Ohjelmointi

OPA: Yleiskäyttöinen käytäntömoottori pilvipalveluille

Kun organisaatiossasi on pilvi, saatat huomata, että pilvipohjaisen pinon dynaamisuus ja laajuus vaatii paljon monimutkaisemman tietoturva- ja vaatimustenmukaisuuden. Esimerkiksi kun kontti-orkesterointialustat, kuten Kubernetes, ovat saaneet vetovoimaa, kehittäjillä ja devops-tiimeillä on uusi vastuu politiikan aloista, kuten pääsynvalvonta, sekä perinteisemmistä alueista, kuten laskenta, tallennus ja verkostoituminen. Samaan aikaan jokainen sovellus, mikropalvelu tai palveluverkko vaatii omat valtuutuskäytäntönsä, joiden kehittäjät ovat koukussa.

Näistä syistä metsästys on yksinkertaisempaa, aikatehokkaampaa tapaa luoda, valvoa ja hallita käytäntöjä pilvessä. Anna Open Policy Agent (OPA). Neljä vuotta sitten luotusta avoimen lähdekoodin toimialue-agnostisesta käytäntömoottorista OPA: sta on tulossa tosiasiallisesti standardi pilvipohjaiseen käytäntöön. Itse asiassa OPA: ta käytetään jo tuotannossa yrityksissä, kuten Netflix, Pinterest ja Goldman Sachs, käyttötarkoituksiin, kuten Kubernetesin pääsynvalvonta ja mikropalvelujen API-valtuutus. OPA käyttää myös monia pilvipohjaisia ​​työkaluja, jotka tunnet jo ja rakastat, mukaan lukien Atlassian-paketti ja Chef Automate.

[Myös: Missä sivuston luotettavuustekniikka kohtaa devopsia]

OPA tarjoaa pilvipohjaisille organisaatioille yhtenäisen käytännön kielen, jotta valtuutuspäätökset voidaan ilmaista yhteisellä tavalla sovellusten, sovellusliittymien, infrastruktuurin ja muun suhteen ilman, että sinun on pakko räätälöidä käytäntöjä kullekin näistä kielistä ja työkaluista erikseen . Lisäksi, koska OPA on tarkoitettu valtuutusta varten, se tarjoaa kasvavan joukon suorituskyvyn optimointeja, jotta politiikan tekijät voivat viettää suurimman osan ajastaan ​​oikean, ylläpidettävän käytännön kirjoittamiseen ja jättää suorituskyvyn OPA: n vastuulle.

OPA-valtuutuskäytännöllä on monia, monia käyttötapauksia pinossa - suojakaiteiden asettamisesta kontti-orkestroinnin ympärille, SSH-pääsyn hallintaan tai kontekstipohjaisen palveluverkon valtuutuksen tarjoamiseen. On kuitenkin kolme suosittua käyttötapausta, jotka tarjoavat hyvän käynnistysalustan monille OPA-käyttäjille: sovelluksen valtuutus, Kubernetes-pääsyn hallinta ja mikropalvelut.

OPA hakemuslupaa varten

Valtuutuskäytäntö on kaikkialla, koska käytännössä jokainen sovellus sitä vaatii. Kehittäjät kuitenkin tyypillisesti "pyörittävät omaa" koodiaan, mikä ei ole vain aikaa vievää, vaan johtaa tilkkutyökaluihin, joita on vaikea ylläpitää. Vaikka valtuutus on kriittinen jokaiselle sovellukselle, käytäntöjen luomiseen käytetty aika tarkoittaa vähemmän aikaa keskittyä käyttäjään kohdistuviin ominaisuuksiin.

OPA käyttää tarkoitukseen rakennettua deklaratiivista käytäntökieltä, joka tekee lupapolitiikan kehittämisen yksinkertaiseksi. Voit esimerkiksi luoda ja valvoa käytäntöjä yhtä suoraviivaisesti kuin "Et voi lukea henkilötietoja, jos olet urakoitsija" tai "Jane voi käyttää tätä tiliä". Mutta se on vasta alkua. Koska OPA on kontekstitietoinen, voit myös rakentaa politiikkaa, joka ottaa huomioon mitä tahansa planeetalla - esimerkiksi: "Kaupankäyntipäivän viimeisen tunnin aikana pyydetyt osakekaupat, jotka johtavat yli miljoonan dollarin kauppaan, voidaan toteuttaa vain tiettyjä palveluja tietyssä nimiavaruudessa. "

Tietysti monilla organisaatioilla on jo olemassa räätälöity valtuutus. Jos kuitenkin haluat hajottaa sovelluksesi ja skaalata mikropalveluja pilvessä säilyttäen samalla kehittäjien tehokkuuden, tarvitaan hajautettu valtuutusjärjestelmä. Monille OPA on puuttuva palapeli.

OPA Kubernetesin pääsynvalvontaan

Monet käyttäjät käyttävät OPA: ta myös luodakseen suojakaiteita Kubernetesille. Itse Kuberneteksestä on tullut valtavirta ja kriittinen, ja organisaatiot etsivät tapoja määritellä ja toteuttaa turvavalvoja turvallisuuden ja vaatimustenmukaisuuden riskien vähentämiseksi. OPA: n avulla järjestelmänvalvojat voivat asettaa selkeät käytännöt, jotta kehittäjät voivat nopeuttaa putkituotantoa ja tuoda nopeasti uusia palveluja markkinoille huolimatta operatiivisista, turvallisuus- tai vaatimustenmukaisuusriskeistä.

OPA: ta voidaan käyttää luomaan käytäntöjä, jotka hylkäävät kaikki pääkäyttäjät, jotka käyttävät samaa isäntänimeä, tai jotka edellyttävät, että kaikki säilön kuvat tulevat luotetusta rekisteristä, tai varmistamaan, että kaikki tallennustilat on merkitty aina salakirjoituksella tai että jokainen paljastettu sovellus Internetiin käyttää hyväksyttyä verkkotunnusta - mainitsen vain muutaman esimerkin.

Koska OPA integroituu suoraan Kubernetes API -palvelimeen, se voi hylätä kaikki resurssit, jotka käytäntö kieltää, laskennassa, verkossa, tallennustilassa ja niin edelleen. Erityisen hyödyllinen kehittäjille, voit paljastaa nämä käytännöt aiemmin kehitysvaiheessa, kuten CI / CD-putkessa, jotta kehittäjät voivat saada palautetta aikaisin ja korjata ongelmat ennen ajonaikaa. Voit myös vahvistaa käytännöt taajuusalueen ulkopuolelta varmistaen, että ne saavuttavat aiotun vaikutuksen eivätkä aiheuta tahattomasti ongelmia.

OPA mikropalveluille

Lopuksi, OPA: sta on tullut erittäin suosittu, koska se auttaa organisaatioita hallitsemaan mikropalvelujaan ja palveluverkkoarkkitehtuurejaan. OPA: n avulla voit luoda ja valvoa käyttöoikeuskäytäntöjä suoraan mikropalvelulle (tyypillisesti sivuvaununa), rakentaa palveluiden välisiä käytäntöjä palveluverkkoon tai turvallisuuden näkökulmasta luoda käytäntöjä, jotka rajoittavat sivuttaista liikkumista palveluverkossa arkkitehtuuri.

Yhdenmukaisen käytännön luominen pilvikohtaisille arkkitehtuureille

Yleisesti ottaen OPA: n käytön yleistavoitteena on luoda yhtenäinen lähestymistapa käytäntöjen luomiseen pilvipohjaisen pinon kautta - joten sinun ei tarvitse hallita käytäntöä jatkuvasti kymmenissä sijainneissa eri kielillä ja lähestymistavoilla mainoksen kautta. hoc sekoitus heimotietoa, wikit ja PDF-tiedostot tai sekoitus yhteensopimattomia työkaluja.

[Myös: 7 parasta käytäntöä ketterille etäjoukkueille]

Kehityksen yksinkertaistamisen ja nopeuttamisen lisäksi tämä on suuri uutinen myös turvallisuudelle, koska OPA vähentää tarvittavien työkalujen määrää tarkistaaksesi, epäiletkö esimerkiksi luvattomaa käyttöä. Vastaavasti sekä toiminnan että vaatimustenmukaisuuden näkökulmasta OPA helpottaa tietojen hankkimista ja analysointia heterogeenisessa ympäristössä - auttaa sinua tunnistamaan ongelmat nopeasti ja ratkaisemaan ne nopeammin.

Kehittäjät etsivät yksinkertaisempaa ja tehokkaampaa tapaa luoda ja hallita käytäntöpohjaisia ​​ohjaimia pilvipohjaisiin ympäristöihinsä. Monille tämä ratkaisu on OPA. Jos huomaat, että kosketat valtuutuskäytäntöä useissa paikoissa, useilla kielillä tai useilla tiimeillä, OPA voi auttaa vähentämään tarpeettomuutta ja nopeutta sinulle, aivan kuten heille.

Tim Hinrichs on Open Policy Agent -projektin ja Styran teknologiajohtaja. Ennen sitä hän perusti OpenStack Congress -projektin ja oli ohjelmistoinsinööri VMwaressa. Tim vietti viimeiset 18 vuotta kehittäen selittäviä kieliä eri verkkotunnuksille, kuten pilvipalveluille, ohjelmistojen määrittelemille verkkoille, kokoonpanonhallinnalle, verkkoturvallisuudelle ja pääsynhallinnalle. Hän sai tohtorin tutkinnon tietojenkäsittelytieteessä Stanfordin yliopistossa vuonna 2008.

New Tech Forum tarjoaa mahdollisuuden tutkia ja keskustella kehittyvistä yritysteknologioista ennennäkemättömällä syvyydellä ja laajuudella. Valinta on subjektiivinen, perustuu valitsemiemme tekniikoihin, joiden uskomme olevan tärkeitä ja kiinnostavia lukijoille. ei hyväksy markkinointivakuuksia julkaisua varten ja pidättää oikeuden muokata kaikkea lähetettyä sisältöä. Lähetä kaikki tiedustelut osoitteeseen [email protected]