基礎設施即代碼 (IaC) 是一個自動化云資源供應和管理的過程。IaC 軟件采用一些描述所需狀態的輸入腳本,然后通常通過 API 與云供應商進行通信,以使現實與所需狀態相匹配。本文將涵蓋 IaC 的重要方面,首先是它是如何產生的(即它解決了哪些問題),然后是它的好處,最后是如何將 IaC 集成到您的組織中。
對 IaC 的需求
曾幾何時,當企業想要運行軟件時,唯一的選擇是從網絡提供商處訂購一些物理設備和互聯網接入。這些是現場數據中心,公司必須根據預期流量提前數周甚至數月訂購服務器和網絡設備,然后在現場手動配置。這需要一個帶有冷卻系統的物理位置和無數小時來執行安裝和維護操作。但是后來,出現了可以管理其他企業服務器的公共數據中心。
運營數據中心本身成為一項可行的業務,為客戶帶來巨大優勢:
- 無需專用且昂貴的服務器機房
- 通用服務器和網絡項目的交貨時間可能會縮短
- 由數據中心提供商處理的服務器/設備的物理管理
- 釋放寶貴的資源
虛擬化的出現帶來了另一種演變:云。在公共(或私有)云中,物理設備位于云供應商的數據中心,仍然需要人工處理。虛擬服務器可通過 Web 界面供企業使用,使他們能夠在幾秒鐘內(或最大資源的幾分鐘內)配置服務器和其他資源。在這個階段,雖然虛擬化允許非常快速的配置,但大多數操作仍然是手動的。
IaC 概念和工具的出現帶來了最終的發展。一旦可以通過 API 訪問云,資源的配置和管理就可以由腳本和自動化工具而不是人工來處理。所以現在,一旦安裝并連接了物理設備(仍然是手動操作),其他一切都可以自動化,包括所有虛擬硬件資源的配置。
以編程方式訪問公共云的能力促成了 IaC 的興起。在 IaC 出現之前,系統工程師必須手動通過 Web 界面來供應和配置資源。使用 IaC,資源的供應和配置在腳本中描述,這些腳本由與公共云 API 通信的工具讀取,以確保現實與所需狀態相匹配。
IaC 的好處
如上所述,IaC 工具使用來自腳本的輸入;這些腳本由人類編寫,描述了給定云資源的理想狀態。這些工具通過其 API 與云供應商通信以創建、更新或刪除資源,以便現實與輸入腳本中描述的所需狀態相匹配。與手動供應和配置相比,IaC 提供了單一的真實來源(輸入腳本),從而消除了大多數人為錯誤。
運行 IaC 腳本是一個可重復的操作,每次都會產生完全相同的結果。這可以在很多方面提供幫助,例如:
- 在不同位置和/或為不同項目部署相同的工作負載
- 創建單獨但相同(或接近相同)的環境(暫存、生產、測試??等)
- 通過從 IaC 腳本和生產環境的最后備份快速創建一個新的、相同的環境來執行災難恢復
IaC 腳本可以保存在 git 存儲庫中,為您提供基礎架構的歷史記錄。作為額外的好處,由于腳本只是文本,因此可以比較版本以查看已添加、更改或刪除的內容。
另一個好處是 IaC 允許初級系統管理員或非技術人員在沒有技術知識的情況下創建整個工作負載。如果您正確配置您的云帳戶,您甚至可以允許具有有限權限的用戶通過 IaC 工具創建這樣的工作負載,即使該用戶沒有直接創建資源的權限。您還可以利用額外的工具和模板來確保更早地實施安全策略,以限制實例化 IaC 堆棧的任何人造成安全漏洞和錯誤配置的可能性。
除了精確的可重復性之外,IaC 相對于手動操作的最大優勢之一是它的可擴展性。事實上,您只需編寫一次 IaC 腳本,然后工作負載就可以隨心所欲地實例化,幾乎是即時的。最后,通過花更多時間在 IaC 腳本中設計正確的權限,可以避免手動工作向角色和資源授予過多權限的典型缺點。
如何開始
通常,您希望將當前手動執行的一些操作自動化。因此,第一步是記錄構建工作負載所需基礎架構所需的手動步驟。這些是您將通過 IaC 自動化的步驟。
然后你需要選擇一個 IaC 軟件。這應該不是一個困難的選擇,因為只有少數幾個,而且三大云提供商都有自己的:Amazon Web Services 提供CloudFormation,Microsoft Azure 提供Azure Resource Manager,Google Cloud Platform 提供Google Cloud Deployment Manager。與供應商無關的最著名的選項是Terraform,它不僅支持上述三個云供應商,而且支持更多云供應商。
接下來,您需要為您選擇的 IaC 工具編寫一些腳本,以重現您記錄的手動步驟。在進行過程中測試這些通常是個好主意。換句話說:編寫一些 IaC 代碼,部署它,測試它,當你滿意它看起來不錯時,繼續下一段代碼。如果一次性編寫所有內容,代碼中可能會出現重大缺陷,只有在工作數小時后才會發現,這意味著您可能不得不重寫腳本的很大一部分。
左移
此外,Shift Left 的話題也持續上熱搜。這實質上意味著您盡早開始測試并專注于預防問題(而不是在問題發生后檢測和解決)。這個想法是整體質量和安全性將因此提高。
理想情況下,這種左移應該盡可能地利用自動化。事實上,有多種工具可用于自動化編寫 IaC 腳本的某些方面,例如安全性和合規性。這些工具會在任何部署之前掃描代碼,以減少錯誤配置、過于寬松的設置和已知漏洞等問題的發生。此處提供了一些與此相關的用例供您細讀。
需要一個集中的團隊
為了正確使用 IaC,編寫 IaC 腳本的人必須對所使用的云平臺有深入的了解。因此,建議確保您的 IaC 工作中最關鍵的部分由高級 DevOps 工程師完成。
擁有一支(或至少一名)高級 DevOps 工程師團隊負責領導您的 IaC 工作通常是個好主意。該團隊將能夠專注于最佳實踐和安全性,從而為更多初級工程師提供可遵循的藍圖。它還將能夠編寫可在組織內跨 IaC 腳本重復使用的通用模塊,為更多初級工程師提供易于使用的預先審查的構建塊。
如果嚴格的安全性很重要,并且很可能這個團隊也可以負責審查公開可用的模塊和軟件。在網上很容易找到一些 IaC 模塊;Terraform 甚至擁有這些的官方存儲庫。但是,此類公開可用的模塊可能不符合您的組織或項目中應用的安全標準。因此,確保您的 IaC 團隊只使用經過審查的模塊非常重要。
此外,讓您的 SecOps 團隊與您的 DevOps 團隊一起工作是個好主意。這種合作將使 DevOps 流程在項目早期的安全性方面得到優化。生產部署后檢測到的錯誤可能代價高昂,尤其是在客戶關系方面。在過程的早期確保高質量將大大有助于避免任何此類災難。
結論
雖然 IaC 是最近才發展起來的,但現在 IaC 應該成為任何需要云資源的組織的配置策略的重要組成部分,并且至少應該對其進行評估以包含在您的團隊中。無論您的組織規模如何,您很可能希望 IaC 至少管理您的部分工作負載。
