7招,实现安全高效的流水线管理
簡介:云效團隊多年來為阿里巴巴內部(Aone)和云上企業用戶(云效)分別提供研發運維工具,并致力于打造企業級一站式的 DevOps 平臺,更多關注不同類型的企業用戶在使用過程中的管理與協作場景,本文將重點介紹高效安全管理云效流水線的7招。
概述
傳統流水線 Pipeline 工具,包括 Jenkins、Teamcity、Travis CI 等產品,作為企業 DevOps 中持續集成/持續交付的核心工具,從核心功能上來說通常可以概括為以下4點:
1、自動化測試:提供代碼掃描、安全掃描、單元測試等自動化測試工具,確保代碼在集成前已經經過充分測試驗證。
2、集成構建:提供各種語言、框架的應用編譯打包功能,將源碼自動化轉化為可以運行的實際代碼,比如安裝依賴、配置資源等。
3、發布部署:支持多種資源(虛擬主機、K8S等)的發布方式,支持通過灰度發布、分批發布等各種策略,保障業務交付的穩定。隨著各種云計算的逐漸普及,出現各種各樣的 Iaas/Paas 產品,CI/CD 工具如何支持各種形式的發布場景成為了一大核心價值。
4、流程編排:通過對不同工具和任務的流程編排能力,實現不同 CI/CD 流程把控。通常來說,流水線工具不但支持串聯自身提供的測試、構建、部署功能,還會支持企業打通自有的其他工具(比如 git 倉庫、自動化測試系統等)。
以上幾點,作為 CI/CD 提供的基礎功能,本文不做贅述。
云效團隊多年來為阿里巴巴內部(Aone)和云上企業用戶(云效)分別提供研發運維工具,并致力于打造企業級一站式的 DevOps 平臺,更多關注不同類型的企業用戶在使用過程中的管理與協作場景,本文將重點介紹高效安全管理云效流水線的7招:
第1招:基于業務特性分組管理流水線
第2招:預置流水線模板/任務組/步驟
第3招:一鍵批量升級流水線
第4招:設置通用變量組,隨調隨用
第5招:精細管理主機/集群資源
第6招:靈活管理私有構建集群
第7招:自定義企業maven配置
第1招:基于業務特性分組管理流水線
隨著企業業務規模和團隊規模的逐步發展,流水線和企業成員的數量越來越多。如何讓成員快速定位到自己的流水線,避免成員淹沒在一堆與自己無關的內容中,同時保障業務發展的安全性,成為了企業的共同訴求。
云效支持企業管理員可以在單條流水線上設置不同成員的查看、運行、編輯等流水線權限。同時也支持對流水線進行分組,并基于分組對多條流水線批量授權。
在云效上進行流水線分組操作
分組支持直接按照部門設置權限,這樣的好處是部門成員發生變動后,流水線權限也自動發生變化。企業成員入職、離職的變動導致的權限變更可以做到自動化處理。
基于分組批量設置權限
第2招:預置流水線模板/任務組/步驟
在云效流水線 Flow 中,流水線是按照 流水線 -> 任務組 -> 步驟組成的,流水線可以由多個任務組編排組成,而每個任務組可以由多個步驟編排而成。
為了方便用戶快速創建流水線,云效流水線 Flow 預置了部分流水線模板、任務組、步驟。
預置的模板可以直接調用
為了支持企業用戶更加個性化地配置自己的流水線,云效流水線 Flow 中的流水線模板、任務組、步驟均支持企業自定義創建。可在企業設置中的流水線模板管理-任務組管理-步驟管理中,創建屬于企業個性化的內容,企業成員可以在編輯流水線的過程中使用此部分自定義內容。
此外,在流水線模板管理-任務組管理-步驟管理中,企業管理員可以關閉企業不需要的內容以避免造成干擾。
可在任務組設置中關閉不需要的步驟
第3招:一鍵批量升級流水線
雖然隨著業務規模的增長,企業內部流水線任務越來越多,但由于企業內技術棧基本統一,會出現不同流水線之間只有部分配置(如代碼源、虛擬主機組等)存在差異,而大部分配置基本相同的情況。
當企業流水線的某些配置(比如構建腳本、人工卡點的審核人員)需要更改時,修改流水線會導致大量的重復工作。
因此,云效提供了通過任務組實現流水線批量升級的功能。
支持在企業設置中添加任務組時,開啟“支持批量升級”功能。
在任務組中開啟「支持批量升級」
企業成員在配置流水線過程中,可以選擇已經創建的任務組。此后,企業管理員編輯修改任務組后,會對關聯流水線中的任務節點進行升級。
修改可以同步升級關聯流水線
第4招:設置通用變量組,隨調隨用
定義環境變量是實現流水線過程定制化的一種常見方法,可以在執行過程的任何階段使用這些變量,云效流水線支持在每條流水線中設置其獨有的環境變量。
在云效流水線中設置環境變量
但是有些變量其實是非常通用的變量,企業內大部分流水線都會用到,這時如果單獨在流水線中進行設置,可導致大量重復工作。因此,云效提供了企業級管理變量的通用變量組功能。
支持在企業設置中添加變量組,每個變量組可設置多個變量,且變量均可設置為私密變量,部分敏感參數,如 username、password 等,設置成私密變量后,可以大幅降低安全風險。
在企業設置中設置通用變量
流水線管理者,只需要在流水線中關聯變量組,就可在流水線任務中使用該變量。
在單獨流水線中可以直接配置通用變量
第5招:精細管理主機/集群資源
云效流水線 Flow 支持將你的應用構建發布至虛擬主機或 Kubernetes 集群,同時云效的發布能力并不局限于阿里云服務器(ECS)和阿里云容器服務 Kubernetes(ACK),其他云廠商或者企業自建的虛擬主機或 Kubernetes 集群也可以通過云效實現部署。
在實際生產應用過程中,主機和集群資源作為企業的基礎設施,其使用權限需要嚴格把控,以確保線上業務的安全性。
因此,云效提供了主機組/Kubernetes 集群管理功能,并支持在主機組和集群設置權限。
支持在企業設置中添加主機組,主機組可選擇阿里云 ECS 和自有主機兩種類型。每個主機組下均可添加多臺主機資源,同時可將企業成員設置為主機組成員,擁有權限的成員才可以在流水線中選擇該主機組資源。
在主機組中添加主機資源
同樣,支持在企業設置中添加 Kubernetes 集群,主機組可選擇阿里云容器服務 Kubernetes(ACK) 和自定義集群兩種類型。可將企業成員設置為集群成員,擁有權限的成員才可以在流水線中選擇該集群資源。
自定義 Kubernetes 集群
第6招:靈活管理私有構建集群
云效流水線 Flow 為企業提供了穩定、可靠的構建資源,并提供了北京和香港兩個 region 構建集群,企業用戶無需再自行創建并維護構建機,降低了企業整體的上云成本。
然而,云效提供的構建統一的免費資源并無法解決部分企業特性問題:
- 特殊的網絡環境,無法直接從公網和云效打通。
- 特殊的構建機環境,云效無法直接提供。
因此,云效提供了構建集群管理功能,如果有特殊的構建環境需求,用戶可在 Flow 中創建并使用私有的構建集群。
云效流水線 Flow 支持使用阿里云 ECS 或者自有主機作為構建集群。
在流水線的任務節點中,可以選擇企業自定義的構建集群執行構建任務。
第7招:自定義企業maven配置
在云效流水線 Flow 中使用 Java 構建任務,云效流水線 Flow 會自動幫你代理阿里云 Maven 公庫和云效企業私庫 Packages,企業用戶可以將企業依賴文件上傳至 Packages 倉庫,完成構建依賴下載的打通。
然而,對于使用 Java 技術棧的企業,通常都會有屬于企業內部特有的 Maven 配置。
因此,云效提供了企業 Maven 配置功能,支持在企業設置中上傳自定義 settings.xml 文件,Flow 會根據你的配置執行 Java 構建任務。
原文鏈接
本文為阿里云原創內容,未經允許不得轉載。?
總結
以上是生活随笔為你收集整理的7招,实现安全高效的流水线管理的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 学信网:研究生云复试平台快速搭建上线
- 下一篇: 一种命令行解析的新思路(Go 语言描述)