadWriteMany
生产环境避免使用emptyDir

生产环境部署最佳实践

高可用配置

helm install defectdojo ./helm/defectdojo \
  --namespace="defectdojo" \
  --set django.replicas=3 \
  --set celery.worker.replicas=3 \
  --set redis.replicas=3 \
  --set postgresql.replication.enabled=true \
  --set postgresql.replication.slaveReplicas=3

TLS安全配置

创建TLS证书：

kubectl create secret tls defectdojo-tls \
  --key tls.key \
  --cert tls.crt

启用Ingress TLS：

helm install ... \
  --set django.ingress.secretName="defectdojo-tls" \
  --set nginx.tls.enabled=true

监控集成

启用Prometheus监控：

helm install ... \
  --set monitoring.enabled=true \
  --set monitoring.prometheus.enabled=true

常见场景处理

升级与重新部署

常规升级：

kubectl delete job defectdojo-initializer
helm upgrade defectdojo ./helm/defectdojo

完全重新安装：

helm uninstall defectdojo
helm install defectdojo ./helm/defectdojo

外部数据库集成

创建数据库Secret：

apiVersion: v1
kind: Secret
metadata:
  name: defectdojo-postgresql-specific
stringData:
  password: <database-password>

配置values.yaml：

postgresql:
  enabled: false
  postgresServer: "external-db.example.com"
  auth:
    existingSecret: defectdojo-postgresql-specific

extraEnv:
  - name: DD_DATABASE_HOST
    value: "external-db.example.com"
  - name: DD_DATABASE_PORT
    value: "5432"

实用运维命令

查看Pod日志：
```
kubectl logs <pod-name> -f
```

进入Pod Shell：

kubectl exec -it <pod-name> -- /bin/bash

启动Django Shell：

kubectl exec -it <pod-name> -- python manage.py shell

环境清理

helm uninstall defectdojo
kubectl delete secrets defectdojo defectdojo-redis-specific defectdojo-postgresql-specific
kubectl delete pvc data-defectdojo-redis-0 data-defectdojo-postgresql-0