Крипто-казино
Torrent Gear
Як казино використовує контейнеризацію (Docker, Kubernetes)
Навіщо казино контейнеризація
Онлайн-казино - це десятки доменів (гаманець, ставки, бонуси, каса, KYC/AML, RG, звітність, інтеграції з провайдерами). Контейнери дають:- Швидкі релізи та ізоляцію залежностей. Один образ → однакове середовище в dev/stage/prod.
- Горизонтальне масштабування. Автоскейлінг по навантаженню ставок/стрімів.
- Надійність. Самозцілення подів, rollout/rollback без простою.
- Мультирегіон. Кластери по юрисдикціях для data residency і latency.
Опорна архітектура
Шари:- Images & Registry: стандартизовані базові образи (alpine-based), внутрішній registry з політиками підпису/сканування.
- CI/CD: збірка → тести → SAST/DAST → підписування → push → деплою через GitOps/Helm/Argo CD.
- Orchestration: Kubernetes як єдиний план управління. Namespaces по доменах/оточеннях.
- Service Mesh (опціонально): mTLS, policy, retries, circuit-breaking (Istio/Linkerd).
- Data Plane: керовані БД (Postgres, ClickHouse, Redis), об'єктне сховище (S3), черги (Kafka/NATS).
- Edge: API-шлюз/ingress, WAF/бот-захист, rate limits, geo-фільтри.
- Observability: Prometheus/Grafana, Loki/ELK, OpenTelemetry traces, алёрты.
Контейнеризація доменів платформи
Wallet/Ledger (критично-консистентне ядро): поди з фіксованим CPU/mem, PDB (PodDisruptionBudget), пріоритетні класи,'maxUnavailable = 0'для StatefulSet; сувора політика rollout (blue-green).
Gaming API/Bridge до провайдерів: stateless-сервіси, горизонтальний HPA по RPS/latency, readiness на зовнішніх залежностях.
Bonus/Promo/Comms: асинхронні воркери з чергами; скейл по довжині черги.
Cashier/PSP/Crypto-on/off-ramp: окремий namespace, мережеві політики, mTLS; таймаути/ретраї на рівні mesh.
KYC/AML/KYT: відокремлені поди з обмеженим доступом до PII; node pools з дисковим шифруванням.
Live/Streaming Edge: WebRTC/LL-HLS гейтвеї; вузли в регіональних кластерах з DSCP/UDP-friendly мережами.
Reporting/ETL/DWH: batch-джоби в k8s CronJob, ресурси через'requests/limits', пріоритет низький.
Образи та Dockerfile: Практика
Мінімізуйте поверхню атаки: multi-stage build, non-root user, `distroless`/alpine.
Фіксуйте версії залежностей і'CMD '/' ENTRYPOINT'як «контракт».
Кешуйте шари (lock-файли).
Вмикайте healthcheck (на рівні k8s -'readiness '/' liveness').
Приклад (Node. js, multi-stage, non-root):dockerfile build
FROM node:20-alpine AS build
WORKDIR /app
COPY package. json./
RUN npm ci --only=production
COPY..
RUN npm run build
run
FROM gcr. io/distroless/nodejs20
WORKDIR /app
COPY --from=build /app/dist./dist
COPY --from=build /app/node_modules./node_modules
USER 10001
ENV NODE_ENV=production
CMD ["dist/server. js"]Kubernetes деплою і безпека
Deployment/StatefulSet: стратегій два - RollingUpdate (за замовчуванням) для stateless, Blue-Green/Canary для критичних сервісів (гаманець/леджер).
Probes: «readiness» перевіряє зовнішні залежності (БД/кеш/провайдер), «liveness» - сам процес.
NetworkPolicy: за замовчуванням deny-all; відкривайте вихідні/вхідні тільки при необхідності.
Secrets: External Secrets + KMS/HSM; ротація ключів (JWT'kid'), обмеження на доступ по RBAC.
Pod Security: non-root, без привілеїв, readonly-rootfs, seccomp, AppArmor.
ResourceQuotas/LimitRanges: гарантуйте SLO ядру грошей, відокремлюйте «галасливі» воркери.
OPA/Gatekeeper: політики «забороняти деплою» без probes/ресурсів/labels.
CI/CD, GitOps і стратегії релізів
Pipeline: build → unit/integration → security scan (SAST/DAST) → SBOM → підписування (cosign) → push → Argo CD синк.
Canary/Blue-Green:- Blue-Green для леджера/гаманця (перемикання через ingress/VS).
- Canary для фронтових API (1-5% трафіку, метрики помилок/латентності як «стоп-сигнал»).
- Міграції БД: shadow tables/expand-migrate-contract, міграції «вперед-сумісні».
- Feature Flags: прогін фіч по сегментах трафіку/регіонів.
Автоскейлінг і продуктивність
HPA/VPA: HPA по RPS/latency/CPU, VPA - для воркерів ETL і аналітики.
Cluster-Autoscaler: окремі node-pools: CPU-інтенсивні (bridge/API), memory-heavy (ETL), мережеві (WebRTC).
PDB/Pod Priority: захищайте критичні поди від евіктів.
Кешування: локальний sidecar Redis-proxy, загальний Redis-кластер; invalidate щодо подій.
Cold-start: прогрійте JIT/конект-пули на старті (init-контейнери).
Stateful-сервіси та дані
БД (Postgres/ClickHouse): не запихайте прод-БД всередину кластера без гострої необхідності. Віддайте перевагу керованим сервісам або окремим кластерам з Patroni/Operator, PV на'ssd'з шифруванням.
Транзакційне ядро: строге RPO/RTO, синхронні репліки по AZ; фізичні бекапи + PITR.
Кеші (Redis): кластерний режим, збереження RDB/AOF тільки при необхідності; для сесій - TTL і sticky-less дизайн.
Черги/шини: Kafka/NATS - оператори під k8s з окремими дисковими пулами; ліміти сполук і квотування.
Live-провайдери та стримінг в контейнерах
WebRTC шлюзи як DaemonSet/Deployment на вузлах з оптимізованим стеком (eBPF/UDP tuning).
Edge-кластера по регіонах (ближче до гравців) + централізований контроль через GitOps.
QoS метрики: RTT сигналів ставок, dropped frames, аборти раундів; автоскейл по навантаженню і деградації FPS/bitrate.
Мережеві політики: UDP-порти whitelisting, DSCP, обмеження міжрегіонального трафіку.
Спостережуваність і SRE
Метрики SLI/SLO: latency p95 гаманця/ставки, error-rate, round-settle-time, payout-SLA, черга подій.
Трасування: 'traceId'наскрізний (ingress → API → гаманець → провайдер → webhook).
Логи: структуровані, кореляція по'playerId/betId/roundId'.
Алерти: бюджети помилок (канареечний реліз стопиться сам), спрацьовування по зростанню VOID/RET RY, деградації HPA.
Runbooks: чіткі інструкції з інцидентів (відвал провайдера, розсинхрон леджера, каскадні рестарти).
Комплаєнс та ізоляція
Namespaces по юрисдикціях (EU/UK/CA/...); різні кластери для резидентності даних.
Сегрегація PII/платіжних доменів: окремі VPC/peering, обмежені egress.
Скан вразливостей: на рівні образів і рантайму (admission-контролери), політика «тільки підписані образи».
Аудит-логи незмінні (WORM/S3 Object Lock), експорт звітів регулятору.
Вартість та ефективність
Розділяйте production-ядро (фіксовані ресурси) і еластичні ворклоади (автоскейл/спотові вузли).
Requests/limits з науки: уникайте CPU-throttling для latency-критичних сервісів.
Right-sizing: VPA рекомендації + профілювання.
Spot-пули для ETL/аналітики (тільки при коректних PDB і толерантності до переривання).
Анти-патерни
Деплою без readiness/liveness і без обмежень ресурсів.
Один загальний namespace і «плоска» мережа без NetworkPolicy.
Катастрофічний RollingUpdate гаманця з'maxUnavailable> 0'.
Зберігання секретів в змінних оточення без шифрування і ротацій.
Змішування OLTP/OLAP на одній БД, міграції «в лоб» під час піку.
Відсутність GitOps: «ручні правки» в проді, дрейф маніфестів.
Ігнорування'idempotencyKey'у воркерах → дублі транзакцій при ретраях.
Чек-лист впровадження
Базис
- Єдині базові образи, сигнатури і політика оновлень.
- Приватний registry + скан вразливостей, тільки підписані образи.
- GitOps (Argo CD/Flux), Helm/Kustomize, одне джерело правди.
Kubernetes
- Namespaces по доменах/регіонах; NetworkPolicy «deny-all за замовчуванням».
- Probes, PDB, пріоритети, HPA/VPA, Cluster-Autoscaler.
- RBAC за принципом мінімально необхідного, PodSecurity/PSA enforced.
Дані
- Керовані БД або окремі кластери з операторами; шифрування дисків, PITR.
- Розділення OLTP/OLAP, CDC в DWH, об'єктне сховище логів.
Безпека та комплаєнс
- mTLS/mesh, KMS/HSM, ротація JWT/ключів, audit-trail (WORM).
- Сегрегація PII/платежів, egress-контроль, гео-ізоляція.
Спостережуваність
- SLI/SLO, алерти, error-budgets; наскрізні трасування і кореляція.
- Дашборди QoS live-стрімінгу і ставок.
Релізи
- Blue-Green для ядра грошей, Canary для API; міграції «expand-contract».
- Feature-flags, відкати без даунтайму.
Контейнеризація в iGaming - це не тільки «зручно деплоїти». Це дисципліна: повторювані образи, GitOps, ізоляція доменів, сувора мережа, спостережуваність і безпечні релізи. З такою платформою казино:
- швидше підключає провайдерів і платежі, витримує піки live-навантажень, дотримується вимог регуляторів за даними, і передбачувано масштабується без ризику для гаманця і леджера.