共计 3570 个字符,预计需要花费 9 分钟才能阅读完成。
作者简介
张应罗,SUSE 资深架构师,领有 16 年架构征询工作教训,专一于 SUSE Enterprise Container Management 相干的产品落地计划及征询方案设计。
平台工程
“DevOps 已死,平台工程才是将来!”去年,出名软件工程师兼 DevOps 评论员 Sid Palas 在推特上收回呐喊。
他的外围观点是:开发者不想跟基础设施打交道,企业在倒退过程中又须要管制本人的基础设施;只有平台工程,能将这两个互相矛盾的命题对立起来。这一观点引发了开发者们的强烈探讨,平台工程正在崛起。
简略为大家介绍一下平台工程(Platform Engineering)的概念。
平台工程的倒退背景
- 软件在一直演进过程中将运维技能从开发技能中剥离进去,造成了两个不同的职业,但后果证实适度拆散的两个职业无奈满足软件疾速迭代的需要,因而 DevOps 呈现了,咱们用它来对立运维及开发。开发周期是一个企业最稀缺的资源,因而应该将尽可能多的资源放在外围产品开发上。
- 开发人员应该可能端到端地部署和运行他们的利用。“谁构建,谁运行”才是真正的 DevOps,但并不是所有的公司都是 Google、亚马逊、微软,大多数公司都没有像他们那样的人才库,也不会仅仅为了优化开发工作流和体验而像他们那样投入资源。
- 在过来,有的工程师写代码,有的工程师跑代码。而当初,工程师不仅编写代码,还要运行他们编写的代码。这让软件工程师感觉他们必须对所有事件都一目了然,大大增加了认知累赘。
- 这迫使许多团队从新在自动化带来的自在与认知累赘之间权衡利弊,平台工程也因而越来越受关注和热议。Gartner 在 2022 年 8 月公布的软件工程成熟度曲线中增加了“平台工程”。
平台工程的定义
- “平台工程”社区次要贡献者及 Humanitec 产品负责人 Luca Galante 在《什么是平台工程》的文章里指出:平台工程是一门设计和构建工具链与工作流的学科。这些工具链和工作流能够为云原生时代的软件工程组织提供自助服务性能。平台工程师提供集成化产品,通常称为“外部开发人员平台”,能够涵盖应用程序整个生命周期的所有操作需要。
- 外部开发人员平台由平台工程团队构建,用于铺好坦途以此来反对开发人员自助服务。外部开发人员平台由许多不同的技术和工具组成,以一种升高开发人员认知累赘的形式组合在一起,无需形象出上下文和底层技术。平台工程团队将他们的平台视为一种产品,依据用户钻研对其构建,并一直保护和改良。
Kubernetes 在平台工程中表演的角色
- 无论外部开发人员平台的工具链有如许丰盛,在云原生时代,Kubernetes 未然成为利用落地部署的最优抉择。平台工程承载了利用迭代和部署验证的重任,须要建设提供面向 Kubernetes 的弹性能力。
Rancher Prime 为平台工程体系提供强有力撑持
Rancher Prime 的混合云 K8s 治理能力
Rancher Prime 研发之初的核心理念就是多云治理,因而,产品进化至今,在历经近上千个 release 后,Rancher Prime 在多云多 K8s 集群治理畛域未然遥遥领先,能够随时随地治理和部署任意地位的 K8s 集群。
Rancher Prime
- Rancher Prime 反对对国内头部私有云厂商的 K8s 发行版进行全生命周期治理,包含阿里云 ACK、腾讯云 TKE、华为云 CCE。
- Rancher Prime 反对对国内头部私有云厂商的 K8s 发行版进行全生命周期治理,包含 AWS EKS(Global Region 及 China Region)、Azure AKS(Global Region 及 China Region)、Google GKE。
- 在公有数据中心场景下,Rancher Prime 能够创立通过 CNCF 一致性认证的 K8s 发行版 RKE 和 RKE2,帮忙客户疾速落地生产级别的 K8s 集群。
- 在边缘计算场景下,Rancher Prime 能够创立轻量级 K8s 发行版 K3s,并且反对 X86 和 ARM 两种架构。
Rancher Prime 面向多集群的中心化多租户体系
Rancher Prime 具备一套成熟的面向多集群的中心化多租户体系,能够轻松形象用户拜访权限。这为平台工程内的开发人员提供了良好的隔离环境,让他们能够灵便应用本人的开发环境,而不影响其余开发人员。
Rancher Prime 多租户体系
- Rancher Prime 提供面向多集群并基于 RBAC 的多租户体系,不同的用户能够通过绑定不同的角色来取得不同的权限。
- 领有“全局级别”角色的用户通常能够治理 Rancher Prime 的所有 K8s 集群,领有“集群级别”角色的用户通常只能看到和治理某一个或多个 K8s 集群,领有“我的项目 / 命名空间”角色的用户通常只能看见和治理集群下某一个或多个我的项目及命名空间。
- Rancher Prime 还反对对接多种内部对立认证软件,例如 AD、Keyclock、OKTA 等,不便企业进行对立认证治理。
Rancher Prime 认证体系对接
NeuVector 全生命周期的平台平安保障
在构建外部开发人员平台时,平台平安始终是须要优先思考的问题。NeuVector 提供了全面的全生命周期、零信赖容器平安体系,在整个容器生命周期中继续扫描,以打消安全隐患。在外部开发人员平台构建之初就应制订安全策略,从而最大限度地进步开发人员的灵活性。
NeuVector
NeuVector 的平安爱护包含供应链平安和运行时平安,在供应链平安领域内能够对容器镜像、K8s 主机资源进行合规扫描,同时将 K8s 的准入管制机制与 pipeline 流程相结合,实现准入管制。
NeuVector 平安体系
在运行时平安层面可通过容器微分段、DLP、WAF 等防护伎俩,确保外部开发人员平台安全性。
NeuVector 防护体系
NeuVector 可在所有通过 CNCF 认证的 K8s 平台上独立应用。在与 Rancher Prime 联合应用时,只需点击几下即可装置和应用 NeuVector,并对整个 Kubernetes 环境进行平安爱护。
NeuVector with Rancher Prime
Rancher Prime 和 NeuVector 产品体系的组合,能够让平台工程团队更容易构建本人的外部开发人员平台,让开发工程团队专一于业务代码开发,而非深度对接基础设施,同时也能保障平台的安全性。
典型案例
Ubisoft
育碧(Ubisoft)于 1986 年在法国成立,是寰球出名的游戏制作、发行和代销商,业务遍布五大洲,在寰球领有 40 多个开发工作室。
育碧激励开发团队在 Kubernetes 中开发云原生微服务,不久之后,翻新我的项目激增。因为有的团队面向公有云进行开发,有的团队面向私有云进行开发,因而公司须要领有对立的开发方法。
基础架构团队心愿在公司外部构建一个地方 Kubernetes 配置平台,从而实现大多数流程的自动化。当 UKS(Ubisoft Kubernetes Service)诞生时,这一愿景成为了事实。这个基于 Rancher Prime 的自助式 Kubernetes 平台让成千上万的开发人员可能以可控、集中管理的形式即时启动新的 Kubernetes 集群。
通过应用 UKS 和 Rancher Prime,开发人员能够自在地为任何云环境进行开发,而不用手动治理许多根本部署过程。Rancher Prime 实现了这些基本功能的自动化,并大大简化了开发生命周期。
从效率的角度来看,UKS 让开发者的工作更加轻松。与原来的手动形式相比,大幅提高了开发速度,缩小了治理工夫。与以往须要消耗几天工夫相比,通过 Rancher Prime 配置集群并将其托管在本地,均匀仅需 10 分钟。最重要的是,整个公司的 Kubernetes 集群当初都通过对立的平台进行治理。
目前,育碧的 K8s 集群曾经超过 200 个,随着越来越多的团队应用 Kubernetes,这一数字将持续上升。将来,育碧 IT 建设的重点是创立一个托管解决方案,以优化基础设施的应用,提供多租户集群并缩小经营累赘。
将来瞻望
无论是 DevOps 还是平台工程,都要求基于 K8s 的底层平台具备安全性、灵活性、稳定性、先进性。因而,2023 年,SUSE 企业容器治理团队将在如下几个方面继续晋升产品体验,以回馈企业用户及社区用户的信赖:
- Rancher Prime 一直加强 K3s Provisioning 能力,提供更加灵活多样的集群抉择,K3s 极致轻量,足以应答面向开发测试的利用集群。
- 整个 SUSE 企业容器治理产品线对 ARM 的反对将一直加强,得益于 ARM 生态体系的不断完善,越来越多的寰球用户开始应用 ARM 来降本增效。
- 继续增强对外乡产品生态体系的反对,目前 Rancher Prime 曾经适配鲲鹏芯片、海光芯片、麒麟 V10、openEuler 等软硬件体系,其中基于 openEuler 的 K8s 发行版 RFO(Rancher For OpenEuler)曾经正式 GA。