51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

如何使用Cloud Custodian实现云治理即代码

译文
作者:李睿
云计算
用户采用Cloud Custodian能够编写简单的YAML策略,以创建管理良好的云计算基础设施。

【51CTO.com快译】用户采用Cloud Custodian能够编写简单的YAML策略,以创建管理良好的云计算基础设施。

在当今不断扩展的云计算基础设施中,很难管理所有资源都合规。而企业都有一组需要遵循的策略,用于检测违规行为并对其云计算资源使用采取补救措施。这通常是通过编写多个自定义脚本并使用一些第三方工具和集成来完成的。许多开发团队都知道管理和编写自定义脚本并跟踪这些脚本有多么困难。但他们可以利用Cloud Custodian DSL策略轻松管理云计算资源。

什么是云治理?

云治理是一个框架,它定义了开发人员如何创建策略来控制成本、最小化安全风险、提高效率以及加速部署。

提供治理即代码的工具有哪些?

(1)AWS Config

AWS Config主要记录和监控AWS资源的所有配置数据,可以构建规则来帮助强制执行使用的合规性。比如设置多账户和多区域选项。它还提供了一些可以使用的预定义AWS托管规则,或者用户可以自己编写自定义规则。还可以根据匹配情况采取补救措施。对于自定义策略,需要编写自己的lambda函数来执行操作。

但是,用户可以使用Cloud Custodian设置AWS Config规则和使用c7n-org支持多账户和多区域的自定义规则。此外,它还可以自动配置AWS lambda函数。

(2)Azure政策

Azure政策跨Azure资源实施组织标准。它提供了一个聚合视图来评估环境的整体状态,并且能够深入到每个资源、每个策略的粒度(例如,用户只能创建A和B系列虚拟机)。用户可以打开内置策略或为所有资源创建自定义策略。它还可以对不合规的资源采取自动修复措施。

Azure政策在部署上构建自定义验证层以防止偏离客户定义的规则时可靠且高效。Cloud Custodian和Azure政策在合规性实施方面可以完成的场景有很大的重叠。在查看用户的要求时,建议首先确定可以通过Azure政策实施的要求。然后可以使用Custodian来实现其余的要求。Custodian还经常用于向Azure政策涵盖的要求添加第二层保护或缓解措施。这样就可以确保正确配置策略。

到目前为止,已经看到了什么是云治理以及市场上可用的工具是什么。以下了解一下Cloud Custodian可以在云治理方面提供什么。

什么是Cloud Custodian?

Cloud Custodian是一个CNCF沙盒项目,用于实时管理公共云资源。它帮助用户以代码的形式编写治理,就像以代码的形式编写基础设施一样。它检测非投诉资源并采取措施对其进行补救。Cloud Custodian也是一个云原生工具。它可以与多个云计算提供商(AWS、Azure、GCP等)一起使用。

用户可以使用Cloud Custodian,如下所示:

  • 合规性和安全性即代码:可以将简单的YAML DSL策略编写作为代码。
  • 节约成本:删除不需要的资源,并实施开/关时间政策可以节约成本。
  • 运营效率:通过添加治理即代码,它减少了在云中安全创新的摩擦,并提高了开发人员的效率。

它是如何工作的?

当运行Cloud Custodian命令时,根据云计算提供商的不同情况,将资源、过滤器、操作作为输入,并转换为云计算提供商API调用(例如AWS Boto3 API)。无需担心自定义脚本或AWS CLI命令。用户可以获得清晰易读的策略以及Cloud Custodian中内置的许多常见过滤器和操作。如果需要自定义过滤器,总是可以使用JMESPath来编写过滤器。

在某些情况下,可能需要定期或根据某些事件运行政策。为此Cloud Custodian自动预配lambda函数和CloudWatch事件规则。CloudWatch事件规则可以安排(每10分钟)或触发以响应CloudTrail、EC2实例状态事件等的API调用。

如何安装和设置Cloud Custodian?

可以简单地使用Python的pip命令安装Cloud Custodian:

  1. python3 -m venv custodian 
  2. source custodian/bin/activate 
  3. pip install c7n       # This includes AWS support 
  4. pip install c7n_azure # Install Azure package 
  5. pip install c7n_gcp   # Install GCP Package 

使用 Cloud Custodian Docker 映像

  1. docker run  -it \ 
  2.   -v $(pwd)/output:/opt/custodian/output \ 
  3.   -v $(pwd)/policy.yml:/opt/custodian/policy.yml \ 
  4.   --env-file <(env | grep "^AWS\|^AZURE\|^GOOGLE|^KUBECONFIG") \ 
  5.      cloudcustodian/c7n run -v --cache-period 0 -s /opt/custodian/output /opt/custodian/policy.yml 

注:ACCESS和SECRET KEY、DEFAULT_REGION和KUBECONFIG是从ENV变量中获取的,用户应该有权访问在策略YAML文件中定义的所需IAM角色和策略。另一种选择是在容器内挂载文件/目录。

Cloud Custodian policy.yaml解释

Cloud Custodian有一个简单的YAML文件,其中包括资源、过滤器和操作:

  • 资源:Custodian能够针对多个云计算提供商(AWS、GCP、Azure),每个提供商都有自己的资源类型(例如ec2、s3存储桶)。
  • 过滤器:过滤器是Custodian中针对特定资源子集的方式。它可以基于某些日期、标签等,可以使用JMESPath表达式编写自定义过滤器。
  • 操作:操作是对与过滤器匹配的资源做出的实际决定。这一操作可以很简单,例如向所有者发送报告,说明资源与云治理规则不匹配或删除资源。

操作和过滤器都可以结合任意多的规则来很好地表达需求。

  1. namefirst-policy 
  2.   resource: name-of-cloud-resource 
  3.   description: Description of policy 
  4.     filters: 
  5.       - (some filter that will select a subset of resource) 
  6.       - (more filters) 
  7.     actions: 
  8.       - (an action to trigger on filtered resource) 
  9.       - (more actions) 

Cloud Custodian的示例策略

尽管官方文档涵盖了大部分AWS策略示例,但还是挑选了一些策略,用户可以使用这些策略来节省成本和合规。

(1)ebs-snapshots-month-old.yml

组织面临的最常见问题之一是删除旧的AMI、快照和卷的复杂性,这些旧的AMI、快照和卷在环境中存在1年多并且增加了更多的费用。最终,必须编写多个自定义脚本来处理这种情况。

以下是删除超过30天的快照的简单策略:

  1. policies: 
  2.   - name: ebs-snapshots-month-old 
  3.     resource: ebs-snapshot 
  4.     filters: 
  5.       - type: age 
  6.         days: 30 
  7.         op: ge 
  8.     actions: 
  9.       - delete 

以下是如何运行Cloud Custodian策略的示例。

  1. custodian run -v -s /tmp/output /tmp/ebs-snapshots-month-old.yml 

每次运行Custodian命令时,它都会在通过-s选项(例如,

/tmp/output/ebs-snapshot-month-old/custodian-run.log)传递的policies.name输出目录中创建/附加文件)

  • custodian-run.log:所有控制台日志都存储在这里。
  • resources.json:过滤的资源列表。
  • metadata.json:关于过滤资源的元数据。
  • action-*:已采取行动的资源列表。
  • $HOME/.cache/cloud-custodian.cache:所有云API调用结果都缓存在这里。默认值为15分钟。

要获得过滤的资源报告,可以运行以下命令。在默认情况下,它提供CSV格式的报告,但可以通过传递–format json来更改它。

  1. custodian report -s /tmp/output--format csv ebs-snapshots-month-old.yml 

(2)only-approved-ami.yml

停止运行与可信AMI列表不匹配的EC2。

  1. policies: 
  2. nameonly-approved-ami 
  3.   resource: ec2 
  4.   comment: | 
  5.     Stop running EC2 instances that are using invalid AMIs 
  6.   filters: 
  7.     - "State.Name": running 
  8.     - type: value 
  9.       key: ImageId 
  10.       op: not-in 
  11.       value: 
  12.           - ami-04db49c0fb2215364   # Amazon Linux 2 AMI (HVM) 
  13.           - ami-06a0b4e3b7eb7a300  # Red Hat Enterprise Linux 8 (HVM) 
  14.           - ami-0b3acf3edf2397475    # SUSE Linux Enterprise Server 15 SP2 (HVM) 
  15.           - ami-0c1a7f89451184c8b   # Ubuntu Server 20.04 LTS (HVM) 
  16.   actions: 
  17.     - stop 

(3)Security-group-check.yml

当开发人员在创建POC虚拟机时倾向于允许SSH上的所有流量,或者在测试期间,有时允许端口22访问所有端口,但忘记删除该规则时,将会看到一个更常见的问题。以下的策略可以通过自动从所有组中删除SSH访问,并仅向安全组添加网络IP来解决这些问题。

  1. policies: 
  2.   - name: sg-remove-permission 
  3.     resource: security-group 
  4.     filters: 
  5.        - or
  6.              - type: ingress 
  7.                IpProtocol: "-1" 
  8.                Ports: [22] 
  9.                Cidr: "0.0.0.0/0" 
  10.              - type: ingress 
  11.                IpProtocol: "-1" 
  12.                Ports: [22] 
  13.                CidrV6: "::/0" 
  14.     actions: 
  15.       - type: set-permissions 
  16.         remove-ingress: matched 
  17.         add-ingress: 
  18.           - IpPermissions: 
  19.             - IpProtocol: TCP 
  20.               FromPort: 22 
  21.               ToPort: 22 
  22.               IpRanges: 
  23.                 - Description: VPN1 Access 
  24.                   CidrIp: "10.10.0.0/16" 

支持Kubernetes资源

现在可以管理Kubernetes资源,如部署、pod、DaemonSet和卷。以下是可以使用Cloud Custodian编写的一些示例策略。

  • 删除POC和未标记的资源。
  • 更新k8资源的标签和补丁。
  • 根据调查结果调用Webhook。
  1. kubernetes-delete-poc-resource.yml   
  2. policies: 
  3.   - namedelete-poc-namespace 
  4.     resource: k8s.namespace 
  5.     filters: 
  6.     - type: value 
  7.       key'metadata.name' 
  8.       op: regex 
  9.       value: '^.*poc.*$' 
  10.     actions: 
  11.       - delete 
  12.  
  13.   - namedelete-poc-deployments 
  14.     resource: k8s.deployment 
  15.     filters: 
  16.     - type: value 
  17.       key'metadata.name' 
  18.       op: regex 
  19.       value: '^.*poc.*$' 
  20.     actions: 
  21.       - delete 

注意:Cloud Custodian Kubernetes资源仍在开发中。

可以称为Cloud Custodian的模式类型有哪些?

  • pull:默认方法可以人工运行。首选在CI/CD工具cron中添加它。
  • 定期:根据策略配置云计算资源(例如,带有CloudWatch cron的AWS Lambda)并按计划执行。
  • 根据云计算提供商的自定义模式:在事件匹配时执行。

将Cloud Custodian与Jenkins CI集成

为简单起见,使用Cloud Custodian docker映像并将凭据作为环境变量注入。

注:机密文件应该有大写和默认区域的密钥。对于Kubernetes,应该将KUBE CONFIG文件装入容器中。

  1. export AWS_ACCESS_KEY_ID=<YOUR_AWS_ACCESS_KEY> 
  2. export AWS_SECRET_ACCESS_KEY=<YOUR_AWS_SECRET_ACCESS_KEY> 
  3. export AWS_DEFAULT_REGION=<YOUR_DEFAULT_REGION> 
  4.  
  5. pipeline{ 
  6.     agent{ label 'worker1'
  7.     stages{ 
  8.         stage('cloudcustodian-non-prod'){ 
  9.             steps{ 
  10.                 dir("non-prod"){ 
  11.                     withCredentials([file(credentialsId: 'secretfile', variable: 'var_secretfile')]) 
  12.                     { 
  13.                     sh ''
  14.                     source $var_secretfile  > /dev/null 2>&1 
  15.                     env | grep "^AWS\\|^AZURE\\|^GOOGLE\\|^KUBECONFIG" > envfile 
  16.  
  17.                     for files in $(ls | egrep '.yml|.yaml'
  18.                     do 
  19.                         docker run --rm -t \ 
  20.                         -v $(pwd)/output:/opt/custodian/output \ 
  21.                         -v $(pwd):/opt/custodian/ \ 
  22.                         --env-file envfile \ 
  23.                         cloudcustodian/c7n run -v  -s /opt/custodian/output /opt/custodian/$files 
  24.                     done 
  25.                     ''
  26.                     } 
  27.                 } 
  28.             } 
  29.         } 
  30.         stage("cloudcustodian-prod"){ 
  31.             steps{ 
  32.                 dir("prod"){ 
  33.                     withCredentials([file(credentialsId: 'secretfile', variable: 'var_secretfile')]) 
  34.                     { 
  35.                     sh ''
  36.                     source $var_secretfile  > /dev/null 2>&1 
  37.                     env | grep "^AWS\\|^AZURE\\|^GOOGLE\\|^KUBECONFIG" > envfile 
  38.  
  39.                     for files in $(ls | egrep '.yml|.yaml'
  40.                     do 
  41.                         docker run --rm -t \ 
  42.                         -v $(pwd)/output:/opt/custodian/output \ 
  43.                         -v $(pwd):/opt/custodian/ \ 
  44.                         --env-file envfile \ 
  45.                         cloudcustodian/c7n run -v -s /opt/custodian/output /opt/custodian/$files 
  46.                     done 
  47.                     ''
  48.                     } 
  49.                 } 
  50.             } 
  51.         } 
  52.     } 

Jenkins控制台输出:

工具和功能

Cloud Custodian拥有许多由社区开发的附加工具。

(1)多区域和多账户支持

可以使用c7n-org插件来配置多个AWS、AZURE、GCP帐户并并行运行它们。Flag–regionall可用于跨所有区域运行相同的策略。

(2)通知

c7n-mailer插件为警报通知提供了很大的灵活性,可以使用Webhook、电子邮件、队列服务、Datadog、Slack和Splunk来发出警报。

(3)自动资源标记

c7n_trailcreator脚本将处理CloudTrail记录以创建资源及其创建者的SQLite DB,然后使用该SQLite DB用其创建者的姓名标记资源。

(4)记录和报告

它提供JSON和CSV格式的报告。还可以在云原生日志记录中收集这些指标,并生成漂亮的仪表板。将日志存储在本地、S3或Cloudwatch上。一致的日志记录格式可以轻松地对策略进行故障排除。

(5)Custodian试运行

在试运行中,策略的操作部分被忽略。它显示了哪些资源将受到政策的影响。在运行实际代码之前先进行试运行始终是最佳实践。

(6)Custodian缓存

当执行任何策略时,它会从云中获取数据并将其存储在本地15分钟。缓存用于最小化API调用,可以使用–cache-period0选项设置缓存。

(7)编辑器集成

它可以与Visual Studio Code集成以进行自动编译和建议。

(8)Custodian模式

可以使用custodian schema命令来找出Cloud Custodian中可用的资源、操作和过滤器的类型。

  1. custodian schema    #Shows all resource available in custodian 
  2. custodian schema aws    #Shows aws resource available in custodian 
  3. custodian schema aws.ec2     #Shows aws ec2 action and filters 
  4. custodian schema aws.ec2.actions     #Shows aws ec2 actions only 
  5. custodian schema aws.ec2.actions.stop    #Shows ec2 stop sample policy and schema 

Cloud Custodian如何优于其他工具?

  • 跨多个云平台和Kubernetes编写策略的简单性和一致性。
  • 使用c7n-org的多账户和多区域支持。
  • 使用c7n-mailer支持广泛的通知渠道。
  • Custodian的Terraform提供程序支持针对Terraform IaaC模块编写和评估Custodian策略。
  • Custodian与AWS配置深度集成。它可以部署config支持的任何配置规则。此外,它还可以为AWS自定义配置策略自动配置AWS Lambda。
  • 如果需要,可以在Python中实施自定义策略,因为它支持根据云计算提供商SDK的所有规则。
  • Cloud Custodian是一个开源的CNCF沙盒项目。

Cloud Custodian限制

  • 无默认仪表板(支持AWS原生仪表板,但也可以将指标输出发送到Elasticsearch/Grafana等,并创建仪表板)。
  • Cloud Custodian无法阻止自定义层验证预部署。它只能定期运行或基于某些事件运行。
  • Cloud Custodian没有任何内置策略。用户需要自己编写所有策略。但是,它有很多很好的示例策略(AWS、Azure、GCP),可以用作参考。

结论

Cloud Custodian能够将规则和补救措施定义为一项策略,以促进管理良好的云计算基础设施,还可以使用它来编写管理Kubernetes资源(如部署、pod等)的策略。与其他基于云的治理工具相比,它提供了一个非常简单的DSL来编写策略及其跨云平台的一致性。这样Custodian就减少了在云中安全创新的摩擦,并提高了效率。

用户可以使用Cloud Custodian通过实施非工作时间和清理策略来优化云成本。它还包括许多插件,如多账户/区域支持、广泛的通知工具(Slack、SMTP、SQS、Datadog、Webhooks)等。

原文标题:Implementing Cloud Governance as a Code Using Cloud Custodian,作者:Alok Maurya

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

责任编辑:华轩 来源: 51CTO
云计算云治理工具
相关推荐
策略代码如何帮助防止配置错误
每个级别的自动化都是IT的最佳防御之一。策略即代码通过简化安全操作、版本控制和合规性管理来满足关键的云安全需求。

2022-09-30 00:00:00

云计算自动化IT
如何使用Terratest测试基础架构代码
本文简要讨论了什么是IaC以及测试基础架构代码的意义,然后深入探讨了如何使用Terratest进行IaC测试。

2022-09-19 07:03:47

IaCTerratest测试
如何实现数据治理中的数据安全?
在云计算中,结合使用这三种加密方法来保护数据安全。为了确保个人或企业使用的安全云存储,可以首先使用唯一密钥使用AES加密数据,然后基于属性的加密可以加密唯一密钥。

2023-03-27 10:00:15

为什么原生需要监控代码和基础设施代码
事实证明,监控即代码和基础设施即代码这两种快速兴起的技术正在推动云原生平台的发展。

2022-01-10 08:00:00

云原生云计算技术
私有如何交付IT服务?
私有云可将各种业务功能作为服务进行交付,赋予其快速走向市场的能力,而虚拟化则是对各种计算资源进行虚拟化以支持私有云。这是两个不同的概念,解决不同的问题,而且是在企业IT的不同层面上运营的。私有云的内涵和外延远大于虚拟化,而虚拟化并不是私有云。

2012-03-21 09:36:48

私有云IT即服务ITaaS
如何实现企业的数据治理
在前所未有的数字经济发展速度之下,数据治理的重要性日益显著。实施大数据战略,推进数据资源开放共享,数字经济赋能传统产业转型升级,催生新产业、新业态和新模式,已成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。

2021-11-24 22:52:09

数据治理企业IT
如何设计原生数据治理方案
数据治理项目通常伴随着监管压力、高成本和不明确的投资回报。识别关键数据、管理元数据、控制数据质量和确定数据来源的程序通常耗时较长且成本高昂。

2023-10-25 16:31:50

云原生数据治理
使用存储服务优化混合平台
通过采用云爆发的能力,混合云平台能够提供强大的计算灵活性。但是如何科学适当地部署混合云数据,以及实现对公共云和私有云的跨平台快速访问成为了摆在IT团队面前的两个难题。幸运的是,存储即服务能够帮助解决这两个问题。

2017-07-03 11:06:03

混合云平台存储
备份服务如何实现安全控制?
备份即服务吸引了很多企业。至少乍一看,有人会执行备份操作,并且保障你的数据安全。但是在进入备份即服务之前,要确保你的企业有合适的控制和协议。

2015-08-26 10:57:01

数据安全备份即服务云服务
如何使用C#代码实现DataTemplate
不得不说DataTemplate是WPF中的一项重要技术组成,可以方便让我们实现各种各样的UI样式,大大丰富了应用程序的界面设计。

2009-03-12 13:49:30

DataTemplatWPFC#
如何使用Spring Cloud跨多个区域运行Java微服务
本文对如何使用SpringCloud开发和部署多个云区域Java微服务以及这样做的原因进行探讨。

2023-03-20 08:00:00

公共云开发Spring Clo
甲骨文实现数据库服务
甲骨文公司副总裁及大中华区技术产品事业部总经理吴承杨支持数据库即服务这一基本观点,实现云环境,平台云技术比应用层云技术更重要,数据库安在虚拟机上并不会实现云环境,反倒会限制数据库的大小。建议用户使用基于甲骨文12c的所谓多租户的技术,来达到平台层数据库即服务的这样一个效果。

2014-12-09 14:10:46

甲骨文Oracle数据库
使用 Istio 实现非侵入流量治理
ServiceMesh是一个非常新的名词,最早是2016年由开发Linkerd的Buoyant公司提出的,伴随着Linkerd的传入,ServiceMesh的概念也慢慢进入国内技术社区,现在主流的叫法都叫:服务网格。

2021-07-27 06:51:53

Istio 微服务Service Mes
数据中心需要基础设施代码(IaC)
IaC是一种高效的配置管理形式,专注于实现云IT基础设施的自动化管理。在IaC部署到位之后,即可用于实现CICD层级的自动化功能,高效调整项目的基础设施。

2021-07-26 09:53:58

IaC基础设施即代码云数据中心
从基础设施代码到环境代码的进化之路
在平台工程中,每一秒都是宝贵的,每一个资源都很重要。随着基础设施变得越来越复杂,以代码的形式管理环境是现代DevOps组织成熟的下一步。

2024-02-04 09:13:24

基础设施代码DevOps
如何评估代码
如果你在使用基于云的开放环境或部署环境,那么一开始就要面对模型、视图和控制器模式(MVC)的所有三个层。对于IT专业人士来说,这不是什么新鲜事。

2011-10-19 14:31:41

云计算代码云开发
流水线代码
大意是将复杂的构建流程纳入一个简单的脚本文件,然后用一条命令调用。这样,任意的开发者都能在自己的工作区中执行脚本重建一套一模一样的构建环境,从而消除CICD环境由于散乱配置腐化而成的特异性。

2017-03-02 14:12:13

流水线代码Clojure
Informatica Cloud Summer 2012提升集成平台服务
Informatica公司近日发布了InformaticaCloudSummer2012,作为屡获殊荣的、基于云数据集成服务大家庭中的最新产品,InformaticaCloudSummer2012旨在使云集成开发、配置和使用变得更加简单。

2012-08-14 13:24:27

Informatica云计算
安全代码:在不断增长的使用中创建新的网络安全范式
安全即代码强调了在应用程序开发过程中更加重视安全性的必要性,以便在应用程序和整体企业IT的安全性方面创造更多价值。

2023-01-05 11:40:36

戴尔Any Cloud 助力企业快速实现转型
戴尔AnyCloud提供了云架构层、资源层、负载层和云交付管理等一系列端到端的云管理方案和战略。实现了跨异构资源管理、异构虚拟化监控、各种云统一管理。另外,戴尔端到端的云管理涉及架构、资源、负载、IT服务、安全等各方面。同时,跨异构、跨云的集中统一管理,优化云ROI。

2015-06-11 13:05:05

戴尔Any Cloud云转型
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服