وراثة التشكيلات

1) لماذا أحتاج إلى ميراث التكوين ؟

• إعادة استخدام القيم المشتركة (قطع الأشجار، إعادة التدوير، المهلات).
• تقاسم المسؤولية: تضع المنصة السياسات الأساسية وأوامر الخدمة - فقط الانحرافات.
• تجنب الازدواجية وتقليل مخاطر الاختلال.
• الإصدارات السريعة: يتم بث التغييرات أسفل الشجرة بشكل افتراضي.
• دعم البيئات المتعددة والحيازات المتعددة بنهج واحد.

2) أنماط الميراث

2. 1 التسلسل الهرمي (الوالد → الطفل)

البيئة → الأساسية (العالمية) (prod/stage/dev) → المنطقة/المجموعة → الخدمة → سبيل المثال.
بسيطة وشفافة، ولكنها يمكن أن تؤدي إلى تقييد عميق وتصحيح معقد.

2. 2 طبقات (قاعدة/تراكبات)

الطبقة الأساسية + مجموعة التراكب (ميزة x، منطقة-الاتحاد الأوروبي، تصلب الأمان).
يعمل بشكل جيد مع GitOps و Kustomize ؛ تراكبات مستقلة ومركبة.

2. 3 مركب (وحدات/حزم)

يتم تجميع التكوين من الوحدات: «logging @ v2»، «metrics @ v1»، «http @ v3».
إصدار الوحدة، التوافق الدلالي، التبعيات الصريحة.

2. 4 السياسة كمدونة

«المحددات» الأساسية والثوابت (OPA/Rego، Kyverno، Conftest).
القيم نفسها ليست موروثة، ولكن قواعد مقبوليتها.

3) خوارزميات وأولويات الاندماج

1. ترتيب المصادر: من اليسار إلى اليمين (القاعدة ← البيئة ← المنطقة ← الخدمة ← سبيل المثال).

• سكالار: «آخر انتصارات الكتابة».
• الكائن: الدمج المتكرر على المفاتيح.

• «ملحق »/« مسبق»
• «uniqueBy (key)» (محدد حسب المفتاح)
• «patch» (ابحث عن عنصر من «الاسم» والدمج الجزئي).
• 3. المفاتيح المحجوزة (على سبيل المثال، '_ دمج: استبدال '/' _ دمج: عميق' على مستوى العقدة).

• أعلام بدء التشغيل/متغيرات ENV> أسرار وقت التشغيل> الملفات على القرص> القيم الافتراضية في الكود.

مثال على دمج YAML

yaml base. yaml http:
port: 8080 timeouts:
read: 2s write: 2s features:
- name: audit enabled: false

prod. yaml http:
timeouts:
read: 1s features:
- name: audit enabled: true
- name: billing enabled: true

Result (under policy: object = deep merge, array = uniqueBy (name) + patch)
http:
port: 8080 timeouts:
read: 1s write: 2s features:
- name: audit enabled: true
- name: billing enabled: true

4) المخططات والتصديق

ووجود مخطط ما شرط أساسي للميراث الآمن.

مخطط JSON/OpenAPI: الأنواع، الحقول المطلوبة، enum، الأنماط، القيود («الحد الأدنى»، «التنسيق»، «النمط الخصائص»).
Schema versioning (semver): كسر كبير، ثانوي - حقول جديدة، تصحيح - إصلاحات.
فحص ما قبل الدمج وما بعد الدمج: التحقق من صحة كل من الشظايا والنتيجة.
الافتراضات: تم تعيينها على مستوى المخطط (مشروع-07 + يدعم «الافتراضي»).

5) البيئات ومصفوفة النشر

• env: dev، test، stage، prod region: eu-central-1، us-east-1 tier: batch، reality time، internal egistant: A/B/C (white-label، B2B)
• تشكل التركيبات شجرة التراكب ؛ تجنب العمق المفرط (3-4 مستويات كافية).

6) تعدد الإيجارات

• الانقسام الصلب: ملفات/مجلدات منفصلة لكل مستأجر.
• Parameterization: نموذج واحد + قيم لكل مستأجر.
• السياسات الموروثة: حدود الموارد/الحصص، ضبط الأرصدة السمكية، الاحتفاظ بالسجلات.
• المهم: يجب ألا تتدفق الحدود الأمنية (الأسرار/المفاتيح) بين المستأجرين.

7) الأسرار والأمن

لا ترث الأسرار صراحة. المراجع الموروثة: «SecretRef» و «VaultPath».
KMS/Vault/SOPS: تخزين القيم المشفرة بالجيت، المفاتيح - خارج.
مشاركة المسؤولية: تدير المنصة المسارات والسياسات وفريق الخدمة - ما تحتاجه حقًا.
السياسات: حظر أسرار «النص العادي» في شيكات CI.
التناوب: لا «تكتب فوق الأسفل» - استخدم الاسم المستعار/الملخصات («db/primary/password @ 2025-Q4»).

Vault Link مثال

yaml db:
host: postgres. service user: app passwordFrom:
vaultPath: "kv/prod/app-db"
key: "password" # secret is taken at the deploy stage, not stored in files

8) التحديث والهجرة

إصدارات وحدة التهيئة: 'logging @ 2. 3. 1`.
Changelog for schemas: migrations use jsonnet/ytt/custom scripts.
هجرات لأعلى ولأسفل للتراجع الآمن.
الفروع الطويلة: تجنب الانجراف ؛ يتراكب السيخ بانتظام إلى القاعدة.

9) الأدوات والممارسات

9. 1 كوبرنيت

Kustomize (التراكبات): نموذج الميراث الطبيعي من خلال "القواعد "/" الموارد"، "التصحيحات "/" التصحيحات" JSON6902 ".
Helm (values): التسلسل الهرمي 'values. yaml' + '--set' (لكن كن حذرًا مع التجاوزات في CI).
Kyverno/OPA: السياسيون مثل «شبكات الأمان».

yaml overlays/prod/kustomization. yaml resources:
-../../base patchesStrategicMerge:
- patch-resources. yaml commonLabels:
env: prod

9. 2 تيرافورم

+ 'وحدات المتغيرات. كعقد.
«local» للقيم المحسوبة، «تجاوز» لا ملفات - استخدام طبقات الدليل ومساحات العمل («مساحات العمل»).
ترتيب المصدر: الافتراضات إلى <ملفات tfvars <'-var '/' -var-file'.

hcl module "svc" {
source = "./modules/svc"
replicas = var. env == "prod"? 4: 2 logging = local. logging_base
}

9. 3 أنيبل

تسلسل هرمي واضح للمتغيرات (في الأولوية الصاعدة): التخلف عن سداد الأدوار <المخزون group_vars <host_vars <إضافي.
للميراث - الهيكل 'group _ vars/{ env }/{ region} .yml'.

9. 4 Jsonnet/ytt

التكوين الغني والوظائف و «النوايا الرئيسية» ('تراكب. استبدال '،' تراكب. الدمج ').

10) العقود وحدود البطارية

يحدد فريق المنصة المخطط والسياسات والقيم الأساسية ومنطق الدمج.
فرق المنتج: تتراكب فقط داخل العقد.
SRE/Security: مراجعة الحسابات، المصادقة، التوقيعات، الإنفاذ.

11) CI/CD и GitOps

1. Lint (شكل، حظر المفاتيح غير المعروفة).

2. تحقق (مخطط JSON/OpenAPI).

3. Dry-run/Render (helm complate/kustomize build).

4. التحقق من السياسات (OPA/Kyverno/Conftest).

5. Diff مقابل المجموعة المستهدفة (kubectl diff/ArgoCD diff).

6. التسليم التدريجي: تراكبات الكناري مع حركة مرور محدودة.

7. توقيع القطع الأثرية (Cosign، شهادة SLSA).

12) قابلية الملاحظة والتصحيح

تتبع المصدر: من ساهم في المجال ومتى، من أي طبقة جاءت القيمة النهائية.
دمج التصور: تقرير عن المفاتيح «الفائزة».
تصدير وقت التشغيل للتكوين النشط (نقطة النهاية '/التهيئة 'مع إخفاء سري).
تنبيهات الانجراف: التناقضات بين المعلنة والفعلية.

13) الأنماط المضادة

«السحر» بدون قواعد الأسبقية الصريحة.
السلاسل العميقة (> 4-5 طبقات): زيادة الحمل المعرفي.
أسرار في الملفات الموروثة.
تجاوزات مخفية عبر "--set' في CI.
نقص المخطط والاختبارات.

14) قائمة التنفيذ المرجعية

• تعريف النموذج (التسلسل الهرمي/الطبقات/التكوين).
• أصلح ترتيب الدمج والاستراتيجيات حسب النوع.
• نشر المخطط والتحرير.
• شارك الأسرار (الروابط/الحكام فقط).
• تضاف عمليات التحقق من السياسات والتوقيعات الأثرية.
• تمكين التشغيل الجاف والانتشار وتصور المنشأ.
• تصدير التكوين النشط في وقت التشغيل.
• إعداد الإصدارات التدريجية لتغيير التهيئة.

15) الأسئلة الشائعة

س: كيف تفهم أن الطبقة عميقة جدًا ؟

ج: إذا كنت بحاجة إلى فتح> 3 ملفات و «تمرير»> 2 مستويات من التجريد لتغيير المعلمة، راجع الهيكل.

س: ماذا تفعل بالمصفوفات المتضاربة ؟

ج: أدخل استراتيجيات صريحة: «استبدل» و «ملحق» و «فريد (مفتاح)» و «تصحيح (اسم)» - وأصلحها في المستندات.

س: هل يمكن وراثة الأسرار ؟

ج: لا. فقط الروابط (URI/refs) إلى المتاجر السرية وسياسات الوصول موروثة.

س: كيف تختبر الميراث ؟

ج: قم بإطلاق «شرائح» لتركيبات تراكب المفاتيح والتحقق من الملفات الذهبية ؛ عرض السباق في CI لكل PR.

الملحق أ: دمج Mini Speck

«الكميات القياسية»: الانتصارات الأخيرة في الكتابة

'jects': الاندماج العميق حسب المفتاح

• الاستبدال الافتراضي

• «الملحق»
• 'uniqueBy (key)'
• «patchBy (key)» مع دمج العنصر المتكرر

• "_ دمج: استبدال" الموت "
• استراتيجية. المصفوفة: يستعاض عن عبارة 'تذييل' uniqueBy (name) |patchBy (name) '

التذييل باء: أمثلة

B.1 قيم هيلم (حث فوق القاعدة)

yaml values. base. yaml replicas: 2 resources:
requests:
cpu: "100m"
memory: "128Mi"
logging:
level: info

values. prod. yaml replicas: 4 logging:
level: warn

helm template svc chart/ -f values. base. yaml -f values. prod. yaml

أولوية الملف الأخير هي «القيم». حث. yaml'.

B.2 تراكبات كوستوميز

yaml base/deployment. yaml apiVersion: apps/v1 kind: Deployment metadata:
name: app spec:
replicas: 2

overlays/prod/patch. yaml apiVersion: apps/v1 kind: Deployment metadata:
name: app spec:
replicas: 4

B.3 Ansible vars

group_vars/prod. yml # values of prod host_vars/prod-eu-1. yml # clarifications for extra vars host in CLI have highest priority

موجز

1. نموذج وأولويات واضحة،

2. مخططات المصادقة والتراكبات المستقلة،

3. رفض وراثة الأسرار،

4. خط أنابيب GitOps مع عمليات فحص ونشر سياسة جافة،

5. إمكانية ملاحظة أصل القيم النهائية.

من خلال اتباع هذه المبادئ، تحصل على تكوينات قابلة للتنبؤ وقابلة للتطوير وآمنة لجميع البيئات والطوبولوجيات.