作者 | 封崇

• 基礎(chǔ)設(shè)施管理員管理整家企業(yè)的云賬號，規(guī)劃企業(yè)的網(wǎng)絡(luò)配置，并為各個平臺團(tuán)隊設(shè)置不同子賬號以及訪問策略；
  
  
• 平臺管理員持有子賬號，根據(jù)容災(zāi)及高可用場景劃分地域、安全、流量策略；根據(jù)業(yè)務(wù)場景規(guī)劃日志、存儲、數(shù)據(jù)庫的規(guī)格、備份配置、Quota 等；根據(jù)研發(fā)流程要求規(guī)劃 CI/CD 流水線；
  
  
• 研發(fā)人員在使用平臺過程中，僅需關(guān)注代碼、數(shù)據(jù)、配置等程序相關(guān)內(nèi)容：

  
  

• 當(dāng)需要訪問數(shù)據(jù)庫時，向平臺索要數(shù)據(jù)連接串；
  

• 當(dāng)需進(jìn)行日志采集時，將采集路徑提交給平臺，由平臺操作日志服務(wù)完成日志采集配置掛載；
• 當(dāng)需要使用持久化存儲時，將本地掛載路徑提交給平臺，由平臺操作存儲服務(wù)完成文件目錄掛載；
• 發(fā)布代碼，自動觸發(fā) CI/CD 流水線的執(zhí)行；
  
  

• 服務(wù)：對代碼、程序的描述，只描述跟程序相關(guān)的信息，比如函數(shù)配置、日志采集路徑

  
  

• 對于容器化應(yīng)用， 服務(wù)一般描述一個 Workload

• 對于函數(shù)型應(yīng)用，服務(wù)一般描述一個函數(shù)

  
  

• 環(huán)境：服務(wù)運行在不同的環(huán)境上，環(huán)境是服務(wù)運行的載體，描述了基礎(chǔ)設(shè)施（如網(wǎng)絡(luò)、集群、存儲）的配置，以及應(yīng)用運行時的運維配置（如彈性伸縮、資源規(guī)格）
  
  
• 流水線：對 CI/CD 的描述，完成代碼到服務(wù)的構(gòu)建，并將服務(wù)部署到所有的環(huán)境上

  
  

• 應(yīng)用：一組服務(wù)、環(huán)境、流水線所有資源的集合
  
  

• 平臺管理員將網(wǎng)絡(luò)、日志服務(wù)、存儲、數(shù)據(jù)庫等基礎(chǔ)設(shè)施資源根據(jù)測試/生產(chǎn)隔離的要求，封裝成環(huán)境模板；將阿里云函數(shù)計算（FC）的函數(shù)、Serverless 應(yīng)用引擎（SAE）應(yīng)用這些研發(fā)關(guān)注的業(yè)務(wù)資源封裝成服務(wù)模板；將 CI/CD 的基礎(chǔ)流程封裝成流水線模板；
  
  
• 基礎(chǔ)設(shè)施管理員審核模板，通過后為平臺管理員分配對應(yīng)的子賬號；
  
  
• 平臺管理員持有子賬號選擇環(huán)境模板創(chuàng)建不同的測試、預(yù)發(fā)、生產(chǎn)環(huán)境，然后授予研發(fā)子賬號訪問權(quán)限，或者授予研發(fā)寫權(quán)限來自助創(chuàng)建環(huán)境；
  
  
• 研發(fā)人員選擇服務(wù)模板以及關(guān)聯(lián)的環(huán)境來創(chuàng)建服務(wù)，實現(xiàn)將應(yīng)用程序自動部署到指定的環(huán)境上；

  
  

• 研發(fā)人員選擇流水線模板，通過主動觸發(fā)或者代碼提交自動觸發(fā) CI/CD 的執(zhí)行。
  
  

1. 要為不同的環(huán)境維護(hù)不同的 s.yaml，維護(hù)成本比較高。更新環(huán)境時需要重新發(fā)起部署，對接 CI/CD 服務(wù)時就要重新發(fā)起一次完整的發(fā)布上線操作。（但通常情況下環(huán)境的變化，例如升降配、更新權(quán)限，對程序來說是安全的，不需要發(fā)起一次上線）；
   
   
2. 難以實現(xiàn)基礎(chǔ)設(shè)施團(tuán)隊、平臺團(tuán)隊、研發(fā)團(tuán)隊分層協(xié)作的場景。比如阿里云函數(shù)計算的服務(wù)描述提供了日志、網(wǎng)絡(luò)、NAS、服務(wù)角色等平臺管理員視角的配置。收到客戶反饋，這些配置是干嘛的研發(fā)基本都不清楚，無疑減低了研發(fā)效率并增加了安全風(fēng)險，經(jīng)常出現(xiàn)研發(fā)改錯配置導(dǎo)致線上服務(wù)有損的情況；
   
   
3. Serverless Devs 的資源操作主要由組件來實現(xiàn)，但對于一些資源的變更可能會引起實例重建或者不能提供服務(wù)（比如更改數(shù)據(jù)庫引擎、更換了 FC 的服務(wù)角色、更換VPC）的風(fēng)險，組件開發(fā)者未必會清楚也可能會忽略，即使清楚也需要 Case By Case 的通過很多判斷代碼來解決，這無疑增加了組件開發(fā)的復(fù)雜度和使用成本；
   
   

1. 平臺團(tuán)隊通過封裝環(huán)境模板，僅需對研發(fā)人員暴露安全的參數(shù)（比如實例規(guī)格），研發(fā)人員使用模板創(chuàng)建環(huán)境，填寫必要的參數(shù)即可完成基礎(chǔ)設(shè)施的搭建；通過更新環(huán)境即可自助化地完成基礎(chǔ)設(shè)施的升級，并且不需要重新發(fā)起代碼發(fā)布操作；
   
   
2. 平臺團(tuán)隊在環(huán)境模板中聲明更加嚴(yán)格的訪問策略，拒絕某些有風(fēng)險的資源操作，可以更好地控制爆炸半徑；
   
   

作為平臺管理員，需要為研發(fā)：

• 創(chuàng)建 OSS Bucket，Bucket 名字研發(fā)可以自己指定，但是 ACL 策略必須是私有
  
  
• 創(chuàng)建 NAS 掛載點，涉及的VPC、VSwitch、NAS 文件系統(tǒng)、訪問組、掛載點完全由管理員指定

  
  

• 創(chuàng)建 SLS Project 、Logstore，名字研發(fā)可以自己指定，但是自動分裂、最大分裂數(shù)完全由管理員指定
  
  

• IaC 文件：即 Terraform 的 .tf 文件，IaC 文件的核心要素為：

      

  
  

• resource：定義模板的資源，環(huán)境部署時完成資源的創(chuàng)建
• output：定義模板的輸出，環(huán)境部署成功后透出相應(yīng)輸出，可以被其他服務(wù)所訪問
•  variable：定義模板的參數(shù)，用戶使用該模板創(chuàng)建環(huán)境時輸入?yún)?shù)的值
  
  

• policy.json：RAM [4]的權(quán)限策略數(shù)組，支持自定義策略和系統(tǒng)策略，聲明了使用該模板創(chuàng)建資源所需要的權(quán)限，授信對象是 函數(shù)計算 [5]。部署環(huán)境時，函數(shù)計算會通過角色扮演的方式訪問模板中定義的資源。
  
  

完整代碼示例：

https://github.com/devsapp/fc/blob/main/examples/multi-envs/infra/main.tf

為上述資源定義權(quán)限策略，保持權(quán)限最小原則，僅放開必要的寫權(quán)限。由于 Terraform 在創(chuàng)建資源時會依賴很多資源的讀權(quán)限，因此推薦再增加這些常用的讀權(quán)限：

• AliyunECSReadOnlyAccess
• AliyunVPCReadOnlyAccess
• AliyunNASReadOnlyAccess 
• AliyunOSSReadOnlyAccess
• AliyunLogReadOnlyAccess

完整代碼示例：

https://github.com/devsapp/fc/blob/main/examples/multi-envs/infra/policy.json

s env apply-template --name testing --description 'it is a demo' --code ./infra

操作成功后，會返回當(dāng)前模板的 varibale、outputs、狀態(tài)、 policy、文本內(nèi)容、版本 等信息。

環(huán)境需要操作對應(yīng)云資源的權(quán)限，授予函數(shù)計算以角色扮演的方式訪問的云資源，因此需要：

1、創(chuàng)建普通的服務(wù)角色，授信服務(wù)選擇函數(shù)計算

2、為該角色授予環(huán)境所需要的權(quán)限

通過 s env init 命令進(jìn)入交互式操作，輸入環(huán)境名、地域、角色、環(huán)境模板以及模板參數(shù)，完成環(huán)境的部署：

• 通過 environment.outputs 來關(guān)聯(lián)環(huán)境模板中定義的輸出
  
  
• FC 的服務(wù)往往和一個環(huán)境相映射，通常在創(chuàng)建服務(wù)時服務(wù)名要帶上環(huán)境的后綴，可以通過 environment.name 讓服務(wù)和環(huán)境自動關(guān)聯(lián)

  
  

• 指定環(huán)境時，無需在 props 中指定 region，組件會自動保證將服務(wù)部署到環(huán)境所在的 region

s deploy --env fc-env-testing

執(zhí)行指令后，組件會先判斷環(huán)境是否已經(jīng)部署，如果環(huán)境狀態(tài)為 ready ，則會將服務(wù)部署到該環(huán)境上；否則會先部署環(huán)境，再部署服務(wù)。

本文通過分析企業(yè)全面上云時，遇到的應(yīng)用和基礎(chǔ)設(shè)施管理的挑戰(zhàn)，提出采用分層的模板化方式來組織不同團(tuán)隊的工作流，通過環(huán)境、服務(wù)、流水線來定義一個現(xiàn)代化的應(yīng)用，通過環(huán)境模板、服務(wù)模板、流水線模板來屏蔽基礎(chǔ)設(shè)施的復(fù)雜性并提升操作安全性，核心是需要一個管道來串聯(lián)整個工作流，讓 DevOps 的各個階段可以自助化并安全的完成。

作者希望 Serverless Devs 可以充當(dāng)這個管道，其應(yīng)用、組件、插件的思路為開發(fā)者提供了良好的構(gòu)建現(xiàn)代化應(yīng)用的基礎(chǔ)，并且 Serverless Devs 已經(jīng)具備了服務(wù)及服務(wù)模板的抽象，需要擴展的是環(huán)境、流水線的能力。

本文關(guān)注點是如何利用 Serverless Devs 管理多環(huán)境，分析了關(guān)鍵的挑戰(zhàn)是要解耦代碼和基礎(chǔ)設(shè)施，利用 IaC 來完成基礎(chǔ)設(shè)施的定義，而 IaC 生態(tài)下最適合引入的是 Terraform，因此選擇用 Terraform HCL 來定義環(huán)境模板，環(huán)境的資源編排通過后端的 Terraform 服務(wù)來完成。這樣就可以通過 Serverless Devs 來完成 "發(fā)布環(huán)境模板" -> "部署環(huán)境" -> "部署應(yīng)用到指定環(huán)境"  的完整工作流。

當(dāng)然，要實現(xiàn)上述終態(tài)的愿景還有很長的路要走，未來規(guī)劃主要的 Roadmap 是：

1、持續(xù)打磨體驗，輸出更多開箱即用的模板

2、解決應(yīng)用運行時訪問環(huán)境的問題，比如在函數(shù)代碼中通過某種方式安全、高效地訪問環(huán)境的資源

3、輸出流水線模板、流水線的能力

本篇介紹了 Serverless Devs 多環(huán)境功能的使用，在下一篇中我會就一些常見問題，進(jìn)行詳細(xì)解讀。

Serverless Devs：https://www.serverless-devs.com/Pulumi：https://www.pulumi.com/Terraform：https://www.terraform.io/RAM：https://www.aliyun.com/product/ram?spm阿里云函數(shù)計算（FC）：https://www.aliyun.com/product/fc

本場景基于 Serverless 應(yīng)用中心 + 阿里云函數(shù)計算 + 開源企業(yè)級在線文件管理系統(tǒng) KodBox 打造，讓你僅用 “幾次” 點擊，即可擁有一個可隨意保存資源、不限速下載、多端使用、與朋友共享資源……的專屬個人網(wǎng)盤。

戳原文，立即部署個人網(wǎng)盤！