如何使用OPA實現多云策略和流程可移植性
OpenPolicy Agent如何允許開發人員團隊在多云和混合云環境中編寫和實施一致的策略和授權。
隨著多云戰略成為完全主流,公司和開發團隊必須弄清楚如何在云環境中創建一致的方法。多云本身無處不在:在云中的公司中,整整93%都擁有多云戰略——這意味著他們使用多個公共云供應商,如亞馬遜網絡服務、谷歌云平臺或微軟Azure。此外,87%或這些公司擁有混合云戰略,混合公共云和本地云環境。
公司遷移到云的主要原因是提高計算、存儲、網絡和數據庫功能的性能、可用性、可擴展性和成本效益。然后,組織在很大程度上采用多云策略以避免供應商鎖定。
但多云還提供了第二種誘人的可能性,即原始云原生邏輯的擴展:抽象云計算架構的能力,以便它們可以在云提供商之間自動無縫地(如果不只是快速)移植,以最大限度地提高性能、可用性和成本節省——或者至少在一個云供應商發生故障時保持正常運行時間。像Kubernetes這樣的與云無關的平臺在任何環境(無論是AWS、GCP、Azure、私有云還是其他任何環境)中都運行相同,讓我們可以一窺公司如何實現這種多云可移植性。
雖然理論上很優雅,但多云可移植性在實踐中很復雜。供應商特定功能、API和難以移植的數據湖等依賴關系使真正的應用程序和工作負載可移植性成為一個復雜的過程。在實踐中,只有當組織實現跨云環境的一致性時,多云可移植性才真正起作用并且運行良好。為此,企業需要在上述供應商、云、API等之間工作的策略抽象級別,使他們能夠輕松地跨云原生業務移植技能、人員和流程。雖然單個應用程序可能并不總是在云之間無縫移植,但組織的整體方法應該如此。
使用OPA跨云創建一致的策略和流程
開放策略代理(OPA)是一種流行的工具,正是因為它與域無關。OPA由Styra開發并捐贈給云原生計算基金會,是一種開源策略引擎,可讓開發人員團隊在整個云原生領域構建、擴展和實施一致的、上下文感知的策略和授權。由于OPA允許團隊在任意數量的環境中、任意數量的執行點(針對云基礎架構、Kubernetes、微服務API、數據庫、服務網格、應用程序授權等)編寫和執行策略,因此它允許組織采用可移植的方法跨多云和混合云環境的策略實施。
此外,作為一種策略即代碼工具,OPA使組織能夠采用公司wiki和人們頭腦中的策略,并將它們編入機器可處理的策略庫中。策略即代碼不僅可以讓組織在任意數量的云中自動執行策略,還可以向左移動并向上游注入策略,更接近跨云工作的開發團隊,以便更快地捕捉和預防安全、運營和合規風險.將OPA與Terraform和Kubernetes配對
例如,許多開發人員現在將OPA與基礎設施即代碼(IaC)工具(如Terraform和AWSCDK)結合使用。開發人員使用IaC工具對其供應商托管的云基礎架構進行聲明性更改——描述他們希望如何配置基礎架構的所需狀態,并讓Terraform確定需要進行哪些更改。然后,開發人員使用OPA(一種策略即代碼工具)編寫策略來驗證Terraform建議的更改,并在將它們應用于生產之前測試錯誤配置或其他問題。
同時,OPA可以自動批準日常基礎設施更改,以減少手動同行評審的需要(以及隨之而來的人為錯誤的可能性)。這為開發人員創建了一個重要的安全網和健全性檢查,并允許他們使用不同的配置進行無風險的試驗。雖然云基礎架構本身不能在供應商之間移植,但這種方法是設計使然。
以類似的方式,開發人員還使用OPA來控制、保護和操作Kubernetes跨云,甚至跨各種Kubernetes發行版。Kubernetes已成為部署、擴展和管理容器化應用程序隊列的標準。正如Kubernetes是可移植的一樣,您在其上運行的OPA策略也是如此。
OPA有許多Kubernetes用例。例如,一個流行的用例是使用OPA作為Kubernetes準入控制器,以確保正確部署容器,并具有適當的配置和權限。開發人員還可以使用OPA來控制Kubernetes的入口和出口決策,例如編寫禁止具有沖突主機名的入口的策略,以確保應用程序永遠不會竊取彼此的互聯網流量。對于多云云而言,最重要的或許是能夠確保跨云的每個Kubernetes分布可證明符合企業范圍的企業安全策略。
創建標準的云原生構建塊
在公司可以跨公共云無縫移植應用程序之前,他們必須首先為每個云原生環境中的開發人員創建標準構建塊。按照這些思路,開發人員不僅使用OPA來創建策略,而且還可以在CI/CD管道中自動執行安全性、合規性和操作標準。這為任何多云部署實現了可重復擴展,同時加快了開發速度并減少了手動錯誤。
OPA啟用策略即代碼意味著公司可以將Terraform等工具用于公共云,OPA用于策略,Kubernetes用于容器管理,OPA用于策略,以及任意數量的微服務API和應用程序授權工具以及OPA用于策略,同時運行這些工具在CI/CI管道或開發人員的筆記本電腦上使用相同的OPA策略。
簡而言之,組織無需浪費任何時間對應用程序進行逆向工程以實現多云可移植性。相反,他們可以專注于使用通用技能在整個云原生堆棧中構建可重復的流程。
TimHinrichs是OpenPolicyAgent項目的聯合創始人和Styra的CTO。在此之前,他共同創立了OpenStackCongress項目,并且是VMware的一名軟件工程師。在過去的18年里,Tim為云計算、軟件定義網絡、配置管理、網絡安全和訪問控制等不同領域開發了聲明式語言。他獲得了博士學位。2008年獲得斯坦福大學計算機科學博士學位。
