פרילנסר /ית להקמת תשתית DevOps מאובטחת עם Docker, Git, SSL ו־PostgreSQL

דרוש מומחה DevOps/SRE מנוסה להקמה והקשחה של תשתית עבור מערכת CRM ופורטאל מותאם אישית (Python + PostgreSQL) הרצה בתוך Docker. נדרש להעלות את התשתית לרמת Production מלאה: התקנת Docker בצורה תקינה, הפרדת סביבות (Development / Staging / Production), הגדרת Git ו־CI/CD, חיבור דומיין, הטמעת HTTPS/SSL, הקמת מערכת גיבויים ואבטחה מתקדמת.

---

משימות עיקריות

1. Docker — הקמה, התקנה והקשחה ברמת Production
- בדיקה ושיפור של Dockerfile קיימים: multi-stage builds, הקטנת images, הרצה כ־non-root.
- יצירת מבנה docker-compose מסודר:
docker-compose.dev.yml — סביבת פיתוח
docker-compose.stage.yml — סביבת בדיקות
docker-compose.prod.yml` — סביבת הפקה.
- ניהול משתני סביבה נפרדים לכל סביבה, שימוש ב־.env או במנגנון סודות.
- הקמת private Docker Registry (GitHub/GitLab/Harbor).
- תיוג אוטומטי של images, ניהול גרסאות והעלאה ל־registry.

2. Git + Git Workflow
- הגדרה מלאה של מבנה ענפים:
main` (production),
develop` (development),
- `feature/*`, `release/*`.
- הגדרת הגנות על ענפים, merge rules ו־code review חובה.
- הקמת CI/CD מלא (GitHub Actions / GitLab CI):
- בניית images בכל push;
- הרצת בדיקות;
- דיפלוי אוטומטי ל־dev/stage;
- דיפלוי ל־production עם docker-compose או Ansible לפי הצורך.

3. הפרדת סביבות — Development / Staging / Production
- הקמה מלאה של שלוש סביבות נפרדות, כולל:
- משתני סביבה ייחודיים,
- כתובות דומיין ותת־דומיין שונים,
- מסדי נתונים נפרדים या סכימות נפרדות,
- docker-compose מותאם לכל סביבה.
- הקמת Staging שמדמה Production ככל האפשר.
- הקשחת Production ברמת רשת: firewall, rate limiting, הרשאות מינימליות.

4. חיבור דומיין + התקנת SSL/TLS
- חיבור מלא של דומיין: הגדרת DNS (A/AAAA, TXT, SPF/DMARC אם נדרש).
- התקנת Nginx כ־reverse proxy וכ־SSL terminator.
- התקנת והגדרת SSL אוטומטי (Let’s Encrypt / Certbot).
- הטמעת פרמטרים מתקדמים:
- HTTPS/TLS 1.3,
- HSTS,
- Brotli/Gzip,
- OCSP Stapling,
- הגדרות אבטחה כמו CSP ו־X-Frame-Options.

5. PostgreSQL + מערכת גיבויים
- התקנה והגדרות Production של PostgreSQL:
- כיוונון ביצועים (shared_buffers, wal settings),
- הפרדה בין DBs או סכימות לפי סביבה,
- משתמשים והרשאות לכל סביבה.
- הקמת מערכת גיבויים מלאה:
- גיבוי יומי
- ארכוב WAL
- העתקה לאחסון חיצוני (S3 / Backblaze / GCS),
- בדיקות שחזור תקופתיות.
- גיבוי volumes וקבצים קריטיים של המערכת.

6. תשתית DevOps ואבטחה
- דיפלוי אוטומטי ל־dev/stage/prod עם Ansible / docker-compose.
- Zero-downtime deployment (rolling/blue-green).
- הקמת מערכת ניטור:
- Prometheus + Grafana,
- מעקב אחרי CPU/RAM/IO,
- ניטור PostgreSQL: נעילות, עומסים, תעבורת WAL.
- מערכת לוגים מרכזית:
- ELK (Elastic) או Loki + Fluentbit.
- הקשחה מלאה של השרת:
- firewall (UFW/Nftables),
- Fail2ban,
- WAF (ModSecurity / Cloudflare),
- סריקות אבטחה ל־Docker images (Trivy).

קריטריוני קבלה
1. שלוש סביבות (dev/stage/prod) פעילות, מופרדות ומבוצעות בפקודה אחת.
2. CI/CD עובד ויודע לבנות images ולבצע דיפלוי אוטומטי.
3. הדומיין מחובר, HTTPS פעיל עם SSL אוטומטי.
4. PostgreSQL מוגדר נכון, גיבויים תקינים ושחזור נבדק.
5. המערכת מנוטרת, יש דאשבורדים ו־alerts.
6. תשתית Docker ו־Nginx מוקשחת ברמת Production.

---

דרישות חובה
- ניסיון משמעותי עם Docker ו־docker-compose ב־Production.
- ידע חזק ב־Linux (Ubuntu/Rocky/CentOS).
- ניסיון בהקמת PostgreSQL ברמת Production.
- ניסיון עם Nginx, דומיינים ו־SSL.
- שליטה ב־Git ו־Git workflow.
- ניסיון ב־CI/CD (GitHub Actions / GitLab CI).
- ידע באבטחת מידע, firewall, hardening, WAF.