IBM Cloud Docs
将项目用于 IaC 部署

将项目用于 IaC 部署

IBM Cloud®项目是配置的命名集合,用于跨账户管理相关资源和部署,采用基础架构即代码(IaC)的方式进行部署。 它们使团队能够使用 DevOps 最佳实践来配置,部署和监视部署。 每个项目都包含用于扫描潜在有害资源更改,合规性,安全性和成本以及跟踪配置版本控制和监管的工具。 它们是使用 IaC 和以合规为先的方法设计的,有助于确保项目的管理,安全和始终合规。

此图显示用户在处理项目时将执行的流程。 周围的文字传达了相关信息。
Understanding the projects workflow.

从目录中选择 可部署体系结构云自动化用于部署公共体系结构模式,该模式组合了一个或多个云资源,这些资源旨在实现轻松部署、可伸缩性和模块化。 后,您可以将其配置添加到新项目或现有项目,并根据企业的需要对其进行配置。 在使用配置将资源部署到特定环境之前,将通过完成落实检查,漏洞扫描和成本估算来对代码执行验证,以便您的团队在部署之前具有所需的所有基本信息。 并且,如果验证失败,那么团队可以工作以更新配置并再次运行验证,直到验证通过为止。 通过核准,可以使用 IBM Cloud® Schematics来部署和监视资源。 然后,如果可部署体系结构的更新可用,那么您的团队将在项目中收到通知,并且可以根据您的计划更新版本。

项目的效益

项目可帮助大规模管理部署。 它们有助于确保配置的体系结构始终有效,安全且合规。 由于单个项目可以部署到不同的帐户,因此项目允许用户跨帐户对相关资源进行分组,以实现更好的协作,组织和用户管理。 用户可以在 IBM Cloud 上更高效地入门,方法是使用项目来创建资源,方法是使用可部署的体系结构来帮助构建复杂的云基础结构,这些基础结构旨在满足高可用性,可伸缩性,弹性以及业务连续性和灾难恢复 (BC/DR) 需求。 一个项目是一个有用的工具,原因有很多:

  • 您可以在单个接口中关联一组可部署体系结构,其配置以及生成的资源。 这有助于您以更安全且可重复的方式管理资源,同时管理成本,状态和团队活动。
  • 项目通过确保仅使用经核准的可部署架构来部署资源,并通过利用可信概要文件来提供不需要密钥轮换且不可错放的安全授权,从而提供安全的解决方案供应链。
  • 项目通过确保对配置更改进行跟踪,核准并接受自动验证和合规性检查,从而提供对基础结构的监管。
  • 项目通过向项目用户通知新版本并帮助他们及时部署,帮助确保安全和合规性问题得到解决。
  • 项目允许将基础架构作为跨帐户的代码进行管理,从而允许从单个位置管理与项目相关的所有基础架构。 这使您能够轻松地监控开发和测试基础架构是否与生产基础架构保持一致,避免在应用程序进入生产环境时出现意外。
  • 项目通过确保可以通过标记和资源报告将与项目关联的所有资源跟踪回项目,从而帮助进行记帐和配置管理。 还可以标记项目以提供更高级别的组织。

浏览常用用例

项目可帮助组织和保护您从可部署体系结构创建的配置以及生成的资源。 如果您是大型组织或企业,那么使用 IBM Cloud 项目有几个优点。 探索这些热门用例,了解如何使项目适应您的业务需求。

左移合规与治理
在部署和操作共享基础结构时,项目可帮助在单个位置 (甚至在不同环境中) 组织和捆绑相关配置和部署。 项目运行部署前安全性和合规性检查,以确保可部署体系结构在部署时仍符合其声明的合规性。 单独的项目管理员或编辑者必须复审和核准变更,从而提供额外的监管层。
跨帐户自动部署
项目可以部署到任何帐户,这使得在单独的帐户中隔离环境变得容易得多。 这使您能够从单个视图跨环境组织和管理配置。 由于项目通过自动化来部署变更,因此可以减少环境之间发生人为错误或偏差的可能性。 您甚至可以锁定对最敏感帐户的访问权,并要求使用项目进行更改。
跟踪持续维护和更新
项目可帮助您管理体系结构更新并维护合规性。 除了执行持续合规性扫描外,项目还会通知您体系结构版本更新,验证失败和必需的集群更新。 由于项目与 IBM Cloud 的 Event Notifications 服务集成,因此您可以将项目通知路由到 Slack、PagerDuty, 和其他第三方工具。
使用专用目录来构建和共享定制体系结构
可部署架构构建为模块化和灵活。 您可以创建定制可部署体系结构,并通过将该体系结构添加到新项目来使用专用目录与团队共享这些可部署体系结构。 您可以从可部署体系结构的目录页面下载代码束,根据需要对其进行定制,然后将其上载到您指定的任何存储库。 部署定制体系结构后,CI 和 CD 管道会检查任何更改以实现合规性,并允许您将体系结构直接共享到专用目录中。 专用目录使您能够轻松地使用版本更新并将其推送给您的团队。
管理基础设施的生命周期
项目可帮助您从头到尾管理,跟踪和维护基础架构。 随着基础结构生命周期的更改,您可以使用项目来轻松清除不再需要的项目资源。 如果项目已完成且不再需要,那么可以删除整个项目以及所有环境中的所有关联资源。 此外,可以通过在保留项目及其配置的同时删除关联资源来暂停项目。 这使得以后很容易恢复项目。
报告和费用管理
项目通过自动标记所有已创建的资源并在项目中提供资源清单,帮助进行成本管理和其他类型的报告。 例如,生成使用情况报告时,将包含项目标记,从而允许会计团队将成本分配给项目,而无需任何额外的工作。 其他类型的配置管理任务 (例如,确定特定类型的应用程序或资源的清单) 也可以通过项目标记和资源视图来完成。

基本概念

查看以下概念和流程,以帮助您了解如何使用帐户中的项目。

配置

单个项目通常管理 IBM Cloud中称为可部署体系结构的一个或多个模板的配置。 输入值集和您一起配置的体系结构将变为配置。 除了提供复审和核准工作流程外,项目还监视每个配置以获取目录中的成本,合规性和版本更新。

通常,一个项目包含每个体系结构的多个配置。 体系结构可能具有针对开发环境,测试环境和生产环境的独立配置,或者具有针对三个不同区域的独立配置,所有这些区域都位于生产环境中。

可部署的体系结构

项目为可部署架构提供治理和管理,这些架构是旨在采用基础架构作为管理部署的代码方法的模板。 可以使用您选择的工具来开发 定制可部署体系结构,并且可以在 IBM Cloud 控制台中 添加到专用目录。 您必须选择 可部署的体系结构 作为要将其用于项目的产品类型。

项目工具

项目具有内部版本化配置存储和验证管道,以支持项目监管。 项目还利用 Schematics 工作空间来存储每个配置的 Terraform 状态并运行自动化。 这些工作空间位于创建项目时指定的区域和资源组中。 Schematics 工作空间也会使用项目名称进行标记,从而更容易在其他工作空间中标识该工作空间。

请勿删除或直接修改这些工作空间。 这可能会导致项目无法跟踪可能导致创建重复资源和其他问题的配置状态。 为防止用户修改工作空间,“项目”服务上的管理员不应授予用户对 Schematics 服务的访问权。

可信概要文件

可信概要文件授权跨帐户访问应用程序。 由于可信概要文件可以生成仅在操作生命周期内存在的临时服务标识 API 密钥,因此项目将它们用作安全且合规的方法来授权配置进行部署。 与其他认证方法不同,可信概要文件不需要密钥轮换。 创建可信概要文件,可以管理帐户中服务标识的 API 密钥,这将部署可部署的体系结构。

Secrets Manager

通过 Secrets Manager,您可以创建和集中管理在 IBM Cloud 可部署体系结构中使用的私钥。 私钥是存储敏感信息 (例如 API 密钥,SSH 密钥,数据库凭证等) 的简单且合规的方法。 在项目主帐户中创建可用于该帐户中所有项目的 Secrets Manager 服务实例

Secrets Manager 还可用于存储 API 密钥,这些密钥用于授权项目将资源部署到帐户中,尽管也有其他选项。 有关更多信息,请参阅 使用 API 密钥或私钥来授权项目部署体系结构

项目费用

虽然项目不收费,但可部署体系结构创建的任何资源都可能产生成本。 这些资源在 IBM Cloud中按正常方式计费。 定制可部署体系结构的配置时,将根据可用数据估算起始成本。 有关项目成本估算的更多信息,请参阅 成本估算

定制可部署体系结构时,不会向您收取费用。 部署后开始产生费用。

需要关注项

项目通过检查来监视配置,以确保它通过各种自动化测试,接收核准,并在目录中提供新版本时进行更新。 当项目由于其中一个原因需要用户关注时,关键操作信息将作为需求关注项显示在项目仪表板上。 有关如何处理每种类型的需求注意通知的更多信息,请参阅 查看需求注意项

项目支持将需要注意的通知发送到 IBM Cloud® Event Notifications 服务,从而允许根据需要对其进行过滤和路由到 Slack,电子邮件和其他系统。

项目入门

现在,您已了解项目的基础知识,请查看如何 配置和部署可部署体系结构 以开始构建和查看 企业帐户体系结构 白皮书,以确保根据 IBM Cloud 最佳实践设置帐户。