企業(yè)現(xiàn)在正在使用各種IT資源來(lái)增強(qiáng)業(yè)務(wù)。當(dāng)成本是考量最多的部分，而免費(fèi)使用和可修改的開(kāi)源工具能幫助企業(yè)降低成本。同時(shí)，云供應(yīng)商還提供了許多新工具，來(lái)幫助企業(yè)從云服務(wù)中獲得比較大的價(jià)值。這些工具使企業(yè)能夠?qū)㈩A(yù)算和人力用于更具戰(zhàn)略意義的業(yè)務(wù)項(xiàng)目中。利用開(kāi)源云工具使企業(yè)本地組件和基于云的組件協(xié)同工作。今天，介紹一些不錯(cuò)的開(kāi)源云工具。

[[317310]]

Grafana

Grafana允許查詢，可視化和了解指標(biāo)，無(wú)論數(shù)據(jù)存儲(chǔ)在哪里，你可以與團(tuán)隊(duì)創(chuàng)建，瀏覽和共享儀表板，并促進(jìn)數(shù)據(jù)驅(qū)動(dòng)的文化。其優(yōu)秀用例是時(shí)間序列數(shù)據(jù)，如工業(yè)傳感器，天氣和進(jìn)程控制。Grafana用Go和Node.js編寫(xiě)。它帶有一個(gè)內(nèi)置的名為sqlite3的嵌入式數(shù)據(jù)庫(kù)。也可以使用其他數(shù)據(jù)存儲(chǔ)(如MySQL，PostgreSQL，Graphite，Influx DB，Prometheus和Elasticsearch)來(lái)存儲(chǔ)數(shù)據(jù)。它還通過(guò)使用其他插件來(lái)支持其他數(shù)據(jù)存儲(chǔ)。

Grafana可以安裝在Linux，Windows，Docker和Mac上。它帶有內(nèi)置的用戶控件和身份驗(yàn)證機(jī)制，例如LDAP，Google Auth和GitHub，可幫助控制對(duì)儀表板的訪問(wèn)。除了上面列出的身份驗(yàn)證之外，Grafana還支持AD身份驗(yàn)證。Grafana具有一個(gè)API接口，可用于保存儀表板，創(chuàng)建用戶和更新數(shù)據(jù)源。

Grafana儀表板

你可以輕松創(chuàng)建動(dòng)態(tài)且可重復(fù)使用的儀表板，還可以選擇創(chuàng)建模板以進(jìn)行重用。使用保留的標(biāo)簽過(guò)濾器瀏覽和搜索日志可以使創(chuàng)建儀表板的工作更加輕松。甚至可以使用臨時(shí)查詢來(lái)瀏覽特定數(shù)據(jù)并向下獲取取源。Grafana具有內(nèi)置的警報(bào)系統(tǒng)，可以使用該系統(tǒng)定義指定指標(biāo)的警報(bào)規(guī)則。它會(huì)不斷評(píng)估它們，并通過(guò)電子郵件或通過(guò)Slack等工具將通知發(fā)送到系統(tǒng)。

將Grafana與Kibana進(jìn)行比較時(shí)，前者更適合基于特定指標(biāo)(例如CPU/磁盤(pán)/IO使用率)的時(shí)間序列數(shù)據(jù)。但是Kibana更適合使用Elasticsearch功能的分析儀表板。因此，我們不能使用Grafana進(jìn)行數(shù)據(jù)搜索和探索。

Terraform

Terraform是HashiCorp提供的云基礎(chǔ)架構(gòu)工具。它用于有效地構(gòu)建，更改和版本化基礎(chǔ)結(jié)構(gòu)。簡(jiǎn)而言之，Terraform對(duì)交付基礎(chǔ)設(shè)施即代碼(IAAC)很有用。它支持大多數(shù)公有云服務(wù)提供商的基礎(chǔ)架構(gòu)以及本地基礎(chǔ)架構(gòu)。

Terraform與平臺(tái)無(wú)關(guān)，可幫助你部署自動(dòng)測(cè)試，源代碼控制等編碼原則。它得到了社區(qū)的大力支持，許多企業(yè)已開(kāi)始使用它來(lái)管理其基礎(chǔ)架構(gòu)。

你可以進(jìn)行Terraform的試運(yùn)行，它無(wú)需提交即可模擬實(shí)際更改，此功能對(duì)開(kāi)發(fā)人員非常有用。Terraform資源圖創(chuàng)建所有資源的視圖，包括每個(gè)資源之間的依賴關(guān)系。Terraform利用各自的云提供商的API來(lái)管理基礎(chǔ)架構(gòu)，從而減少了對(duì)其他資源的需求。

Terraform是一種描述性語(yǔ)言，用于描述資源的目標(biāo)級(jí)別。流行的云供應(yīng)商可以使用插件來(lái)管理各自的云資源。此外，可以使用多種語(yǔ)言創(chuàng)建自己的插件。Terraform主要支持Go語(yǔ)言。

git-secret

開(kāi)發(fā)人員通常的做法是對(duì)代碼中使用的密碼/憑據(jù)進(jìn)行加密，然后將其保存在安全的地方。為此，我們有多種工具，其中Vault是其中之一。git-secret是一個(gè)用于在Git存儲(chǔ)庫(kù)中存儲(chǔ)秘密的簡(jiǎn)單工具。git-secret使用gpg加密和解密。

用例有：

• 在集中位置管理密鑰以進(jìn)行加密和解密
• 版本控制的加密，以實(shí)現(xiàn)更好的管理
• 訪問(wèn)控制和利用誰(shuí)可以加密和解密
• 不得將任何密碼以純文本形式存儲(chǔ)

可以使用git-secrets來(lái)存儲(chǔ)以純文本格式存儲(chǔ)的Oauth密鑰，DB密碼，應(yīng)用程序密鑰和其他密鑰。

git-secret是一個(gè)用于在Git存儲(chǔ)庫(kù)中存儲(chǔ)私有數(shù)據(jù)的工具。它使用gpg加密密碼，并使用所有受信任用戶的公共密鑰跟蹤文件。因此，用戶只能使用各自的個(gè)人密鑰解密文件，并且此處不會(huì)更改任何密碼。當(dāng)某人離開(kāi)企業(yè)或被替換時(shí)，只需刪除公鑰，重新加密文件，他們將無(wú)法再解密。

Aardvark和Repokid

Aardvark和Repokid可以確保角色在大型動(dòng)態(tài)云部署中僅保留必要的特權(quán)。這些是Netflix提供的開(kāi)源云安全工具，用于適應(yīng)快速創(chuàng)新和分布式擴(kuò)展。它們幫助實(shí)現(xiàn)了最小特權(quán)訪問(wèn)的原則，而不會(huì)影響性能。

所有公有云提供商都具有身份和訪問(wèn)管理(IAM)服務(wù)，可幫助為用戶創(chuàng)建精細(xì)的策略。但是，自定義粒度策略增加了復(fù)雜性，這會(huì)使開(kāi)發(fā)人員創(chuàng)建產(chǎn)品更加困難。缺少必要的權(quán)限會(huì)使應(yīng)用程序失敗，而過(guò)多的權(quán)限會(huì)帶來(lái)安全漏洞和合規(guī)性問(wèn)題。

Aardvark使用Phantoms登錄到云提供商的控制臺(tái)，并檢索帳戶中所有IAM角色的Access Advisor數(shù)據(jù)。它將最新的Access Advisor數(shù)據(jù)存儲(chǔ)在DynamoDB數(shù)據(jù)庫(kù)中，并公開(kāi)RESTful API。

Aardvark支持線程化以同時(shí)檢索多個(gè)帳戶的數(shù)據(jù)，并在不到20分鐘的時(shí)間內(nèi)刷新數(shù)據(jù)。

DynamoDB表具有有關(guān)策略，權(quán)限計(jì)數(shù)(總數(shù)和未使用)，角色是否符合回購(gòu)條件或是否經(jīng)過(guò)過(guò)濾以及最后一次刪除每個(gè)角色的未使用權(quán)限(回購(gòu)功能)的數(shù)據(jù)，如圖. Repokid將DynamoDB中存儲(chǔ)的數(shù)據(jù)與角色未使用的服務(wù)一起使用，并刪除未使用的權(quán)限。

Aardvark學(xué)習(xí)過(guò)程

一旦對(duì)角色進(jìn)行了充分的概要分析，Repokid的repose功能便會(huì)修改該角色附帶的內(nèi)聯(lián)策略，以排除未使用的權(quán)限。Repokid還維護(hù)以前策略版本的緩存，以防需要將角色恢復(fù)到以前的狀態(tài)?；刭?gòu)功能可以應(yīng)用于單個(gè)角色，但通常用于定位帳戶中的每個(gè)合格角色。

OpenShift

OpenShift是一項(xiàng)類似于針對(duì)內(nèi)部部署和云平臺(tái)的“容器即服務(wù)”的服務(wù)。它基于由Kubernetes在Red Hat Enterprise Linux的基礎(chǔ)上編排和管理的Docker容器構(gòu)建。V3的最新版本具有許多新功能。OpenShift項(xiàng)目由Kubernetes，Docker，CoreOS，F(xiàn)ramework，Crio，Prometheus等支持。

OpenShift容器平臺(tái)架構(gòu)

將容器分組在一起極大地增加了可帶入OpenShift的應(yīng)用程序的數(shù)量。這帶來(lái)了具有單個(gè)IP地址和共享文件系統(tǒng)的好處。由于OpenShift容器本質(zhì)上是不可變的，因此可以在運(yùn)行時(shí)將應(yīng)用程序代碼，從屬庫(kù)和機(jī)密附加到容器。這使管理員和集成商可以將代碼和補(bǔ)丁與配置和數(shù)據(jù)分開(kāi)。OpenShift容器框架如圖所示。

OpenShift和Kubernetes是作為一組微服務(wù)構(gòu)建的，這些微服務(wù)通過(guò)常見(jiàn)的REST API一起工作以更改系統(tǒng)。這些非常API可供系統(tǒng)集成商使用，并且可以禁用那些相同的核心組件以允許替代實(shí)現(xiàn)。OpenShift在REST API上公開(kāi)了細(xì)粒度的訪問(wèn)控制，這使服務(wù)集成商的工作變得容易。

BOSH

BOSH是一個(gè)與云無(wú)關(guān)的開(kāi)源工具，用于復(fù)雜分布式系統(tǒng)的發(fā)布，部署和生命周期管理。大多數(shù)發(fā)行版和托管Cloud Foundry環(huán)境都使用BOSH全面管理環(huán)境，以便可以專注于編碼和交付業(yè)務(wù)價(jià)值。由于BOSH的靈活性和強(qiáng)大功能，Google和Pivotal使其成為了Kubo項(xiàng)目(Kubernetes的Web規(guī)模發(fā)布工程)的核心。

BOSH的工作方式類似于分布式系統(tǒng)，在該系統(tǒng)中，運(yùn)行在不同虛擬機(jī)上的各個(gè)軟件組件的集合作為一個(gè)更大的系統(tǒng)一起工作。

BOSH部署

下面列出了BOSH的主要組件。

• Stem cell：這類似于用于創(chuàng)建虛擬機(jī)的OS的鏡像。它將基本操作系統(tǒng)與部署中捆綁的其他軟件包隔離。
• Release：這是干Stem cell之上的一層，描述了應(yīng)該部署什么軟件以及應(yīng)該如何配置它。它包含配置屬性和模板，啟動(dòng)腳本，源代碼，二進(jìn)制工件等。
• Deployment manifest：BOSH使用此YAML清單文件將其部署到目標(biāo)基礎(chǔ)結(jié)構(gòu)，監(jiān)控虛擬機(jī)或容器的運(yùn)行狀況，并在必要時(shí)進(jìn)行修復(fù)。
• 云提供商接口：CPI是BOSH用于與基礎(chǔ)架構(gòu)進(jìn)行交互以創(chuàng)建和管理Stem cell，VM和磁盤(pán)的API。

其他環(huán)境中也采用了BOSH來(lái)打包和管理各種軟件。BOSH的優(yōu)勢(shì)在于它可以同時(shí)管理第一天和第二天的操作任務(wù)，例如配置軟件并將其升級(jí)到新版本，測(cè)試將整個(gè)系統(tǒng)從一個(gè)版本升級(jí)到另一個(gè)版本，調(diào)整主機(jī)大小以及處理安全更新。

Spinnaker

Spinnaker是一個(gè)開(kāi)源的多云連續(xù)交付平臺(tái)，用于以高速發(fā)布軟件更改。它結(jié)合了強(qiáng)大而靈活的管道管理系統(tǒng)以及來(lái)自主要云提供商服務(wù)的集成，這些服務(wù)包括AWS EC2，Kubernetes，Google Compute Engine，Google Kubernetes Engine，Google App Engine，微軟Azure，OpenStack，Cloud Foundry和Oracle Cloud Infrastructure。

它通過(guò)創(chuàng)建部署管道來(lái)自動(dòng)化發(fā)布，這些管道可以運(yùn)行集成和系統(tǒng)測(cè)試，上下移動(dòng)服務(wù)器組以及監(jiān)控部署。它通過(guò)Git events，Jenkins，Travis CI，Docker，CRON或其他Spinnaker管道觸發(fā)管道。

Spinnaker部署管道

Spinnaker創(chuàng)建并部署不可變的鏡像，以實(shí)現(xiàn)更快的部署，更容易的回滾并消除難以調(diào)試的配置漂移問(wèn)題。它利用內(nèi)置的部署策略(例如紅色/黑色和金絲雀部署)利用云中的不變基礎(chǔ)架構(gòu)。

Spinnaker的應(yīng)用程序管理功能可幫助管理云資源。Spinnaker作為服務(wù)的集合運(yùn)行，有時(shí)稱為應(yīng)用程序或微服務(wù)。應(yīng)用程序，集群和服務(wù)器組是Spinnaker用來(lái)描述服務(wù)的關(guān)鍵概念。負(fù)載均衡器和防火墻描述了你的服務(wù)如何向用戶公開(kāi)。

Spinnaker管道是關(guān)鍵的部署管理結(jié)構(gòu)，它由一系列動(dòng)作組成?？梢匝毓艿涝陔A段之間傳遞參數(shù)，如圖所示。你可以手動(dòng)啟動(dòng)管道，也可以通過(guò)事件自動(dòng)觸發(fā)管道，例如作業(yè)的完成，注冊(cè)表中出現(xiàn)的新鏡像，CRON計(jì)劃或另一個(gè)管道中的動(dòng)作?？梢耘渲霉艿溃栽诠艿缊?zhí)行期間的各個(gè)時(shí)間點(diǎn)通過(guò)電子郵件，Slack或SMS通知。

Spinnaker以云原生部署策略為先構(gòu)建，處理基礎(chǔ)編排，例如，驗(yàn)證運(yùn)行狀況檢查，禁用舊服務(wù)器組和啟用新服務(wù)器組。它支持紅色/黑色(又名藍(lán)色/綠色)策略，并在積極開(kāi)發(fā)中采用滾動(dòng)的紅色/黑色和金絲雀策略，如圖所示。

Spinnaker部署策略