用例
红帽 Ansible 自动化平台助力自动化策略即代码
用自动化赋能合规管理,实现更可靠的 IT 基础架构和 AIOps。
概述
面临创新加速与合规严控的双重考验,策略即代码(PaC)能为运维注入更强的可控性,让 IT 团队更感安心。随着业务需求日益增长,尤其在 AI 成为战略重点的背景下,传统的手动策略实施方式已难以满足企业对速度与效率的要求。为了最大限度地降低停机、人为错误、安全威胁及不合规等风险,IT 团队需要以相同的方式来保持运维的一致性。通过自动化运行时的策略实施,有助于团队确保由合适的用户在恰当的时间执行正确的操作。
红帽致力于通过自动化策略即代码解决方案,为企业自动化流程注入更强的合规保障与精准控制。 红帽® Ansible® 自动化平台可在策略管理层面提供全面支持,您可以将内部和外部要求、安全需求以及细化的规定嵌入自动化流程,从而在整个运维过程中持续实施策略并提高可靠性。
自动化策略即代码:红帽的愿景
Ansible 自动化平台的 PaC 功能全面推出后,将可通过单一平台实现合规性及治理的自动化,以便您:
创建
在创建自动化代码的过程中强制实施策略
在不影响开发生产力或新自动化内容的创建的情况下,应用治理、风险管理和合规(GRC)策略。确保从一开始就始终如一地强制实施策略。
管理
在运行自动化之前或期间整合策略的实施
在整个运维生命周期中(涵盖 Day0、Day1 到 Day2 阶段)全面实施策略。在执行自动化流程之前,先根据既定策略进行校验,从而控制成本高昂的基础架构操作,如自动限制云实例的大小,防止实例超配。
扩展
简化报告流程,轻松识别超出策略范围的领域
高效完成审核和报告工作,提高团队工作效率。自动识别超出策略范围的技术并快速调整。
新增功能:通过强制实施策略管理运行时的自动化作业
在首次发布的策略即代码功能中,红帽专注于上述愿景的“管理”维度。Ansible 自动化平台现已包含策略实施功能,可在自动化作业运行时根据与作业模板、Ansible 组织及清单级别相关联的外部存储策略进行检查,确保自动化作业在运行前满足合规性要求。
您设计的策略将存储于开源策略代理(OPA)服务器中。在这些策略中描述您希望进行的校验或强制实施的策略。在自动化作业运行之前,Ansible 自动化平台会根据您指定的策略进行验证。如果通过策略验证,则允许自动化作业运行。如果未通过策略验证,则自动化作业不会运行,并且用户会收到关于验证失败的反馈信息。
策略强制实施示例
红帽推荐采取“大处着眼,小处着手”的自动化采用方法,对于策略实施组件也不例外。自动化策略实施可以从以下典型用例入手,并逐步拓展到更广泛的应用中。对于以下每个用例,我们都创建了示例策略,供您参考。
控制在哪里应用策略
设置您希望将策略应用于作业模板、Ansible 组织还是清单级别。将您定义的策略与其中一个级别相关联,以防止出现不符合预期的操作。
管理谁负责对哪些清单执行自动化
通过创建策略来防止特定用户在运维中的某些环节运行自动化作业。例如,某项策略可防止超级用户在作业模板、Ansible 组织或清单级别运行自动化作业。
控制何时运行自动化作业
通过策略实施机制,根据您在策略中设定的规则来控制自动化作业的运行时机。例如,仅在计划维护期间允许运行自动化作业,或者禁止在高峰运维时段运行。
控制哪些变量可传入自动化作业
Ansible 自动化平台通过传入额外变量及其值来实现灵活的自动化。策略实施机制可根据您在策略中定义的规则,允许或禁止在自动化作业中使用特定的变量及其值。
防止凭证与清单不匹配
防止自动化作业使用不当,例如开发环境清单专用的作业模板尝试在生产环境清单上运行。这有助于最大限度地减少安全风险、人为错误以及生产环境的中断。
实施命名规范
根据策略中包含的标准应用命名规范。例如,检查平台组件的名称中是否包含 dev_、test_ 或 prod_ 等前缀。这有助于您在作业、清单、项目和凭证之间保持命名标准的一致性,从而确保仅在正确的目标上运行自动化作业。
了解它如何发挥效用
了解如何借助 Ansible 自动化平台实现自动化策略实施。
应用运行时策略实施机制
Ansible 自动化平提供高度灵活的自动化能力,覆盖 IT 运维的多个关键领域。您可以先从将上述用例应用于您的运维开始,不过,自动化策略实施可在以下三个方面快速带来成效:
实现基于策略的 AIOps
在自动化作业运行时强制实施策略,是 AIOps 操作的推荐最佳实践。为自动化作业、清单和事件驱动型自动化设定边界,确保 AI 仅执行符合您策略的自动化作业。
安全防护与合规管理
将策略应用于安全与合规流程的多个方面。控制哪些用户或用户类型可以执行特定的自动化操作。阻止自动化作业在特定时间段内(例如事件调查窗口期)执行。
控制 CloudOps
通过策略强制实施来优化 CloudOps 并控制相关成本。例如,设定策略以防止特定用户或在特定动态清单组中置备新的云资源。
常见问题解答
我是 Ansible 自动化平台的订阅者,如何使用新推出的策略实施功能?
Ansible 自动化平台客户可通过下载 Ansible 自动化平台 2.5.5 版本来使用新的策略实施功能。策略实施功能需要与外部开源策略代理(OPA)服务器结合使用,后者用于存储要实施的策略。您可以在作业模板、清单和 Ansible 组织菜单中关联要验证的特定策略。
新的策略实施功能是否需要开源策略代理服务器?
需要,这是现行要求。您的策略将存储在此服务器中,您需要在 Ansible 自动化平台的菜单中提供要实施的特定策略的路径。您希望使用哪些策略服务器技术?红帽期待您的反馈。您可以通过销售团队提供反馈,或在此处提交您的反馈。
从哪里可以了解有关策略实施组件的更多信息?
合作伙伴:加入自动化策略即代码生态系统
合作伙伴可以通过两种方式与红帽合作开发自动化策略即代码:
- 系统集成商和经销商可以将自动化策略即代码纳入服务产品,例如作为自动化或治理、风险管理和合规(GRC)实践的一部分,以帮助客户在自动化之旅中不断前进。
- 技术合作伙伴可以创建 Ansible 内容集,帮助我们共同的客户使用自动化策略即代码实施最佳实践。这种方法可将客户将最佳实践代码化,助力客户更高效、更可控地落地解决方案。
如果您想加入 Ansible 自动化平台生态系统,请联系您的红帽合作伙伴团队。
红帽被评为基础架构自动化平台领导者
Forrester Research 将红帽 Ansible 自动化平台评为 2024 年第四季度 Forrester WaveTM:基础架构自动化平台领导者,并在战略类别中获得最高分。
深入了解
检查清单
利用策略即代码自动化来提高合规性的六大理由
探索在 GRC 实践中使用自动化策略即代码(PaC)的六大优势。
视频
自动化策略即代码概述
观看连线对话:自动化策略即代码、其重要性以及 Ansible 自动化平台如何提供帮助。
检查清单
准备实施自动化策略即代码的四种方式
开发和运维团队现在就可以采取这些步骤,为实施自动化 PaC 做好准备。
