ProHoster > Блог > Gudanarwa > DevOps vs DevSecOps: yadda yayi kama da banki daya

DevOps vs DevSecOps: yadda yayi kama da banki daya

DevOps vs DevSecOps: yadda yayi kama da banki daya

Bankin yana fitar da ayyukansa ga 'yan kwangila da yawa. "Externals" rubuta lamba, sa'an nan kuma aika da sakamakon a cikin wani tsari da ba dace sosai. Musamman, tsarin ya kasance kamar haka: sun ba da aikin da ya ci jarrabawar aiki tare da su, sa'an nan kuma an gwada shi a cikin kewayen banki don haɗawa, kaya, da sauransu. Sau da yawa an gano cewa gwaje-gwajen suna faduwa. Sannan komai ya koma ga mai haɓakawa na waje. Kamar yadda zaku iya tsammani, wannan yana nufin dogon lokacin jagora don gyaran kwaro.

Bankin ya yanke shawarar cewa yana yiwuwa kuma ya zama dole a ja dukkan bututun a karkashin reshen sa, daga alƙawarin zuwa saki. Don haka komai ya zama uniform kuma a ƙarƙashin ikon ƙungiyoyin da ke da alhakin samfurin a banki. Wato kamar dan kwangilar waje yana aiki ne kawai a wani wuri a cikin daki na gaba na ofishin. A kan tarin kamfanoni. Wannan shi ne talakawa devops.

Daga ina Sec ya fito? Tsaron bankin ya sanya babban buƙatu kan yadda ɗan kwangila na waje zai iya aiki a sashin cibiyar sadarwa, menene damar wani ya samu, ta yaya da wanda ke aiki tare da lambar. Kawai IB bai san cewa lokacin da masu kwangila ke aiki a waje ba, ana bin ƙa'idodin banki kaɗan. Sannan a cikin kwanaki biyu kowa yana buƙatar fara lura da su.

Sauƙaƙan wahayin cewa ɗan kwangilar yana da cikakken damar yin amfani da lambar samfur ya riga ya juyar da duniyar su.

A wannan lokacin, labarin DevSecOps ya fara, wanda nake so in gaya muku.

Wadanne matakai ne bankin ya dauka daga wannan yanayin?

An yi ta cece-kuce game da cewa ana yin komai ta hanyar da ba ta dace ba. Masu haɓakawa sun ce tsaro yana aiki ne kawai don ƙoƙarin tsoma baki tare da ci gaba, kuma su, kamar masu tsaro, suna ƙoƙarin hanawa ba tare da tunani ba. Bi da bi, ƙwararrun tsaro sun yi jinkiri tsakanin zaɓi tsakanin ra'ayoyi: "masu haɓaka suna haifar da lahani a cikin kewayenmu" da "masu haɓakawa ba sa haifar da lahani, amma su kansu ne." Rikicin zai ci gaba na dogon lokaci idan ba don sababbin buƙatun kasuwa da kuma fitowar tsarin DevSecOps ba. Yana yiwuwa a bayyana cewa wannan sarrafa kansa na matakai yin la'akari da bukatun tsaro na bayanai "daga cikin akwatin" zai taimaka wa kowa ya kasance cikin farin ciki. A cikin ma'anar cewa an rubuta ƙa'idodin nan da nan kuma ba su canzawa yayin wasan (tsaron bayanan ba zai hana wani abu ba zato ba tsammani), kuma masu haɓakawa suna kiyaye bayanan tsaro game da duk abin da ya faru (kariyar bayanan ba ta haɗu da wani abu ba zato ba tsammani) . Kowace ƙungiya kuma tana da alhakin kiyaye tsaro na ƙarshe, kuma ba wasu ƴan'uwa tsofaffi ba.

  1. Tun da ma'aikatan waje sun riga sun sami damar yin amfani da lambar da adadin tsarin ciki, mai yiwuwa yana yiwuwa a cire daga cikin takardun abin da ake bukata "dole ne a aiwatar da ci gaba gaba ɗaya a kan kayayyakin aikin banki."
  2. A wani ɓangare kuma, muna bukatar mu ƙarfafa iko a kan abin da ke faruwa.
  3. Amincewa shine ƙirƙirar ƙungiyoyi masu aiki, inda ma'aikata ke aiki tare da mutanen waje. A wannan yanayin, kuna buƙatar tabbatar da cewa ƙungiyar tana aiki akan kayan aiki akan sabar banki. Tun daga farko har karshe.

Wato ana iya barin ƴan kwangilar shiga, amma suna buƙatar a ba su sassa daban-daban. Don kada su kawo wani nau'in kamuwa da cuta daga waje zuwa cikin ababen more rayuwa na bankin kuma don kada su ga fiye da abin da ya kamata. To, don a yi rajistar ayyukansu. DLP don kariya daga leaks, duk waɗannan an haɗa su.

A ka'ida, duk bankuna suna zuwa wannan ba dade ko ba dade. A nan mun gangara hanyar da aka yi nasara kuma mun amince da buƙatun irin waɗannan wuraren da "na waje" ke aiki. An sami mafi girman kewayon kayan aikin sarrafawa, kayan aikin duba lahani, bincike na rigakafin ƙwayoyin cuta akan da'irori, taro da gwaje-gwaje. Ana kiran wannan DevSecOps.

Nan da nan ya bayyana cewa idan kafin DevSecOps tsaro na banki ba shi da iko akan abin da ke faruwa a gefen mai haɓakawa, to, a cikin sabon tsarin tsaro ana sarrafa shi daidai da abubuwan da suka faru na yau da kullum a kan kayan aikin. Sai kawai a yanzu akwai faɗakarwa akan majalisai, kula da ɗakunan karatu, da sauransu.

Abin da ya rage shi ne don canja wurin ƙungiyoyi zuwa sabon samfurin. To, ƙirƙirar abubuwan more rayuwa. Amma waɗannan ƙananan abubuwa ne, yana kama da zana mujiya. A gaskiya, mun taimaka da abubuwan more rayuwa, kuma a lokacin ayyukan ci gaba suna canzawa.

Me ya canza

Mun yanke shawarar aiwatar da shi a cikin ƙananan matakai, saboda mun fahimci cewa matakai da yawa za su rushe, kuma yawancin "masu waje" bazai iya tsayayya da sabon yanayin aiki a ƙarƙashin kulawar kowa ba.

Na farko, mun ƙirƙiri ƙungiyoyi masu aiki da juna kuma mun koyi tsara ayyukan yin la'akari da sababbin buƙatu. A cikin ma'anar ƙungiya mun tattauna wane matakai. Sakamakon ya kasance zane na bututun taro tare da duk wadanda ke da alhakin.

  • IC: Git, Jenkins, Maven, Roslyn, Gradle, jUnit, Jira, MF Forify, CA Harvest, GitlabCI.
  • CD: Mai yiwuwa, Puppet, TeamCity, Gitlab TFS, Liquidbase.
  • Gwaji: Sonarqube, SoapUI, jMeter, Selenium: MF Forify, Cibiyar Ayyuka, MF UFT, Atacama.
  • Presentation (rahoto, sadarwa): Grafana, Kibana, Jira, Confluence, RocketChat.
  • Ayyuka (kiyaye, gudanarwa): Mai yiwuwa, Zabbix, Prometheus, Elastic + Logstash, Manajan Sabis na MF, Jira, Confluence, MS Project.

Tari da aka zaɓa:

  • Tushen Ilimi - Haɗin Atlassian;
  • Task tracker - Atlassian Jira;
  • Ma'ajiyar kayan tarihi - "Nexus";
  • Tsarin haɗin kai na ci gaba - "Gitlab CI";
  • Tsarin bincike na ci gaba - "SonarQube";
  • Tsarin binciken tsaro na aikace-aikacen - "Micro Focus Forify";
  • Tsarin sadarwa - "GitLab Mattermost";
  • Tsarin gudanarwa na daidaitawa - "Mai yiwuwa";
  • Tsarin sa ido - "ELK", "Tick Stack" ("InfluxData").

Sun fara ƙirƙirar ƙungiyar da za ta kasance a shirye don jawo 'yan kwangila a ciki. Akwai fahimtar cewa akwai abubuwa masu mahimmanci da yawa:

  • Komai ya kamata ya zama haɗin kai, aƙalla lokacin aika lamba. Domin akwai 'yan kwangila da yawa kamar yadda akwai matakai daban-daban na ci gaba tare da nasu na musamman. Wajibi ne a daidaita kowa da kowa zuwa kusan ɗaya, amma tare da zaɓuɓɓuka.
  • Akwai 'yan kwangila da yawa, kuma ƙirƙirar kayan aikin hannu bai dace ba. Duk wani sabon aiki ya kamata ya fara da sauri - wato, ya kamata a tura misalin nan take ta yadda masu ci gaba su sami hanyar magance bututun su.

Don ɗaukar mataki na farko, ya zama dole a fahimci abin da ake yi. Kuma dole ne mu tantance yadda za mu isa wurin. Mun fara ta hanyar taimakawa don zana gine-ginen mafitacin manufa duka a cikin kayan aiki da sarrafa kansa na CI/CD. Daga nan sai muka fara harhada wannan na'ura. Muna buƙatar abubuwan more rayuwa guda ɗaya, iri ɗaya ga kowa, inda masu jigilar kaya iri ɗaya zasu gudana. Mun ba da zaɓuɓɓuka tare da ƙididdigewa, tunanin banki, sa'an nan kuma yanke shawarar abin da za a gina da kuma abin da kuɗi.

Na gaba shine ƙirƙirar kewayawa - shigarwa na software, daidaitawa. Haɓaka rubutun don ƙaddamar da kayan aiki da gudanarwa. Na gaba ya zo canji zuwa tallafi na isar da sako.

Mun yanke shawarar gwada komai akan matukin jirgi. Abin sha'awa shine, yayin tukin jirgin, wani tari ya bayyana a bankin a karon farko. Daga cikin wasu abubuwa, an ba da wani mai siyar da gida na ɗayan mafita don girman matukin jirgin don ƙaddamar da sauri. Tsaro ya san shi a lokacin da yake tukin jirgin, kuma hakan ya bar abin da ba za a manta da shi ba. Lokacin da muka yanke shawarar canzawa, an yi sa'a, an maye gurbin kayan aikin kayan aiki tare da bayani na Nutanix, wanda ya riga ya kasance a banki a baya. Bugu da ƙari, kafin wannan na VDI ne, amma mun sake amfani da shi don ayyukan samar da ababen more rayuwa. A cikin ƙananan ƙananan bai dace da tattalin arziki ba, amma a cikin manyan kundin ya zama kyakkyawan yanayi don ci gaba da gwaji.

Sauran tarin sun fi ko žasa sanin kowa. An yi amfani da kayan aikin atomatik a cikin Ansible, kuma ƙwararrun tsaro sunyi aiki tare da su. Bankin yayi amfani da tarin Atlassin kafin aikin. Kayan aikin tsaro na Fortinet - mutanen tsaro da kansu ne suka gabatar da shi. Bankin ne ya kirkiro firam ɗin gwajin, ba a yi tambaya ba. Tsarin ma'adana ya haifar da tambayoyi; Dole ne in saba da shi.

An bai wa ’yan kwangila sabon tari. Sun ba mu lokaci don sake rubutawa ga GitlabCI, da kuma ƙaura Jira zuwa sashin banki, da sauransu.

Mataki-mataki

Mataki na 1. Da farko, mun yi amfani da bayani daga mai siyar da gida, an haɗa samfurin zuwa wani sabon ɓangaren cibiyar sadarwa na DSO. An zaɓi dandamali don lokacin isar da saƙon, sassaucin ƙima da yuwuwar cikakken aiki da kai. Gwaje-gwajen da aka gudanar:

  • Yiwuwar sassauƙa da cikakken sarrafa sarrafa kayan aikin dandamali (cibiyar sadarwa, tsarin faifai, tsarin albarkatun albarkatun kwamfuta).
  • Yin aiki da kai na sarrafa tsarin rayuwa na inji (samfurin, hotuna, madogara).

Bayan shigarwa da daidaitawar asali na dandamali, an yi amfani da shi azaman maƙasudin sakawa na tsarin tsarin matakai na biyu (kayan aikin DSO, ƙayyadaddun tsarin ci gaban kasuwa). An ƙirƙiri saitin bututun da ake buƙata - ƙirƙira, gogewa, gyare-gyare, madadin injunan kama-da-wane. An yi amfani da waɗannan bututun azaman matakin farko na tsarin turawa.

Sakamakon shi ne cewa kayan aikin da aka ba su ba su cika bukatun bankin don yin aiki da rashin haƙuri ba. DIT na bankin ya yanke shawarar ƙirƙirar hadaddun dangane da kunshin software na Nutanix.

Stage 2. Mun ɗauki jigon da aka ayyana, kuma muka rubuta shigarwa ta atomatik da rubutun saiti don duk tsarin tsarin don a canza komai daga matukin jirgi zuwa da'irar manufa da sauri. Dukkanin tsarin an tura su a cikin tsari mai jurewa kuskure (inda wannan damar ba ta iyakance ta manufofin lasisin mai siyarwa ba) kuma an haɗa shi zuwa ma'auni da ƙananan tsarin tattara taron. IB yayi nazarin yarda da buƙatun sa kuma ya ba da haske kore.

Stage 3. Hijira na duk tsarin ƙasa da saitunan su zuwa sabon PAC. An sake rubuta rubutun kayan aiki na kayan aiki, kuma an kammala ƙaura na tsarin DSO a cikin cikakken tsari mai sarrafa kansa. An sake sake fasalin yanayin ci gaban IP ta hanyar bututun ƙungiyoyin ci gaba.

Mataki na 4. Ƙaddamar da shigar da software ta atomatik. Shugabannin kungiyar sabbin kungiyoyi ne suka tsara wadannan ayyuka.

Mataki na 5. Amfani.

Samun shiga nesa

Ƙungiyoyin haɓakawa sun nemi matsakaicin matsakaicin aiki tare da da'ira, kuma an ɗaga buƙatun samun damar nesa daga kwamfyutocin sirri a farkon aikin. Bankin ya riga ya sami damar shiga nesa, amma bai dace da masu haɓakawa ba. Gaskiyar ita ce makircin ya yi amfani da haɗin mai amfani zuwa VDI mai kariya. Wannan ya dace da waɗanda kawai ke buƙatar wasiƙa da fakitin ofis a wurin aikinsu. Masu haɓakawa zasu buƙaci abokan ciniki masu nauyi, babban aiki, tare da albarkatu masu yawa. Kuma ba shakka, dole ne su kasance a tsaye, tun da asarar zaman mai amfani ga waɗanda ke aiki tare da VStudio (alal misali) ko wasu SDK ba shi da karɓa. Tsara ɗimbin adadin VDI masu kauri ga duk ƙungiyoyin ci gaba sun haɓaka farashin mafita na VDI da ke akwai.

Mun yanke shawarar yin aiki akan samun nisa kai tsaye zuwa albarkatun sashin ci gaba. Jira, Wiki, Gitlab, Nexus, ginawa da gwada benci, abubuwan more rayuwa. Jami'an tsaro sun bukaci cewa za a iya ba da damar shiga bisa ga abubuwan da ke biyowa:

  1. Amfani da fasahar da aka riga aka samu a banki.
  2. Bai kamata ababen more rayuwa su yi amfani da masu kula da yanki na yanzu waɗanda ke adana bayanan abubuwan asusu masu amfani ba.
  3. Ya kamata a iyakance damar shiga ga waɗannan albarkatun da takamaiman ƙungiya ke buƙata (don ƙungiyar samfura ba za ta iya samun damar albarkatun wata ƙungiya ba).
  4. Matsakaicin iko akan RBAC a cikin tsarin.

Sakamakon haka, an ƙirƙiri wani yanki na daban don wannan ɓangaren. Wannan yanki ya ƙunshi duk albarkatun ɓangaren ci gaba, duka takaddun shaidar mai amfani da abubuwan more rayuwa. Ana gudanar da tsarin tarihin rayuwa a cikin wannan yanki ta amfani da IdM da ke cikin banki.

An shirya hanyar shiga kai tsaye bisa ga kayan aikin bankin. An raba ikon samun dama zuwa ƙungiyoyin AD, waɗanda ƙa'idodi akan abubuwan da suka dace (ƙungiyar samfura ɗaya = rukunin dokoki ɗaya).

Gudanar da Samfurin VM

Gudun ƙirƙirar taro da madauki na gwaji na ɗaya daga cikin manyan KPIs da shugaban sashin ci gaba ya kafa, saboda saurin shirya yanayin kai tsaye yana rinjayar gaba ɗaya lokacin aiwatar da bututun. An yi la'akari da zaɓuɓɓuka biyu don shirya hotunan VM na tushe. Na farko shine mafi ƙarancin girman hoto, tsoho don duk samfuran tsarin, matsakaicin yarda da manufofin banki game da saituna. Na biyu shi ne hoton tushe, wanda ya ƙunshi POPPO mai nauyi da aka sanya, lokacin shigarwa wanda zai iya tasiri sosai wajen saurin aiwatar da bututun.

Hakanan an yi la'akari da abubuwan more rayuwa da buƙatun tsaro yayin haɓakawa - adana hotuna har zuwa zamani (faci, da sauransu), haɗin kai tare da SIEM, saitunan tsaro bisa ga ka'idodin banki.

Sakamakon haka, an yanke shawarar yin amfani da ƙananan hotuna don rage yawan kuɗin da ake kashewa don sabunta su. Yana da sauƙin ɗaukaka tushen OS fiye da facin kowane hoto don sabbin nau'ikan POPPO.

Dangane da sakamakon, an ƙirƙiri jerin mafi ƙarancin tsarin da ake buƙata na tsarin aiki, wanda ƙungiyar ayyukan ke aiwatar da sabuntawa, kuma rubutun bututun suna da alhakin sabunta software gaba ɗaya, kuma idan ya cancanta, canza sigar. na software da aka shigar - kawai canja wurin alamar da ake buƙata zuwa bututun. Ee, wannan yana buƙatar ƙungiyar samfuran deps don samun ƙarin hadaddun yanayin tura kayan aiki, amma yana rage yawan lokacin aiki da ake buƙata don tallafawa hotunan tushe, wanda in ba haka ba zai iya buƙatar sama da hotunan VM tushe ɗari don kiyayewa.

Samun damar Intanet

Wani abin tuntuɓe tare da tsaro na banki shine damar samun albarkatun Intanet daga yanayin ci gaba. Haka kuma, ana iya raba wannan damar zuwa kashi biyu:

  1. Samun kayan more rayuwa.
  2. Samun mai haɓakawa.

An shirya samun damar ababen more rayuwa ta hanyar samar da ma'ajiyar waje tare da Nexus. Wato, ba a samar da damar kai tsaye daga injina ba. Wannan ya ba da damar yin sulhu tare da tsaro na bayanai, wanda ya saba wa samar da duk wani damar zuwa duniyar waje daga ɓangaren ci gaba.

Masu haɓakawa suna buƙatar samun dama ga Intanet don dalilai masu ma'ana (stackoverflow). Kuma kodayake duk umarni, kamar yadda aka ambata a sama, suna da nisa zuwa da'irar, ba koyaushe ya dace ba lokacin da ba za ku iya yin ctrl + v daga wurin aikin mai haɓakawa a banki a cikin IDE ba.

An cimma yarjejeniya da IS cewa da farko, a matakin gwaji, za a ba da damar shiga ta hanyar wakili na banki bisa jerin farar fata. Bayan kammala aikin, za a canza damar shiga cikin jerin baƙaƙe. An shirya manyan allunan shiga, waɗanda ke nuna manyan albarkatu da wuraren ajiyar da ake buƙatar samun damar shiga a farkon aikin. Gudanar da waɗannan hanyoyin shiga ya ɗauki lokaci mai kyau, wanda ya ba da damar dagewa kan mafi saurin yuwuwar sauyawa zuwa jerin baƙaƙe.

Результаты

Aikin ya ƙare kadan kasa da shekara guda da ta wuce. Abin ban mamaki, duk 'yan kwangila sun canza zuwa sabon tarin akan lokaci kuma babu wanda ya bari saboda sabon na'ura ta atomatik. IB ba ya gaggawar raba ra'ayi mai kyau, amma ba ya koka ko ɗaya, daga abin da zamu iya yanke cewa suna son shi. Rikice-rikice sun lafa saboda tsaro na bayanai ya sake jin yana cikin iko, amma baya tsoma baki cikin ayyukan ci gaba. An ba ƙungiyoyin ƙarin nauyi, kuma gaba ɗaya halin tsaro na bayanai ya zama mafi kyau. Bankin ya fahimci cewa sauyawa zuwa DevSecOps ya kusan zama makawa, kuma ya aikata shi, a ganina, a cikin mafi sauki da kuma hanya madaidaiciya.

Alexander Shubin, tsarin gine-gine.

source: www.habr.com

Add a comment