如果你正在學習或剛開始接觸DevOps和基礎設施自動化�,這篇文章將幫助你詳細了解不可變基礎設施(Immutable infrastructure)模型。
創(chuàng)新互聯(lián)是一家企業(yè)級云計算解決方案提供商,超15年IDC數(shù)據(jù)中心運營經驗�����。主營GPU顯卡服務器,站群服務器�,西信服務器托管��,海外高防服務器�����,大帶寬服務器���,動態(tài)撥號VPS,海外云手機��,海外云服務器�����,海外服務器租用托管等���。
在進入技術解釋之前��,首先�,你應該對可變和不可變這兩個詞的字面意思有一個清晰的認識���。
- 可變的(Mutable): 可以被改變的東西�����。意味著你可以在它被創(chuàng)建后繼續(xù)對它進行修改��。
- 不變的(Immutable): 不能改變的東西���。一旦它被創(chuàng)建,你就不能改變其中的任何東西���。
現(xiàn)在讓我們看一個真實世界的例子��,即一所房子�。在一所房子里��,有一些你可以改變的對象(可變的)��,也有一些必須被替換的對象(不可變的)����,如果它們發(fā)生了什么變化。例如�,你可以給一扇門涂上不同的顏色,更換門把手�����,給它一個不同的外觀。在這里門是一個可變的對象�����。同時���,一個洗臉盆是一個不可變的對象��。如果你想改變臉盆的顏色��,你需要用一個新的臉盆來替換它�����。這一點也適用于地磚�。
在IT界�,我們在軟件工程和DevOps中都有可變性和不可變性的概念。在軟件工程中�����,這一概念被應用于面向對象的編程����,而在DevOps中��,它被應用于基礎設施自動化��。在本指南中�����,我們將從DevOps的角度重點討論不可變的基礎設施。
什么是不可變的基礎設施��?
要理解不可變的基礎設施�,首先,你應該知道服務器的生命周期���。
下面是一個帶有應用程序的服務器的簡略的生命周期(僅供參考����,各組織的流程有所不同)�。
- 部署一個服務器。
- SSH進入服務器��。
- 安裝所需的工具�����。
- 配置安全代理、防火墻和實用程序以保證安全���。(安全加固)
- 安裝和配置所需的應用程序���。
- 修改應用程序和服務器配置,以提高應用程序的性能���。
- 使服務器用于生產工作����。
- 每個月登錄服務器�����,為服務器打上安全補?�。ǚ掌鞲拢?。
- 在應用程序可用時進行升級。
正如你所看到的����,上面提到的步驟是一個可變的模型。這是因為我們正在根據(jù)要求對服務器進行修改。因此�����,當你使用Ansible��、Puppet或Chef等配置管理工具來管理服務器時�,你遵循的是可變模式。
「不可變」��,就像它的字面意思一樣��,不可變的基礎設施是一個概念��,在你部署服務器之后����,你不會對它做任何改變�����。意思是說��,服務器在部署的時候已經預先配置好了配置�、安裝好了工具和應用程序。服務器出現(xiàn)的那一刻,應用程序就開始運行���。
如果您想進行任何更改����,則應銷毀現(xiàn)有服務并用新服務替換���。更改可能是打補丁����、應用程序升級��、服務器配置更改等����。
圖片
你可以為大多數(shù)現(xiàn)代應用遵循不可變的基礎設施模型,包括數(shù)據(jù)庫集群���。
例如���,如果你有應用程序在自動縮放組中運行,而你遵循的是不可變的服務器部署模型���。每當你想部署新的代碼時����,你需要銷毀現(xiàn)有的虛擬機,這樣由自動縮放啟動的新虛擬機就會下載最新的代碼����。另一種方法是,你需要用帶有代碼的最新鏡像來改變啟動模板�����。
在一個不可變的模型中��,在配置方面應遵循標準的最佳實踐����。
例如���,使用配置存儲或服務發(fā)現(xiàn)工具�,將經常改變的配置外部化���。一個典型的例子是Nginx的upstream配置���。
這樣一來���,你就不必為小的變化和配置而重新生成服務器。
如果你知道容器��,它是不可變基礎設施的最好例子���。除了外部化的配置�,對容器的任何改變都會導致重建�����。
用于CI/CD的不可變的基礎設施模型
那么����,不可變的基礎設施模式如何用在CI/CD過程?
當你在虛擬機環(huán)境的CI管道中遵循不可變的基礎設施模式時��,可部署的工件將是一個虛擬機鏡像或一個docker鏡像���。
例如�,一旦CI完成�,利用Docker或packer等工具�,你可以把程序代碼塞到容器或虛擬機鏡像(AWS AMI)中����,并使用它在相關環(huán)境中進行部署。
當涉及到部署時��,你可以遵循藍綠部署或金絲雀部署���。讓我們來看看這兩種方法�����。
- 藍綠模式: 在這種模式下��,使用最新的應用程序鏡像�����,你將一組新的服務器(藍色)與生產服務器(綠色)一起部署����,但它不會提供流量���。當藍色服務器被驗證OK之后���,流量將被重定向到新的(藍色)服務器組,舊的(綠色)服務器將被銷毀����。
- 金絲雀模型: 在這個模型中,不是將全部流量導到新的服務器集上��,而是只將流量的一個子集導到新的服務器上����。流量切換是根據(jù)團隊制定的時間節(jié)奏逐漸發(fā)生的。一旦流量完全切換到新的服務器集�,舊的服務器就會被刪除。
鏡像生命周期管理和補丁
在不可改變的基礎設施模型中��,虛擬機或容器鏡像的創(chuàng)建和修補起到了關鍵作用�。你需要利用CI/CD工具,制定良好的鏡像生命周期管理�。
在云和容器環(huán)境中,首先我們需要一個基礎鏡像���。之后基于這個基礎鏡像創(chuàng)建應用鏡像����。在實際的項目環(huán)境中,這個過程會比較復雜����。
下面我們來聊一下這一切在實際項目環(huán)境中是如何發(fā)生的,以及如何根據(jù)公司的安全策略建立應用程序鏡像�����。
因此����,這里列出了在安全的項目環(huán)境中遵循的通用鏡像生命周期管理(虛擬機和容器)步驟。
注意:該列表是為了給你一個關于鏡像生命周期管理的總體情況��。它在每個組織中都是不同的�。
圖片
- 在一個安全、合規(guī)的環(huán)境中�����,你不允許使用云提供商提供的基礎鏡像或docker hub等公共容器注冊處提供的docker基礎鏡像����。
- 每個組織都會用標準的安全工具(各種agent)、DNS/Proxy、LDAP配置等創(chuàng)建虛擬機/容器基礎鏡像(它根據(jù)每個組織的安全政策而改變)�。通常�����,這種鏡像是由中央平臺團隊或安全團隊創(chuàng)建和維護的�����。你可以叫它黃金鏡像��。
- 經過批準和認證的基本鏡像將與組織中的所有團隊共享�����。它可以是一個單一的云賬戶或與組織內的多個子賬戶共享�。
- 然后,每個團隊可以在批準的基礎鏡像上創(chuàng)建自己的應用鏡像��。(這里使用像Docker和Packer這樣的工具)���。
- 團隊創(chuàng)建的新鏡像將被測試并部署到生產中����。
- 現(xiàn)在�,當基礎鏡像得到新的更新或補丁時��,平臺或企業(yè)安全團隊會發(fā)布新版本的基礎鏡像并通知所有項目團隊��。
- 每個組織都有一個打補丁的生命周期��。意思是說�����,安全團隊對VMS的更新和補丁的應用有一定的準則��。例如��,它可能是一個月或三個月一次���。
- 對于虛擬機,補丁可以是 “就地” 的�,也就是對現(xiàn)有實例進行補丁,也可以是不可更改的����,也就是用新的鏡像替換現(xiàn)有的鏡像。容器在本質上是不可變的�����。
- 基于補丁的生命周期,每個團隊都會用新的基礎鏡像更新現(xiàn)有的應用鏡像��,并將其部署到生產中����,而不管應用的代碼是否有變化��。這同時適用于虛擬機和容器����。
結論
我們已經看了不可變的基礎設施的關鍵概念。
作為一名DevOps工程師����,你應該在構建和部署不可變鏡像時遵循所有標準的最佳實踐,以減少攻擊面��。
如果你正在使用容器或容器編排工具(如Kubernetes)���,你已經在遵循應用程序部署的不可變模式�。
原文:https://devopscube.com/immutable-infrastructure/
譯者:秦曉輝
本文題目:DevOps/SRE必懂概念:不可變基礎設施
URL分享:
http://uogjgqi.cn/article/djpcdge.html
