Note-52145-11

Token ID: 1

ERC-721 1 Transfers
Metadata

{
  "type": "note",
  "title": "简单聊聊 IaC：Infrastructure as Code",
  "tags": [
    "post",
    "编程",
    "SRE",
    "Tools",
    "水文"
  ],
  "sources": [
    "xlog"
  ],
  "external_urls": [
    "https://manjusaka.xlog.app/a-simple-introduction-about-iacmd"
  ],
  "date_published": "2023-03-12T21:00:00.000Z",
  "content": "---\ntitle: 简单聊聊 IaC：Infrastructure as Code\ntype: tags\ndate: 2023-03-12 21:00:00\ntags: [编程,SRE,Tools,水文]\ncategories: [编程,杂记]\ntoc: true\n---\n\n实际上 IaC 这个概念的出现已经很久了，所以写篇水文来简单聊聊 IaC 的过去，现在，和将来\n\n<!-- more -->\n\n## IaC 的过去\n\n实际上 IaC 的历史其实足够悠久。首先来看一下 IaC 的核心的特征\n\n1. 最终的产物是 machine readable 的的产物。可能是一份代码，也可能是一份配制文件\n2. 基于 machine readable 的产物，可以进一步依赖已有的 VCS 系统（SVN，Git）等做版本管理\n3. 基于 machine readable 的产物，可以进一步依赖已有的 CI/CD 系统（Jenkins，Travis CI）等做持续集成/持续交付\n4. 状态的一致性，或者称为幂等性。即理论上来讲，基于同样一份 Code，同一套参数构建出的产物，其最终的行为应该是一致的\n\n实际上通过 IaC 这样的一些核心特征，我们现在能明白 IaC 兴起的原因。IaC 实际上的兴起，大背景是在千禧年之后，互联网世界迭代的速度愈发的快速，这个时候传统的手工式的维护面临着几个问题\n\n1. 交互式变更所引入的人的因素太大，导致了变更的不可控性\n2. 人工变更面对愈发快速的 Infra 迭代力有不逮\n3. 交互式的变更导致管控的难做，让版本控制之类的手段变为空谈\n\n在这样的时代背景下，大家都在追求用更技术，更优雅的手段来解决这些问题。于是，IaC 这个概念就出现了\n\n如果说要将 IaC 分为几个阶段的话，那么我觉得可以分为以下几个阶段\n\n1. 刀根火种阶段\n2. 现代化的 IaC\n\n如同前面所说，IaC 实际上是一个自发的驱动，在面对不确定的时候，我们选择用代码来尽可能的消泯掉不确定性（实际上这个原则一直贯穿到现在）\n\n那么在最早期，人们选择用最基础的代码的形式，来完成 IaC 的工作。其特征是对于之前的各种交互式的手段的精确化，程序化的描述。人们可能会选择直接用 bash 来解决这一切（祖传的来路不明的 bash 脚本.jpg），也可能会基于 Python Fabric 这样的框架进行简单的封装来完成所需的程序化描述的工作。\n\n但是我们回头去看这一阶段，我们能直观的感受到一些缺陷\n\n1. 代码复用性较差\n2. 各家都有一套祖传的 IaC 基建，没有统一的行业标准，导致新人入门门槛较高\n\n所以在面对这样一套的问题的时候。更现代化的 IaC 设施应运而生。其中典型的一些产物是\n\n1. Ansible\n2. Chef\n3. Puppet\n\n实际上这些工具，可能设计上各有所取舍（比如 Pull/Push 模型的取舍），但是其核心的特征不会变化\n\n1. 框架内部提供了常见的比如 SSH 链接管理，多机并行执行，auto retry 等功能\n2. 基于上面描述的这一套基础功能，提供了一套 DSL 封装。让开发者更专注于 IaC 的逻辑，而非基础层面的细节\n3. 其开源开放，并形成了一套完善的插件机制。社区可以基于这一套提供更丰富的生态。比如 SDN 社区基于 ANSIBLE 提供了各种交换机的 playbook 等\n\n那么截至到现在，实际上 IaC 的发展其实到了一个相对完备的程度。其中不少工具，也依旧贯穿到了现在。\n\n## 新生代的 IaC\n\n从2006年8月25日，Amazon 正式宣布提供了 EC2 服务开始。整个基础设施开始快步向 Cloud 时代迈进。截止到目前，各家云厂商提供了各种各样的服务。通过十多年的演进，也诞生出了诸如 IaaS，PaaS，DaaS，FaaS 等等各种各样的服务模式。这些服务模式，让我们的基础设施的构建，变得更加的简单，更加的快速。但是这些服务模式，也带来了一些新的问题。\n\n可能写到这里，有同学已经能意识到了问题的所在：在获取算力，获取资源越来越快捷的当下。我们怎么样去管理这样一些资源？\n\n那么要解决这样的问题，我们似乎又需要去考虑怎么样用代码或者可声明式的配置来管理这些资源。有没有一点眼熟，历史始终就是一个圈圈.jpg\n\n在起初的时候，我们各自会选择基于各家云厂商提供的 API 与 SDK 自行封装一套 IaC 工具，如同前面所说的一样。这样会带来一些额外的问题：\n\n1. 代码复用性较差\n2. 各家都有一套祖传的 IaC 基建，没有统一的行业标准，导致新人入门门槛较高\n\n那么这个时候，云时代的，面向云资源管理的新型 IaC 工具的需求也愈发的迫切。这个时候，Terraform 这样的新型工具应运而生\n\n在 Terraform 里，可能一台 EC2 Instance 的开启可能就是这样的一段简短的定义\n\n```terraform\nresource \"aws_vpc\" \"my_vpc\" {\n  cidr_block = \"172.16.0.0/16\"\n\n  tags = {\n    Name = \"tf-example\"\n  }\n}\n\nresource \"aws_subnet\" \"my_subnet\" {\n  vpc_id            = aws_vpc.my_vpc.id\n  cidr_block        = \"172.16.10.0/24\"\n  availability_zone = \"us-west-2a\"\n\n  tags = {\n    Name = \"tf-example\"\n  }\n}\n\nresource \"aws_network_interface\" \"foo\" {\n  subnet_id   = aws_subnet.my_subnet.id\n  private_ips = [\"172.16.10.100\"]\n\n  tags = {\n    Name = \"primary_network_interface\"\n  }\n}\n\nresource \"aws_instance\" \"foo\" {\n  ami           = \"ami-005e54dee72cc1d00\" # us-west-2\n  instance_type = \"t2.micro\"\n\n  network_interface {\n    network_interface_id = aws_network_interface.foo.id\n    device_index         = 0\n  }\n\n  credit_specification {\n    cpu_credits = \"unlimited\"\n  }\n}\n```\n\n这个基础上，我们可以继续将我们诸如 Database，Redis，MQ 等基础设施都进行代码化/描述式配置化，进而提升我们对资源维护的有效性。\n\n同时，随着各家 SaaS 的发展，研发人员也尝试着将这些 SaaS 服务也进行代码化/描述式配置化。以 Terraform 为例，我们可以通过 Terraform 的 Provider 来进行对接。比如 [newrelic](https://newrelic.com/) 提供的 [Provider](https://registry.terraform.io/providers/newrelic/newrelic/latest/docs)，[Bytebase](https://www.bytebase.com/) 提供的 [Provider](https://registry.terraform.io/providers/bytebase/bytebase/latest/docs) 等等\n\n同时，在 IaC 工具帮助我们完成基础设施描述的标准化之后，我们在此基础上能做更多有趣的事情。比如我们可以基于 [Infracost](https://www.infracost.io/) 来计算每次资源变更所带来的资源花费变更。基于 [atlantis](https://www.runatlantis.io/) 来完成集中式的资源变更等等进阶的工作。\n\n那么到现在为止，我们已有的 IaC 产品的选择足够多，能满足我们大部分需求。那么是不是 IaC 整个产品的发展实际上就已经到了一个相对完备的程度呢？答案很明显是否定的\n\n## 未来的 IaC\n\n所以这张主要来聊聊当下 IaC 产品所面临的一些问题，以及我对未来的一些思考吧\n\n### 缺陷一：现有基于 DSL 的语法体系的缺陷\n\n先给大家看一个例子\n\n```terraform\nlocals {\n  dns_records = {\n    # \"demo0\" : 0,\n    \"demo1\" : 1,\n    \"demo2\" : 2\n    \"demo3\" : 3,\n  }\n  lb_listener_port  = 80\n  instance_rpc_port = 9545\n\n  default_target_group_attr = {\n    backend_protocol     = \"HTTP\"\n    backend_port         = 9545\n    target_type          = \"instance\"\n    deregistration_delay = 10\n    protocol_version     = \"HTTP1\"\n    health_check = {\n      enabled             = true\n      interval            = 15\n      path                = \"/status\"\n      port                = 9545\n      healthy_threshold   = 3\n      unhealthy_threshold = 3\n      timeout             = 5\n      protocol            = \"HTTP\"\n      matcher             = \"200-499\"\n    }\n  }\n}\n\nmodule \"alb\" {\n  source  = \"terraform-aws-modules/alb/aws\"\n  version = \"~> 6.0\"\n\n  name                       = \"alb-demo-internal-rpc\"\n  load_balancer_type         = \"application\"\n  internal                   = true\n  enable_deletion_protection = true\n\n\n  http_tcp_listeners = [\n    {\n      protocol           = \"HTTP\"\n      port               = local.lb_listener_port\n      target_group_index = 0\n      action_type        = \"forward\"\n    }\n  ]\n\n  http_tcp_listener_rules = concat([\n    for rec, pos in local.dns_records : {\n      http_tcp_listener_index = 0\n      priority                = 105 + tonumber(pos)\n      actions = [\n        {\n          type               = \"forward\"\n          target_group_index = tonumber(pos)\n        }\n      ]\n      conditions = [\n        {\n          host_headers = [\"${rec}.manjusaka.me\"]\n        }\n      ]\n\n    }\n    ], [{\n      http_tcp_listener_index = 0\n      priority                = 120\n      actions = [\n        {\n          type = \"weighted-forward\"\n          target_groups = [\n            {\n              target_group_index = 0\n              weight             = 95\n            },\n            {\n              target_group_index = 5\n              weight             = 4\n            },\n          ]\n        }\n      ]\n      conditions = [\n        {\n          host_headers = [\"demo0.manjusaka.me\"]\n        }\n      ]\n  }])\n\n  target_groups = [\n    merge(\n      {\n        name_prefix = \"demo0\"\n        targets = {\n          \"demo0-${module.ec2_instance_demo[0].tags_all[\"Name\"]}\" = {\n            target_id = module.ec2_instance_demo[0].id\n            port      = local.instance_rpc_port\n          }\n        }\n      },\n      local.default_target_group_attr,\n    ),\n    merge(\n      {\n        name_prefix = \"demo1\"\n        targets = {\n          \"demo1-${module.ec2_instance_demo[0].tags_all[\"Name\"]}\" = {\n            target_id = module.ec2_instance_demo[0].id\n            port      = local.instance_rpc_port\n          }\n        }\n      },\n      local.default_target_group_attr,\n    ),\n    merge(\n      {\n        name_prefix = \"demo2\"\n        targets = {\n          \"demo2-${module.ec2_family_c[0].tags_all[\"Name\"]}\" = {\n            target_id = module.ec2_family_c[0].id\n            port      = local.instance_rpc_port\n          },\n        }\n      },\n      local.default_target_group_attr,\n    ),\n\n    merge(\n      {\n        name_prefix = \"demo3\"\n        targets = {\n          \"demo3-${module.ec2_family_d[0].tags_all[\"Name\"]}\" = {\n            target_id = module.ec2_family_d[0].id\n            port      = local.instance_rpc_port\n          },\n        }\n      },\n      local.default_target_group_attr,\n    ), # target_group_index_3\n    merge(\n      {\n        name_prefix = \"demonew\"\n        targets = {\n          \"demo0-${module.ec2_instance_reader[0].tags_all[\"Name\"]}\" = {\n            target_id = module.ec2_instance_reader[0].id\n            port      = local.instance_rpc_port\n          }\n        }\n      },\n      local.default_target_group_attr,\n    ),\n  ]\n}\n```\n\n这段 TF 配置描述虽然看起来长，但是实际上做的事很简单，根据不同的域名 `*.manjusaka.me` 将流量转发到不同的 instance 上。然后对于 `demo0.manjusaka.me` 这个域名，进行单独的流量灰度处理。\n\n我们能发现，Terrafrom 这种 DSL 的解决方案所需要面临的问题就是在对于这种动态灵活的场景下，其表达能力将会有很大的局限性。\n\n社区也充分意识到了这个问题。所以类似 Pulumi 这种基于 Python/Lua/Go/TS 等完整的编程语言的 IaC 产品就应运而生了。比如我们用 Pulumi + Python 改写上面的例子(此处由 ChatGPT 提供技术支持)\n\n```python\nfrom pulumi_aws import alb\n\ndns_records = {\n    # \"demo0\" : 0,\n    \"demo1\": 1,\n    \"demo2\": 2,\n    \"demo3\": 3,\n}\nlb_listener_port = 80\ninstance_rpc_port = 9545\n\ndefault_target_group_attr = {\n    \"backend_protocol\": \"HTTP\",\n    \"backend_port\": 9545,\n    \"target_type\": \"instance\",\n    \"deregistration_delay\": 10,\n    \"protocol_version\": \"HTTP1\",\n    \"health_check\": {\n        \"enabled\": True,\n        \"interval\": 15,\n        \"path\": \"/status\",\n        \"port\": 9545,\n        \"healthy_threshold\": 3,\n        \"unhealthy_threshold\": 3,\n        \"timeout\": 5,\n        \"protocol\": \"HTTP\",\n        \"matcher\": \"200-499\",\n    },\n}\n\nalb_module = alb.ApplicationLoadBalancer(\n    \"alb\",\n    name=\"alb-demo-internal-rpc\",\n    load_balancer_type=\"application\",\n    internal=True,\n    enable_deletion_protection=True,\n    http_tcp_listeners=[\n        {\n            \"protocol\": \"HTTP\",\n            \"port\": lb_listener_port,\n            \"target_group_index\": 0,\n            \"action_type\": \"forward\",\n        }\n    ],\n    http_tcp_listener_rules=[\n        {\n            \"http_tcp_listener_index\": 0,\n            \"priority\": 105 + pos,\n            \"actions\": [\n                {\n                    \"type\": \"forward\",\n                    \"target_group_index\": pos,\n                }\n            ],\n            \"conditions\": [\n                {\n                    \"host_headers\": [f\"{rec}.manjusaka.me\"],\n                }\n            ],\n        }\n        for rec, pos in dns_records.items()\n    ]\n    + [\n        {\n            \"http_tcp_listener_index\": 0,\n            \"priority\": 120,\n            \"actions\": [\n                {\n                    \"type\": \"weighted-forward\",\n                    \"target_groups\": [\n                        {\"target_group_index\": 0, \"weight\": 95},\n                        {\"target_group_index\": 5, \"weight\": 4},\n                    ],\n                }\n            ],\n            \"conditions\": [{\"host_headers\": [\"demo0.manjusaka.me\"]}],\n        }\n    ],\n    target_groups=[\n        alb.TargetGroup(\n            f\"demo0-{module.ec2_instance_demo[0].tags_all['Name'].apply(lambda x: x)}\",\n            name_prefix=\"demo0\",\n            targets=[\n                {\n                    \"target_id\": module.ec2_instance_demo[0].id,\n                    \"port\": instance_rpc_port,\n                }\n            ],\n            **default_target_group_attr,\n        ),\n        alb.TargetGroup(\n            f\"demo1-{module.ec2_instance_demo[0].tags_all['Name'].apply(lambda x: x)}\",\n            name_prefix=\"demo1\",\n            targets=[\n                {\n                    \"target_id\": module.ec2_instance_demo[0].id,\n                    \"port\": instance_rpc_port,\n                }\n            ],\n            **default_target_group_attr,\n        ),\n        alb.TargetGroup(\n            f\"demo2-{module.ec2_family_c[0].tags_all['Name'].apply(lambda x: x)}\",\n            name_prefix=\"demo2\",\n            targets=[\n                {\n                    \"target_id\": module.ec2_family_c[0].id,\n                    \"port\": instance_rpc_port,\n                }\n            ],\n            **default_target_group_attr,\n        ),\n        alb.TargetGroup(\n            f\"demo3-{module.ec2_family_d[0].tags_all['Name'].apply(lambda x: x)}\",\n            name_prefix=\"demo3\",\n            targets=[\n                {\n                    \"target_id\": module.ec2_family_d[0].id,\n                    \"port\": instance_rpc_port,\n                }\n            ],\n            **default_target_group_attr,\n        ),\n        alb.TargetGroup(\n            f\"demo0-{module.ec2_instance_reader[0].tags_all['Name'].apply(lambda x: x)}\",\n            name_prefix=\"demonew\",\n            targets=[\n                {\n                    \"target_id\": module.ec2_instance_reader[0].id,\n                    \"port\": instance_rpc_port,\n                }\n            ],\n            **default_target_group_attr,\n        ),\n    ],\n)\n\n```\n\n你看，整体的用法是不是更贴近于我们的使用习惯，其表达力也更好\n\n### 缺陷二：和业务需求之间的 Gap\n\n实际上在云时代的 IaC 工具，更多的去解决的是基础设施的存在性的问题。而对于已有基础设施的编排与更合理的利用实际上是存在比较大的 Gap 的。我们怎么样将应用部署到这些基础资源上。怎么样去调度这些资源。实际上是个很值得玩味的一个问题。\n\n实际上可能出乎人们的意料，实际上 Kubernetes/Nomad 实际上就在尝试解决这样的问题。可能有人在思考，什么？这个也算是 IaC 工具？毫无疑问的是嘛，不信你对照一下我们前面列的 IaC 的几个核心特征\n\n1. 最终的产物是 machine readable 的的产物。可能是一份代码，也可能是一份配制文件（YAML 工程师表示认可）\n2. 基于 machine readable 的产物，可以进一步依赖已有的 VCS 系统（SVN，Git）等做版本管理（manifest 随着仓库走）\n3. 基于 machine readable 的产物，可以进一步依赖已有的 CI/CD 系统（Jenkins，Travis CI）等做持续集成/持续交付（argocd 等平台提供了进一步的支持）\n\n同时我们在对应的配置文件里，可以声明我们所需要 CPU/Mem，需要的磁盘/远程盘，需要的网关等。同时这一套框架实际上将计算 Infra 进行了一个相对通用性的抽象，让业务百分之八十的场景下并不需要去考虑底层 Infra 的细节。\n\n但是实际上这套已经存在的方案又会存在一些问题。比如其复杂度的飙升，self-hosted 的运维成本，以及一些抽象泄漏带来的问题。\n\n### 缺陷三：质量性的偏差\n\n云时代新生的 IaC，其 scope 相较于传统的诸如 ansible 之类的 IaC 工具范围更大，野心也更大。所带来的副作用就是其质量的偏差。这个话题可以分为两方面说\n\n第一点来看，诸如 Terraform 这样的 IaC 工具，通过官方提供的 Provider 实现了对 AWS/Azure/GCP 等平台的支持。但是即便是官方支持，其 Provider 里设计的一些逻辑，和平台侧在交互式界面里的设计逻辑并不一致。比如我之前吐槽过“比如 Aurora DB Instance 的 delete protection 在 Console 创建时默认打开，而 TF 里是默认关闭”。这实际上会在使用的时候，给开发者带来额外的心智负担\n\n第二点来看，IaC 工具极度依赖社区（此处的社区饱含开源社区和各类商业公司）。不同于 Ansible 等老前辈，其周边设施的质量相对稳定。Terraform 等新生代的 IaC 周边的质量一言难尽。比如国内诸如福报云，华为云，腾讯云等厂商提供的 Provider 一直被人诟病。而不少大型的面向研发者的 SaaS 平台没有官方提供的 Provider 等（比如 Newrelic）\n\n同时，云厂商所提供的一些功能实际上是和通用性 IaC 工具所冲突的。比如 AWS 的 WAF 工具，其中有一个功能是基于 IPSet 进行拦截，这个时候如果 IPSet 非常大，那么使用通用性的 IaC 工具进行描述将会是一个灾难性的存在。这个时候对于类似的场景，只能基于云厂商自己的 SDK 进行封装，云厂商提供的 SDK 质量合格还好。如果像福报云这样的神奇的 SDK 设计的话，那就只能自求多福了。。\n\n### 缺陷四：面对开发者体验的不足\n\n开发者体验实际上现在是一个比较热门的话题。毕竟没有人愿意将自己宝贵的生命来做重复的工作。就目前而言，主要的 IaC 工具都是 For Production Server 的，而不是 For Developer Experience 的，导致我们用的时候，其体验就很一般。\n\n比如我们现在有一个场景，我们需要在 AWS 上给研发的同学批量开一批 EC2 Instance 作为开发机。怎么样保证研发同学在这些机器上开箱即用，就是很大的一个问题。\n\n虽然我们可以通过预制镜像等方式提供相对统一的环境。不过我们可能会需要更进一步的去细调环境的话，那么就会比较蛋疼。\n\n针对于类似的场景，老一点的有 Nix，新一点的有 [envd](https://github.com/tensorchord/envd) 来解决这样一些问题。但是目前来讲，还是和已有的 IaC 产品有一些 gap。后续怎么样进行对接可能会是个很有趣的话题。\n\n### 缺陷五：面对新型技术栈的一些不足\n\n最典型的是 Serverless 的场景。比如我举个例子，我现在有个简单的需求，就是用 Lambda 来实现一个简单的 SSR 的渲染\n\n```typescript\nexport default function BlogPosts({ posts }) {\n  return posts.map(post => <BlogPost key={post.id} post={post} />)\n}\n\nexport async function getServerSideProps() {\n  const posts = await getBlogPosts();\n  return {\n    props: { posts }\n  }\n}\n```\n\n函数本身非常简单，但是如果我们要将这个函数部署到 Production Enviorment 里将会是一个比较麻烦的事。比如我们来思考下我们现在需要为这个简单的函数准备什么样的 infra\n\n1. 一个 lambda 实例\n2. 一个 S3 bucket\n3. 一个 APIGateway 及路由规则\n4. 接入 CDN （可选）\n5. DNS 准备\n\n那么在 IaC Manifest + 业务代码彼此分离的情况下，我们的变更以及资源的管理将会是一个很大的问题。Vercel 在最近的 Blog [Framework-defined infrastructure](https://vercel.com/blog/framework-defined-infrastructure) 也描述了这样的问题。我们怎么样能进一步发展为 Domain Code as Infrastructure 将会是未来的一个挑战\n\n## 总结\n\n这篇文章写了两天，差不多作为自己对于 IaC 这个事物的一些碎碎念（而不是 Terraform Tutorial！（逃。祝大家读的开心\n",
  "attributes": [
    {
      "value": "a-simple-introduction-about-iacmd",
      "trait_type": "xlog_slug"
    }
  ]
}