作者 | Tom Krazit

策劃 | 星璇

出品 | 51CTO技術(shù)棧（微信號：blog51cto）

Kubernetes、Istio、knative 和內(nèi)部開發(fā)的“強化”容器規(guī)范現(xiàn)在已成為整個軍隊的默認軟件開發(fā)平臺。

1.美國首席軟件官：軍隊不能落后于技術(shù)太多

隨著混合云戰(zhàn)略的發(fā)展，美國軍方當(dāng)然正在采取獨特的方法。

根據(jù)美國首席軟件官 Nicholas Chaillan 在圣地亞哥 KubeCon 2019 上的演講，就像幾乎所有其他事情一樣，軍事組織越來越依賴軟件，他們正在轉(zhuǎn)向 Kubernetes 和 Istio 等一系列開源云工具來完成工作。這些工具部署在一些非?！坝腥ぁ钡牡胤?，從武器系統(tǒng)到戰(zhàn)斗機。是的，F(xiàn)-16 正在這些飛機內(nèi)置的舊硬件上運行 Kubernetes。

“團隊的一個重點是證明這是可以做到的，”柴蘭說。他向空軍及其合作伙伴發(fā)起挑戰(zhàn)，要求在 45 天內(nèi)在一架噴氣式飛機上安裝并運行 Kubernetes，雖然這聽起來很困難，但該團隊實現(xiàn)了目標(biāo)，F(xiàn)-16 現(xiàn)在正在運行三個并發(fā)的 Kubernetes 集群，他說。

接下來，Chaillan 解釋了空軍（以及現(xiàn)在在他的指導(dǎo)下，國防部其他部門）如何在容器、Istio 和 Kubernetes上押下重注。對于整個軍隊的軟件團隊來說，它是一個靈活但通用的開發(fā)平臺，可以防止供應(yīng)商鎖定。

Chaillan 說，大約 18 個月前，空軍開始這個項目之前，大多數(shù)軍事軟件團隊都在使用老式瀑布流程構(gòu)建軟件，新代碼可能需要數(shù)年時間才能完全投入生產(chǎn)。即便如此，更新、測試甚至安全審查都嚴重依賴人力來完成商業(yè)部門早就決定應(yīng)該自動化的任務(wù)。

在執(zhí)行任務(wù)所需的技術(shù)方面，軍隊確實不能落后于主流太多。當(dāng)競爭對手投資自己的軟件功能時，他們可以在戰(zhàn)場上獲得優(yōu)勢。更新一些軍方最關(guān)鍵的應(yīng)用程序所需的冰川過程的安全影響是顯而易見的。

“減少攻擊面并能夠減輕威脅對我們來說非常重要，”Chaillan 說。

2.美國國防部采用的企業(yè) DevSecOps

Chaillan 和他的團隊決定采用開源軟件作為新開發(fā)平臺的基礎(chǔ)，他們將其稱為DoD Enterprise DevSecOps Initiative。該倡議指定了 Kubernetes、Istio、knative 和內(nèi)部開發(fā)的規(guī)范的組合，用于“強化”容器，并具有嚴格的安全要求，作為整個軍隊的默認軟件開發(fā)平臺。

Chaillan 表示，不同部門或地區(qū)的軟件團隊對于如何使用自己掌握的工具有一定的自由裁量權(quán)，但一切都必須構(gòu)建在空軍平臺一團隊提供的層上，并且有幾件事不允許團隊更改。說。有趣的是，鑒于圍繞國防部上個月授予微軟的 10 年期 JEDI 云合同的喧囂，整個堆棧被設(shè)計為在Amazon Web Services 的 GovCloud 或 Microsoft Azure上運行。

彼時，Chaillan 在演講結(jié)束后由云原生計算基金會主辦的新聞發(fā)布會上進一步闡述了這一點，并解釋說“我們不想陷入任何一件事?！背鲇谶@個原因，該團隊選擇使用 Kubernetes，并與 Istio 等其他項目一起為 DoD 堆棧的網(wǎng)絡(luò)層提供安全性：“我們希望確保 Istio 在整個堆棧中持續(xù)運行，”Chaillan 說。

當(dāng)然，一路上也遇到了很多挑戰(zhàn)。Chaillan 說，Kubernetes 并不是為軍隊必須在許多情況下使用的斷開連接的環(huán)境而設(shè)計的，這些環(huán)境涉及不應(yīng)該到達互聯(lián)網(wǎng)的數(shù)據(jù)。他暗示，國防部在解決項目的這一部分時將為 Kubernetes 維護人員提供很多建議，這可能有助于為 Kubernetes 在其他敏感操作環(huán)境中使用鋪平道路。

“我們非常習(xí)慣使用互聯(lián)網(wǎng)進行更新，并連接到互聯(lián)網(wǎng)，直接從互聯(lián)網(wǎng)獲取更新。他說，對我們來說，我們必須將整個堆棧帶在飛機或武器系統(tǒng)上，這些系統(tǒng)在設(shè)計上與互聯(lián)網(wǎng)斷開連接。

3.美國防部規(guī)模的開源堆棧

國防部的運作規(guī)模幾乎不同于所有商業(yè)運作；Chaillan 必須對 100,000 人進行 DevSecOps 原理培訓(xùn)，更不用說新工具了?！拔幕D(zhuǎn)變很有趣，”當(dāng)時他在新聞發(fā)布會上說道，語氣似乎有些克制。

這一規(guī)模反映出美國國防部將把這個新的開發(fā)平臺用于許多普通和非機密的應(yīng)用程序：超過 200 萬人為軍隊工作，其中大多數(shù)人都沒有駕駛運行 Kubernetes 的 F-16。

“這架飛機很有趣，但它只是我們正在做的其余工作的一小部分。我們有很多業(yè)務(wù)系統(tǒng)正在遷移到云原生環(huán)境，遷移到微服務(wù)，從一開始就構(gòu)建起來，”Chaillan 說。

Chaillan 說，整個 DoD Enterprise DevSecOps Initiative 堆棧都是開源的，任何人都可以查看。他說，軍事機構(gòu)在向開源社區(qū)發(fā)布更多工作方面正在“做得更好”，并指出“我們不會分叉（開源）軟件?！?/p>

參考鏈接：https://thenewstack.io/how-the-u-s-air-force-deployed-kubernetes-and-istio-on-an-f-16-in-45-days/

想了解更多AIGC的內(nèi)容，請訪問：

51CTO AI.x社區(qū)

http://www.scjtxx.cn/aigc/