【51CTO.com快譯】用戶采用Cloud Custodian能夠編寫(xiě)簡(jiǎn)單的YAML策略，以創(chuàng)建管理良好的云計(jì)算基礎(chǔ)設(shè)施。

在當(dāng)今不斷擴(kuò)展的云計(jì)算基礎(chǔ)設(shè)施中，很難管理所有資源都合規(guī)。而企業(yè)都有一組需要遵循的策略，用于檢測(cè)違規(guī)行為并對(duì)其云計(jì)算資源使用采取補(bǔ)救措施。這通常是通過(guò)編寫(xiě)多個(gè)自定義腳本并使用一些第三方工具和集成來(lái)完成的。許多開(kāi)發(fā)團(tuán)隊(duì)都知道管理和編寫(xiě)自定義腳本并跟蹤這些腳本有多么困難。但他們可以利用Cloud Custodian DSL策略輕松管理云計(jì)算資源。

什么是云治理?

云治理是一個(gè)框架，它定義了開(kāi)發(fā)人員如何創(chuàng)建策略來(lái)控制成本、最小化安全風(fēng)險(xiǎn)、提高效率以及加速部署。

提供治理即代碼的工具有哪些?

(1)AWS Config

AWS Config主要記錄和監(jiān)控AWS資源的所有配置數(shù)據(jù)，可以構(gòu)建規(guī)則來(lái)幫助強(qiáng)制執(zhí)行使用的合規(guī)性。比如設(shè)置多賬戶和多區(qū)域選項(xiàng)。它還提供了一些可以使用的預(yù)定義AWS托管規(guī)則，或者用戶可以自己編寫(xiě)自定義規(guī)則。還可以根據(jù)匹配情況采取補(bǔ)救措施。對(duì)于自定義策略，需要編寫(xiě)自己的lambda函數(shù)來(lái)執(zhí)行操作。

但是，用戶可以使用Cloud Custodian設(shè)置AWS Config規(guī)則和使用c7n-org支持多賬戶和多區(qū)域的自定義規(guī)則。此外，它還可以自動(dòng)配置AWS lambda函數(shù)。

(2)Azure政策

Azure政策跨Azure資源實(shí)施組織標(biāo)準(zhǔn)。它提供了一個(gè)聚合視圖來(lái)評(píng)估環(huán)境的整體狀態(tài)，并且能夠深入到每個(gè)資源、每個(gè)策略的粒度(例如，用戶只能創(chuàng)建A和B系列虛擬機(jī))。用戶可以打開(kāi)內(nèi)置策略或?yàn)樗匈Y源創(chuàng)建自定義策略。它還可以對(duì)不合規(guī)的資源采取自動(dòng)修復(fù)措施。

Azure政策在部署上構(gòu)建自定義驗(yàn)證層以防止偏離客戶定義的規(guī)則時(shí)可靠且高效。Cloud Custodian和Azure政策在合規(guī)性實(shí)施方面可以完成的場(chǎng)景有很大的重疊。在查看用戶的要求時(shí)，建議首先確定可以通過(guò)Azure政策實(shí)施的要求。然后可以使用Custodian來(lái)實(shí)現(xiàn)其余的要求。Custodian還經(jīng)常用于向Azure政策涵蓋的要求添加第二層保護(hù)或緩解措施。這樣就可以確保正確配置策略。

到目前為止，已經(jīng)看到了什么是云治理以及市場(chǎng)上可用的工具是什么。以下了解一下Cloud Custodian可以在云治理方面提供什么。

什么是Cloud Custodian?

Cloud Custodian是一個(gè)CNCF沙盒項(xiàng)目，用于實(shí)時(shí)管理公共云資源。它幫助用戶以代碼的形式編寫(xiě)治理，就像以代碼的形式編寫(xiě)基礎(chǔ)設(shè)施一樣。它檢測(cè)非投訴資源并采取措施對(duì)其進(jìn)行補(bǔ)救。Cloud Custodian也是一個(gè)云原生工具。它可以與多個(gè)云計(jì)算提供商(AWS、Azure、GCP等)一起使用。

用戶可以使用Cloud Custodian，如下所示：

• 合規(guī)性和安全性即代碼：可以將簡(jiǎn)單的YAML DSL策略編寫(xiě)作為代碼。
• 節(jié)約成本：刪除不需要的資源，并實(shí)施開(kāi)/關(guān)時(shí)間政策可以節(jié)約成本。
• 運(yùn)營(yíng)效率：通過(guò)添加治理即代碼，它減少了在云中安全創(chuàng)新的摩擦，并提高了開(kāi)發(fā)人員的效率。

它是如何工作的?

當(dāng)運(yùn)行Cloud Custodian命令時(shí)，根據(jù)云計(jì)算提供商的不同情況，將資源、過(guò)濾器、操作作為輸入，并轉(zhuǎn)換為云計(jì)算提供商API調(diào)用(例如AWS Boto3 API)。無(wú)需擔(dān)心自定義腳本或AWS CLI命令。用戶可以獲得清晰易讀的策略以及Cloud Custodian中內(nèi)置的許多常見(jiàn)過(guò)濾器和操作。如果需要自定義過(guò)濾器，總是可以使用JMESPath來(lái)編寫(xiě)過(guò)濾器。

在某些情況下，可能需要定期或根據(jù)某些事件運(yùn)行政策。為此Cloud Custodian自動(dòng)預(yù)配lambda函數(shù)和CloudWatch事件規(guī)則。CloudWatch事件規(guī)則可以安排(每10分鐘)或觸發(fā)以響應(yīng)CloudTrail、EC2實(shí)例狀態(tài)事件等的API調(diào)用。

如何安裝和設(shè)置Cloud Custodian?

可以簡(jiǎn)單地使用Python的pip命令安裝Cloud Custodian：

python3 -m venv custodian 
source custodian/bin/activate 
pip install c7n       # This includes AWS support 
pip install c7n_azure # Install Azure package 
pip install c7n_gcp   # Install GCP Package 

使用 Cloud Custodian Docker 映像

docker run  -it \ 
  -v $(pwd)/output:/opt/custodian/output \ 
  -v $(pwd)/policy.yml:/opt/custodian/policy.yml \ 
  --env-file <(env | grep "^AWS\|^AZURE\|^GOOGLE|^KUBECONFIG") \ 
     cloudcustodian/c7n run -v --cache-period 0 -s /opt/custodian/output /opt/custodian/policy.yml 

注：ACCESS和SECRET KEY、DEFAULT_REGION和KUBECONFIG是從ENV變量中獲取的，用戶應(yīng)該有權(quán)訪問(wèn)在策略YAML文件中定義的所需IAM角色和策略。另一種選擇是在容器內(nèi)掛載文件/目錄。

Cloud Custodian policy.yaml解釋

Cloud Custodian有一個(gè)簡(jiǎn)單的YAML文件，其中包括資源、過(guò)濾器和操作：

• 資源：Custodian能夠針對(duì)多個(gè)云計(jì)算提供商(AWS、GCP、Azure)，每個(gè)提供商都有自己的資源類型(例如ec2、s3存儲(chǔ)桶)。
• 過(guò)濾器：過(guò)濾器是Custodian中針對(duì)特定資源子集的方式。它可以基于某些日期、標(biāo)簽等，可以使用JMESPath表達(dá)式編寫(xiě)自定義過(guò)濾器。
• 操作：操作是對(duì)與過(guò)濾器匹配的資源做出的實(shí)際決定。這一操作可以很簡(jiǎn)單，例如向所有者發(fā)送報(bào)告，說(shuō)明資源與云治理規(guī)則不匹配或刪除資源。

操作和過(guò)濾器都可以結(jié)合任意多的規(guī)則來(lái)很好地表達(dá)需求。

- name: first-policy 
  resource: name-of-cloud-resource 
  description: Description of policy 
    filters: 
      - (some filter that will select a subset of resource) 
      - (more filters) 
    actions: 
      - (an action to trigger on filtered resource) 
      - (more actions) 

Cloud Custodian的示例策略

盡管官方文檔涵蓋了大部分AWS策略示例，但還是挑選了一些策略，用戶可以使用這些策略來(lái)節(jié)省成本和合規(guī)。

(1)ebs-snapshots-month-old.yml

組織面臨的最常見(jiàn)問(wèn)題之一是刪除舊的AMI、快照和卷的復(fù)雜性，這些舊的AMI、快照和卷在環(huán)境中存在1年多并且增加了更多的費(fèi)用。最終，必須編寫(xiě)多個(gè)自定義腳本來(lái)處理這種情況。

以下是刪除超過(guò)30天的快照的簡(jiǎn)單策略：

policies: 
  - name: ebs-snapshots-month-old 
    resource: ebs-snapshot 
    filters: 
      - type: age 
        days: 30 
        op: ge 
    actions: 
      - delete 

以下是如何運(yùn)行Cloud Custodian策略的示例。

custodian run -v -s /tmp/output /tmp/ebs-snapshots-month-old.yml 

每次運(yùn)行Custodian命令時(shí)，它都會(huì)在通過(guò)-s選項(xiàng)(例如，

/tmp/output/ebs-snapshot-month-old/custodian-run.log)傳遞的policies.name輸出目錄中創(chuàng)建/附加文件)

• custodian-run.log：所有控制臺(tái)日志都存儲(chǔ)在這里。
• resources.json：過(guò)濾的資源列表。
• metadata.json：關(guān)于過(guò)濾資源的元數(shù)據(jù)。
• action-*：已采取行動(dòng)的資源列表。
• $HOME/.cache/cloud-custodian.cache：所有云API調(diào)用結(jié)果都緩存在這里。默認(rèn)值為15分鐘。

要獲得過(guò)濾的資源報(bào)告，可以運(yùn)行以下命令。在默認(rèn)情況下，它提供CSV格式的報(bào)告，但可以通過(guò)傳遞–format json來(lái)更改它。

custodian report -s /tmp/output/ --format csv ebs-snapshots-month-old.yml 

(2)only-approved-ami.yml

停止運(yùn)行與可信AMI列表不匹配的EC2。

policies: 
- name: only-approved-ami 
  resource: ec2 
  comment: | 
    Stop running EC2 instances that are using invalid AMIs 
  filters: 
    - "State.Name": running 
    - type: value 
      key: ImageId 
      op: not-in 
      value: 
          - ami-04db49c0fb2215364   # Amazon Linux 2 AMI (HVM) 
          - ami-06a0b4e3b7eb7a300  # Red Hat Enterprise Linux 8 (HVM) 
          - ami-0b3acf3edf2397475    # SUSE Linux Enterprise Server 15 SP2 (HVM) 
          - ami-0c1a7f89451184c8b   # Ubuntu Server 20.04 LTS (HVM) 
  actions: 
    - stop 

(3)Security-group-check.yml

當(dāng)開(kāi)發(fā)人員在創(chuàng)建POC虛擬機(jī)時(shí)傾向于允許SSH上的所有流量，或者在測(cè)試期間，有時(shí)允許端口22訪問(wèn)所有端口，但忘記刪除該規(guī)則時(shí)，將會(huì)看到一個(gè)更常見(jiàn)的問(wèn)題。以下的策略可以通過(guò)自動(dòng)從所有組中刪除SSH訪問(wèn)，并僅向安全組添加網(wǎng)絡(luò)IP來(lái)解決這些問(wèn)題。

policies: 
  - name: sg-remove-permission 
    resource: security-group 
    filters: 
       - or: 
             - type: ingress 
               IpProtocol: "-1" 
               Ports: [22] 
               Cidr: "0.0.0.0/0" 
             - type: ingress 
               IpProtocol: "-1" 
               Ports: [22] 
               CidrV6: "::/0" 
    actions: 
      - type: set-permissions 
        remove-ingress: matched 
        add-ingress: 
          - IpPermissions: 
            - IpProtocol: TCP 
              FromPort: 22 
              ToPort: 22 
              IpRanges: 
                - Description: VPN1 Access 
                  CidrIp: "10.10.0.0/16" 

支持Kubernetes資源

現(xiàn)在可以管理Kubernetes資源，如部署、pod、DaemonSet和卷。以下是可以使用Cloud Custodian編寫(xiě)的一些示例策略。

• 刪除POC和未標(biāo)記的資源。
• 更新k8資源的標(biāo)簽和補(bǔ)丁。
• 根據(jù)調(diào)查結(jié)果調(diào)用Webhook。

kubernetes-delete-poc-resource.yml   
policies: 
  - name: delete-poc-namespace 
    resource: k8s.namespace 
    filters: 
    - type: value 
      key: 'metadata.name' 
      op: regex 
      value: '^.*poc.*$' 
    actions: 
      - delete 
 
  - name: delete-poc-deployments 
    resource: k8s.deployment 
    filters: 
    - type: value 
      key: 'metadata.name' 
      op: regex 
      value: '^.*poc.*$' 
    actions: 
      - delete 

注意：Cloud Custodian Kubernetes資源仍在開(kāi)發(fā)中。

可以稱為Cloud Custodian的模式類型有哪些?

• pull：默認(rèn)方法可以人工運(yùn)行。首選在CI/CD工具cron中添加它。
• 定期：根據(jù)策略配置云計(jì)算資源(例如，帶有CloudWatch cron的AWS Lambda)并按計(jì)劃執(zhí)行。
• 根據(jù)云計(jì)算提供商的自定義模式：在事件匹配時(shí)執(zhí)行。

將Cloud Custodian與Jenkins CI集成

為簡(jiǎn)單起見(jiàn)，使用Cloud Custodian docker映像并將憑據(jù)作為環(huán)境變量注入。

注：機(jī)密文件應(yīng)該有大寫(xiě)和默認(rèn)區(qū)域的密鑰。對(duì)于Kubernetes，應(yīng)該將KUBE CONFIG文件裝入容器中。

export AWS_ACCESS_KEY_ID=<YOUR_AWS_ACCESS_KEY> 
export AWS_SECRET_ACCESS_KEY=<YOUR_AWS_SECRET_ACCESS_KEY> 
export AWS_DEFAULT_REGION=<YOUR_DEFAULT_REGION> 
 
pipeline{ 
    agent{ label 'worker1'} 
    stages{ 
        stage('cloudcustodian-non-prod'){ 
            steps{ 
                dir("non-prod"){ 
                    withCredentials([file(credentialsId: 'secretfile', variable: 'var_secretfile')]) 
                    { 
                    sh ''' 
                    source $var_secretfile  > /dev/null 2>&1 
                    env | grep "^AWS\\|^AZURE\\|^GOOGLE\\|^KUBECONFIG" > envfile 
 
                    for files in $(ls | egrep '.yml|.yaml') 
                    do 
                        docker run --rm -t \ 
                        -v $(pwd)/output:/opt/custodian/output \ 
                        -v $(pwd):/opt/custodian/ \ 
                        --env-file envfile \ 
                        cloudcustodian/c7n run -v  -s /opt/custodian/output /opt/custodian/$files 
                    done 
                    ''' 
                    } 
                } 
            } 
        } 
        stage("cloudcustodian-prod"){ 
            steps{ 
                dir("prod"){ 
                    withCredentials([file(credentialsId: 'secretfile', variable: 'var_secretfile')]) 
                    { 
                    sh ''' 
                    source $var_secretfile  > /dev/null 2>&1 
                    env | grep "^AWS\\|^AZURE\\|^GOOGLE\\|^KUBECONFIG" > envfile 
 
                    for files in $(ls | egrep '.yml|.yaml') 
                    do 
                        docker run --rm -t \ 
                        -v $(pwd)/output:/opt/custodian/output \ 
                        -v $(pwd):/opt/custodian/ \ 
                        --env-file envfile \ 
                        cloudcustodian/c7n run -v -s /opt/custodian/output /opt/custodian/$files 
                    done 
                    ''' 
                    } 
                } 
            } 
        } 
    } 
} 

Jenkins控制臺(tái)輸出：

工具和功能

Cloud Custodian擁有許多由社區(qū)開(kāi)發(fā)的附加工具。

(1)多區(qū)域和多賬戶支持

可以使用c7n-org插件來(lái)配置多個(gè)AWS、AZURE、GCP帳戶并并行運(yùn)行它們。Flag–regionall可用于跨所有區(qū)域運(yùn)行相同的策略。

(2)通知

c7n-mailer插件為警報(bào)通知提供了很大的靈活性，可以使用Webhook、電子郵件、隊(duì)列服務(wù)、Datadog、Slack和Splunk來(lái)發(fā)出警報(bào)。

(3)自動(dòng)資源標(biāo)記

c7n_trailcreator腳本將處理CloudTrail記錄以創(chuàng)建資源及其創(chuàng)建者的SQLite DB，然后使用該SQLite DB用其創(chuàng)建者的姓名標(biāo)記資源。

(4)記錄和報(bào)告

它提供JSON和CSV格式的報(bào)告。還可以在云原生日志記錄中收集這些指標(biāo)，并生成漂亮的儀表板。將日志存儲(chǔ)在本地、S3或Cloudwatch上。一致的日志記錄格式可以輕松地對(duì)策略進(jìn)行故障排除。

(5)Custodian試運(yùn)行

在試運(yùn)行中，策略的操作部分被忽略。它顯示了哪些資源將受到政策的影響。在運(yùn)行實(shí)際代碼之前先進(jìn)行試運(yùn)行始終是最佳實(shí)踐。

(6)Custodian緩存

當(dāng)執(zhí)行任何策略時(shí)，它會(huì)從云中獲取數(shù)據(jù)并將其存儲(chǔ)在本地15分鐘。緩存用于最小化API調(diào)用，可以使用–cache-period0選項(xiàng)設(shè)置緩存。

(7)編輯器集成

它可以與Visual Studio Code集成以進(jìn)行自動(dòng)編譯和建議。

(8)Custodian模式

可以使用custodian schema命令來(lái)找出Cloud Custodian中可用的資源、操作和過(guò)濾器的類型。

custodian schema    #Shows all resource available in custodian 
custodian schema aws    #Shows aws resource available in custodian 
custodian schema aws.ec2     #Shows aws ec2 action and filters 
custodian schema aws.ec2.actions     #Shows aws ec2 actions only 
custodian schema aws.ec2.actions.stop    #Shows ec2 stop sample policy and schema 

Cloud Custodian如何優(yōu)于其他工具?

• 跨多個(gè)云平臺(tái)和Kubernetes編寫(xiě)策略的簡(jiǎn)單性和一致性。
• 使用c7n-org的多賬戶和多區(qū)域支持。
• 使用c7n-mailer支持廣泛的通知渠道。
• Custodian的Terraform提供程序支持針對(duì)Terraform IaaC模塊編寫(xiě)和評(píng)估Custodian策略。
• Custodian與AWS配置深度集成。它可以部署config支持的任何配置規(guī)則。此外，它還可以為AWS自定義配置策略自動(dòng)配置AWS Lambda。
• 如果需要，可以在Python中實(shí)施自定義策略，因?yàn)樗С指鶕?jù)云計(jì)算提供商SDK的所有規(guī)則。
• Cloud Custodian是一個(gè)開(kāi)源的CNCF沙盒項(xiàng)目。

Cloud Custodian限制

• 無(wú)默認(rèn)儀表板(支持AWS原生儀表板，但也可以將指標(biāo)輸出發(fā)送到Elasticsearch/Grafana等，并創(chuàng)建儀表板)。
• Cloud Custodian無(wú)法阻止自定義層驗(yàn)證預(yù)部署。它只能定期運(yùn)行或基于某些事件運(yùn)行。
• Cloud Custodian沒(méi)有任何內(nèi)置策略。用戶需要自己編寫(xiě)所有策略。但是，它有很多很好的示例策略(AWS、Azure、GCP)，可以用作參考。

結(jié)論

Cloud Custodian能夠?qū)⒁?guī)則和補(bǔ)救措施定義為一項(xiàng)策略，以促進(jìn)管理良好的云計(jì)算基礎(chǔ)設(shè)施，還可以使用它來(lái)編寫(xiě)管理Kubernetes資源(如部署、pod等)的策略。與其他基于云的治理工具相比，它提供了一個(gè)非常簡(jiǎn)單的DSL來(lái)編寫(xiě)策略及其跨云平臺(tái)的一致性。這樣Custodian就減少了在云中安全創(chuàng)新的摩擦，并提高了效率。

用戶可以使用Cloud Custodian通過(guò)實(shí)施非工作時(shí)間和清理策略來(lái)優(yōu)化云成本。它還包括許多插件，如多賬戶/區(qū)域支持、廣泛的通知工具(Slack、SMTP、SQS、Datadog、Webhooks)等。

原文標(biāo)題：Implementing Cloud Governance as a Code Using Cloud Custodian，作者：Alok Maurya

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】