Projet PENPOT
Infrastructure Cloud DevOps
La Capsule - Formation DevOps | Janvier 2026
Contexte Client
Funky Wombat Studio - Agence de design graphique et UX/UI
- 10 designers en croissance
- Migration depuis Figma vers solution open-source
- Objectif: autonomie et maîtrise des outils
- Besoin de scalabilité future
Mission
Déployer une instance auto-hébergée de Penpot sur une plateforme Cloud avec une infrastructure complète, automatisée et sécurisée.
Livrables
- Infrastructure Cloud (staging + production)
- Déploiement automatisé (Terraform + Ansible)
- Pipeline CI/CD GitLab automatisé
- Stack de monitoring Prometheus/Grafana/Loki
Architecture Cloud GCP
Infrastructure complète avec séparation staging/production
| Composant | Technologie | Rôle |
|---|---|---|
| Réseau | VPC GCP | Isolation subnet public/privé + PSA |
| Reverse Proxy | Traefik | HTTPS + Let's Encrypt |
| Application | Docker Swarm | Frontend, Backend, Exporter (2 réplicas) |
| Base de données | Cloud SQL PostgreSQL | Stockage applicatif avec backups 7j |
| Cache | Memorystore Redis | Performances applicatives |
| Assets | AWS S3 | Designs et fichiers utilisateurs |
| Monitoring | Prometheus + Loki + Grafana | Supervision complète |
| CI/CD | GitLab + Runner GCP | Automatisation déploiements |
Pipeline CI/CD GitLab
Automatisation complète du déploiement applicatif et infrastructure
Pipeline Applicatif
- Tests unitaires automatisés (Jest)
- Tests E2E avec Playwright
- Scan sécurité Trivy (HIGH + CRITICAL)
- Analyse qualité SonarCloud
Pipeline Infrastructure
- Validation syntaxe Terraform
- Plan/Apply automatique (staging)
- Validation playbooks Ansible
- Déploiement manuel (production)
Pipeline Applicatif
Validation manuelle Production
Sécurité Multi-Couches
Approche défense en profondeur
Couche Réseau
- VPC avec subnets publics/privés séparés
- Firewall GCP Cloud restrictif
- Bastion unique pour accès SSH
- Private Service Access (PSA)
Couche Application
- HTTPS obligatoire (Let's Encrypt)
- OS Login via Google IAM
- Service Accounts moindre privilège
- Google Secret Manager
Couche CI/CD
- Scan vulnérabilités (Trivy)
- Analyse qualité (SonarCloud)
- Images Docker signées
- Déploiement validé manuellement
Monitoring & Alerting
Stack complète Prometheus + Loki + Grafana
Prometheus
Collecte métriques
Loki
Centralisation logs
Grafana
Visualisation
Node Exporter
Métriques système
Promtail
Collecte logs
Compétences Maîtrisées
Infrastructure as Code
Terraform + Ansible pour automatisation complète
Sécurité multi-couches
Réseau, application, CI/CD avec OS Login et Secret Manager
Cloud Production
GCP avec services managés et architecture staging/prod
CI/CD GitLab
Pipelines automatisés avec tests, sécurité et déploiement
Orchestration conteneurs
Docker Swarm avec haute disponibilité
Monitoring & Alerting
Prometheus + Loki + Grafana avec notifications