クラウドネイティブ/マイクロサービスベースの製品は複雑であり、これらの製品に対するアクセス制御の構築と権限の管理も複雑です。そして、プルリクエストをするたびに状況は悪化するばかりです。ほとんどの開発者は、製品に対して認証やアクセス制御を複数回構築することになり、新しい顧客、製品、またはセキュリティ要件ごとにリファクタリングを余儀なくされます。 人々の仕事や生活を楽にするためには、クラウド ネイティブの権限の構築に伴う特有の課題を理解し、開発者の悩みを大幅に軽減できるクラウド ネイティブの権限の構築に関する 5 つのベスト プラクティスを学ぶことが重要です。 アプリケーションとアクセス権限が変更されました開発者はこれまで、認可やアクセス制御を備えた Django や Spring などのモノリシック フレームワークを使用して認可を構築してきましたが、クラウド ネイティブ アプリケーションを作成する場合、これらはもはや適切ではありません。 これにはいくつかの理由があります:
エンパワーメントの現実これらすべての新しい要求には、認可についての異なる考え方が必要です。
クラウドネイティブ権限を構築するための 5 つのベスト プラクティスこれらすべての変更に対処するために、開発者がクラウドネイティブの権限を構築し、権限の処理に圧倒されることなく実際に機能を開発する時間を確保するのに役立つベスト プラクティスがいくつかあります。 1. 戦略とコードを分離するクラウド ネイティブの権限を構築するための最も重要なプラクティスの 1 つは、ポリシーとコードを分離することです。認証レイヤーのコードとアプリケーション コード自体を混在させると、非常に問題が発生する可能性があります。さらに重要なのは、コードがさまざまなマイクロサービス間で複製されると、アップグレード、機能の追加、コード全体の監視が困難になる状況が発生することです。変更のたびに大量のコードをリファクタリングする必要があり、マイクロサービスが進化するにつれて、コードは互いにさらに離れていくだけです。 これは、他のサービスが認証ニーズに使用する別の認証マイクロサービスを作成し、ポリシーをコードから分離することで(理想的には)回避できます。たとえば、Open Policy Management や Spice DB などのオープンソースのポリシー/権限エンジンを使用すると、開発者は別のサービスで認証を管理できます。 2. イベント駆動型開発者は、構築しているアプリケーションが動的であることを期待しています。アプリケーションには、ユーザーの招待、ロールの割り当て、サードパーティのデータ ソースの使用などの機能が含まれることが多く、これらはすべてリアルタイムで管理する必要があります。この能力がなければ、権限委譲の決定を下す能力は大幅に低下します。 このため、開発者は認証レイヤーをイベント駆動型として設計する必要があります。彼らが目指しているのは、認可に影響するイベントが発生するたびに、それが直ちにシステムを通過して、認可レイヤーがそれを認識し、アプリケーションおよび関連するサードパーティのデータ サービスと同期が維持されるようにすることです。 理想的には、これを実現するには、開発者が認証データをアプリケーション データから分離し (アプリケーション関連のデータはすべて認証関連ではないため、またその逆も同様)、認証レイヤーに無駄のないモデルを作成し、リアルタイム イベントを介してアプリケーションやその他のソースと同期を維持します。 たとえば、Open Policy Management Layer は、オープン ポリシー管理をイベント駆動型にするオープン ソース プロジェクトです。これにより、開発者はポリシーやデータの変更に対応し、エージェントにリアルタイムの更新をプッシュし、リアルタイム アプリケーションに必要な速度でオープン ポリシーを有効にできるようになります。 3. ステークホルダーのバックエンド統合承認レイヤーは製品自体の一部であり、製品中心の企業では、アクセス制御エクスペリエンスに接続できる必要があるさまざまな関係者が存在します。これらには、開発者に加えて、DevOps、製品マネージャー、セキュリティ、コンプライアンス、営業、マーケティングなどが含まれます。認証レイヤーを構築する際には、バックエンド システムを通じてさまざまな関係者にコントロールとインターフェースを提供したいと考えています。これには、アクセス制御インターフェースから製品に至るまで、さまざまな利害関係者のニーズを最初から考慮する必要があります。誰もが満足するはずです。 4. 顧客インターフェース利害関係者の要件を考慮するのと同様に、開発者もエンドユーザー/顧客を考慮する必要があります。ライセンスは、製品の管理だけでなく、製品のエンドユーザーにも関係します。たとえば、ユーザーが自分の監査ログにアクセスする必要がある場合 (ほぼすべての B2B アプリケーション ユーザーがそうします)、製品で何が行われたかを簡単に確認できる必要があります。このニーズを事前に認識するには、エンドユーザーのニーズを満たすさまざまなインターフェースをロックダウンできる認証レイヤーを構築する必要があります。 5. GitOpsそのため、権限を管理するための別のマイクロサービスが作成され、イベント駆動型で更新を提供できるようになりました。では、これらの変更をどのように管理し、バージョンを適用し、さまざまなチェックとバランスを適用し、マイクロサービスのコードとデータがニーズと要件を満たしていることを確認するのでしょうか?答えは GitOps です。 GitOps を使用すると、開発者はバージョンの変更ごとにプル リクエストを作成できます。その後、開発者が製品とそのアクセス制御機能を更新するときに、新しいコードを含むコミットをプッシュし、必要なテストとチェックを実行して、認証レイヤーに適用できます。 クラウドネイティブ権限の未来複雑さが増し、顧客要件とセキュリティ要件が次々と出現するにつれて、製品のアクセス制御を将来に対応し、大規模なリファクタリングや書き直しを必要としない方法で設計することが重要になります。認証用の個別のマイクロサービスを作成し、それをイベント駆動型として設計し、さまざまな利害関係者や顧客にコントロールとインターフェースを提供し、GitOps を使用することで、開発者は将来性を最大限に高めた製品を作成し、需要に関係なく認証レイヤーを複数回再構築する必要がなくなります。 |
<<: 生放送週報日記2日目: Amazon Cloud Technology x Speedstone Technology、スタートアップが「クラウド」に飛躍することは不可能ではない
>>: Red Hat が Microsoft Azure 向けのマネージド Ansible 自動化を提供
SEO を初めて学んだとき、次のような疑問がありました。Taobao は明らかに Baidu の検索...
xovvは、米国L7クリーンアップと最大1.5Tbpsの防御を備えたサーバーを新たに立ち上げました。...
はじめに:毎年恒例の天猫ダブルイレブンが過ぎ、天猫とタオバオは再び奇跡を起こし、売上高は350億に達...
[[354015]]ストレージ仮想化とは何ですか? SNIA (Storage Networking...
以前、ウェブサイトのホームページが検索エンジンのSITEで1位にならない状況についてお話ししました。...
[[354440]] COVID-19パンデミックが収束する兆しが見えない中、企業が自社のサーバー機...
2012 年の初めに、Baidu はアルゴリズムに一定の調整を加え始め、サイトの内部要因、特に以前は...
Google は昨年 2 月に最初のパンダ アップデートを開始しました。当時、多くの Web サイト...
2sync は 2009 年に設立されたインドのムンバイの会社です。現在の事業には、ドメイン名、仮想...
現在の百度のウェブマスターコミュニティでは、百度が微妙なアルゴリズム構造を調整していることが常に見ら...
現在、社会、メディア、消費者はいずれも変化しています。企業がそれに追いつきたいのであれば、それに応じ...
Hosthatch はブラックフライデーのセールを実施しており、セール対象の VPS はすべて KV...
あらゆる職業の仕事には出発点と終点があり、SEO 業界も同様です。すべての場所が自分に適しているわけ...
クラウド コンピューティングは近年登場した新しい概念です。これは、テクノロジー企業がまずデータセンタ...
XaaS 時代が到来 (写真提供: Tencent Technology)テンセントテクノロジーニュ...