隨著混合云戰(zhàn)略的不斷普及，美國(guó)軍方也開(kāi)始采用適合自己的獨(dú)特發(fā)展方案。

根據(jù)美國(guó)空軍首席軟件官Nicholas Chaillan在本次于圣迭戈召開(kāi)的KubeCon 2019大會(huì)上發(fā)布的報(bào)告，目前空軍方面正在嘗試?yán)肒ubernetes及Istio等一系列開(kāi)源云工具支持業(yè)務(wù)體系。這些工具往往會(huì)被部署在各類非常規(guī)平臺(tái)之上，包括武器系統(tǒng)甚至戰(zhàn)斗機(jī)當(dāng)中。事實(shí)上，軍方確實(shí)著手嘗試在F-16噴氣式戰(zhàn)斗機(jī)的內(nèi)置硬件上運(yùn)行Kubernetes。

Chaillan表示，“對(duì)團(tuán)隊(duì)來(lái)說(shuō)，目前的主要任務(wù)就是證明這種嘗試的可行性。”他向空軍及其合作伙伴提出一項(xiàng)挑戰(zhàn)，要求在45天之內(nèi)將Kubernetes運(yùn)行在噴氣式飛機(jī)上，并保證飛機(jī)仍能夠正常運(yùn)作。雖然聽(tīng)起來(lái)相當(dāng)困難，但該團(tuán)隊(duì)成功完成了任務(wù)，目前這架F-16戰(zhàn)機(jī)并發(fā)運(yùn)行有三套Kubernetes集群。

說(shuō)到這里，很多朋友自然會(huì)想到下一個(gè)問(wèn)題：這么做的理由是什么?在KubeCon開(kāi)幕日的簡(jiǎn)短主題演講當(dāng)中，Chaillan介紹了美國(guó)空軍以及國(guó)防部其他幾個(gè)部門如何在他的領(lǐng)導(dǎo)下大力推進(jìn)容器技術(shù)實(shí)驗(yàn)，包括如何開(kāi)展容器、Kubernetes以及Istio部署項(xiàng)目。這將是一套靈活的通用性開(kāi)發(fā)平臺(tái)，面向各軍種的內(nèi)部軟件團(tuán)隊(duì)，能夠有效防止供應(yīng)商鎖定問(wèn)題的出現(xiàn)。

Chaillan介紹稱，在空軍啟動(dòng)此次項(xiàng)目約18個(gè)月之前，大部分軍事軟件團(tuán)隊(duì)還在利用陳舊的瀑布式流程進(jìn)行軟件構(gòu)建，且新編寫(xiě)的代碼往往需要數(shù)年時(shí)間才能得到實(shí)際應(yīng)用。更可怕的是，更新、測(cè)試乃至安全性審查等在商業(yè)部門當(dāng)中早已全面實(shí)現(xiàn)自動(dòng)化的任務(wù)，軍方仍在廣泛依賴于人工執(zhí)行。

考慮到肩負(fù)著重大國(guó)防安全職責(zé)，軍事組織顯然不能在技術(shù)層面長(zhǎng)期落后于主流。一旦競(jìng)爭(zhēng)對(duì)手投資發(fā)展軟件功能，并在戰(zhàn)場(chǎng)上占據(jù)優(yōu)勢(shì)，那么國(guó)家安全將很快面臨挑戰(zhàn)。此外，緩慢的關(guān)鍵應(yīng)用程序更新速度，也會(huì)帶來(lái)大量不容忽視的負(fù)面影響。

Chaillan指出，“因此，減少攻擊面并降低威脅水平，已經(jīng)成為我們必須面對(duì)的頭等大事。”

國(guó)防部Enterprise DevSecOps計(jì)劃

Chaillan和他的團(tuán)隊(duì)決定將開(kāi)源軟件作為新型開(kāi)發(fā)平臺(tái)的實(shí)現(xiàn)基礎(chǔ)，并建立起國(guó)防部Enterprise DevSecOps計(jì)劃。此項(xiàng)計(jì)劃要求將Kubernetes、Istio、Knative以及一整套內(nèi)部開(kāi)發(fā)規(guī)范(用于強(qiáng)化容器技術(shù)，從而滿足更為嚴(yán)格的安全要求)結(jié)合起來(lái)，共同構(gòu)建起面向軍方整體的默認(rèn)軟件開(kāi)發(fā)平臺(tái)。

來(lái)自不同分支機(jī)構(gòu)或地區(qū)的軟件團(tuán)隊(duì)，將在選擇自有工具方面擁有一定的處置權(quán)，但前提是必須以空軍Platform One團(tuán)隊(duì)提供的底層方案為基礎(chǔ)。Chaillan強(qiáng)調(diào)，各方不得對(duì)該底層方案做出任何修改。

Chaillan在演講后由云原生計(jì)算基金會(huì)召開(kāi)的新聞發(fā)布會(huì)上，又就這一問(wèn)題做出了進(jìn)一步說(shuō)明。他解釋稱，“我們希望破除一切束縛。”出于這一考量，該團(tuán)隊(duì)決定將Kubernetes與其他項(xiàng)目協(xié)同使用。Chaillan表示，Istio等項(xiàng)目可以為國(guó)防部技術(shù)棧的網(wǎng)絡(luò)層提供安全保障，“我們希望確保Istio在軍方的整體技術(shù)棧中持續(xù)運(yùn)行。”

當(dāng)然，整個(gè)過(guò)程也不乏各類實(shí)際挑戰(zhàn)。Chaillan指出，Kubernetes在原始設(shè)計(jì)方面，并沒(méi)有考慮到美國(guó)軍方所面臨的不連續(xù)應(yīng)用場(chǎng)景，特別是長(zhǎng)時(shí)間斷網(wǎng)的使用環(huán)境。他暗示稱，國(guó)防部將參與Kubernetes社區(qū)開(kāi)發(fā)，向項(xiàng)目維護(hù)者提出相關(guān)建議，從而為Kubernetes向各類敏感運(yùn)行環(huán)境進(jìn)軍的過(guò)程鋪平道路。

他指出，“我們已經(jīng)習(xí)慣于利用互聯(lián)網(wǎng)進(jìn)行軟件更新，習(xí)慣于隨時(shí)接入互聯(lián)網(wǎng)，并下載需要的各類資源。但對(duì)我們來(lái)說(shuō)，要把這一切技術(shù)棧轉(zhuǎn)移到”噴氣式戰(zhàn)斗機(jī)或者武器系統(tǒng)上，就必須要考慮到無(wú)法與互聯(lián)網(wǎng)連接的情況。

國(guó)防部建立的超大規(guī)模開(kāi)源堆棧

國(guó)防部的業(yè)務(wù)規(guī)模超越幾乎任何商業(yè)組織;Chaillan必須根據(jù)DevSecOps原則對(duì)10萬(wàn)軍人進(jìn)行培訓(xùn)，同時(shí)指導(dǎo)他們?nèi)绾问褂眯滦凸ぞ?。他在新聞發(fā)布會(huì)上相當(dāng)克制地表示，“這將是一場(chǎng)非常有趣的文化轉(zhuǎn)變。”

如此龐大的規(guī)模，也反映出國(guó)防部勢(shì)必會(huì)利用這套全新開(kāi)發(fā)平臺(tái)處理各類常規(guī)、非保密性應(yīng)用：目前美國(guó)軍方工作人員超過(guò)200萬(wàn)，其中大多數(shù)人顯然沒(méi)有接觸過(guò)運(yùn)行有Kubernetes的F-16戰(zhàn)斗機(jī)。

Chaillan指出，“這架噴氣戰(zhàn)機(jī)非常有趣，但只是我們當(dāng)前工作中的很小一部分。我們正著手將大量業(yè)務(wù)系統(tǒng)遷移至云原生環(huán)境，遷移至微服務(wù)架構(gòu)，同時(shí)從零開(kāi)始構(gòu)建各類新型解決方案。”

整個(gè)國(guó)防部Enterprise DevSecOps計(jì)劃將完全采用開(kāi)源技術(shù)堆棧，可供任何軍方工作人員使用。他指出，美國(guó)軍方未來(lái)還將把更多工作交由開(kāi)源社區(qū)處理，同時(shí)強(qiáng)調(diào)“我們不會(huì)對(duì)開(kāi)源軟件進(jìn)行分叉。”