若何箝制云基础才气漂移

基础才气漂移不单是是时刻上的小清苦；它是一个广泛存在的问题，要是不加以箝制，会危及悉数组织。

译自 How to Control Cloud Infrastructure Drift，作家 Eran Bibi。

基础才气漂移关于大规模经管云资源的组织来说是一个广泛的挑战。天然基础才气即代码 (IaC) 提供了一种部署和可贵基础才气的结构化措施，但当调动发生在 IaC 使命流以外时，仍然会发生漂移。这并非一定是极度活动——由于外部承包商、需要快速贬责的高压情况（举例事故）或判断失实或权限过大的器具，这都可能随时发生。

天然咱们老是渴慕保合手完好意思的 IaC 卫生和完好意思的 GitOps 历程，但祸殃的是，这委果是痴东说念主说梦，况兼弗成能强制履行。 实质上，咱们看到过度依赖ClickOps(或通过点击软件器具中的多样选项手动履行任务，这关于可能不熟识编码或剧本的用户来说更容易拜访)。而这个手动过程一样是基础才气漂移的原因。基础才气漂移是指云中基础才气的实质情状与在 IaC 器具（如Terraform）中界说的盼愿情状之间的各异。这种各异可能导致安全间隙、可靠性问题和运营后果低下。

在 Firefly，咱们每天通过咱们的系统扫描和处理跳动 55,000 个云帐户。在此过程中，咱们每月处理近 320,000 次漂移，因此咱们真确了解基础才气漂移问题的宏大规模和影响。咱们还发现，90% 使用 IaC 的大规模部署都会际遇漂移，而其中约有一半的情况未被发现。关于这些组织来说，无论是在可靠性、安全依然运维方面，都会有 100% 的负面影响。

基础才气漂移的常饶恕因

尽管东说念主们越来越了解需要平缓基础才气漂移的影响，但它仍然如斯常见的原因有好多。许多原因都源于大规模云基础才气的普通可贵以及高速和高压的托付周期。

基础才气漂移发生的常饶恕因包括：

手动遑急确立: 在事故或遑急情况下，工程师凡俗和会过云箝制台或 API 告成调动基础才气。这些调动不错贬责遑急问题，但可能会绕过 IaC 管说念，从而导致漂移。留传资源: 半途聘请 IaC 的组织可能领有手动或使用不同器具创建的现存资源。这些未经管的资源容易发生漂移，因为它们不在 IaC 治理规模之内。具有权限的自动化器具: 举例云安全态势经管 (CSPM)之类的器具可能具有修改建立（举例安全组）的权限。当这些器具在 IaC 使命流以外进行调动时，就会引入漂移。部分 IaC 聘请: 一些组织取舍性地实施 IaC，只使用 IaC 经管新的或特定的神色，而旧的或不同的资源则手动经管。这种不一致会导致环境之间出现漂移。环境不一致: 天然坐褥环境凡俗受到严格箝制，但暂存和开采环境可能允许开采东说念主员有更大的无邪性。这些环境中的手动调动可能会形成各异，尤其是在建立不匹配的情况下。IaC 和云 API 不一致: 云提供商凡俗更新其 API 和就业，要是 IaC 器具莫得更新以匹配，则可能导致漂移。这种不一致会导致 IaC 部署与现时云情状出现偏差。

即使是滥觞进的工程组织，也无法幸免手动遑急确立。关联词，天然这些调动不错贬责遑急问题，但它们会绕过 IaC 管说念，从而导致各异。此外，在其云旅程中半途聘请 IaC 的组织可能领有在 IaC 治理规模以外创建的留传资源，这使得它们容易发生漂移。自动化器具（举例 CSPM 系统）可能具有修改建立（举例安全组）的权限；这些器具在 IaC 使命流以外进行的调动可能会导致进一步的各异。

基础才气漂移的发达边幅

基础才气漂移不错选用多种边幅，凡俗始于小的变化，然后稳固演变成首要的各异。 举例，商酌一个通过 Terraform 经管的 AWS 身份和拜访经管 (IAM) 战术，当有东说念主添加像星号 (*) 这么简便的字符到战术中时，就会发生漂移，这会将权限从只读推广到皆备拜访。访佛地，在 Kubernetes 环境中，IaC 中具有只读权限的扮装可能会在实质集群中修改为包含写入和删除权限——这可能会导致多半的坐褥问题。这些看似眇小的颐养可能会危及安全并导致或然拜访。

当漂移未得到检查时，它会带来超出微弱未便的风险。

咱们 2024 基础才气即代码申诉 的数据显现，它凡俗未得到检查。基础才气漂移不仅凡俗未被发现地隐敝着，即使被发现，也莫得立即得到确立。令东说念主担忧的是，13% 的情况下，基础才气漂移根柢莫得被确立。

除了停机的主要风险以外，未贬责的漂移还会影响基础才气的认知性和安全性。举例，当权限或建立在 IaC 以外发生调动时，它可能会翻开挫折者可能愚弄的间隙。要是基础才气的实质情状与在预发布环境中测试的所需建立不匹配，漂移还会影响就业可靠性。一言以蔽之，漂移不单是是一个时刻问题，它还会危及悉数组织。

最初：主动漂移检测的实用措施

有用经管漂移需要强盛的监控和检测，以及行之有用的措施来尽快平缓漂移。

以下是一些检测和经管漂移的实用技能：

漂移监控：Terraform 的 plan 或 Pulumi 的 preview 大叫可用于检测漂移，通过大叫行界面 (CLI) 运行 AWS CloudFormation 的 drift detection 大叫也不错。通过安排如期检查，团队不错将现时基础才气情状与所需建立进行比拟。要是检测到漂移，退出代码将相易各异，使团队大略相应地作念出反应。Kubernetes 的 GitOps：关于 Kubernetes 环境，Argo CD 和 Flux 等 GitOps 器具会合手续合作集群情状与存储在 Git 中的建立。这些器具有助于确保任何未经授权的调动都会赶紧复原，从而保合手与 Git 中的事实着手的一致性。漂移检测器具：Driftctl 和 KubeDiff 等开源器具提供有针对性的漂移检测功能。Driftctl 与 Terraform 等 IaC 器具配合考究，而 KubeDiff 则针对 Kubernetes 建立进行了优化。实时警报和路由：建立警报机制关于有用的漂移经管至关关键。通过将 IaC 器具与 Slack 或 PagerDuty 集成，团队不错秉承漂移的实时告知，从而大略快速贬虚拟题。

这些是检测漂移的好措施，但指标必须是确立漂移。

接下来：漂移确立战术

确立漂移主要有两种边幅：使云环境与 IaC 保合手一致，或更新 IaC 以反应实质情状。在手动调动是临时确立的情况下，从头应用 IaC 建立不错复原所需情状。但是，要是手动调动代表必要的颐养，最佳更新 IaC 模板以与实质情状保合手一致，从而防患漂移再次发生。

要是您刚初始使用漂移检测，则不错使用 Terraform 的简便监控剧正本赢得干系各异的宝贵观点。尽管这种基本措施可能无法推广到大型部署，但它关于较小的成立或当作主意明白是有用的。关于大型环境，Firefly、driftctl 或 GitOps 框架等器具提供了更强盛的贬责决策，用于处理企业级基础才气的复杂性。

箝制基础才气漂移

基础才气漂移是云环境中合手续濒临的挑战，但通过正确的器具和履行，组织不错保合手对其基础才气的箝制。

通过愚弄 IaC、主动监控漂移和实施 GitOps 等战术，团队不错最大规则地减少漂移的影响，确保基础才气保合手一致并得当组织的需求。如期漂移检测和实时确立最终将进步云操作的安全性和可靠性以及后果，使团队大略以当代公司所需的速率充满信心性托付。