如何使用OPA實(shí)現(xiàn)多云策略和流程可移植性
OpenPolicy Agent如何允許開(kāi)發(fā)人員團(tuán)隊(duì)在多云和混合云環(huán)境中編寫(xiě)和實(shí)施一致的策略和授權(quán)。
隨著多云戰(zhàn)略成為完全主流,公司和開(kāi)發(fā)團(tuán)隊(duì)必須弄清楚如何在云環(huán)境中創(chuàng)建一致的方法。多云本身無(wú)處不在:在云中的公司中,整整93%都擁有多云戰(zhàn)略——這意味著他們使用多個(gè)公共云供應(yīng)商,如亞馬遜網(wǎng)絡(luò)服務(wù)、谷歌云平臺(tái)或微軟Azure。此外,87%或這些公司擁有混合云戰(zhàn)略,混合公共云和本地云環(huán)境。
公司遷移到云的主要原因是提高計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)功能的性能、可用性、可擴(kuò)展性和成本效益。然后,組織在很大程度上采用多云策略以避免供應(yīng)商鎖定。
但多云還提供了第二種誘人的可能性,即原始云原生邏輯的擴(kuò)展:抽象云計(jì)算架構(gòu)的能力,以便它們可以在云提供商之間自動(dòng)無(wú)縫地(如果不只是快速)移植,以最大限度地提高性能、可用性和成本節(jié)省——或者至少在一個(gè)云供應(yīng)商發(fā)生故障時(shí)保持正常運(yùn)行時(shí)間。像Kubernetes這樣的與云無(wú)關(guān)的平臺(tái)在任何環(huán)境(無(wú)論是AWS、GCP、Azure、私有云還是其他任何環(huán)境)中都運(yùn)行相同,讓我們可以一窺公司如何實(shí)現(xiàn)這種多云可移植性。
雖然理論上很優(yōu)雅,但多云可移植性在實(shí)踐中很復(fù)雜。供應(yīng)商特定功能、API和難以移植的數(shù)據(jù)湖等依賴關(guān)系使真正的應(yīng)用程序和工作負(fù)載可移植性成為一個(gè)復(fù)雜的過(guò)程。在實(shí)踐中,只有當(dāng)組織實(shí)現(xiàn)跨云環(huán)境的一致性時(shí),多云可移植性才真正起作用并且運(yùn)行良好。為此,企業(yè)需要在上述供應(yīng)商、云、API等之間工作的策略抽象級(jí)別,使他們能夠輕松地跨云原生業(yè)務(wù)移植技能、人員和流程。雖然單個(gè)應(yīng)用程序可能并不總是在云之間無(wú)縫移植,但組織的整體方法應(yīng)該如此。
使用OPA跨云創(chuàng)建一致的策略和流程
開(kāi)放策略代理(OPA)是一種流行的工具,正是因?yàn)樗c域無(wú)關(guān)。OPA由Styra開(kāi)發(fā)并捐贈(zèng)給云原生計(jì)算基金會(huì),是一種開(kāi)源策略引擎,可讓開(kāi)發(fā)人員團(tuán)隊(duì)在整個(gè)云原生領(lǐng)域構(gòu)建、擴(kuò)展和實(shí)施一致的、上下文感知的策略和授權(quán)。由于OPA允許團(tuán)隊(duì)在任意數(shù)量的環(huán)境中、任意數(shù)量的執(zhí)行點(diǎn)(針對(duì)云基礎(chǔ)架構(gòu)、Kubernetes、微服務(wù)API、數(shù)據(jù)庫(kù)、服務(wù)網(wǎng)格、應(yīng)用程序授權(quán)等)編寫(xiě)和執(zhí)行策略,因此它允許組織采用可移植的方法跨多云和混合云環(huán)境的策略實(shí)施。
此外,作為一種策略即代碼工具,OPA使組織能夠采用公司wiki和人們頭腦中的策略,并將它們編入機(jī)器可處理的策略庫(kù)中。策略即代碼不僅可以讓組織在任意數(shù)量的云中自動(dòng)執(zhí)行策略,還可以向左移動(dòng)并向上游注入策略,更接近跨云工作的開(kāi)發(fā)團(tuán)隊(duì),以便更快地捕捉和預(yù)防安全、運(yùn)營(yíng)和合規(guī)風(fēng)險(xiǎn).將OPA與Terraform和Kubernetes配對(duì)
例如,許多開(kāi)發(fā)人員現(xiàn)在將OPA與基礎(chǔ)設(shè)施即代碼(IaC)工具(如Terraform和AWSCDK)結(jié)合使用。開(kāi)發(fā)人員使用IaC工具對(duì)其供應(yīng)商托管的云基礎(chǔ)架構(gòu)進(jìn)行聲明性更改——描述他們希望如何配置基礎(chǔ)架構(gòu)的所需狀態(tài),并讓Terraform確定需要進(jìn)行哪些更改。然后,開(kāi)發(fā)人員使用OPA(一種策略即代碼工具)編寫(xiě)策略來(lái)驗(yàn)證Terraform建議的更改,并在將它們應(yīng)用于生產(chǎn)之前測(cè)試錯(cuò)誤配置或其他問(wèn)題。
同時(shí),OPA可以自動(dòng)批準(zhǔn)日常基礎(chǔ)設(shè)施更改,以減少手動(dòng)同行評(píng)審的需要(以及隨之而來(lái)的人為錯(cuò)誤的可能性)。這為開(kāi)發(fā)人員創(chuàng)建了一個(gè)重要的安全網(wǎng)和健全性檢查,并允許他們使用不同的配置進(jìn)行無(wú)風(fēng)險(xiǎn)的試驗(yàn)。雖然云基礎(chǔ)架構(gòu)本身不能在供應(yīng)商之間移植,但這種方法是設(shè)計(jì)使然。
以類似的方式,開(kāi)發(fā)人員還使用OPA來(lái)控制、保護(hù)和操作Kubernetes跨云,甚至跨各種Kubernetes發(fā)行版。Kubernetes已成為部署、擴(kuò)展和管理容器化應(yīng)用程序隊(duì)列的標(biāo)準(zhǔn)。正如Kubernetes是可移植的一樣,您在其上運(yùn)行的OPA策略也是如此。
OPA有許多Kubernetes用例。例如,一個(gè)流行的用例是使用OPA作為Kubernetes準(zhǔn)入控制器,以確保正確部署容器,并具有適當(dāng)?shù)呐渲煤蜋?quán)限。開(kāi)發(fā)人員還可以使用OPA來(lái)控制Kubernetes的入口和出口決策,例如編寫(xiě)禁止具有沖突主機(jī)名的入口的策略,以確保應(yīng)用程序永遠(yuǎn)不會(huì)竊取彼此的互聯(lián)網(wǎng)流量。對(duì)于多云云而言,最重要的或許是能夠確保跨云的每個(gè)Kubernetes分布可證明符合企業(yè)范圍的企業(yè)安全策略。
創(chuàng)建標(biāo)準(zhǔn)的云原生構(gòu)建塊
在公司可以跨公共云無(wú)縫移植應(yīng)用程序之前,他們必須首先為每個(gè)云原生環(huán)境中的開(kāi)發(fā)人員創(chuàng)建標(biāo)準(zhǔn)構(gòu)建塊。按照這些思路,開(kāi)發(fā)人員不僅使用OPA來(lái)創(chuàng)建策略,而且還可以在CI/CD管道中自動(dòng)執(zhí)行安全性、合規(guī)性和操作標(biāo)準(zhǔn)。這為任何多云部署實(shí)現(xiàn)了可重復(fù)擴(kuò)展,同時(shí)加快了開(kāi)發(fā)速度并減少了手動(dòng)錯(cuò)誤。
OPA啟用策略即代碼意味著公司可以將Terraform等工具用于公共云,OPA用于策略,Kubernetes用于容器管理,OPA用于策略,以及任意數(shù)量的微服務(wù)API和應(yīng)用程序授權(quán)工具以及OPA用于策略,同時(shí)運(yùn)行這些工具在CI/CI管道或開(kāi)發(fā)人員的筆記本電腦上使用相同的OPA策略。
簡(jiǎn)而言之,組織無(wú)需浪費(fèi)任何時(shí)間對(duì)應(yīng)用程序進(jìn)行逆向工程以實(shí)現(xiàn)多云可移植性。相反,他們可以專注于使用通用技能在整個(gè)云原生堆棧中構(gòu)建可重復(fù)的流程。
TimHinrichs是OpenPolicyAgent項(xiàng)目的聯(lián)合創(chuàng)始人和Styra的CTO。在此之前,他共同創(chuàng)立了OpenStackCongress項(xiàng)目,并且是VMware的一名軟件工程師。在過(guò)去的18年里,Tim為云計(jì)算、軟件定義網(wǎng)絡(luò)、配置管理、網(wǎng)絡(luò)安全和訪問(wèn)控制等不同領(lǐng)域開(kāi)發(fā)了聲明式語(yǔ)言。他獲得了博士學(xué)位。2008年獲得斯坦福大學(xué)計(jì)算機(jī)科學(xué)博士學(xué)位。
