在本系列的第一篇文章中，您已經(jīng)了解了一些關(guān)于如何管理Jenkins的內(nèi)容，主要是為無序的人帶來秩序。在這篇文章中，我將更深入地探討我效率低下的問題，提出我們工作流中一些安全性、治理和合規(guī)性的挑戰(zhàn)。這不僅僅是你在網(wǎng)站上或展覽橫幅上看到的DevOps流行語——它們是保持軟件交付速度的關(guān)鍵。我發(fā)現(xiàn)，如果我們的安全協(xié)議沒有一致的治理或合規(guī)性，自動化就會變得不那么......自動化。

以下是我發(fā)現(xiàn)不受管理的Jenkins的另外兩個缺點(diǎn)，一起來看看，說不定和你發(fā)現(xiàn)的一樣。

問題3：缺乏一致性

在我之前的文章中，提到過一個主題：分散控制和缺乏可見性會產(chǎn)生混亂。有太多的人操控太多的變量，這就很難讓每個人、每件事處于同一個起跑線。這帶來了巨大的障礙。

缺乏治理會阻礙最佳實(shí)踐。當(dāng)隨便什么人都可以啟動、配置或修改服務(wù)器時，您實(shí)際上是沒有治理能力的，并且?guī)缀鯖]有機(jī)會去持續(xù)地實(shí)施最佳實(shí)踐（例如定期安全掃描、禁止不安全插件等）。

插件劃分了服務(wù)器、工作流程和團(tuán)隊。如果沒有插件管理，您的團(tuán)隊可能會在服務(wù)器中放入任何數(shù)量（和質(zhì)量）的插件。這將給團(tuán)隊間帶來相當(dāng)大的兼容性和互操作性問題，他們將不可避免地使用有沖突的插件，并按照不同的時間表來更新和共享插件。

缺乏一致性會導(dǎo)致更多的Bug。流水線的一致性是避免錯誤的關(guān)鍵。由于不同配置的控制器、不同的插件集、靈活變化的工作流程以及基本上互不關(guān)聯(lián)的團(tuán)隊，不受管理的Jenkins會增加您的工程師尋找Bug的時間。

備份可能是零零散散的。備份數(shù)據(jù)并驗(yàn)證這些備份的完整性都需要有組織、有紀(jì)律。如果缺少有意義的治理，您的備份策略可能會有漏洞，然后面臨丟失數(shù)據(jù)的風(fēng)險。

問題4：缺乏安全

網(wǎng)絡(luò)安全是一項(xiàng)永無止境的挑戰(zhàn)。云計算和業(yè)務(wù)轉(zhuǎn)型帶來了具有高度流動性(并不斷擴(kuò)大)的攻擊范圍，快速的創(chuàng)新步伐要求企業(yè)時刻保持警惕來擊退潛在的攻擊者。那么，這是如何對于已經(jīng)陷入我所提到的困境的企業(yè)造成更大的影響的？

沒有授予任何人執(zhí)行安全策略的權(quán)利。如果沒有集中的權(quán)力或可靠的治理，您將很難讓團(tuán)隊遵守安全最佳實(shí)踐（甚至遵循基本政策）。這將會給您的流水線帶來有風(fēng)險的插件、有風(fēng)險的代碼和有風(fēng)險的做法。

您的安全強(qiáng)度只達(dá)到了您最不安全的插件的水平。隨著插件在控制器中數(shù)量激增，這些插件中的任何安全漏洞都會成為您的負(fù)擔(dān)。插件開發(fā)者是否修補(bǔ)了這些漏洞，以及你的團(tuán)隊是否為了更好地利用安全補(bǔ)丁而可靠地更新他們的插件，這些都是安全方面的通用常識。

漏洞修復(fù)可能會很慢，甚至根本不存在。由于廚房里有太多廚師，而且普遍缺乏可見性和協(xié)調(diào)，因此對發(fā)現(xiàn)的任何安全威脅進(jìn)行修復(fù)將非常麻煩。

安全性混亂且薄弱，導(dǎo)致合規(guī)也變得困難。合規(guī)性就是要證明您是受控的，擁有可靠的保護(hù)措施，并且可以滿足安全標(biāo)準(zhǔn)。由于上面列出的所有原因，如果想靠不受托管的Jenkins實(shí)現(xiàn)這一點(diǎn)，很難。

邁入標(biāo)準(zhǔn)化、自動化和優(yōu)化的大門！

如果您閱讀了第一篇文章，就已經(jīng)知道是CloudBees CI幫助我控制不受管理的Jenkins實(shí)例的混亂局面，但現(xiàn)在，是我認(rèn)真對待提高全面效率的時候了。這意味著一致性和自動化。以下是我確定對我和我的團(tuán)隊有幫助的項(xiàng)目：

快速上手

• 所有開發(fā)團(tuán)隊一開始就有一個值得信賴、經(jīng)過驗(yàn)證且受到支持的Jenkins版本，和以及一套經(jīng)過穩(wěn)定性和安全性測試的精選插件。對我來說，支持是最重要的一點(diǎn)。在我有問題時，總有人在我身邊幫助解決——無論問題多么簡單；

• 使用自定義CasC捆綁包來配置可重復(fù)組件，使團(tuán)隊能夠從從單一來源管理的預(yù)配置和測試環(huán)境開始。

流水線模板目錄，用于在整個運(yùn)營過程中執(zhí)行一致性和穩(wěn)定性

• 你擁有一個基于最佳實(shí)踐的流水線集合，讓團(tuán)隊永遠(yuǎn)不必從頭開始，并且對模板的更改會從一個點(diǎn)推送到所有團(tuán)隊的流水線中；

• 每次運(yùn)行job時都會獲取最新的模板代碼，因此job始終反映的是最新的標(biāo)準(zhǔn)。可以有選擇性的把開發(fā)人員限制在特定的模板之中，來實(shí)現(xiàn)治理目標(biāo)；

• 想要避免從頭開始治理開發(fā)人員，可以通過修改現(xiàn)有模板來適應(yīng)新議程；

• 自定義標(biāo)記文件讓您能夠基于軟件配置管理（SCM）標(biāo)識符的基礎(chǔ)上，即時選擇構(gòu)建模板。

自動備份和恢復(fù)

• 消除備份策略中的人為錯誤。我們團(tuán)隊中有很多獨(dú)立的思考者，這對于功能開發(fā)這很有利，但對于一致的環(huán)境設(shè)置卻不是很友好。所以自動備份和恢復(fù)有助于為他們創(chuàng)造一個可以啟動和使用的環(huán)境，而不是每次都從頭開始創(chuàng)建。

跨團(tuán)隊協(xié)作

• 使用一個強(qiáng)大的發(fā)布者/訂閱者模型跨多個控制器管理事件，無論身處何處，團(tuán)隊都訂閱流水線事件并對其采取行動；

• 流水線同步工作，不同的團(tuán)隊能夠使用同步的自動化執(zhí)行跨流水線的協(xié)作；

• 團(tuán)隊可以通過控制器分開工作，但他們?nèi)匀豢梢詤f(xié)同工作，實(shí)現(xiàn)流水線自動化；

• 每個團(tuán)隊都應(yīng)該能夠安全地使用不同的插件和技術(shù)，而不會有影響其他團(tuán)隊的風(fēng)險。

提升開發(fā)人員的工作效率

• 直接在GitHub和Slack中接收細(xì)化的、可操作的構(gòu)建數(shù)據(jù)。

輕松實(shí)現(xiàn)安全性和合規(guī)性

安全性和合規(guī)性對我們來說是一個巨大的挑戰(zhàn)。畢竟，如果您不能完全控制開發(fā)環(huán)境，那么就很難實(shí)現(xiàn)這兩個目標(biāo)，但目前很少有開發(fā)人員能夠做到。幸運(yùn)的是，隨著CloudBees的集中化和標(biāo)準(zhǔn)化，安全性和合規(guī)性變得相對來說更容易了。隨著每個團(tuán)隊都使用安全的構(gòu)建和批準(zhǔn)的流水線配置，我的SDLC有了全面的護(hù)欄支持（guardrails supporting）。以下是一些使我的工作變得更輕松的項(xiàng)目：

集中管理的安全策略

• 授權(quán)控制器僅運(yùn)行經(jīng)過測試、驗(yàn)證且安全的Jenkins版本。如果構(gòu)建中出現(xiàn)問題，可以更輕松地全局復(fù)制、修復(fù)和更新該構(gòu)建。

• 從單一位置管理身份驗(yàn)證和授權(quán)功能：

• 在所有控制器上使用單點(diǎn)登錄（SSO）；

• 使用基于角色的訪問控制（RBAC）模型定義安全憑據(jù)，并在控制平面、文件夾或單個控制器級別對訪問權(quán)限進(jìn)行分組定義；

• 使用文件夾層次結(jié)構(gòu)實(shí)施對控制器、代理或項(xiàng)目的訪問；

• 將RBAC與文件夾限制相結(jié)合以提高安全性，并確定誰可以在文件夾層次結(jié)構(gòu)中的每個位置創(chuàng)建、修改、刪除和使用憑據(jù)。

• 基于每個團(tuán)隊確定安全的范圍。

• 使用模板化的工作流程，將安全性落實(shí)到您的流水線中。

• 簡化合規(guī)性

• 只需使用CasC捆綁包和流水線模板即可構(gòu)建合規(guī)性。

• 將插件的風(fēng)險降至最低

• 限制團(tuán)隊只能使用一組精心挑選過的插件（CloudBees保障計劃 - CAP），這些插件經(jīng)過穩(wěn)定性和安全性測試，并確認(rèn)符合合規(guī)性目標(biāo)。

隨著您團(tuán)隊的擴(kuò)大而擴(kuò)展

大規(guī)模自動化是Jenkins的追求。不受管理的Jenkins在自動化方面可能表現(xiàn)出色，但在大規(guī)模管理部分則不然。這里指的不是管理一個團(tuán)隊，而是管理很多團(tuán)隊。我需要為團(tuán)隊提供成長的空間和所需的支持，并計劃隨著我們投資組合的擴(kuò)大創(chuàng)建新的團(tuán)隊。首先，需要考慮的就是對著人員的擴(kuò)大而擴(kuò)展，因?yàn)槿绻麤]人使用它，那么這個軟件被開發(fā)出來的目的是什么呢？需要有一個人來確保所有人擁有他們完成工作所需的一切事物。在上述對我有用的功能中，有一些對擴(kuò)展也有所幫助。

• 通過自動配置新團(tuán)隊/控制器、傳播最佳實(shí)踐（流水線模板、CasC等），以及為規(guī)模合適的基礎(chǔ)設(shè)施管理資源，來實(shí)現(xiàn)大規(guī)模交付Jenkins。

• 團(tuán)隊能夠自行快速啟動新的控制器和工作區(qū)，同時確保SDLC保持一致、受管控、合規(guī)且安全。

• 如果您使用的是Kubernetes，請在擴(kuò)展時利用Kubernetes配置來優(yōu)化基礎(chǔ)架構(gòu)資源。這樣，控制器可以根據(jù)需要啟動，然后在不使用時可以休眠。

企業(yè)級支持

最后，要真正讓使用Jenkins企業(yè)做好準(zhǔn)備，我們必須解決房間里的大象：Jenkins缺乏結(jié)構(gòu)化的支持。社區(qū)援助是非常好的解決方案，但是當(dāng)災(zāi)難發(fā)生時，您是沒有時間在論壇上挖掘出解決方法的。您要將彈性融入您的計劃，您需要堅如磐石的專業(yè)支持，這樣您才可以專注于構(gòu)建應(yīng)用程序，而不用為修復(fù)讓步。

讓CloudBees團(tuán)隊的Jenkins專家為您提供指導(dǎo)。你不必再依賴Rick——你可愛的Jenkins專家，他收集了1980年代的限量版星球大戰(zhàn)人物（我們有著同樣的熱情，Rick）。相反，您要依靠專家的幫助，讓Rick在其他地方大展拳腳吧。

CloudBees CI建立在Jenkins之上，并添加了額外的功能來滿足企業(yè)的需求。我們了解Jenkins，并且因?yàn)槲覀優(yōu)殚_源項(xiàng)目貢獻(xiàn)了大量代碼，所以我們在解決問題方面具有獨(dú)特的優(yōu)勢——如果出現(xiàn)問題。

此外，CloudBees會主動解決Jenkins構(gòu)建中的漏洞，確保它們在安裝前就被搞定，而且我們還創(chuàng)建了Jenkins健康顧問。健康顧問在整個Jenkins環(huán)境中提供運(yùn)行狀況監(jiān)控，在問題（安全漏洞、性能瓶頸、插件缺陷等）影響用戶之前發(fā)送通知。健康顧問適用于所有Jenkins用戶，而不僅僅是CloudBees CI用戶，所以如果有專門支持Jenkins的精英團(tuán)隊，您也可以使用它。

在下一篇文章中，我將解決可怕的基礎(chǔ)設(shè)施問題?；A(chǔ)設(shè)施就像地基，您房子下面的地下室。我既想知道什么時候有問題，又不想知道——因?yàn)榻鉀Q這些問題需要做很多工作。我就是這樣的人，在我們團(tuán)隊一瘸一拐的前進(jìn)時，我否認(rèn)自己有基礎(chǔ)設(shè)施問題。就有點(diǎn)像我知道天花板上有一只蜘蛛......但也許如果我忽視它，它就能自行消失。但事實(shí)上是沒有這種運(yùn)氣的——那些小生物會再次在某個地方出現(xiàn)。

作者：薩曼莎·弗羅斯特（Samantha Frost），CloudBees公司產(chǎn)品營銷經(jīng)理。

文章來源：https://www.cloudbees.com/blog/managed-jenkins-consistency-isnt-boring