CSIRO является первым государственным учреждением в стране, которое предоставляет управляемые облачные учетные записи всем трем основным поставщикам, чтобы держать под контролем потребности своих исследователей в хранении и вычислениях.
Он представляет собой первую фазу «программы облачного права» научно-исследовательской организации peak science and research, которая направлена на централизацию надзора за облачными ресурсами и улучшение доступа к локальным ресурсам.
Руководитель команды облачных платформ Брендан Спит, который руководит программой, рассказал на вебинаре HashiCorp secure public cloud, что эта работа родилась из необходимости защитить уровень управления и обеспечить ограждения для потребления облаков.
“Исследования, по своей природе, очень трудно сформулировать вычислительные требования [для] авансового”, — сказал он, добавив, что “управление производственными мощностями, требования к набору навыков и время доставки исследовательских рабочих нагрузок” только стали более сложными.
“Чаще всего, когда мы занимались исследовательскими проектами, чтобы собрать их требования, мы получали ответ: «нам просто нужно хранить и вычислять, сколько мы не знаем», «нам просто нужно что-то протестировать» или «нам просто нужно построить прототип».»
Спит сказал, что исследователи привыкли к тому, что об управленческом уровне заботятся центральные ИТ-отделы CSIRO, которые “достаточно хорошо работают в стенах … локальных сетей”.
Но с появлением облака исследователи из 10 бизнес-подразделений организации обнаружили, что они могут получить более быстрый доступ к вычислениям для своих проектов, хотя часто делали это без особого внимания к безопасности или управлению.
“Это не заняло много времени для простых демонстраций, которые были развернуты на облачных учетных записях разработчиков, чтобы превратиться в производственные рабочие нагрузки, или исследователи начали запускать несколько проектов из одной облачной учетной записи”, — сказал Спит.
“Много раз мы занимались исследовательскими проектами, которые использовали облако. Мы обнаружили, что если в исследовательском проекте был член команды, который мог раскрутить экземпляр EC2, то теперь он был самозваным техническим руководителем проекта.
“Пользователи начали раскручивать EC2 таким же образом, как и виртуальные машины на локальной платформе, не понимая, что такое общая ответственность в контексте облака, особенно когда речь идет о безопасности.”
Облако справа
CSIRO учредила программу cloud right в 2018 году, чтобы оптимизировать процесс, который исследователи предпринимают для использования облака, включая защиту уровня управления и обеспечение необходимых ограждений.
Спит сказал, что первая фаза программы, которая почти завершена, “сосредоточена на уровне управления”, который был “нужен[эд], чтобы начать получать контроль над федеративным биллингом и возвратом платежей”.
Он сказал, что это обеспечило централизованное выставление счетов, согласованное с проектами, чтобы обеспечить лучшее прогнозирование затрат на облачные технологии; экономию на централизованных соглашениях, включая лучшее понимание вычислительных ресурсов и используемых услуг; и автоматизированный процесс возврата платежей, чтобы снять ответственность за администрирование облачных вычислений с исследователей.
Она также включала в себя определение требований безопасности для облака, включая аутентификацию и авторизацию, а также автоматизацию и базовую конфигурацию для оптимизации процесса доступа к облаку.
“Нам нужно было устранить дублирование и сложность, ускорить время разработки до производства с помощью соответствующих шаблонов, упростить совместную работу по созданию решений и предоставить более простой метод масштабирования пользователей для предоставления ресурсов нескольким поставщикам”, — сказал Спит.
В рамках требований к стороннему набору инструментов для программы команда cloud right внедрила инструменты HashiCorp с открытым исходным кодом security and infrastructure-as-code tools Vault и Terraform Enterprise.
Спит сказал, что организация остановилась на инструментах, поскольку они набирали обороты в сообществе разработчиков как более стандартизированный подход к управлению и обеспечению развертывания инфраструктуры как кода, а также управлению секретами.
“Было совершенно ясно, что нам нужна управляемая реализация хранилища и Терраформирования, чтобы преодолеть сложность и дублирование развертывания нескольких хранилищ, а также необходимость централизованного управления государственными файлами”, — сказал он.
Работая с тремя основными поставщиками облачных услуг, CSIRO разработала общую базовую систему автоматизации и конфигурации для Amazon Web Services, Microsoft Azure и Google Cloud Platform.
Эта базовая конфигурация развертывается “для каждой раздаваемой облачной учетной записи”, к которой исследователи могут получить доступ, отправив специально созданную форму облачного запроса, которая автоматически генерирует запрос службы поддержки.
“Насколько я понимаю, CSIRO-это первое правительственное агентство в Австралии, которое предоставляет управляемое облако трем основным поставщикам, а также внедряет Terraform и Vault”, — добавил Спит.
Следующие шаги
Заложив основы, Спит сказал, что теперь команда начинает создавать «модули для утвержденных решений, чтобы устранить дублирующиеся усилия и сложность.»
“Это повысит безопасность, увеличит время сборки до производства и позволит исследователям сосредоточиться на том, чтобы вернуться к простым исследованиям”, — сказал он.
— Но мы должны быть реалистами. «ClickOps» [стандартный экран облачных провайдеров с кликабельными опциями для настройки сервиса] не исчезнет в ближайшее время для большинства исследователей, поскольку полная цифровая трансформация займет некоторое время.”
Спит сказал, что существует также необходимость “сосредоточиться на создании внутренних сообществ, чтобы стимулировать большее сотрудничество вокруг лучших моделей использования облачных технологий и важности управления секретами”.