云计算的出现彻底改变了每个 IT 领域。不排除 IT 基础设施。管理员不得不手动配置资源并管理大型 Excel 表格中的数据的日子已经一去不复返了。在当今动态变化的网络需求下,人工维护 IT 基础设施的想法非常可怕。这就是基础设施即代码工具的用武之地。
简单地说,IaC 是关于使用代码的基础设施自动化。在 IaC 环境中,管理员编写和部署机器可读的配置文件,用于自动配置 IT 基础架构并将基础架构始终保持在所需状态。使用 IaC 配置文件,您可以自动部署网络、虚拟机、服务器、数据库等。
主要分享低代码、微服务、容器化、SAAS、系统架构方面的的内容,希望大家点赞,评论,关注。
对基础设施即代码工具的需求
最初,IT 管理员手动放置服务器,并在这些服务器上配置和部署应用程序。配置详细信息由网络团队手动存储和管理。这个过程是重复的和耗时的。此外,它需要多人来管理这项任务。最大的挑战是可扩展性,因为管理员努力设置新服务器以匹配不断变化的业务流程的速度和规模。
管理网络团队是一项额外开销。雇用和管理这个团队的成本也是一件昂贵的事情。另一个重要的问题是网络可见性。从中央窗格管理不断变化的基础架构并识别痛点是一项挑战。
通过多云和混合云部署,组织能够克服其中的一些挑战。然而,当多人处理基础设施管理服务时出现的差异很难管理。虽然他们能够使用脚本自动执行某些任务,但在所需状态下管理基础设施始终是一项挑战。借助基础架构即代码工具,管理员现在能够为源代码中的每个 IT 资源编写预定义配置,并自动化 IT 基础架构管理。
实施 IaC 的好处和理由
实施 IaC 的组织获得了显着的收益。运营效率的提高是其中的主要优势之一。由于配置文件被用作单一事实来源,因此每次都使用相同的配置部署资源。因此,它消除了由多人的多种配置引起的人为错误或差异。
其次,部署基于代码的云基础设施自动化大大提高了业务运营的速度。它使您可以按照自己的步调进行更高的扩展。从开发到测试和生产,整个产品生命周期都可以自动化,使其高效且具有成本效益。
最重要的是,IaC 工具可确保基础架构始终保持在所需状态。与所需状态的任何偏差都会立即通知相关人员。由于整个操作都存储在配置文件中,因此跟踪和审计过程很容易,从而实现合规性。
IaC 允许开发人员立即部署测试环境以检查应用程序的新功能,而测试人员可以在生产环境的副本上运行脚本。通过消除管理、供应和管理任务,组织可以节省大量资金。
什么是基础设施即代码安全?
IaC 是 DevOps 环境的一部分,其中安全性也在 CI/CD 管道中实施。然而,由于 IaC 环境在单一事实来源上运行,缺乏强大的安全控制可能会导致网络漏洞。例如,未修补的漏洞或配置错误的 IaC 模板可以使黑客获得对敏感资源的访问权限。
阅读适用于 SaaS 公司的DevOps 自动化工具,了解如何通过为基础架构选择正确的自动化工具来完全利用 DevOps 革命。
IAC 模板
IaC 模板是机器可读的定义文件,是使用代码配置和管理敏捷部署的关键。当 IaC 模板使用来自外部源的 OS 映像时,它们会无意中执行不受信任的代码,从而为黑客开辟了道路。不安全的默认配置是 IaC 模板的另一个漏洞,可以扩展到公共网络上的云基础设施。因此,您应该在初始阶段检查这些不安全配置和漏洞的模板。
秘密存储
IaC 代码包含敏感信息,例如以安全外壳密钥 (SSH)、身份验证令牌、密码等形式部署基础架构的存储和配置详细信息。当此信息存储在 doc 或文本文件或源代码管理系统中时,它可以被黑客访问。因此,建议将机密存储在保管库中并在配置文件中添加对它们的引用。
沟通渠道漏洞
当 IaC 使用主节点架构时,单个主节点管理并将配置部署到所有节点。因此,该主服务器中的漏洞可能会影响整个部署基础架构。因此,保护通信渠道是关键。
访问控制
当使用 IaC 文件自动部署时,代码可以在不需要目标环境的 root 权限的情况下进行部署。当代码被泄露时可能会很可怕。建议确保实施最小特权原则。
基础架构即代码的原则和最佳实践是什么?
为了充分利用 IaC 的优势,组织应确保 IaC 的最佳实践是在整个基础架构中设计和实施的。
版本控制系统将代码作为单一事实来源进行管理
为了使用代码有效地管理基础架构,您应该将基础架构代码视为等同于应用程序代码。因此,将所有配置代码添加到配置文件中,并通过将它们存储在版本控制系统中来使它们成为单一的事实来源。这意味着您无需登录服务器或记录过程即可无缝部署代码。代码处理一切。此外,每一项变更都会被跟踪和审计。管道中的每个人都可以在需要的地方无缝协作。
将 IaC 集成到 CI/CD 管道中
一旦基础设施配置变成代码,同样的应用程序代码过程也适用于基础设施代码。因此,将基础设施作为代码工具集成到 CI/CD 管道中。在测试自动化环境中,当基础设施发生变化时,会自动触发自动化测试。通过持续测试和持续监控,您可以确保更改是自动化且无错误的。
不可变的基础设施是关键
不可变基础架构是一种基础架构管理,其中服务器、虚拟机等 IT 资源在部署后无法修改。当需要更新时,现有实例将被新实例替换。要充分利用 Docker 容器化解决方案,请尽可能实施不可变的基础设施。您可以立即创建和部署代码,然后在您想要更新或更改配置并使用新容器时终止这些容器。它带来了整个基础架构的一致性和安全性。
微服务架构最适合 IaC
与利用微服务的应用程序代码类似,您的 IaC 也应该被分解成更小的、独立的模块化位,以便您可以通过自定义和基于角色的访问控制独立管理基础架构的不同部分,同时全面自动化整个基础架构。
基础设施即代码工具
随着组织积极拥抱 IaC 革命,市场上充斥着基础设施即代码工具。因此,为您的组织选择合适的云基础设施自动化工具是关键。让我们回顾一下 IaC 工具列表!
Terraform是 Hashicorp 提供的一种流行的基础设施开源工具,即代码编排。它由 Mitchell Hashimoto 用 Go 语言编写,支持 Windows、Linux、macOS、FreeBSD、Solaris 和 OpenBSD 平台。一致的 CLI 工作流程使您能够使用来自云 API 的声明性配置文件来管理各种云服务。
Terraform 于 2014 年推出,主要专注于 AWS,但已发展为支持多服务提供商。该工具使用平衡机器可读代码和人类友好脚本的 Hashicorp 配置语言 (HCL)。它还支持 JSON。
Terraform 提供了一组广泛的内置函数和字符串插值,使编写复杂逻辑场景变得更容易,而无需其他语言。模块可以再次重复使用,并且可以在 Git 或 Terraform 模块注册表中存储和版本控制,从而实现跨团队的无缝协作。
基础架构状态被写入文件并存储在 S3、磁盘或源代码管理中。这意味着您可以在不破坏基础架构的情况下使用资源。配置管理也很简单,使用 terraform 计划,您可以在每次运行该计划时检索基础架构的实际状态,并将其与所需的计划进行比较并恢复手动更改。
CloudFormation 是来自 IaaS 巨头 AWS 的流行云基础设施自动化工具。它使组织能够使用充当单一事实来源的模板或文本文件轻松创建、部署和管理 AWS 资源堆栈。
CloudFormation 使用 YAML 或 JSON。由于它在 AWS 基础设施上运行,您不必担心它如何存储基础设施配置。模板用于自定义 AWS 堆栈以及在多个环境中复制和部署应用程序。
更改集是一项重要功能,它使您能够在实例化模板之前检查哪些更改。Nested Stacks 是另一个重要的功能,通过在模板中封装功能逻辑、组、数据库等,您可以轻松管理复杂的堆栈。这意味着您无需在进行任何更改之前比较和检查新旧模板。
CloudFormation 来自 Amazon AWS,享有一定的优势。AWS 不断更新其功能和服务,CloudFormation 也获得这些更新。此外,AWS 不断改进 CloudFormation,这意味着用户将获得最新的功能和最好的服务。
Ansible是一种配置管理工具,可让您自动配置基础架构。在网络基础设施的早期,Linux 服务器主导了网络领域。Ansible 开始为 Linux 环境提供基础架构自动化解决方案,但现在已经发展到支持 Windows、IBM Oss、虚拟化平台、容器等。
Ansible 使用基于 Python 的 YAML 语法。它使用过程式语言来管理基础设施,其中对所需状态的逐步过程进行编码。该工具通过将相应任务与定义的主机组映射来存储所需的状态配置,并将它们存储在“播放”中。“播放”列表称为剧本。
Ansible 使用推送模式向网络中的节点传递更改指令,并立即完成部署。无代理主架构使其易于安装和使用。Ansible 从 CLI 开始,现在提供 UI。但是,用户界面仍然可以改进。与 Puppet 和其他 CM 工具相比,Ansible 社区规模较小,但提供了良好的支持。它最适合短期环境。
Puppet是一种企业级配置管理工具,使管理员能够通过代码定义所需的基础架构状态。它在具有强大接口、模块和可用操作的 CM 工具中更加健壮和流行。它是用 Ruby 编写的。Puppet 使用领域特定语言 (DSL) 通过声明式编程方法管理代码并管理 Linux 和 Windows 环境。
Puppet 使用客户端-服务器模型,其中服务器软件安装在服务器上,而每台受管机器都包含节点软件安装。它是一个模型驱动的架构。与 Ansible 相比,puppet 安装需要一些时间,并且涉及复杂的配置设置。它通过将主服务器的数据复制到另一个涉及复杂设置的服务器来提供高可扩展性和可用性。该工具使用 Puppet Forge,它存储了大约 6000 个模块。它使用拉部署模型,其中代理启动拉模式并定期检查来自主服务器的更新。
Puppet GUI 非常直观,使用户能够从中央窗格实时无缝监控和管理整个基础架构。它提供可定制的报告工具。该工具拥有一个庞大而成熟的支持社区。Puppet 在其网站上提供专门的支持和广泛的 Kbs。Puppet 提供两个版本;开源版和 Puppet 企业版。
Pulumi是一个新的多语言和多云开发平台,成立于 2017 年,正在迅速发展成为最好的基础设施即代码工具之一。Pulumi 或多或少类似于 Terraform,允许您将基础架构作为代码创建和部署到每种类型的云环境。它是开源且免费使用的,可在 Github 上获得。
要表达所需的状态,您可以使用 Go、JavaScript、C#、TypeScript、Python 等通用语言。因此,您不必创建新模块,只需使用现有模块即可。它之所以迅速流行,是因为它允许您以所需的语言编写应用程序并通过实施DevOps 最佳实践来管理基础架构。
Pulumi 支持 AWS、Azure 和 GCP 等所有云提供商以及其他云服务,并且高度灵活。该工具支持 Windows、Linux 和 OS X 环境,并带有功能强大且功能丰富的 CLI。它使用云目标模型来提供统一的编程模型。为了管理基础设施的状态和并发性,Pulumi 提供了app.pulumi.com服务。但是,它并不容易使用,而且学习曲线很短。它为 Kubernetes 提供了深入的支持。借助可重用的组件和堆栈,它使您的基础架构管理工作变得更简单。
Docker 是一个任何开发人员都不能忽视的流行名称。Docker 不是 IaC 工具。它是一种流行的容器化工具,使开发人员能够将所有库和依赖项作为一个包创建应用程序,并将它们部署在任何环境中。Docker 平台于 2011 年由 Solomon Hykes 和 Sebastian Pahl 作为 Linux 容器运行时引入,并于 2013 年作为标准容器化工具在全球流行。RedHat 于 2013 年与 Docker 合作,次年与 Microsoft、IBM、AWS 等合作。Docker 对非 Linux 平台的支持于 2016 年发布。Microsoft Hyper-V 于同年提供 Docker 原生支持。
Docker 使开发人员能够将应用程序及其依赖项和库打包到一个虚拟容器中,并将它们部署在任何目标环境中。它允许单个主机运行多个容器。
它包含3个核心组件
- 用于构建和运行容器的守护进程
- 用于促进守护进程和用户之间通信的 API
- 用于管理工具的 CLI
Docker 让开发人员可以专注于质量代码,而不用担心目标环境。同样,管理员享受 docker 的低开销和更小的占用空间。因此,组织可以专注于产品而不是基础设施的维护。
Docker 显着改进了作为 Code DevOps 环境的基础设施。您可以为 CI/CD 管道中的每个步骤启动一个容器,并在工作完成后终止无状态容器。这样,您可以管理不可变的基础架构以实现安全性和一致性。通过持续测试和持续监控,您可以确保对基础架构所做的每次更改都不会影响环境。
Docker 可确保应用程序提供一致且可靠的性能,而不受其工作的平台、操作系统或服务的影响。更快部署的能力有助于加快上市时间,同时降低成本。除了高可用性、灵活性和可扩展性之外,Docker 还带来了移动解决方案,使您能够在任何地方运行应用程序。使用隔离的应用程序环境,可以减少维护。可重复的自动化使基础设施管理更加容易。回滚也很容易。Docker 拥有巨大的社区支持。
基础设施即代码工具 | Terraform | CloudFormation | Pulumi |
语言支持 | 使用机器可读和人类可读的 Hashicorp 配置语言 | YAML 和 JSON | JavaScript、Go、Python、TypeScript、C# |
配置支持 | Terraform 配置允许从数据源获取和计算数据以在其他地方使用 | 60 个参数。可以从 SSM 或其他堆栈输出导入值 | Config 对象允许您使用 setter 和 getter 以及 grep 检索值 |
配置漂移检测 | 是的 | 是的 | 是的 |
命令行界面 | 单个命令行应用程序 | 可以开发和测试资源 | 单个命令行应用程序 |
状态管理 | 状态可以保存在 S3、Terraform 云、本地或 DynamoDB 中 | 使用堆栈 | 状态可以保存在 S3、本地或 Pulumi 服务后端 |
更换管理层 | 使用 Terraform 计划 | 使用变更集 | 使用 Pulumi 预览 |
模块支持 | 可以创建可复制的基础设施 | 允许跨堆栈和嵌套堆栈引用 | 可以创建可复制的基础设施 |
自动回滚 | 没有自动回滚 | 自动回滚 | 无法使用。必须使用 Open RFC |
多云支持 | 是的 | 不 | 是的 |
执照 | 开源 | 自由的 | 开源 |
支持 | Hashicorp 支持和大型社区 | AWS 支持和大型社区 | Pulumi 支持和良好的社区 |
基础设施即代码用例
自动化部署
IaC 工具有助于自动配置可扩展的基础设施,使组织能够自动化部署并缩短部署周期。例如,考虑一个需要针对多个云平台(如 AWS、Azure 和 GCP)进行基础架构编排的组织。该公司运营多种环境,例如 QA、Staging、生产等。基础设施应快速设置,同时包括数据库设置。
使用与云无关的 Terraform 工具,组织可以使用代码自动配置基础设施。同样,当基础设施被杀死时,它会自动触发数据备份。通过通过 Git 或 Bitbucket 等版本控制系统集成应用程序部署,您还可以自动化应用程序部署。当手动配置自动化时,它可以提高效率和速度,同时减少人为错误。
多云部署
近来,云计算有了很大的发展。如今,单个云不足以管理组织不断变化的业务需求。因此,组织正在积极拥抱多云和混合云环境。当您实施混合云时,您将某些资源放置在本地,将其他资源放置在公共云中,而有些则在私有云中进行管理。为不同的云部署配置设置既耗时又具有挑战性。
使用 IaC 工具,您可以使用 JSON 或 YAML 编写代码并使用配置文件管理基础设施。因此,使用单个资源模板或配置文件,您可以管理多个云部署。使用可重复的配置,您可以自动部署到 Azure 或 AWS,并轻松高效地管理它们。
一次性环境
当一个组织使用多个云环境进行生产、登台、QA 等工作时,管理和更新所有这些任务的基础设施可能具有挑战性。例如,如果出现问题,测试脚本存在损坏底层基础设施的风险
为了克服这一挑战,组织可以使用 CI 服务器以及 Docker 容器化解决方案来即时创建 QA、Dev 和 UAT 环境并自动测试脚本。当测试脚本通过所有测试时,您可以成功地将它们部署到生产环境并拆除测试环境。通过这样做,您可以消除配置偏差,同时确保新雇主不会破坏某些东西。
此外,配置虚拟云服务器变得容易且具有成本效益。因此,组织现在可以在为使用的资源付费的同时扩展环境。
不可变的基础设施
不可变基础架构可以定义为一旦部署就无法更改的基础架构。实施不可变的基础设施对于大规模管理基础设施的企业尤其有益。由于组织实时运行应用程序,他们无法暂停应用程序。该组织将简单地对供应基础设施进行编码并进行部署。当需要更新时,您只需杀死旧服务器,从通用映像构建一个新服务器,并在自动记录时间戳、版本等的同时进行配置。好处是您可以在需要时间时回滚旧服务器.
不可变的基础架构使组织能够无缝替换有问题的服务器,而不会干扰在其上运行的应用程序。此外,基础架构是一致的,不会显示配置漂移。通过跨组织的一致部署和自动扩展,基础架构管理变得简单有效。
新的12 要素方法论提供了 12 个开发应用程序即服务的最佳实践,其中之一也提到了不可变基础设施。当服务器被有意或错误地关闭时,不应中断应用程序进程。
安全自动化
安全自动化是 DevOps 基础架构即代码环境中的另一个关键要求。与通过 DevSecOps 将安全性集成到 CI/CD 管道中类似, IaC的安全策略和控制也集成到 CI/CD 管道中。因此,对基础架构所做的每项更改都经过安全测试,允许组织检查环境如何响应每项更改。
当基础设施作为代码进行管理时,代码应该能够访问应用程序资源来构建、测试和运行它们。无论这些秘密是在应用程序的源代码、配置文件、文本文件还是脚本中,都应该秘密地存储在安全的保险库中。否则,黑客可以访问这些敏感信息。
阅读我们的网络研讨会博客,了解适用于金融科技的完美 DevOps 工具链,以符合最佳安全标准。
灾难恢复和备份
灾难恢复和备份是管理任何类型的 IT 基础架构的关键。有多种 3 rd方工具可以帮助您轻松地从灾难中恢复。但是,恢复虚拟机还不够。您需要为虚拟机提供基础架构,以确保正确恢复应用程序。恢复 DR 工作流所有其他区域的时间是关键。这就是 Terraform 等 IaC 工具的用武之地。
Terraform 利用 IaC,允许您自动化灾难恢复工作流的所有领域,例如预置 VPC、子网、EC2 实例、安全策略等,从而实现应用程序恢复的自动化和即时性。此外,Terraform 还执行清理,以便将 DR 故障转移成本降至最低。
创建全自动多租户环境
在当今竞争激烈的商业世界中,软件提供商发现以具有成本效益的方式向多个客户交付软件解决方案具有挑战性。首先,您需要为每个客户创建一个单独的应用程序环境,这会增加您的 AWS/Azure 基础设施成本。管理多个应用程序环境将增加开销以及上市时间。另一个挑战是为每个客户使用多个代码存储库。多租户架构将解决所有这些挑战。
通过创建多租户架构,您可以为多个客户使用单个应用程序环境。一个代码库将作为单一的事实来源。它将缩短上市时间并降低开发成本。
基础设施即代码工具(例如 Terraform、CloudFormation 或 Pulumi)允许您无缝创建多租户环境。
蓝/绿部署
持续交付是当今软件开发领域的一项关键要求。为了实现更快的上市时间,组织正在快速构建产品并将其部署给客户。但是,有缺陷的版本可能会导致停机。因此,对于开发人员而言,在确保部署安全的同时匹配当前软件交付的速度和规模非常重要。蓝/绿部署是实现这一目标的流行方法。
在这种方法中,使用了两个相同的生产环境(蓝色和绿色),其中一个环境将是实时的,而另一个将用作暂存环境。最初,蓝色应用程序将在蓝色环境中运行,同一应用程序的第 2 版将被路由到绿色环境。如果运行良好,则绿色环境将上线,来自蓝色环境的流量将被路由到绿色环境。如果有任何差异,可以回滚以前的版本。因此,组织可以在不停机的情况下无缝部署应用程序。
此过程涉及不同的步骤。您需要交换应用程序、路由 DNS、更新 DNS、克隆堆栈、更新编排服务等。基础设施即代码工具使组织能够有效地管理蓝/绿部署。
主要分享低代码、微服务、容器化、SAAS、系统架构方面的的内容,希望大家点赞,评论,关注。