云的主要吸引力是便利性,然而正是这种便利性让开发人员,尤其是那些为银行这样的大型监管机构工作的开发人员感到困惑。当一家公司进军云端时,开发人员通常一开始就编写一次性脚本来解决安全和合规性问题,但在这个过程中,他们发现这种方法很难审计、监控和操作。而这只是开始。如果一家公司开始认真考虑将云原生,那么这种“一次性”很快就会达到数千个。
这是Kapil Thangavelu在Capital One碰到的问题,这个问题促使他在2016年创建了一个开源项目来解决这个问题:Cloud Custodian。
Cloud Custodian使企业能够通过YAML DSL轻松定义规则,从而创建管理良好、安全且成本优化的云基础设施。
自推出以来,Cloud Custodian吸引了超过300名贡献者,并在Ticketmaster和Verizon Media等大型企业中得到广泛采用。但对笔者来说,Cloud Custodian最令人印象深刻的地方可能是它所创建的开源转换。
“我们的GitHub交互中有20%是与那些创建GitHub帐户只是为了与Cloud Custodian进行交互的人进行的。”Thangavelu指出。没错,在使用Cloud Custodian的数千家企业中,以及这些企业中的数万员工中,大约有五分之一的人因为Cloud Custodian开始了他们的开源之旅。
在某种程度上,这并不奇怪。
想想Cloud Custodian的用户。虽然他们可能是一名开发人员,但他们也可能是一名运维专业人员,尤其是专注于安全合规性的人员。这个领域的工具往往是由供应商驱动的,没有太多的开源。不过,突然间,“他们将开源(Cloud Custodian)视为对其业务既可行又至关重要的东西。”Thangavelu说。Stanfield补充道,开发人员正在承担更多的安全/治理功能,而这些功能正变得更加对开发人员友好。在两者的交汇处,有着Cloud Custodian。
随着这些人从Cloud Custodian中受益,他们的贡献也越来越大。Cloud Custodian从不同类型的组织(大型云公司、咨询公司和Cox Automotive和Capital One等最终用户企业)获得捐款。Cloud Custodian的社区却在不断膨胀。
到云端去
Cloud Custodian的受欢迎程度可能会继续增长。当Thangavelu开始Cloud Custodian时,他的动机是几乎每个组织都有或很快会有这样的需求:为了真正消除阻碍,提高云中的生产力,需要有一种更好的方法来大规模管理合规性。
Cloud Custodian作为一个辅助项目出现,它认识到所有这些脚本都在有效地做同样的事情。查询云控制平面,通过使过滤器和操作真正细粒度化,将其与YAML DSL结合,然后在云中采用一些无服务器功能,我们能够有效地使用策略即代码工具,在整个基础设施中实时实施策略。
这在实践中意味着,如果开发人员做了错事,他们会收到实时反馈(电子邮件、Slack等)说,“嘿,你刚刚在互联网上启动了一个未加密的实例,但没关系。我们为你关闭了它。请查看这些公司的策略,以便下一次做好这件事。“
这不仅保护了公司的现在,还促进了组织内部的行为变化,因此无论他们喜欢哪一个技术栈(Ansible、Kubernetes、Terraform等),在未来此类问题都会更少。
简而言之,Cloud Custodian以一种安全、可预测的方式为开发人员和其他负责云转换的人员带来了巨大的生产力提升。随着安全和合规性专业人员第一次与开源代码进行交互,它也产生了新的开源代码转换。对于一个相对年轻的开源项目来说,这是两个巨大的胜利。
原文链接:
https://www.techrepublic.com/article/how-the-cloud-custodian-policy-as-code-project-mints-new-open-source-users/
扫一扫
1317
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
