Forem: Mohammad Anang

Building a Zero-Trust Golang Backend (Part 3): Deploying to GKE with Strict Security Context ☸️🚀

Mohammad Anang — Sun, 12 Apr 2026 02:10:00 +0000

Inilah tahap puncak dari seri DevSecOps kita. Di Part 1 kita telah membuat aplikasi Golang yang aman, dan di Part 2 kita menyusun pipeline CI/CD. Sekarang, saatnya aplikasi ini hidup di lingkungan production!

Repositori penuh: 👉 mohammadanang/secure-doc-api

Untuk orkestrasi, kita menggunakan Google Kubernetes Engine (GKE) Autopilot. Mode ini luar biasa karena Google yang mengelola infrastruktur node-nya, memungkinkan kita fokus murni pada Pod dan keamanannya.

Manifest Deployment: Mengunci Pod dari Dalam

Container yang ramping saja tidak cukup. Kita harus memberi tahu Kubernetes untuk membatasi ruang gerak container tersebut. Inilah fungsi blok securityContext.


apiVersion: apps/v1
kind: Deployment
metadata:
  name: secure-api-deployment
spec:
  replicas: 3 # High Availability
  selector:
    matchLabels:
      app: secure-doc-api
  template:
    # ...
    spec:
      securityContext:
        runAsNonRoot: true
        runAsUser: 65532 # User spesifik dari Distroless
      containers:
      - name: secure-api
        image: us-central1-docker.pkg.dev/PROJECT_ID/REPO/IMAGE:latest
        ports:
        - containerPort: 8080
        securityContext:
          allowPrivilegeEscalation: false
          readOnlyRootFilesystem: true # Kunci Zero-Trust!
          capabilities:
            drop: ["ALL"]

Kenapa readOnlyRootFilesystem itu penting?

Bahkan jika penyerang menemukan kelemahan RCE (Remote Code Execution) pada aplikasi, mereka tidak akan bisa mengunduh skrip berbahaya, membuat file konfigurasi palsu, atau menulis malware. Seluruh filesystem dikunci secara read-only.

Eksekusi Pipeline (Otomatisasi Penuh)

Pada cloudbuild.yaml, kita memerintahkan Cloud Build untuk men-deploy image yang baru saja dibuat:


  - name: 'gcr.io/cloud-builders/kubectl'
    args: 
      - 'set'
      - 'image'
      - 'deployment/secure-api-deployment'
      - 'secure-api=$_REGION-docker.pkg.dev/$PROJECT_ID/$_REPO_NAME/$_IMAGE_NAME:$COMMIT_SHA'

Dengan menggunakan tag $COMMIT_SHA (dari GitHub), kita mengimplementasikan konsep Immutable Infrastructure. Kita selalu tahu persis kode mana yang sedang berjalan di production, membuat rollback menjadi sangat mudah.

Kesimpulan

Membangun infrastruktur Zero-Trust di Cloud memang membutuhkan setup yang lebih panjang di awal. Namun, hasil akhirnya adalah sistem yang mampu memvalidasi dirinya sendiri, aman secara default, dan scalable.

Terima kasih telah mengikuti seri tutorial ini! Jika Anda memiliki pertanyaan atau pengalaman seputar Kubernetes Security, mari berdiskusi di kolom komentar.

Building a Zero-Trust Golang Backend (Part 2): CI/CD, Dependency Drift & GCP IAM ⚙️🔒

Mohammad Anang — Fri, 10 Apr 2026 02:05:00 +0000

Selamat datang kembali di seri pembangunan Secure Doc API! Jika Anda melewatkan Bagian 1 tentang Distroless Container, Anda bisa membacanya di sini.

Seluruh kode referensi tersedia di: 👉 mohammadanang/secure-doc-api

Sekarang kita memiliki aplikasi yang aman. Tantangan berikutnya adalah: bagaimana memindahkan kode tersebut dari GitHub ke server secara otomatis, tanpa meloloskan kode yang rentan? Jawabannya adalah Shift-Left Security menggunakan Google Cloud Build dan Artifact Registry.

Shift-Left Security dengan Gosec

Kita akan menyisipkan gosec (Golang Security Checker) di tahap paling awal pipeline. Jika gosec menemukan celah, pipeline akan gagal dan image tidak akan pernah dibuat.

Namun, di tahap ini saya menemukan pelajaran berharga tentang Dependency Drift. Awalnya saya menggunakan tag @latest untuk instalasi gosec. Tiba-tiba pipeline hancur karena versi terbaru gosec meminta Golang 1.25, sedangkan saya menggunakan 1.24!

Solusinya? Version Pinning.


# cloudbuild.yaml (Step 1)
steps:
  - name: 'golang:1.24'
    entrypoint: 'bash'
    args:
      - '-c'
      - |
        echo "Menginstal Gosec (Version Pinned)..."
        go install github.com/securego/gosec/v2/cmd/gosec@v2.22.0

        /go/bin/gosec -no-fail -fmt=text -out=results.txt ./...
        cat results.txt

IAM Roles: Jebakan Batman di Google Cloud

Google Cloud menerapkan prinsip Least Privilege secara default. Artinya, pipeline kita awalnya sama sekali tidak bisa menulis log, mengunggah image ke Artifact Registry, atau men-deploy ke Kubernetes.
Kita harus mengatur Service Account di Cloud Shell secara eksplisit:


# Memberikan izin untuk menulis Log
gcloud projects add-iam-policy-binding $PROJECT_ID \
    --member="serviceAccount:$SA_EMAIL" \
    --role="roles/logging.logWriter"

# Memberikan izin untuk push image ke Artifact Registry
gcloud projects add-iam-policy-binding $PROJECT_ID \
    --member="serviceAccount:$SA_EMAIL" \
    --role="roles/artifactregistry.writer"

Setelah izin beres, pipeline berjalan mulus, image Docker dibungkus, dan Artifact Registry secara otomatis memindai kerentanan OS layer-nya!

Di Bagian 3 (Terakhir), kita akan membahas deployment akhir ke GKE Autopilot dengan Security Context tingkat lanjut. Jangan lewatkan!

Building a Zero-Trust Golang Backend (Part 1): Secure Coding & Distroless Containers 🛡️📦

Mohammad Anang — Wed, 08 Apr 2026 02:00:00 +0000

Keamanan seringkali dianaktirikan demi kecepatan rilis. Dalam seri tutorial 3 bagian ini, kita akan membalik paradigma tersebut. Kita akan membangun Secure Doc API, sebuah layanan backend Golang yang dirancang dengan arsitektur Zero-Trust menggunakan ekosistem Google Cloud Platform (GCP).

Anda dapat melihat kode sumber lengkap proyek ini di repositori GitHub saya:
👉 mohammadanang/secure-doc-api

Pada Bagian 1 ini, kita akan fokus pada level aplikasi: menulis kode Go 1.24 yang siap produksi dan membungkusnya dalam container yang memiliki permukaan serangan (attack surface) nyaris nol.

Graceful Shutdown di Golang

Aplikasi Cloud-Native harus siap dimatikan kapan saja oleh Kubernetes (misalnya saat proses scaling). Oleh karena itu, kita tidak bisa hanya menggunakan http.ListenAndServe. Kita perlu menangkap sinyal interupsi OS dan memastikan semua request yang sedang berjalan diselesaikan terlebih dahulu.


// cmd/server/main.go (Cuplikan)
// ... setup mux dan server ...

go func() {
    log.Println("Starting secure server on port 8080...")
    if err := server.ListenAndServe(); err != nil && err != http.ErrServerClosed {
        log.Fatalf("Server failed to start: %v\n", err)
    }
}()

// Menunggu sinyal OS
quit := make(chan os.Signal, 1)
signal.Notify(quit, syscall.SIGINT, syscall.SIGTERM)
<-quit

// Graceful shutdown dengan timeout 5 detik
ctx, cancel := context.WithTimeout(context.Background(), 5*time.Second)
defer cancel()
server.Shutdown(ctx)

The Art of Distroless Containers

Banyak developer masih men-deploy aplikasi menggunakan image seperti alpine atau debian. Masalahnya, image ini membawa shell (/bin/sh). Jika hacker menembus aplikasi, mereka memiliki tools untuk mengeksekusi malware.
Kita akan menggunakan teknik Multi-stage build yang diakhiri dengan Google Distroless Image.


# Stage 1: Builder (Go 1.24)
FROM golang:1.24-alpine AS builder
WORKDIR /app
COPY . .
# Build binary statis
RUN CGO_ENABLED=0 GOOS=linux go build -ldflags="-w -s" -o secure-api ./cmd/server/main.go

# Stage 2: Final (Distroless)
FROM gcr.io/distroless/static:nonroot
WORKDIR /
COPY --from=builder /app/secure-api .

# Paksa berjalan sebagai user non-root (ID 65532)
USER 65532:65532
EXPOSE 8080
ENTRYPOINT ["/secure-api"]

Hasilnya adalah image Docker berukuran sangat kecil (~20MB) yang tidak memiliki shell sama sekali.
Di Bagian 2, kita akan membangun pipeline CI/CD di Google Cloud Build untuk mengotomatiskan security scan (SAST) dan mendiskusikan masalah Dependency Drift. Sampai jumpa di artikel selanjutnya!

Bagaimana cara menggunakan PostgreSQL tanpa melakukan instalasi?

Mohammad Anang — Thu, 07 Mar 2024 14:56:50 +0000

Salah satu database SQL yang cukup populer saat ini adalah PostgreSQL. Didukung perkembangan bahasa pemrograman yang cukup tinggi, baik ragam dan jenisnya, penggunaan berbagai macam database mendapatkan pengaruh juga. Hal ini menuntut para software developer untuk dapat menggunakannya. Bersamaan dengan itu, tuntutan untuk melakukan instalasi juga harus dikerjakan.

Keberadaan docker menjadi opsi anti ribet untuk melakukan instalasi serta menggunakannya. Sehingga bekal yang harus dimiliki oleh para developer cukup docker saja di lokal komputer masing-masing. Spesifik akan dibahas seputar cara menjalankan PostgreSQL pada docker, berikut tools yang mendukung untuk menggunakannya sebagai software developer.

Persiapan awal

Pada tahap ini perlu dipastikan untuk memiliki pengetahuan terkait docker, khususnya docker compose, dikarenakan akan terdapat code/script yang membutuhkan pengalaman di dalamnya. Termasuk tools yang akan direkomendasikan akan berupa aplikasi yang dijalankan menggunakan docker dan yang ada di luar dan memerlukan instalasi tersendiri tanpa docker. Berikut tahapan-tahapannya:

Membuat direktori aplikasi untuk mengelola code yang selanjutnya akan memudahkan proses menjalankan PostgreSQL.

mkdir <direktori-projek> && cd <direktori-projek>

Membuat file docker compose dengan nama docker-compose.yaml seperti berikut:

version: '3.8'

services:
  pgsql:
    container_name: pgsql-app
    image: 'postgres:latest'
    ports:
      - '${DB_PORT:-5432}:5432'
    environment:
      POSTGRES_DB: '${DB_NAME}'
      POSTGRES_USER: '${DB_USER}'
      POSTGRES_PASSWORD: '${DB_PASSWORD}'
    volumes:
      - './data:/var/lib/postgresql/data'
    restart: always

Susunan code tersebut memiliki acuan pada situs docker hub berdasarkan image (postgres) yang akan digunakan. Penggunaan options dijelaskan detail pada halaman masing-masing image.

Menambahkan file env untuk mengisikan value yang akan digunakan pada saat menjalankan docker compose. Lalu menyesuaikan isi berupa value-value berdasarkan kebutuhan yang diperlukan.

(Opsional) Menggunakan adminer sebagai database tools untuk melakukn query dan transaksi lainnya terkait PostgreSQL. Pada file docker compose perlu ditambahkan service tambahan untuk adminer di bawah postgres seperti berikut:

  adminer:
    container_name: adminer-app
    image: adminer
    ports:
      - '${ADMINER_PORT:-8000}:8080'
    restart: always
    depends_on:
      - pgsql

Menjalankan perintah docker untuk menjalankan PostgreSQL dan adminer yang telah diatur sebelumnya dengan perintah:

docker-compose up -d

Memastikan service-service telah berjalan sesuai dengan pengaturan di dalam file docker compose dengan perintah:

docker ps

Untuk memberhentikan service yang telah dijalankan menggunakan perintah berikut:

docker-compose down

Uji lapangan

Setelah menjalankan perintah docker, dapat dipastikan bahwa PostgreSQL dan adminer dapat digunakan di lokal komputer. adminer dapat diakses melalui browser di sini dengan port menyesuaikan pada file .env. Menyesuaikan juga value-value yang diisikan ke dalam form berdasarkan pada file .env. Berikut hasil capture dari penggunaannya di browser:

Lalu query dan transaksi database lainnya dapat dilakukan melalui halaman adminer tersebut. Termasuk membuat table, menambahkan record ke dalam table, menghapus record dari dalam table, dan lainnya. Berikut tampilan beberapa proses transaksi database yang dapat dilakukan:

Membuat sebuah table dengan nama user beserta kolom-kolomnya.

Hasil table-nya akan menjadi seperti berikut:

Terdapat tools lain yang dapat digunakan untuk melakukan manajemen database yaitu Dbeaver. Diperlukan untuk melakukan instalasi di lokal komputer sebelumnya. Dbeaver lebih nyaman digunakan dan user friendly karena lebih lengkap fiturnya. Selebihnya masih terdapat banyak tools lain untuk dapat melakukan manajemen database. Yang disebutkan pada tulisan ini adalah yang pernah digunakan.
Berikut penampakan konfigurasi pada Dbeaver yang selanjutnya transaksi database dapat dilakukan. Jangan lupa untuk menyesuaikan value-value berdasarkan file .env.

Penutup

Selain dikenal lebih stabil dikalangan database SQL, tidak sulit juga dalam penggunaannya untuk PostgreSQL. Jika sebelumnya pernah menggunakan MySQL, Oracle, seharusnya tidak akan kesulitan dalam penggunaan PostgreSQL. Source code terkait artikel kali ini dapat dicek di sini. Selanjutnya dapat diteruskan pada saat kebutuhan sebuah aplikasi untuk keperluan database SQL. Sekian.

Credits:
Image cover by Rodion Kutsaiev on Unsplash.

Support me on:
saweria

Bagaimana melakukan push Docker image ke private container registry secara gratis?

Mohammad Anang — Thu, 29 Feb 2024 05:12:34 +0000

Penggunaan container service pada saat proses deployment untuk kebutuhan production menjadi ketergantungan yang lumayan tinggi. Sejalan dengan kepentingan tersebut, container registry menjadi gerbang awal sebelum menjalankan sebuah container. Dia digunakan untuk menyimpan image yang sudah di-compile, selanjutnya dapat digunakan untuk dijalankan menjadi container service di server production.

Umumnya penyedia layanan container registry tidak sulit ditemukan, salah satunya di situs docker official. Namun di sana memiliki keterbatasan pada akses untuk repository yang berbentuk private, yaitu 1 kuota saja. Sedangkan pada repository yang bersifat public tidak ada keterbatasan kuota. Ketentuan tersebut berlaku bagi pengguna yang tidak berbayar atau gratis. Sehingga dibagikan di sini alternatif lain untuk mendapatkan repository yang lebih leluasa, baik public maupun private. Yaitu menggunakan GitLab container registry, yang memiliki bentuk akses sesuai dengan repository yang telah dibuat. Jika repository berupa private, maka akses pada container registry juga berbentuk private. Begitu pula sebaliknya.

Persiapan & Langkah-langkah

Untuk memulai membuat container registry di GitLab dapat dipersiapkan sebuah aplikasi yang ingin dilakukan deployment ke server. Pada kasus ini diberikan contoh sederhana membuat REST API menggunakan nodejs dengan framework nestjs. Agar lebih singkat aplikasi yang digunakan dilakukan generate dari nestjs CLI. Berikut dijelaskan langkah-langkah pembuatan aplikasi hingga ke proses akhir menjadi container registry di GitLab repository.

Melakukan generate untuk membuat aplikasi REST API via terminal. (Pada kasus ini digunakan nodejs versi 18) Ketik dan jalankan untuk melakukan instalasi nestjs pada library global lokal.

npm i -g @nestjs/cli

Membuat direktori aplikasi dengan menjalankan perintah berikut.

nest new <project-name>

Membuat Dockerfile yang selanjutnya akan menjadi image untuk diteruskan ke container registry. Cuplikannya seperti berikut:

Membuat repository di GitLab untuk menyimpan source code aplikasi yang telah dibuat, sekaligus menjadi repository untuk container registry.

Melakukan push/upload ke GitLab repository.

Melakukan build/compile aplikasi berdasarkan Dockerfile yang telah dibuat. Nama image diharuskan menyesuaikan pada halaman container registry di repository GitLab.

Memastikan login ke GitLab container registry dengan perintah:

docker login registry.gitlab.com

Menjalankan docker container di lokal komputer dengan perintah:

docker run --rm -p -d 3000:3000 <image-name>

Memastikan aplikasi berjalan sesuai di browser atau Postman.

Setelah berbentuk image, perlu dilakukan push/upload ke container registry di repository GitLab yang sebelumnya telah dibuat.

Pada server yang ditujukan atau di lokal komputer, docker image pada GitLab container registry dapat dilakukan download/pull dengan perintah:

docker pull <image-name>

Langkah akhir dapat dijalankan docker image yang telah diunduh/di-download dengan perintah:

docker run --rm -p -d 3000:3000 <image-name>

Akhir Kata

Source code lengkap dapat dilihat pada link ini. Sekian.

Credits:
Image cover by Tri Eptaroka Mardiana on Unsplash.

Support me on:
saweria

Bagaimana cara menggunakan MongoDB tanpa melakukan instalasi?

Mohammad Anang — Fri, 14 Oct 2022 22:34:06 +0000

Pernahkah merasa sulit dan repot saat dipaksa beradaptasi dengan integrasi baru di suatu aplikasi atau projek? Misalnya penerapan database jenis baru yang menggunakan mongodb. Mungkin kebanyakan developer pemula atau junior developer yang sering meresakannya. Penyebabnya tidak lain karena minimnya tingkat pengalaman terkait tools tersebut. Ribetnya adalah instalasi tools di lokal komputer kita, sebagai perangkat yang digunakan untuk berperang dalam proses pengerjaan aplikasi.

Dipercaya kehadiran docker di sini menjadi salah satu solusi untuk memudahkan di bagian instalasinya, baik pada tahap development maupun deployment. Cukup satu perintah saja banyak tools yang dibutuhkan dapat dilakukan instalasinya. Lebih tepatnya memaksimalkan penggunaan docker compose yang menjadi salah satu fitur penting di dalam docker.

Kesempatan kali ini akan dibahas proses melakukan containerize mongodb, dengan bonus database client tools. Sehingga memudahkan kita untuk tidak membuka atau melakukan instalasi aplikasi database client yang kompatibel untuk mongodb. Faktanya pilihan melakukan dockerize terhadap database tidak terlalu urgent. Namun menjadi penting saat aplikasi kita memerlukan banyak sekali integrasi tools. Mungkin saja keperluan dalam proses caching, message broker dan lainnya.

Persiapan awal

Agar lebih dimudahkan terkait pemahaman proses containerize mongodb dan client tools-nya, akan diberikan contoh aplikasi yang melakukan koneksi terhadap database. Dalam kasus ini aplikasi ditulis menggunakan nodejs dengan simpel proses query terhadap mongodb.

Disclaimer:
Aplikasi dan tools lain tidak termasuk ke dalam proses dockerize.

Kebutuhan library:

Berikut potongan code yang akan diimplementasikan menggunakan docker container dari mongodb:

const express = require('express');
const mongoose = require('mongoose');
const dotenv = require('dotenv');
const Todo = require('./todo');

dotenv.config();

const app = express();

const PORT = parseInt(process.env.PORT) || 3000;
const DB_HOST = process.env.DB_HOST;
const DB_PORT = process.env.DB_PORT;
const DB_USER = process.env.DB_USER;
const DB_PASSWORD = process.env.DB_PASSWORD;
const DB_NAME = process.env.DB_NAME;
const DB_URI = `mongodb://${DB_USER}:${DB_PASSWORD}@${DB_HOST}:${DB_PORT}/${DB_NAME}`;

app.use(express.json());

app.get('/todo', async (_req, res) => {
  const allTodos = await Todo.find();
  return res.status(200).json(allTodos);
});

app.post('/todo', async (req, res) => {
  const newTodo = new Todo({ ...req.body });
  const created = await newTodo.save();
  return res.status(201).json(created);
});

const start = async () => {
  try {
    await mongoose.connect(DB_URI);
    app.listen(PORT, () => console.log('Server started on port 3000'));
  } catch (error) {
    console.error(error);
    process.exit(1);
  }
};

start();

Projek ini membuat aplikasi todo list, menggunakan framework expressjs dan mongoose library. Hanya dibuat 2 endpoints yaitu, list data todo dan tambah data todo. Konfigurasi value yang digunakan pada database dan aplikasi disimpan di dalam file .env. Berikut susunan isi di dalam file .env:

PORT=3000

DB_NAME=domingo_db
DB_USER=domingo_user
DB_PASSWORD=domingo_pass
DB_PORT=27020
DB_HOST=localhost

Selain digunakan di dalam aplikasi, file .env ini digunakan juga saat build & run pada docker. Khusus konfigurasi mongodb membutuhkan file javascript untuk inisialisasi database user, database password & database name. Berikut file javascript yang dibutuhkan sebagai inisialisasi mongodb:

db.createUser({
  user: 'domingo_user',        // disesuaikan dengan value di file .env => DB_USER
  pwd: 'domingo_pass',         // disesuaikan dengan value di file .env => DB_PASSWORD
  roles: [
    {
      role: 'readWrite',
      db: 'domingo_db',        // disesuaikan dengan value di file .env => DB_NAME
    },
  ],
});

Dockerize mongodb & Client Tools

Selanjutnya membuat file docker-compose.yaml pada directory root projek. Untuk aplikasi di sini tidak disertakan proses dockerize-nya, sehingga untuk melakukan running aplikasi menggunakan perintah di nodejs. Berikut potongan code untuk melakukan dockerize:

version: '3.8'

services:
  mongodb:
    image: mongo:6.0
    container_name: mongodb-domingo
    environment:
      MONGO_INITDB_DATABASE: '${DB_NAME}'
      MONGO_INITDB_ROOT_USERNAME: '${DB_USER}'
      MONGO_INITDB_ROOT_PASSWORD: '${DB_PASSWORD}'
    volumes:
      - ./init-mongo.js:/docker-entrypoint-initdb.d/init-mongo.js:ro
      - mongo_vol:/data/db
    ports:
      - ${DB_PORT:-27017}:27017
    networks:
      - domingo
    healthcheck:
      test: echo 'db.runCommand("ping").ok | mongo localhost:27017/test --quiet'
      interval: 1m
      timeout: 10s
      retries: 3
    restart: always

  mongo-express:
    image: mongo-express
    container_name: mongo-express-domingo
    restart: always
    environment:
      ME_CONFIG_MONGODB_SERVER: mongodb-domingo
      ME_CONFIG_MONGODB_AUTH_DATABASE: '${DB_NAME}'
      ME_CONFIG_MONGODB_AUTH_USERNAME: '${DB_USER}'
      ME_CONFIG_MONGODB_AUTH_PASSWORD: '${DB_PASSWORD}'
    ports:
      - 8081:8081
    networks:
      - domingo
    depends_on:
      - mongodb

networks:
  domingo:
    driver: bridge
volumes:
  mongo_vol:
    driver: local

Image docker mongodb yang digunakan adalah mongo:6.0. Sedangkan Image docker mongodb client tools (mongo-express) menggunakan mongo-express. Di dalam file docker-compose.yaml sudah menggunakan env value secara otomatis, karena default-nya membaca value jika ada file .env pada direktori yang sama.

Perintah yang digunakan untuk menjalankan proses dockerize adalah docker-compose up -d. Otomatis akan melakukan download sekaligus build dan menjalankannya. Untuk mematikan running proses docker adalah docker-compose down. Disarankan untuk mempunyai pengetahuan basic terkait docker, sehingga dapat memahami dan melakukan handle terhadap proses docker.

Melakukan test menggunakan postman

Sebelum melakukan pengetesan, pastikan docker container telah dijalankan dan aplikasi todo-nya. Pastikan mongodb client tools berhasil dijalankan dengan mengaksesnya melalui browser seperti berikut:

Untuk hasil test dari get list todo di postman sebagai berikut:

Untuk hasil test dari tambah data todo di postman seperti berikut:

Selanjutnya penggunaan docker bergantung berdasarkan improvisasi masing-masing sesuai kebutuhan. Untuk source code lengkapnya bisa dicek di sini. Sekian.

Credits:
Image cover by Rubaitul Azad on Unsplash.

Support me on:
saweria