使用Helm搭配CI/CD供多團隊使用的DevSecOps

使用Helm搭配CI/CD供多團隊使用的DevSecOps 周育緯 1

About me •III DevOps contributor •8 年 System, DevOps 與
Backend 開發與維護經驗 •資展國際、工研院: Kubernetes, DevOps 講師 2

CI/CD 工具所做的事情越來越多後 •1個CI/CD YAML 會有多個功能需要執行 •編譯、打包、單元測試、整合測試、程式碼品質、白箱掃描、黑箱掃描、部署…… •每個git repository皆會有CI/CD YAML
file 3

當我們使用CI/CD 工具後 •1個軟體開發項目會有多個Git Repository •1個公司有多個軟體開發項目 4

DevOps team需要維護的YAML function •n個軟體項目 X n個git repository X YAML n
個功能 •試想今天要把幫程式碼品質掃描增加一個參數，要改多少YAML檔？ •隨著DevOps專業化、測試左移，這種問題會越來越明顯。 5

解決方案 6

Helm •Kubernetes套件管理工具 (類似: Yum RPM, Apt dpkg) •角色 •Chart: 安裝、部署包
(package)， •Repository: 安裝包倉庫 (package server)，供Helm取用安裝包進行安裝 •Release: 經由Helm所部署至kubernetes上的 APP 7

把各項Pipeline各階段掃描用Helm chart來打包 8

Pipeline 運作流程 9

Chart tgz and Image Update 11

功能用Chart appversion 來進行版本區隔 – 舉SonarQube為例 12 https://github.com/iii-org/devops-charts-pack-and-index

Runner Image 13 https://github.com/iii-org/sonarqube-runner

Chart version 14 https://github.com/iii-org/devops-charts/tree/main/charts/scan-sonarqube/0.2.5

優點 •最小化改動YAML file •調整版本號(version)，跟參數(Answer)即可 •掃描工具也需持續更新 •減少漏洞，增加新功能 •新舊專案可以同時兼容 •舊專案使用舊版的chart 與 image，無需配合
升級 15

優點 - YAML file 可讀性提高 16 https://github.com/iii devops- templates/vuejs-app- template2/blob/mast
er/.rancher- pipeline.yml

VMWare Harbor mirror (Proxy Cache) 功能 17

缺點 •沒有，運作非常順利 •對於設定複雜且操作繁瑣的工具 •把複雜的邏輯留給Runner image跟Chart. 18

總結 •採用工具與專案越多，有系統的Runner版本管理越能看出效果 •保持YAML file乾淨易讀 •Dev團隊如果有特殊需求，也能用獨立 Runner版本進行區隔。 19

歡迎大家參考 III DevOps 更多詳細教學影音，請觀看我們的 YouTube 影音影音連結或訂閱我們的YouTube頻道，享受最新第一手教學資訊。 https://www.iiidevops. org
20

使用Helm搭配CI/CD供多團隊使用的DevSecOps

使用Helm搭配CI/CD供多團隊使用的DevSecOps

demoyuw

More Decks by demoyuw

Other Decks in Programming

Featured

Transcript