Chen @ Cloud Edge Sumit 2020 From DevOps to GitOps with GitLab Cheng Wei Chen 陳 正瑋 DevOps Engineer @ 得寬科技
 《Effective DevOps 中⽂版》譯者、GitLab Hero http://chengweichen.com https://devopstw.club Agenda Automation Ops / Infra 團隊 Provision 圖片來源 https://youtu.be/Usb9iUphT6Y GitOps = IaC + MRs + CI/CD GitLab 說的~ GitOps = IaC + MRs + CI/CD Infrastructure as Code Infrastructure System Configuration Application Commit 檢查 .gitlab-ci.yml GitLab Server 產⽣ CI/CD Pipeline GitLab Runner 執⾏ Job CI Job 回傳 Logs 顯⽰於 Pipeline Terraform Ansible Cloud Vault Repository Cloud Cloud App Infra GitLab Runner

xN 单元测试验证 xN 代码扫描 xN 自测、联调 xN 集成验证 xN 写测试用例 系统验证 xN 自动化测试 xN 性能测试 xN 安全测试 xN 数据变更 xN 代码变更 xN 配置变更 xN 部署测试环境 xN 部署预发环境 xN 部署生产环境 xN 部署/灰度上线 xN 监控/告警 xN 版本归档 xN 交付追踪 xN 数据度量 xN 服务、工单管理 事件、缺陷管理 复杂性下沉到单一平台 整体人效提升 1-5 倍 解除组织/流程/系统孤 岛，打造成长型组织 企业收益分析 现存方案 典型代表 方案特点分析 Zadig 方案优势 传统 Jenkins 方案 GitLab + Jenkins + 脚本化 运行效率低，管理维护成本高 方案局限性大，安全性风险高 无法支持敏捷交付模式；手工维护成本高， 阻碍业务交付效率 面向多服务并行部署，安全发布，0 维护负担 护成本高价值难被证明 低采购成本、低实施成本， 内置模板库和最佳实践；高扩展性、技术先进性强， 可灵活广泛接入现有工具链和业务场景 基于代码管理的 DevOps 方案 Gitee 平台 GitLab 平台 局限性大、全流程安全性低 维护成本高 支持多个服务并行构建部署、产品级发布，可灵活 安全接入多个代码仓及周边工具链 Zadig 与现存 DevOps 方案对比 来自客户的评价：

自测、联调 xN 集成验证 xN 写测试用例 系统验证 xN 自动化测试 xN 性能测试 xN 安全测试 xN 数据变更 xN 代码变更 xN 配置变更 xN 部署测试环境 xN 部署预发环境 xN 部署生产环境 xN 部署 / 灰度上线 xN 监控 / 告警 xN 版本归档 xN 交付追踪 xN 复杂性下沉到单一平台 整体人效提升 1-5 倍 解除组织 / 流程 / 系统 孤岛，打造成长型组织 企业收益分析 现存方案 典型代表 方案特点分析 Zadig 方案优势 传统 Jenkins 方案 GitLab + Jenkins + 脚本化 运行效率低，管理维护成本高 方案局限性大，安全性风险高 无法支持敏捷交付模式；手工维护成本 高，阻碍业务交付效率 面向多服务并行部署，安全发布， 0 维护负担 护成本高价值难被证明 低采购成本、低实施成本， 内置模板库和最佳实践；高扩展性、技术先进性强 ，可灵活广泛接入现有工具链和业务场景 基于代码管理的 DevOps 方 案 Gitee 平台 GitLab 平台 局限性大、全流程安全性低 维护成本高 支持多个服务并行构建部署、产品级发布，可灵活 安全接入多个代码仓及周边工具链 Zadig 与现存 DevOps 方案对比 来自客户的评价：

写脚本」或运管类平台为主，Zadig 则是面向开发者视角，中立，云原生一体化价值链平台。 与现存 DevOps 方案对比： 现存方案 典型代表 方案特点分析 Zadig 优势 传统 Jenkins 方案 GitLab + Jenkins + 脚本化 运行效率低，管理维护成本高 方案局限性大，安全性风险高 无法支持敏捷交付模式 支持从需求到发布全流程敏捷交付。尤其面向 多服务并行部署发布，云原生构建环境和运行 建流程串接胶水平台 局限性大扩展性差 内部推广难度极高 做完后价值难被证明 通用性、可扩展性、技术先进性强，可以灵活 广泛接入各种技术和业务场景 基于代码管理的 DevOps 方案 Gitee 平台 GitLab 平台 局限性大、全流程安全性低 维护成本高 支持多个服务并行构建部署、产品级发布，可 灵活安全接入多个代码仓及周边工具链 开发 Zadig 核心特性： 运维 真正意义的持续交付 队花大量时间在碎片化沟通和流 程制定上、各方能力受限、无法 快速响应市场需求 层级越高、对产研状态越模糊 管理低效、延误战机 少量配置、快速拉起环境、稳定 性有保障、减少 90%手工操作、 赋能开发、员工成就感高 碎片化：手工协作 + 复杂工具链 工程化：一个平台 一键发布 工作流、环境配置自动更新、高 效调试、消除手工操作、精准快 速迭代、研发生产力/幸福感提升 自助运行、系统化管理、自动化 程度高、测试有效性提升、质量

写脚本」或运管类平台为主， Zadig 则是面向开发者视角，中立，云原生一体化价值链平台。 与现存 DevOps 方案对比： 现存方案 典型代表 方案特点分析 Zadig 优势 传统 Jenkins 方案 GitLab + Jenkins + 脚本化 运行效率低，管理维护成本高 方案局限性大，安全性风险高 无法支持敏捷交付模式 支持从需求到发布全流程敏捷交付。尤其面向 多服务并行部署发布，云原生构建环境和运行 搭建流程串接胶水平台 局限性大扩展性差 内部推广难度极高 做完后价值难被证明 通用性、可扩展性、技术先进性强，可以灵活 广泛接入各种技术和业务场景 基于代码管理的 DevOps 方案 Gitee 平台 GitLab 平台 局限性大、全流程安全性低 维护成本高 支持多个服务并行构建部署、产品级发布，可 灵活安全接入多个代码仓及周边工具链 开发 Zadig 核心特性： 运维 真正意义的持续交付 队花大量时间在碎片化沟通和流 程制定上、各方能力受限、无法 快速响应市场需求 层级越高、对产研状态越模糊 管理低效、延误战机 少量配置、快速拉起环境、稳定 性有保障、减少 90% 手工操作、 赋能开发、员工成就感高 碎片化：手工协作 + 复杂工具链 工程化：一个平台 一键发布 工作流、环境配置自动更新、高 效调试、消除手工操作、精准快 速迭代、研发生产力 / 幸福感提 升 自助运行、系统化管理、自动化 程度高、测试有效性提升、质量

背景 业界优秀产品 站在巨人的肩膀上，打造符合公司中长期发展的 DevOps CD 产品 - Horizon Helm Chart的理念 如何屏蔽 k8s 复杂性？ 屏蔽大部分细节，将少量配置开放给 使用者 集中了应用依赖的各种 资源 helm chart不足： • 面向开发者，对普通用户不友好 Horizon模板体系 第二部分 ├── Chart.yaml ├── README ## 定义各种上层用户可理解的输入（支持前端自动渲染） │ ├── application.schema.json ## 应用部署配置的 schema 定义 ├── output │ └── outputs.yaml ## 模板自定义输出 ├── templates 关注点分离： • 业务关注产品化 • 管理员关注底层实现 • 运维人员关注特殊场景的人工介入 Horizon模板最佳实践 管理员可以通过快速的配置，将一个复杂 应用的关键配置快速暴露给用户使用，保 障用户进行最佳实践，例如： • 屏蔽复杂的资源配置：业务更容易理解 的标准资源规格 • 底层能力快速封装：混合云、服务网格 有了这样的模板，是否能直接apply使用 呢？ GitOps最佳实践

排查定位问题成本高 —〉 跨度大 业务成本难以核算 —〉 账单难处理 。。。 多云下运维的挑战 Gartner：云管理平台需要具备多云管理、自服务、计量计费、资源弹性及服务编排， 能够自动化部署和配置相关资源，可以与企业现有IT管理系统集成的服务化能力 云管平台架构设计 私有云 公有云 虚拟化 接⼝口适配 多云统⼀一编排 ⾃自助服务 多云管理理 资源优化 云管平台架构设计 Performance Element-ui Presentation Layer Services Layer Spring Framework Spring Boot OAuth2.0 Jenkins SonarQube Gitlab Influxdb MySQL RESTful API Access Layer • 云商接口不统一 • SDK • 异常 • 账单 • 参数字典及转换 • 异步任务 • 日志统一 ），兼容所有云商 4. 数据变更采用Redis缓存，数据对比逻辑统一封装，差异化自行判断后入库 每个云商独立封装，Spring Cloud 将服务微服务化，统一封装：异常接口，国 际化，日志等；配置中心解决每个云商的差异以及加密。 服务调用逻辑&亮点 资源统一管理：展示 • 云PaaS延迟 • 资源监控整合 • 报警优化 • 业务监控信息展示 挑战：监控 挑战：监控架构设计 CMA

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 3 后台进程配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380 9 时间段配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511 1 登陆和配置用户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

............................75 4.3.4 配置 MFA..........................................................................................................77 4.3.5 配置对接 Radius 实现多因子认证..................... ... 111 6.3.7 按云平台云账号地域网络逐级查看虚拟机................................................. 112 7 服务目录及产品管理配置................................................................................................... 7.4.2 添加 CentOS7.6 虚拟机服务产品...............................................................170 7.4.3 配置操作系统部署后初始化......................................................................... 176 7.4.4 添加 Tomcat9

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 1 登录和配置用户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 7. 配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513 4 配置示例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .