[51CTO.com クイック翻訳] Cloud Custodian を使用するユーザーは、シンプルな YAML ポリシーを記述して、適切に管理されたクラウド コンピューティング インフラストラクチャを作成できます。 今日の拡大し続けるクラウド コンピューティング インフラストラクチャでは、すべてのリソースをコンプライアンスに従って管理することは困難です。企業には、クラウド コンピューティング リソースの使用に関する違反を検出し、是正措置を講じるために従う必要がある一連のポリシーがあります。これは通常、いくつかのカスタム スクリプトを記述し、サードパーティのツールと統合を使用することによって行われます。多くの開発チームは、カスタム スクリプトを管理、記述し、追跡することがいかに難しいかを知っています。ただし、Cloud Custodian DSL ポリシーを使用すると、クラウド コンピューティング リソースを簡単に管理できます。 クラウドガバナンスとは何ですか?クラウド ガバナンスは、開発者がコストを管理し、セキュリティ リスクを最小限に抑え、効率を高め、展開を加速するためのポリシーを作成する方法を定義するフレームワークです。 ガバナンスをコードとして提供するツールは何ですか? (1)AWS設定 AWS Config は主に AWS リソースのすべての設定データを記録および監視し、コンプライアンスの強化に役立つルールを構築できます。たとえば、複数のアカウントと複数の地域のオプションを設定します。また、定義済みの AWS マネージドルールもいくつか提供されており、それらを使用することもできますし、ユーザーが独自のカスタムルールを作成することもできます。一致に基づいて是正措置を講じることもできます。カスタム戦略の場合、アクションを実行するために独自の Lambda 関数を記述する必要があります。 ただし、ユーザーは Cloud Custodian を使用して AWS Config ルールを設定し、c7n-org を使用して複数のアカウントとリージョンのカスタムルールをサポートできます。さらに、AWS Lambda 関数を自動的に構成することもできます。 (2)Azureポリシー Azure Policy は、Azure リソース全体に組織の標準を適用します。環境全体の状態を評価するための集計ビューと、リソースごと、ポリシーごとの粒度にドリルダウンする機能 (たとえば、ユーザーは A シリーズと B シリーズの VM のみを作成できます) を提供します。ユーザーは、組み込みポリシーを有効にしたり、すべてのリソースに対してカスタム ポリシーを作成したりできます。また、非準拠のリソースに対して自動修復アクションを実行することもできます。 Azure Policy は、顧客定義のルールからの逸脱を防ぐために、デプロイメント上にカスタム検証レイヤーを構築する上で信頼性が高く効率的です。コンプライアンスの施行に関して、Cloud Custodian と Azure Policy が実現できるシナリオには多くの重複があります。要件を確認するときは、まず Azure Policy を通じて適用できる要件を特定することをお勧めします。その後、Custodian を使用して残りの要件を実装できます。 Custodian は、Azure Policy でカバーされる要件に 2 番目の保護または軽減層を追加するためにもよく使用されます。これにより、ポリシーが正しく構成されていることが保証されます。 これまで、クラウド ガバナンスとは何か、市場で入手可能なツールは何かを見てきました。クラウド ガバナンスに関して Cloud Custodian が何を提供できるかを見てみましょう。 Cloud Custodian とは何ですか?Cloud Custodian は、パブリック クラウド リソースをリアルタイムで管理するための CNCF サンドボックス プロジェクトです。これは、インフラストラクチャをコードとして記述するのと同じように、ユーザーがガバナンスをコードとして記述するのに役立ちます。問題のないリソースを検出し、修正するためのアクションを実行します。 Cloud Custodian もクラウドネイティブ ツールです。複数のクラウド コンピューティング プロバイダー (AWS、Azure、GCP など) で使用できます。 ユーザーは Cloud Custodian を次のように使用できます。
どのように機能しますか?Cloud Custodian コマンドを実行すると、リソース、フィルター、アクションが入力として取得され、クラウド プロバイダーに応じてクラウド プロバイダー API 呼び出し (AWS Boto3 API など) に変換されます。カスタムスクリプトや AWS CLI コマンドについて心配する必要はありません。ユーザーは、Cloud Custodian に組み込まれた多くの一般的なフィルターやアクションとともに、明確で読みやすいポリシーを利用できます。カスタム フィルターが必要な場合は、いつでも JMESPath を使用してフィルターを記述できます。 場合によっては、ポリシーを定期的に実行したり、特定のイベントに基づいて実行したりする必要があります。 Cloud Custodian は、この目的のために Lambda 関数と CloudWatch イベントルールを自動的にプロビジョニングします。 CloudWatch イベント ルールは、スケジュール設定 (10 分ごと) することも、CloudTrail からの API 呼び出し、EC2 インスタンス ステータス イベントなどに応じてトリガーすることもできます。 Cloud Custodian をインストールして設定するにはどうすればいいですか?Cloud Custodian は、Python の pip コマンドを使用するだけで簡単にインストールできます。
Cloud Custodian Dockerイメージの使用
注意: ACCESS および SECRET KEY、DEFAULT_REGION、KUBECONFIG は ENV 変数から取得され、ユーザーはポリシー YAML ファイルで定義されている必要な IAM ロールとポリシーにアクセスできる必要があります。別のオプションとしては、コンテナ内にファイル/ディレクトリをマウントすることです。 Cloud Custodian policy.yaml の説明Cloud Custodian には、リソース、フィルター、アクションを含むシンプルな YAML ファイルがあります。
アクションとフィルターは、ニーズを最適に表現するために、任意の数のルールと組み合わせることができます。
クラウド管理者向けポリシーの例公式ドキュメントには AWS ポリシーの例がほとんど記載されていますが、ここではコストを節約し、規制に準拠するためにユーザーが使用できるポリシーをいくつか選択しました。 (1)ebs-snapshots-month-old.yml 組織が直面する最も一般的な問題の 1 つは、環境に 1 年以上存在する古い AMI、スナップショット、ボリュームを削除する複雑さと、さらに費用がかかることです。最終的に、この状況に対処するために複数のカスタム スクリプトを作成する必要がありました。 30 日以上経過したスナップショットを削除する簡単な戦略は次のとおりです。
以下は、Cloud Custodian ポリシーを実行する方法の例です。
Custodian コマンドを実行するたびに、-s オプションを使用して実行されます (例: /tmp/output/ebs-snapshot-month-old/custodian-run.log) は、policies.name に渡された出力ディレクトリにファイルを作成/追加します。
フィルタリングされたリソース レポートを取得するには、次のコマンドを実行します。デフォルトでは CSV 形式でレポートが提供されますが、--format json を渡すことで変更できます。
(2)承認済みami.yml 信頼できる AMI リストに一致しない EC2 の実行を停止します。
(3) セキュリティグループチェック.yml もっとよくある問題は、開発者が POC VM の作成時に SSH 経由のすべてのトラフィックを許可する傾向がある場合や、テスト中にポート 22 へのアクセスをすべてのポートに許可するが、そのルールを削除するのを忘れる場合です。次のポリシーは、すべてのグループから SSH アクセスを自動的に削除し、ネットワーク IP のみをセキュリティ グループに追加することで、これらの問題を解決できます。
Kubernetes リソースのサポートデプロイメント、ポッド、DaemonSet、ボリュームなどの Kubernetes リソースを管理できるようになりました。 Cloud Custodian を使用して記述できるポリシーの例をいくつか示します。
注意: Cloud Custodian Kubernetes リソースはまだ開発中です。 Cloud Custodian と呼べるパターンの種類は何ですか?
Cloud Custodian と Jenkins CI の統合簡単にするために、Cloud Custodian Docker イメージを使用し、認証情報を環境変数として挿入します。 注意: シークレット ファイルには、大文字のキーとデフォルト ゾーンが含まれている必要があります。 Kubernetes の場合、KUBE CONFIG ファイルをコンテナにマウントする必要があります。
Jenkins コンソール出力: ツールと機能Cloud Custodian には、コミュニティによって開発された追加ツールが多数あります。 (1)マルチリージョン・マルチアカウント対応 c7n-org プラグインを使用すると、複数の AWS、AZURE、GCP アカウントを構成し、それらを並行して実行できます。フラグ --regionall を使用すると、すべてのリージョンで同じポリシーを実行できます。 (2)通知 c7n-mailer プラグインはアラート通知に高い柔軟性を提供し、Webhook、電子メール、キュー サービス、Datadog、Slack、Splunk を使用してアラートを送信できます。 (3)自動リソースタグ付け c7n_trailcreator スクリプトは、CloudTrail レコードを処理してリソースとその作成者の SQLite DB を作成し、その SQLite DB を使用してリソースに作成者の名前をタグ付けします。 (4)記録と報告 JSON および CSV 形式のレポートを提供します。これらのメトリックはクラウド ネイティブ ログで収集され、美しいダッシュボードを生成することもできます。ログをローカル、S3、または Cloudwatch に保存します。一貫したログ形式により、ポリシーのトラブルシューティングが容易になります。 (5)保管人の試運転 試行では、戦略の運用部分は無視されます。ポリシーによって影響を受けるリソースを示します。実際のコードを実行する前に必ずドライランを実行するのがベストプラクティスです。 (6)カストディアンキャッシュ いずれかのポリシーが実行されると、クラウドからデータが取得され、ローカルに 15 分間保存されます。キャッシュは API 呼び出しを最小限に抑えるために使用され、--cache-period0 オプションを使用して設定できます。 (7)エディタ統合 Visual Studio Code と統合して、自動コンパイルと提案を行うことができます。 (8)カストディアンモデル custodian schema コマンドを使用すると、Cloud Custodian で使用できるリソース、操作、フィルターの種類を確認できます。
Cloud Custodian は他のツールと比べてどう優れているのでしょうか?
クラウド管理者の制限
結論はCloud Custodian を使用すると、適切に管理されたクラウド インフラストラクチャを促進するためのポリシーとしてルールと修復を定義できます。また、デプロイメントやポッドなどの Kubernetes リソースを管理するためのポリシーを記述するためにも使用できます。他のクラウドベースのガバナンス ツールと比較して、クラウド プラットフォーム間でポリシーとその一貫性を記述するための非常にシンプルな DSL が提供されます。このようにして、Custodian は摩擦を軽減し、クラウドにおける安全なイノベーションの効率を高めます。 ユーザーは Cloud Custodian を使用して、営業時間外およびクリーンアップ ポリシーを適用することでクラウド コストを最適化できます。また、マルチアカウント/リージョンのサポート、広範な通知ツール (Slack、SMTP、SQS、Datadog、Webhooks) などの多くのプラグインも含まれています。 原題: Cloud Custodian を使用してコードとしてクラウド ガバナンスを実装する、著者: Alok Maurya [51CTOによる翻訳。パートナーサイトに転載する場合は、元の翻訳者と出典を51CTO.comとして明記してください。 |
<<: クラウドを導入する際には、メリットとコストの他に何を考慮すべきでしょうか?
Payoneer をご紹介します。中国語では「P カード」と呼ばれ、公式 Web サイトはwww.p...
2019年のハノーバー産業見本市で、SAPはBeckhoff、Endress+Hauser、Hils...
チャン・バオシェン氏はテスラの幹部との最初の会合について語った。当時、彼はテスラから香港に行くよう招...
11月10日、米国のブルッキングス研究所のウェブサイトに「中国4.0 – デジタル化の利益の共有」と...
友好的なリンクとは、両方の Web サイトの Web マスターが互いのリンクを自分の Web サイト...
以前、Terraform を使用して Proxmox 仮想マシンをデプロイする方法についての記事を書...
dwidc Data Networkは、毎年恒例のダブル12フラッシュセールイベントを開始しました。...
最近、各地で流行の第2波の状況がますます深刻になり、世間の注目と白熱した議論を集めています。 201...
digital-vm、ルーマニアに登録されているこの会社は、中国では多くの人に馴染みがあるはずです。...
「火鍋で解決できないことはない。あるなら二度食べればいい。」この言葉は冗談ではあるが、間接的に人々の...
インターネットのウェブサイトは数多くありますが、そのルールをまとめると、商品やサービスを販売すること...
みなさんこんにちは。私は Dan Ruoqingfeng です。最近は仕事が忙しく、皆さんと経験を共...
[編集者注] この記事の著者は、Kubernetes と Serverless のそれぞれの利点と欠...
崔牛慧の周囲では、彼は「変わり者」だ。 Cui Niu Clubのメンバーのほとんどはソフトウェア業...
最近皆さんが書いた記事を読んでいると、WeChatが以前よりも頻繁に言及され、皆さんの注目もより集中...