GitOps：D2iQ Dispatch和Alcide Advisor提供渐进式部署与安全性

GitOps推出已有一段时间了，自从它开始驱动运维工具的革新，开发者就一直对其抱有很大的兴趣。这种技术中立的模式将运维的最佳实践自动化，利用Git作为声明式基础架构和应用的单一信息源。如今，GitOps运维模型现已成为行业标准，在Kubernetes和云原生社区中快速脱颖而出。

本文将介绍D2iQ的GitNative CI/CD平台——Dispatch将如何帮助您采用Git管理基础架构运维。

GitOps倡导的是著名的“左移”实践，来自于开发者利用Git测试并验证应用的质量和安全性。多年来，这一方法帮助开发者将应用源代码通过利用CI/CD Pipeline发布到生产环境。不过，现在对Git的利用也延伸至Kubernetes环境中的基础架构运维领域，将工件定义为代码，并最终提高开发者的生产力。

D2iQ Dispatch简介

在所有的云原生平台中，D2iQ表现卓越，并于近期推出了Dispatch解决方案，这是一个GitNative CI/CD平台。这一解决方案是对D2IQ的Ksphere产品平台的最新补充。Dispatch与Konvoy紧密集成，Konvoy是一款分布式Kubernetes打包工具，旨在为组织提供更多的运维服务，包括启动容器和微服务。

Dispatch很快就进入了CI/CD领域，加强了关键功能，最引人注目的是它具有多元Pipeline配置语言，为开发者交付良好的灵活性，可以从CUE (类似JSON)和Starlark (类似Python)等流行的软件开发语言中选择声明式语言，此外还有行业标准的JSON和YAML可供选择。

不论是在笔记本电脑、本地，还是在公有云服务中，D2iQ的Dispatch都将赋能CI/CD Pipeline在任何环境中运行。为了搭建Pipeline而采用的多租户形式能够帮助团队以不同的Kubernetes命名空间来运维他们的Pipeline。安全地分离组织，并清晰划分开发者和运维者的职责。

让我们开始实践

为什么要采用Git来管理基础架构运维呢？这很重要吗？

Dispatch以两种方式利用GitOps：一是作为云原生Kubernetes部署的运维模式，另一个则是为负责应用管理的开发者提供更加中心化的体验。

通过按照单一Git库中的版本控制管理整个系统，组织可以维持清晰的可视性，保障安全的分离，并使需求和基础架构状态的保持透明。通过将运维的变更通过向Git Repo发出pull request，从而使得针对部署的版本差异进行的探查、警示和解决过程都得到了简化。通过依循所有提交的审计轨迹，工程团队可以高效追踪并监控所有的修改和配置。从安全和合规的角度讲，这具有极高的价值。恢复和版本回退等需求的实现变得非常简单，因为它们只要求回到上一个已知的Git健康状态。

向GitOps的转变同样值得一提。它减少了在管理和更新集群过程中kubectl的使用。这样的实践得到了Kelsey Hightower等Kubernetes专家的强烈支持，Hightower在推特中说，“越少人直接使用kubectl，你就越不需要创建过多的RBAC策略。

若在早期采用Dispatch及其GitOps，团队将能够顺利度过整个软件生命周期，有助于轻松管理部署，以及强制使用上述的最佳实践。

与Alcide集成

Alcide Advisor是一个Kubernetes多集群漏洞的扫描器，覆盖大量的Kubernetes，Istio等安全性最佳实践以及合规检查。

通过与alcide的集成，利用ArgoCD,，您将可以在Alcide Advisor中增强Dispatch的渐进式交付模式，提供开箱即用的指南，并针对漏洞、配置错误和安全偏移，增加新的探查层。

下面的截图显示的是Alcide的Advisor与ArgoCD的集成。将它添加进Dispatch就如同将它插入您的GitOps库的application.yaml一样简单, ArgoCD会读取部署清单。ArgoCD和Dispatch都不需要其它的修改了。

在Alcide的GitHub库中可以找到这一集成的完整例子。由于Alcide Advisor和ArgoCD配置存储在Git中，追踪变化、管理这一配置的生命周期要与应用源代码和Pipeline的管理方式保持一致。