1. Cloud Custodian
Cloud Custodian 用于实时管理公有云资源。用户采用 Cloud Custodian 能够编写简单的 YAML 策略,以创建管理的云计算基础设施。
它帮助用户以代码的形式编写治理,就像以代码的形式编写基础设施一样。它检测非投诉资源并采取措施对其进行补救。Cloud Custodian也是一个云原生工具。它可以与多个云计算提供商(AWS、Azure、GCP等)一起使用。
在当今不断扩展的云计算基础设施中,很难管理所有资源都合规。而企业都有一组需要遵循的策略,用于检测违规行为并对其云计算资源使用采取补救措施。这通常是通过编写多个自定义脚本并使用一些第三方工具和集成来完成的。许多开发团队都知道管理和编写自定义脚本并跟踪这些脚本有多么困难。但他们可以利用Cloud Custodian DSL策略轻松管理云计算资源。
用户可以使用 Cloud Custodian,如下所示:
- 合规性和安全性即代码:可以将简单的YAML DSL策略编写作为代码。
- 节约成本:删除不需要的资源,并实施开/关时间政策可以节约成本。
- 运营效率:通过添加治理即代码,它减少了在云中安全创新的摩擦,并提高了开发人员的效率。
该项目在 CNCF 托管:
- CNCF 分层:供应层
- CNCF 分类:自动化与配置
- CNCF 成熟度:孵化中
1.1. 什么是云治理?
云治理是一个框架,它定义了开发人员如何创建策略来控制成本、最小化安全风险、提高效率以及加速部署。
1.1.1. AWS Config
AWS Config 主要记录和监控 AWS 资源的所有配置数据,可以构建规则来帮助强制执行使用的合规性。比如设置多账户和多区域选项。它还提供了一些可以使用的预定义 AWS 托管规则,或者用户可以自己编写自定义规则。还可以根据匹配情况采取补救措施。对于自定义策略,需要编写自己的 lambda 函数来执行操作。
但是,用户可以使用 Cloud Custodian 设置 AWS Config 规则和使用c7n-org支持多账户和多区域的自定义规则。此外,它还可以自动配置 AWS lambda 函数。
1.1.2. Azure 政策
Azure 政策跨 Azure 资源实施组织标准。它提供了一个聚合视图来评估环境的整体状态,并且能够深入到每个资源、每个策略的粒度(例如,用户只能创建A和B系列虚拟机)。用户可以打开内置策略或为所有资源创建自定义策略。它还可以对不合规的资源采取自动修复措施。
Azure 政策在部署上构建自定义验证层以防止偏离客户定义的规则时可靠且高效。Cloud Custodian 和 Azure 政策在合规性实施方面可以完成的场景有很大的重叠。在查看用户的要求时,建议首先确定可以通过 Azure 政策实施的要求。然后可以使用 Custodian 来实现其余的要求。Custodian 还经常用于向 Azure 政策涵盖的要求添加第二层保护或缓解措施。这样就可以确保正确配置策略。
1.2. 它是如何工作的?
当运行 Cloud Custodian 命令时,根据云计算提供商的不同情况,将资源、过滤器、操作作为输入,并转换为云计算提供商 API 调用(例如 AWS Boto3 API)。无需担心自定义脚本或 AWS CLI 命令。用户可以获得清晰易读的策略以及 Cloud Custodian 中内置的许多常见过滤器和操作。如果需要自定义过滤器,可以使用 JMESPath 来编写过滤器。
在某些情况下,可能需要定期或根据某些事件运行政策。为此 Cloud Custodian 自动预配 lambda 函数和 CloudWatch 事件规则。CloudWatch 事件规则可以安排(每10分钟)或触发以响应 CloudTrail、EC2 实例状态事件等的 API 调用。