亚马逊AWS官方博客

Tag: 自动化

动态DevOps环境中的IT治理

译者:殷实,AWS专业服务咨询顾问 |原文链接 动态DevOps环境中的IT治理 治理涵盖安全和生产力运营的协调,其目的是确保公司实现业务目标。 正在迁移到云端的客户可能处于实现治理的各个阶段。 每个阶段都有自己的挑战。 在这篇博文中(系列中的第一篇文章),我将讨论四步走的方法来自动化AWS服务的治理。 治理和DevOps环境 具有DevOps和敏捷思维的开发人员负责构建和运营服务。他们经常依靠中央安全小组制定和实施安全策略,寻求安全审查和批准,或实施最佳实践。 这些安全策略和规则并没有得到安全小组的严格执行。它们被视为开发人员为获得更多的使用AWS的灵活性而遵循的准则。然而,由于时间限制或重视度不足,开发人员可能并不总是遵循最佳实践和标准。如果这些最佳实践和规则得到严格执行,安全小组就可能成为瓶颈。 对于迁移到AWS的客户,这篇博文中描述的自动化治理机制将为开发人员保留灵活性,同时为安全团队提供控制。 在动态开发环境中,以下是一些常见的挑战: 通过捷径完成任务,例如将安全凭证硬编码在代码中。 成本管理,例如控制启动的实例的类型。 知识传递。 手动流程。 治理步骤 四步走的自动化治理方法: 在治理开始的时候,你需要实施一些(1)高风险操作的控制。在控制就绪后,你需要(2)监控你的环境,以确保你正确地配置了资源。监控将帮助你发现想要(3)尽快修复的问题。你还将需要定期地生成一份(4)审核报告,以展示所有内容都符合要求。 这篇博文中的例子协助阐明了四步走的自动化治理方法:中央IT团队允许其Big Data团队运行一个基于Amazon EMR集群的测试环境。该团队在100个t2.medium实例运行EMR任务,但是当一个团队成员使用100个r3.8xlarge实例来更快地完成任务时,业务会产生意外的费用。 中央IT团队关心治理,采取一些措施来防止这种情况再次发生: 控制要素:团队使用CloudFormation来限制实例的数量和类型,并使用AWS身份和访问管理来允许只有某个组可以修改EMR集群。 监控要素:团队使用AWS标记,AWS Config和AWS Trusted Advisor来监控EMR实例限制,并确定是否有人超额使用了被允许的实例数。 修复:团队创建一个自定义的AWS Config规则来终止那些不是指定类型的EMR实例。 审核:团队在AWS Config中审查EMR实例的生命周期。 控制 你可以通过标准化配置(通过AWS CloudFormation),限制配置的选项(通过AWS服务目录)和控制权限(通过IAM)来防范错误。 AWS CloudFormation可以帮助你在单个软件包中控制工作流环境。 在这个示例中,我们使用CloudFormation模板来限制实例的数量和类型,使用AWS标记来控制环境。 例如,团队可以通过使用限制了实例类型和数量的CloudFormation来阻止选择r3.8xlarge实例类型的选用。 CloudForamtion模板示例 包含标记的EMR集群 { “Type” : “AWS::EMR::Cluster”, “Properties” : { “AdditionalInfo” : JSON object, “Applications” : [ […]

Read More