Κληρονομιά διαμορφώσεων

1) Γιατί χρειάζομαι κληρονομιά διαμόρφωσης

• Επαναχρησιμοποίηση κοινών τιμών (logging, retrays, timeouts).
• Κοινή ευθύνη: η πλατφόρμα καθορίζει βασικές πολιτικές, εντολές παροχής υπηρεσιών - μόνο αποκλίσεις.
• Αποφυγή αλληλεπικαλύψεων και μείωση του κινδύνου μη ευθυγράμμισης.
• Επιτάχυνση των κυκλοφοριών: Οι αλλαγές μεταδίδονται στο δέντρο εξ ορισμού.
• Υποστήριξη της πολυπλοκότητας και της πολυπλοκότητας με ενιαία προσέγγιση.

2) Πρότυπα κληρονομιάς

2. 1 Ιεραρχικό (γονέας → παιδί)

Βασική (παγκόσμια) περιβάλλον (prod/stage/dev) περιφέρεια/δέσμη υπηρεσιών παράδειγμα.
Απλή και διαφανής, αλλά μπορεί να οδηγήσει σε βαθιά αλυσοδεμένη και πολύπλοκη αποσφαλμάτωση.

2. 2 Στρώματα (βάση/επικάλυψη)

Βασικό στρώμα + σύνολο επικάλυψης (χαρακτηριστικό-x, περιοχή-ΕΕ, σκλήρυνση της ασφάλειας).
Λειτουργεί καλά με GitOps και Kustomize? οι επικαλύψεις είναι ανεξάρτητες και συνθετικές.

2. 3 Σύνθετο (ενότητες/πακέτα)

Η διαμόρφωση συναρμολογείται από ενότητες: 'logging @ v2', 'metrics @ v1', 'http @ v3'.
Module έκδοση, σημασιολογική συμβατότητα, ρητές εξαρτήσεις.

2. 4 Κώδικας πολιτικής

Βασικοί «περιορισμοί» και αναλλοίωτοι (OPA/Rego, Kyverno, Conftest).
Οι ίδιες οι αξίες δεν κληρονομούνται, αλλά οι κανόνες για το παραδεκτό τους.

3) Αλγόριθμοι και προτεραιότητες συγχώνευσης

1. Σειρά πηγών: από αριστερά προς τα δεξιά (base-env region service παράδειγμα).

• Scalar: «last-win-win».
• Αντικείμενο: αναδρομική συγχώνευση στα κλειδιά.

• 'append '/' prepend
• 'uniqueBy (κλειδί)' (ανά κλειδί)
• 'patch' (βρείτε το αντικείμενο με 'όνομα' και μερική συγχώνευση).
• 3. Δεσμευμένα κλειδιά (για παράδειγμα, '_ συγχώνευση: αντικατάσταση '/' _ συγχώνευση: βαθιά' σε επίπεδο κόμβου).

• Σημαίες εκκίνησης/μεταβλητές ENV> μυστικά χρόνου λειτουργίας> αρχεία στο δίσκο> προκαθορισμένες τιμές στον κώδικα.

Παράδειγμα συγχώνευσης YAML

yaml base. yaml http:
port: 8080 timeouts:
read: 2s write: 2s features:
- name: audit enabled: false

prod. yaml http:
timeouts:
read: 1s features:
- name: audit enabled: true
- name: billing enabled: true

Result (under policy: object = deep merge, array = uniqueBy (name) + patch)
http:
port: 8080 timeouts:
read: 1s write: 2s features:
- name: audit enabled: true
- name: billing enabled: true

4) Συστήματα και επικύρωση

Η παρουσία ενός σχήματος αποτελεί προϋπόθεση για την ασφαλή κληρονομιά.

JSON Schema/OpenAPI: τύποι, απαιτούμενα πεδία, enum, μοτίβα, περιορισμοί ('minimum', 'format', 'patternProperties').
Έκδοση σχήματος (semver): μείζονα - σπάσιμο, ήσσονος σημασίας - νέα πεδία, patch - διορθώσεις.
Έλεγχοι πριν από τη συγχώνευση και μετά τη συγχώνευση: επικύρωση τόσο των τμημάτων όσο και του αποτελέσματος.
Προεπιλογές: ορίστηκε σε επίπεδο σχήματος (σχέδιο-07 + υποστηρίζει «προεπιλογή»).

5) Περιβάλλοντα και πίνακας ανάπτυξης

• env: dev, test, stage, prod region: eu-central-1, us-east-1 tier: παρτίδα, πραγματικός χρόνος, εσωτερικός ενοικιαστής: A/B/C (λευκό σήμα, B2B)
• Οι συνδυασμοί σχηματίζουν το δένδρο επικάλυψης. να αποφεύγεται το υπερβολικό βάθος (επαρκούν τα επίπεδα 3-4).

6) Πολυπλοκότητα

• Διαχωρισμός: ξεχωριστά αρχεία/φάκελοι ανά ενοικιαστή.
• Παραμετροποίηση: ένα πρότυπο + τιμές ανά ενοικιαστή.
• Κληρονομηθείσες πολιτικές: όρια πόρων/ποσοστώσεων, SLO, διατήρηση ημερολογίου.
• Σημαντικά: τα όρια ασφαλείας (μυστικά/κλειδιά) δεν πρέπει να ρέουν μεταξύ ενοικιαστών.

7) Μυστικά και ασφάλεια

Μην κληρονομείς μυστικά ρητά. Κληρονομημένες αναφορές: 'Ref', 'vaultPath'.
KMS/θησαυροφυλάκιο/SOPS: αποθήκευση κρυπτογραφημένων τιμών σε Git, κλειδιά - έξω.
Μοιραστείτε την ευθύνη: η πλατφόρμα διαχειρίζεται μονοπάτια και πολιτικές, η ομάδα υπηρεσιών - αυτό που πραγματικά χρειάζεστε.
Πολιτικές: απαγόρευση των μυστικών «απλών κειμένων» στους ελέγχους του ΚΚΠ.
Περιστροφή: μην «αντικαταστήσετε» - χρησιμοποιήστε ψευδώνυμο/αφαίρεση ('db/πρωτογενής/κωδικός πρόσβασης @ 2025-Q4').

Παράδειγμα σύνδεσης θησαυροφυλακίου

yaml db:
host: postgres. service user: app passwordFrom:
vaultPath: "kv/prod/app-db"
key: "password" # secret is taken at the deploy stage, not stored in files

8) Εκδόσεις και μεταναστεύσεις

Έκδοση μονάδας ρύθμισης: 'logging @ 2. 3. 1`.
Changelog για σχήματα: μετανάστευση χρησιμοποιώντας jsonnet/ytt/προσαρμοσμένα σενάρια.
Προς τα πάνω/προς τα κάτω μετανάστευση για ασφαλή ανατροπή.
Μεγάλα κλαδιά: αποφυγή παρασυρόμενων κλαδιών. τακτικά επικαλύψεις σουβλιού στη βάση.

9) Εργαλεία και πρακτικές

9. 1 Kubernetes

Kustomize (επικαλύψεις): φυσικό μοντέλο κληρονομιάς μέσω "βάσεων "/" πόρων", "πατ Merge '/' pat JSON6902 '.
Helm (τιμές): ιεραρχικές τιμές. yaml '+' -set '(αλλά να είστε προσεκτικοί με τις υπερβάσεις σε CI).
Kyverno/OPA: Οι πολιτικοί ως «δίχτυα ασφαλείας».

yaml overlays/prod/kustomization. yaml resources:
-../../base patchesStrategicMerge:
- patch-resources. yaml commonLabels:
env: prod

9. 2 Terraform

+ "ενότητες μεταβλητών. tf "ως συμβόλαιο.
"Μονοκύτταρα" για υπολογισμένες τιμές, "παράκαμψη αρχείων - χρήση στρωμάτων καταλόγου και χώρων εργασίας (" χώροι εργασίας ").
Εντολή πηγής: προεπιλογές σε <αρχεία tfvars <'-var '/' -var-file'.

hcl module "svc" {
source = "./modules/svc"
replicas = var. env == "prod"? 4: 2 logging = local. logging_base
}

9. Αδιάβροχο

Σαφής ιεράρχηση των μεταβλητών (σε αύξουσα προτεραιότητα): αθετήσεις ρόλων <απογραφής group_vars <host_vars <επιπλέον vars.
Για κληρονομιά - η δομή 'ομάδα _ vars/{ env }/{ region} .yml'.

9. 4 Jsonnet/ytt

Πλούσια σύνθεση, λειτουργίες και «βασικές προθέσεις» ('overlay. να αντικατασταθεί η λέξη «,». συγχώνευση ').

10) Συμβάσεις και όρια συσσωρευτών

Η ομάδα της πλατφόρμας ορίζει το σχήμα, τις πολιτικές, τις βασικές τιμές και τη λογική συγχώνευσης.
Ομάδες προϊόντων: μόνο επικαλύψεις στο πλαίσιο της σύμβασης.
SRE/Ασφάλεια: έλεγχος, επικύρωση, υπογραφές, επιβολή.

11) CI/CD и GitOps

1. Lint (μορφή, απαγόρευση άγνωστων κλειδιών).

2. Επικύρωση (JSON Schema/OpenAPI).

3. Dry-run/Render (helm template/kustomize build).

4. Έλεγχος πολιτικής (OPA/Kyverno/Conftest).

5. Diff έναντι target cluster (kubectl diff/ArgoCD diff).

6. Προοδευτική παράδοση: επικαλύψεις καναρινιών με περιορισμένη κυκλοφορία.

7. Υπογραφή αντικειμένων (Cosign, βεβαίωση SLSA).

12) Παρατηρησιμότητα και αποσφαλμάτωση

Προέλευση: ποιος συνεισέφερε το πεδίο και πότε, από ποιο στρώμα προήλθε η τελική τιμή.
Συγχώνευση οπτικοποίησης: μια αναφορά των «νικητών» κλειδιών.
Εξαγωγή χρόνου εκτέλεσης της ενεργού διάταξης (τελικό σημείο '/config 'με μυστική κάλυψη).
Παρασυρόμενα σήματα: διαφορές μεταξύ δηλωθέντων και πραγματικών.

13) Αντι-μοτίβα

«Μαγεία» χωρίς ρητούς κανόνες προτεραιότητας.
Βαθιές αλυσίδες (> 4-5 στρώματα): αύξηση του γνωστικού φορτίου.
Μυστικά σε κληρονομημένα αρχεία.
Κρυφές παρακάμψεις μέσω '--set' σε CI.
Έλλειψη σχημάτων και δοκιμών απόδοσης.

14) Κατάλογος ελέγχου εφαρμογής

• Ορίστε το μοντέλο (ιεραρχία/στρώματα/σύνθεση).
• Καθορίστε τη σειρά συγχώνευσης και τις στρατηγικές ανά τύπο.
• Δημοσιεύστε το σχήμα και την έκδοση.
• Κοινόχρηστα μυστικά (μόνο σύνδεσμοι/διαιτητήι).
• Προσθήκη ελέγχων πολιτικής και υπογραφών τεχνουργημάτων.
• Ενεργοποιήστε την απεικόνιση ξηρής λειτουργίας, διάχυσης και προέλευσης.
• Εξαγωγή της ενεργού διάταξης σε χρόνο λειτουργίας.
• Ρύθμιση προοδευτικών εκδόσεων για αλλαγές ρυθμίσεων.

15) ΣΥΧΝΈΣ ΕΡΩΤΉΣΕΙΣ

Ε: Πώς να καταλάβετε ότι το στρώμα είναι πολύ βαθύ

Α: Εάν χρειάζεται να ανοίξετε> 3 αρχεία και «κύλιση»> 2 επίπεδα αφαίρεσης για να αλλάξετε την παράμετρο, αναθεωρήστε τη δομή.

Ε: Τι να κάνετε με αντικρουόμενες συστοιχίες

Α: Εισάγετε σαφείς στρατηγικές: 'αντικαταστήστε', 'append', ' By (κλειδί)', 'patchBy (όνομα)' - και ορίστε τις στην τεκμηρίωση.

Ε: Μπορούν να κληρονομηθούν μυστικά

A: Αριθ. Κληρονομούνται μόνο σύνδεσμοι (URI/refs) με μυστικά καταστήματα και πολιτικές πρόσβασης.

Ε: Πώς να δοκιμάσετε την κληρονομιά

A: Πυροβολήστε «φέτες» για συνδυασμούς επικάλυψης κλειδιών και ελέγξτε με χρυσά αρχεία. φυλετική απόδοση σε CI ανά PR.

Προσάρτημα Α: Συγχώνευση Mini Speck

'scalars': τελευταίες νίκες

'objects': βαθιά συγχώνευση ανά κλειδί

• προεπιλεγμένη «ανταπόδοση»

• «προσάρτημα»
• 'uniqueBy (κλειδί)'
• 'patchBy (κλειδί)' με αναδρομική συγχώνευση στοιχείων

• '_ συγχώνευση: αντικατάσταση' dep '
• '_ στρατηγική. διάταξη: αντικατάσταση 'appen uniqueBy (όνομα) patchBy (όνομα)'

Προσάρτημα Β: Παραδείγματα

Τιμές πηδαλίου (prod over base)

yaml values. base. yaml replicas: 2 resources:
requests:
cpu: "100m"
memory: "128Mi"
logging:
level: info

values. prod. yaml replicas: 4 logging:
level: warn

helm template svc chart/ -f values. base. yaml -f values. prod. yaml

Η προτεραιότητα του τελευταίου αρχείου είναι «αξίες». prod. yaml '.

Kustomize επικαλύψεις

yaml base/deployment. yaml apiVersion: apps/v1 kind: Deployment metadata:
name: app spec:
replicas: 2

overlays/prod/patch. yaml apiVersion: apps/v1 kind: Deployment metadata:
name: app spec:
replicas: 4

Anable vars

group_vars/prod. yml # values of prod host_vars/prod-eu-1. yml # clarifications for extra vars host in CLI have highest priority

Περίληψη

1. σαφές μοντέλο και προτεραιότητες,

2. συστήματα επικύρωσης και ανεξάρτητες επικαλύψεις,

3. άρνηση κληρονομίας μυστικών,

4. Αγωγός GitOps με στεγνούς ελέγχους και διάχυτους ελέγχους πολιτικής,

5. δυνατότητα παρατήρησης της προέλευσης των τελικών τιμών.

Ακολουθώντας αυτές τις αρχές, έχουμε προβλέψιμες, κλιμακώσιμες και ασφαλείς διαμορφώσεις για όλα τα περιβάλλοντα και τις τοπολογίες.