作者 | Hemanth Kavuluru
編譯 | 言征
出品 | 51CTO技術(shù)棧(微信號(hào):blog51cto)
到底什么是平臺(tái)?它是內(nèi)部開(kāi)發(fā)者平臺(tái)、開(kāi)發(fā)者自助服務(wù)門戶還是僅僅是開(kāi)發(fā)者入門工具?
平臺(tái)工程并不是一個(gè)新概念,在谷歌、亞馬遜、Facebook?.NETflix 等許多大公司中已經(jīng)存在很長(zhǎng)時(shí)間了。對(duì)于任何大型產(chǎn)品工程團(tuán)隊(duì)來(lái)說(shuō),平臺(tái)是一組標(biāo)準(zhǔn)服務(wù)、框架和模式,最初由一個(gè)或多個(gè)團(tuán)隊(duì)開(kāi)發(fā)供其使用,可供組織中的其他團(tuán)隊(duì)利用。
工程組織的其余部分要么使用這些平臺(tái)服務(wù)來(lái)開(kāi)發(fā)其他應(yīng)用程序或服務(wù),要么作為內(nèi)部工具。
當(dāng)開(kāi)源、商業(yè)框架和平臺(tái)作為服務(wù)和工具不可用時(shí),產(chǎn)品團(tuán)隊(duì)過(guò)去常常在內(nèi)部構(gòu)建許多共享服務(wù)和工具。一個(gè)很好的例子是 google 的內(nèi)部容器管理平臺(tái) Borg,它最終成為 Kubernetes。
另一個(gè)很好的例子是 Kafka,這是一個(gè)開(kāi)源消息平臺(tái),最初是 LinkedIn 為內(nèi)部使用而構(gòu)建的。同樣,亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)的S3和EC2最初是為內(nèi)部使用而開(kāi)發(fā)的,后來(lái)成為AWS公共云的核心基礎(chǔ)。
由于這些平臺(tái)、框架和工具可以作為開(kāi)源或商業(yè)產(chǎn)品提供,平臺(tái)團(tuán)隊(duì)不再需要構(gòu)建它們來(lái)進(jìn)行應(yīng)用程序開(kāi)發(fā)或自助服務(wù)云基礎(chǔ)設(shè)施。
Rafay Systems 的 Kubernetes 操作平臺(tái)可幫助企業(yè)使用任何 K8s 發(fā)行版跨公共云、數(shù)據(jù)中心和邊緣操作現(xiàn)代應(yīng)用程序基礎(chǔ)設(shè)施。借助 Rafay,企業(yè)可以實(shí)現(xiàn) Kubernetes 基礎(chǔ)設(shè)施的自動(dòng)化、安全性、可見(jiàn)性和治理。
1、云原生環(huán)境下的“平臺(tái)”
那么云原生應(yīng)用程序開(kāi)發(fā)、部署和管理背景下的平臺(tái)到底是什么?它是內(nèi)部開(kāi)發(fā)人員平臺(tái)、開(kāi)發(fā)人員自助服務(wù)門戶、開(kāi)發(fā)人員體驗(yàn)工具還是僅僅是開(kāi)發(fā)人員入門工具?除了開(kāi)發(fā)者之外還有其他用戶使用該平臺(tái)嗎?
所有問(wèn)題的答案似乎都是“是”。我們現(xiàn)在所說(shuō)的平臺(tái)是以上所有內(nèi)容以及更多內(nèi)容的組合。由于大多數(shù)基礎(chǔ)服務(wù)都可以開(kāi)源或商業(yè)產(chǎn)品或兩者的形式提供,因此平臺(tái)工程團(tuán)隊(duì)的主要目標(biāo)是使這些服務(wù)和工具易于發(fā)現(xiàn),以自助方式隨時(shí)可用,并且使用標(biāo)準(zhǔn)接口(例如API、UI、自助門戶、Terraform 等。
例如,平臺(tái)團(tuán)隊(duì)可以向最終用戶提供集群或容器即服務(wù),這樣每個(gè)業(yè)務(wù)部門或應(yīng)用程序團(tuán)隊(duì)就不必配置或管理Kubernetes 基礎(chǔ)設(shè)施。另一個(gè)例子是應(yīng)用程序部署即服務(wù),其中平臺(tái)團(tuán)隊(duì)通過(guò)提供 Argo CD 等工具即服務(wù)來(lái)自動(dòng)化應(yīng)用程序部署過(guò)程。
為了最終取得成功,平臺(tái)團(tuán)隊(duì)不僅必須解決其開(kāi)發(fā)人員的用例,還必須解決其他內(nèi)部團(tuán)隊(duì)的用例。
在幕后,平臺(tái)團(tuán)隊(duì)可能會(huì)利用各種商業(yè)或開(kāi)源框架以及一些自定義自動(dòng)化。盡管開(kāi)發(fā)人員是該平臺(tái)的主要內(nèi)部用戶,但 SRE、安全、產(chǎn)品支持和 FinOps 等其他團(tuán)隊(duì)也可以從該平臺(tái)中受益匪淺。
為了最終取得成功,平臺(tái)團(tuán)隊(duì)不僅必須解決其開(kāi)發(fā)人員用例,還必須解決其他內(nèi)部團(tuán)隊(duì)的用例。
這樣的平臺(tái)可能具有一個(gè)或多個(gè)用戶界面,開(kāi)發(fā)人員和其他內(nèi)部用戶可以使用這些界面以自助方式輕松使用這些服務(wù),而平臺(tái)團(tuán)隊(duì)的幫助最少。
對(duì)于不同的用戶角色,用戶界面可能不同。例如,開(kāi)發(fā)人員可以使用 Backstage(一個(gè)用于構(gòu)建內(nèi)部開(kāi)發(fā)人員門戶的開(kāi)源框架)作為自助服務(wù)門戶來(lái)訪問(wèn)所有開(kāi)發(fā)資源,如目錄、模板、部署管道、開(kāi)發(fā)/測(cè)試環(huán)境等。團(tuán)隊(duì)可以使用 Terraform用于基礎(chǔ)設(shè)施管理和維護(hù)。
用戶界面的背后是平臺(tái)的后端,它匯集了組織的所有通用框架、基礎(chǔ)設(shè)施、服務(wù)和工具,并通過(guò)一個(gè)或多個(gè)用戶界面將它們作為標(biāo)準(zhǔn)服務(wù)提供給最終用戶。
組織的安全、治理和合規(guī)性要求也被納入后端以應(yīng)用于所有平臺(tái)服務(wù),以便在整個(gè)組織中一致地執(zhí)行這些要求。
2、平臺(tái)架構(gòu)
在最簡(jiǎn)單的形式中,該平臺(tái)可以被視為兩個(gè)組件(如下所示)——一個(gè)由一個(gè)或多個(gè)最終用戶界面組成的前端和一個(gè)為前端提供必要的基礎(chǔ)設(shè)施、服務(wù)和工具自動(dòng)化的后端,從而為最終用戶提供支持以自助方式使用這些功能來(lái)提高生產(chǎn)力、加速產(chǎn)品開(kāi)發(fā)以及一致的安全和治理策略控制。
開(kāi)發(fā)人員的前端可以是簡(jiǎn)單的自制門戶、高級(jí)后臺(tái)部署或商業(yè)內(nèi)部開(kāi)發(fā)人員平臺(tái) (IDP) 解決方案。同樣,對(duì)于 SRE 團(tuán)隊(duì)來(lái)說(shuō),前端可能由平臺(tái)團(tuán)隊(duì)開(kāi)發(fā)的一組通用 Terraform 模塊組成,用于配置和管理基礎(chǔ)設(shè)施。
對(duì)于某些團(tuán)隊(duì)來(lái)說(shuō),這可能意味著可以檢入 git 存儲(chǔ)庫(kù)的基礎(chǔ)設(shè)施資源的聲明性規(guī)范,并且基礎(chǔ)設(shè)施資源通過(guò) GitOps 自動(dòng)配置和管理。
后端本質(zhì)上是基礎(chǔ)設(shè)施自動(dòng)化、應(yīng)用程序服務(wù)、開(kāi)發(fā)人員體驗(yàn)工具、SRE 工具和框架以及安全和治理策略管理工具的集合。平臺(tái)團(tuán)隊(duì)通常通過(guò)在這些基礎(chǔ)設(shè)施、服務(wù)和工具之上添加額外的自動(dòng)化層來(lái)構(gòu)建此后端,以使它們可以通過(guò)各種前端使用。
例如,可能是開(kāi)發(fā)自定義插件,以允許開(kāi)發(fā)人員從 Backstage 門戶創(chuàng)建開(kāi)發(fā)人員沙箱。同樣,它可能是一個(gè) Terraform 模塊,用于創(chuàng)建具有所有必需的附加組件和策略的 Kubernetes 集群,SRE/運(yùn)營(yíng)團(tuán)隊(duì)可以使用它來(lái)創(chuàng)建具有一致配置的集群。平臺(tái)后端的每個(gè)主要組件描述如下:
3、基礎(chǔ)設(shè)施
該組件提供配置和編排公共/私有云資源所需的自動(dòng)化。自動(dòng)化可能包括為 Kubernetes 集群、完整環(huán)境等復(fù)雜資源配置基本基礎(chǔ)設(shè)施資源(如虛擬私有云、身份和訪問(wèn)管理角色以及負(fù)載均衡器)。平臺(tái)團(tuán)隊(duì)通常使用基礎(chǔ)設(shè)施即代碼和 GitOps 實(shí)踐來(lái)實(shí)現(xiàn)自動(dòng)化。
4、服務(wù)
每個(gè)應(yīng)用程序團(tuán)隊(duì)在其應(yīng)用程序開(kāi)發(fā)中都會(huì)使用各種不屬于核心應(yīng)用程序的服務(wù)和工具。這些服務(wù)的范圍可能從容器注冊(cè)表、CI/CD 管道和 Vault 作為機(jī)密管理等基本服務(wù),到消息傳遞、緩存、數(shù)據(jù)備份、災(zāi)難恢復(fù)等高級(jí)服務(wù)。
平臺(tái)團(tuán)隊(duì)自動(dòng)化這些服務(wù),并通過(guò)簡(jiǎn)單的界面將它們提供給應(yīng)用程序團(tuán)隊(duì)進(jìn)行加入/集成,從而減少應(yīng)用程序團(tuán)隊(duì)的辛苦和認(rèn)知負(fù)擔(dān),使他們能夠更多地專注于核心應(yīng)用程序開(kāi)發(fā),以加速產(chǎn)品交付。
5、可觀測(cè)性
可觀察性涉及從正在運(yùn)行的系統(tǒng)收集可用于故障排除和修復(fù)問(wèn)題的數(shù)據(jù)、分析資源使用情況以優(yōu)化性能、收集容量規(guī)劃指標(biāo)或構(gòu)建預(yù)警系統(tǒng)以在任何潛在問(wèn)題發(fā)生之前檢測(cè)到這些數(shù)據(jù)等。
日志記錄、指標(biāo)和跟蹤是可觀察性堆棧的重要組成部分。平臺(tái)團(tuán)隊(duì)通常使用開(kāi)源和/或商業(yè)解決方案,并且可以實(shí)現(xiàn)額外的自動(dòng)化以與各種數(shù)據(jù)收集應(yīng)用程序無(wú)縫集成;他們將其提供給開(kāi)發(fā)人員和 SRE/Ops 團(tuán)隊(duì)進(jìn)行分析和故障排除。
6、SRE
除了可觀察性工具之外,SRE 和運(yùn)營(yíng)團(tuán)隊(duì)還使用大量其他工具和技術(shù)來(lái)管理和運(yùn)營(yíng)大規(guī)模應(yīng)用基礎(chǔ)設(shè)施。這些可能包括車隊(duì)基礎(chǔ)設(shè)施管理和運(yùn)營(yíng)的自動(dòng)化、混沌工程、事件管理、警報(bào)管理、用于高級(jí)調(diào)試的自定義故障排除工具、自我修復(fù)等。
平臺(tái)團(tuán)隊(duì)可以對(duì)其中一些工具的開(kāi)源和商業(yè)產(chǎn)品進(jìn)行標(biāo)準(zhǔn)化,并將其提供給 SRE 團(tuán)隊(duì)。同樣,平臺(tái)團(tuán)隊(duì)可以為車隊(duì)管理、高級(jí)調(diào)試和自我修復(fù)類型的用例開(kāi)發(fā)自定義解決方案,因?yàn)檫@些用例可能非常特定于其基礎(chǔ)設(shè)施和應(yīng)用程序。
7、開(kāi)發(fā)者體驗(yàn) (DevEx)
每當(dāng)開(kāi)發(fā)人員開(kāi)始開(kāi)發(fā)新服務(wù)或應(yīng)用程序時(shí),他們常常被迫做重復(fù)的事情。這種情況在擁有許多內(nèi)部應(yīng)用程序團(tuán)隊(duì)、產(chǎn)品團(tuán)隊(duì)和業(yè)務(wù)部門的大型組織中尤其普遍,這些團(tuán)隊(duì)之間通常很少共享代碼和工具。這些重復(fù)性任務(wù)可能包括為已存在的新服務(wù)創(chuàng)建樣板代碼模板、設(shè)置測(cè)試床、啟動(dòng)開(kāi)發(fā)/測(cè)試環(huán)境等。
除此之外,開(kāi)發(fā)人員還需要了解他們擁有的服務(wù)的信息——它使用了哪些資源、服務(wù)的健康程度、最后一次更改的時(shí)間以及如何查看最新日志。平臺(tái)團(tuán)隊(duì)可以通過(guò)利用 Backstage 或其他開(kāi)發(fā)人員門戶的統(tǒng)一開(kāi)發(fā)人員門戶提供這些功能,以及自動(dòng)執(zhí)行此類任務(wù)中涉及的可重復(fù)任務(wù)的功能。
8、安全與治理
信息安全和安全團(tuán)隊(duì)為整個(gè)組織使用的所有組件、服務(wù)和基礎(chǔ)設(shè)施定義安全框架和基線安全態(tài)勢(shì)。這可能需要在所有系統(tǒng)中一致地執(zhí)行所有安全策略和實(shí)踐,以滿足安全基線狀況,持續(xù)驗(yàn)證基線以檢測(cè)任何偏差,并在發(fā)生違規(guī)時(shí)快速補(bǔ)救。
安全基線策略包括單點(diǎn)登錄和基于角色的訪問(wèn)控制、網(wǎng)絡(luò)安全、用于在資源級(jí)別實(shí)施精細(xì)合規(guī)性和安全策略的開(kāi)放策略代理 (OPA)、漏洞圖像掃描、運(yùn)行時(shí)容器安全、CIS 基準(zhǔn)測(cè)試、 ETC。
平臺(tái)團(tuán)隊(duì)需要在應(yīng)用程序開(kāi)發(fā)、部署和管理的每個(gè)階段以及基礎(chǔ)設(shè)施級(jí)別自動(dòng)應(yīng)用這些成本控制策略。
對(duì)于治理而言,成本控制策略對(duì)于每個(gè)組織都至關(guān)重要。平臺(tái)團(tuán)隊(duì)需要在應(yīng)用程序開(kāi)發(fā)、部署和管理的每個(gè)階段以及基礎(chǔ)設(shè)施級(jí)別自動(dòng)應(yīng)用這些成本控制策略。例如,這可能意味著為 Kubernetes 集群部署自動(dòng)安裝一組經(jīng)過(guò)批準(zhǔn)的系統(tǒng)附加組件和 OPA 策略、網(wǎng)絡(luò)策略和成本控制策略。
9、結(jié)論
沒(méi)有一種萬(wàn)能的平臺(tái)工程方法。它歸結(jié)為每個(gè)組織的具體要求、優(yōu)先級(jí)以及他們希望通過(guò)平臺(tái)實(shí)現(xiàn)的目標(biāo)。該平臺(tái)不僅僅是 IDP 或后臺(tái)部署或自助門戶。開(kāi)發(fā)者不一定是該平臺(tái)的唯一用戶。平臺(tái)團(tuán)隊(duì)必須徹底了解所有內(nèi)部用戶角色及其需求,并為平臺(tái)開(kāi)發(fā)正確類型的后端和用戶界面,為所有內(nèi)部用戶提供最大價(jià)值。
原文鏈接:https://thenewstack.io/platform-engineering/architecture-and-design-considerations-for-platform-engineering-teams
