Теги: DevOps FreeIPA Terraform Rework-Space Ukraine

Припиніть божевілля гібридної хмарної ідентичності

Знаєте, наша команда дуже рано навчилася розрізняти знання назви чогось і знання самого об’єкта. Ви можете подивитися на пташку і сказати: “Це дрізд чорноволий”, або німецькою “Die Schwarzkehldrossel”, або в AWS “arn:aws:iam::123456:user/Bob”. Але знання цих назв нічого не говорить вам про пташку. І це точно нічого не говорить вам про Боба.

Як ми будуємо платформи даних у хмарі сьогодні? Це абсолютне божевілля. Це безлад!

Наприклад, у нас є інженер даних. Назвемо його Боб. Ми хочемо, щоб Боб працював на AWS. Тому ми заходимо в консоль і створюємо “Боба”. Потім ми хочемо, щоб Боб використовував Google Cloud. Тому ми заходимо в іншу консоль і знову створюємо “Боба”. Потім у нас є локальний кластер OpenStack. Ми створюємо “Боба” втретє.

Кошмар фрагментації ідентичності
Кошмар фрагментації ідентичності

Тепер у нас три Боби! Але насправді існує тільки один Боб. Ми плутаємо бейдж з людиною. Ми керуємо іменами, а не ідентичностями. І коли справжній Боб покидає компанію, нам доводиться бігати по трьох різних кімнатах, щоб забрати три різних бейджі. Це ненауково. Це неефективно. І, чесно кажучи, це небезпечно.

Чому ми створили проєкт RS-DataPlatform? - щоб припинити божевілля гібридної хмарної ідентичності.

Перший принцип: Охоронець проти Боса

Коли ми почали проєктувати RS-DataPlatform, ми поставили просте питання: Чому хмарний провайдер має вирішувати, хто такий Боб? Хмарний провайдер - це лише інструмент. Це молоток. Ви ж не просите молоток про дозвіл увійти в дім. Ви використовуєте молоток, щоб побудувати дім. Тому ми встановили правило, фундаментальний принцип природи для нашої платформи: Хмарний IAM - це лише охоронець. Це НЕ бос. (Або технічними термінами: Хмарний IAM - це Policy Enforcement Point, а не джерело істини).

Рішення: Паспортна служба

Ми вирішили створити RS-DataPlatform - “Sovereign Identity Core”. Це звучить вишукано, але насправді дуже просто. Воно працює як паспортна система.

  1. Джерело істини ( FreeIPA ): Це урядовий офіс. Тут існує Боб. Якщо Боб тут є, то він справжній.
  2. Перекладач ( Keycloak ): Це паспортний контроль. Він вміє розмовляти усіма мовами. Він вміє розмовляти “AWS SAML”. Він вміє розмовляти “Google OIDC”. Він вміє розмовляти “OpenStack Keystone”.
Рішення RS-DataPlatform
Рішення RS-DataPlatform

Тепер, коли Боб хоче використовувати AWS, він не входить в систему AWS. Він входить у нашу платформу. Наша платформа звертається до AWS і говорить: “Гей, я перевірив, і це Боб. Він з нами. Дайте йому ключі від вантажівки”. На що AWS відповідає: “Гаразд”.

Чому б нам не взяти смокінг напрокат (Альтернативи)

Деякі з вас, розумні хлопці та дівчата, можуть сказати: “Гей, чому б нам просто не використовувати Okta?” або “Хіба у AWS немає чогось подібного?” І ви маєте рацію, так є. Але ось різниця між інструментом, який працює для вас, і інструментом, який працює на вас.

  • Проблема “Оренди паспорта” (Okta, Auth0): Це фантастичні сервіси. Але вони як оренда дуже дорогого смокінга. Він виглядає чудово, але він не ваш. Ви платите надбавку за кожного користувача щомісяця. З RS-DataPlatform ви володієте паспортним офісом. Він з відкритим кодом. Він ваш.
  • Проблема “Обгородженого саду” (AWS IAM Identity Center): Цей інструмент любить AWS. Він терпить всіх інших. Це як механік, у якого є тільки метричні ключі. Чудово підходить для вашого європейського автомобіля, але марно, коли потрібно полагодити американську вантажівку (або ваш локальний OpenStack). Ми ставимося до всіх хмарних провайдерів як до рівних інструментів.

Закони фізики (Policy as Code)

Розв’язання питання ідентичності - це лише перший крок. Коли ви знаєте, хто такий Боб, потрібно переконатися, що Боб випадково не спалить дім. У природі неможливо подорожувати швидше світла. Це не правило, написане в книзі, яке можна ігнорувати; так просто влаштований всесвіт. Ми хочемо, щоб наша платформа працювала так само.

Ми використовуємо Open Policy Agent (OPA) для написання цих законів фізики. Якщо розробник намагається написати код, який створює локального IAM користувача, система не просто пропонує зупинитися. Вона просто каже: “Ні.” Це неможливо. Всесвіт нашої платформи цього не дозволяє. Це виявляє помилку до того, як вона стане дірою в безпеці.

Магічна коробка (Crossplane)

Зрештою, ми хочемо дати Бобу інструменти для побудови власного будинку, не телефонуючи нам кожні п’ять хвилин. Ми використовуємо Crossplane, щоб перетворити цю складну гібридну хмару на простий торговий автомат. Боб не повинен турбуватися про VPC, підмережі чи прив’язку ролей. Боб просто хоче Data Lake.

Боб натискає кнопку: “Мені потрібен Data Lake”. І платформа автоматично:

  1. Запускає сховище.
  2. Налаштовує мережу.
  3. Підключає Identity Core, щоб Боб одразу отримав доступ.

Це не просто автоматизація; це автономія.

Висновок: Знати пташку

Ми створюємо RS-DataPlatform, тому що віримо: ви повинні володіти своєю ідентичністю. Ви повинні бути господарем своїх даних, незалежно від того, чи вони зберігаються на серверній фермі у Вірджинії, чи у коробці під вашим столом.

Ми забираємо складність із “Hybrid Cloud”, щоб ви могли перестати турбуватися про імена користувачів і почати піклуватися про самих користувачів - та дивовижні речі, які вони можуть відкрити.

👇 Що думаєте? Ви керуєте трьома Бобами чи одним?