Hashicorp Terraform et Vault ont dirigé de nouvelles intégrations avec IBM et Red Hat Tools au cours des deux derniers mois, mais certaines zones de chevauchement potentiel des produits restent sans s’adresser pour l’instant.
Les porte-parole de Hashicorp et IBM ont discuté des travaux en cours pour intégrer les produits des deux sociétés, ainsi que ceux de la filiale IBM à autre automatisation informatique, Red Hat, avant un événement utilisateur de Hashdays à Londres mardi, un peu plus de quatre mois après la finalisation de 6,4 milliards de dollars d’IBM de Hashicorp. Mais il reste également un travail important à faire, et les zones de chevauchement potentiel des produits, en particulier dans les plateformes de développeurs, où la feuille de route à long terme n’est pas encore claire.
Terraform et ANIBL ont été identifiés comme des points d’intégration probables entre Hashicorp et Red Hat bien avant la fermeture de l’acquisition, et le fournisseur officiel d’Anible a été prévisualisé lors du Sommet Red Hat le mois dernier. Il est généralement devenu disponible cette semaine, selon les responsables de Hashicorp.
Un fournisseur officiel soutenu, testé et validé pour Ansible sera la première étape. L’objectif final est un ensemble unifié de services entre les deux au fil du temps.
Meghan LieseVice-président du marketing, Hashicorp
Les clients conjoints des deux sociétés ont déclaré lors de présentations du Summit que l’édition communautaire précédente du fournisseur, qui permet à Terraform de se connecter à ANSIBLE, ne pouvait pas effectuer plusieurs actions à la fois, mais il n’est pas clair si ce fournisseur officiel prend encore en charge cette fonctionnalité.
“Un fournisseur officiel soutenu, testé et validé pour Ansible sera la première étape”, a déclaré Meghan Liese, vice-président du marketing de produits chez Hashicorp, lors d’une interview avec Informa Techtarget la semaine dernière. “L’objectif final est un ensemble unifié de services entre les deux au fil du temps.”
Imposant des bases stratégiques pour ANSIBLE et Terraform
Généralement, Terraform se concentrera sur l’approvisionnement de faibles infrastructures de niveau de niveau de manière déclarative à la configuration initiale, et Ansible prendra le relais pour fournir des configurations de niveau supérieur et à jour en continu lorsque l’infrastructure est utilisée.
“L’outil de choix dépend généralement du type de charge de travail gérée”, a déclaré lundi un porte-parole de l’IBM dans un e-mail à informa techtarget. “Les charges de travail des conteneurs dépendent généralement du plan de contrôle. En supposant que c’est Kubernetes, OpenShift est un point de départ natif. Alternativement, l’opérateur HCP Terraform pour Kubernetes pourrait fournir une expérience similaire tout en offrant un plan de contrôle cohérent pour les ressources basées sur les conteneurs et non contenant.”
Hashicorp Terraform et Vault sont déjà couramment utilisés dans les environnements de Kubernetes, y compris OpenShift, mais l’opérateur HCP Terraform pour Kubernetes a récemment terminé un processus de certification et a été ajouté au catalogue écosystémique de Red Hat.
“Pour les charges de travail et les conteneurs non-container non gérés dans un environnement Kubernetes, il s’agit d’annonce de fournir des workflows de déploiement et de gestion de la configuration de l’application”, a poursuivi l’instruction IBM. “[After that]Terraform garantit que les ressources d’infrastructure n’ont pas dérivées et sont généralement dans les meilleures pratiques établies. De même, ANSIBLE est utilisée pour garantir que les applications et leurs composants sous-jacents, tels que les systèmes d’exploitation, sont corrigés, à jour et dans des spécifications définies. OpenShift gère généralement ses composants et applications de cluster… les trois outils ont leurs méthodes pour le déclassement des ressources gérées, et il s’agit généralement d’utiliser un outil cohérent tout au long du cycle de vie. “
Cependant, les deux outils adoptent des approches techniques fondamentalement différentes de leurs zones séparées du cycle de vie de l’infrastructure – Terraform est principalement déclaratif, tandis qu’Anible est principalement impératif.
“Nous travaillons vers quelques améliorations dans cet espace, transformant principalement l’état de Terraform en une source de vérité pour les inventaires ANSIBL”, a déclaré IBM dans le communiqué. “Cela signifie qu’une fois qu’un ensemble de ressources est provisionné via HCP Terraform, la plate-forme d’automatisation Ansible est automatiquement informée et peut déclencher des manuels ou des workflows ANNIBL en fonction de ces informations. Il fournit également un niveau de sensibilisation tout au long du cycle de vie des ressources d’infrastructure d’une organisation.”
Où waypoint?
D’autres mises à jour récentes de Hashicorp Terraform ont clairement indiqué que l’entreprise avait déplacé sa stratégie de son accent pré-fusion sur le cloud hybride. Plus particulièrement, cela comprenait la prise en charge de l’infrastructure du centre de données qu’elle n’offrait pas auparavant, comme le système d’IBM Z Mainframe, qui possède désormais son propre fournisseur de terraform officiel.
Steven Dickens
Selon Steven Dickens, PDG de Hyperframe, les systèmes d’alimentation et les systèmes d’alimentation sur site et les systèmes d’alimentation représentent une nouvelle opportunité pour IBM et Hashicorp qu’aucune entreprise n’aurait eu séparé Red Hat OpenShift prétend également résoudre ce problème de cohérence au niveau de l’infrastructure, mais n’offre pas d’équivalent à Hashicorp Vault, a déclaré Dickens.
“Ce sont des anciennes plates-formes ennuyeuses, mais la gestion des secrets sur un mainframe est vraiment précieuse pour un CISO dans une grande banque”, a déclaré Dickens. “C’est un vault de Hashicorp d’extension n’aurait probablement jamais réussi à faire organiquement, ainsi que la puissance et probablement le cloud IBM, mais IBM les aura forcé dans le cadre de l’intégration.”
Le décalage de SAAS-First signifie également Hashicorp offrira un équivalent sur site de ses piles HCP Terraform pour les clients de Terraform Enterprise, selon Liese de Hashicorp. En ce qui concerne la version cloud, Hashicorp cible clairement les grandes entreprises avec un nouveau SKU Premium HCP Terraform, expédié le 1er mai, qui a ajouté des fonctionnalités de sécurité renforcées telles que la prise en charge des systèmes de contrôle de version autogérée et pliée dans la plate-forme de développement interne de Waypoint HCP (PDI) qui avait été auparavant un produit séparé.
Il existe des domaines potentiels de chevauchement entre le catalogue en libre-service de HCP Waypoint des composants d’infrastructure et OpenShift, où les opérateurs peuvent également exposer un catalogue de services d’application et d’infrastructure aux utilisateurs.
IBM est serré sur la façon dont il se positionnera à long terme et à long terme. Il a refusé de commenter les plans de ces produits spécifiques, ou comment et quand les outils de Hashicorp peuvent apparaître dans le produit de concert IBM en prévisualisation par la société l’année dernière.
En attendant, un client Terraform Enterprise a déjà commencé une migration vers HCP Terraform Premium, dessinée par la fonction Stacks alors que son équipe construit un PDI.
“Nous expérimentons également Waypoint maintenant que nous sommes sur HCP Terraform – c’était l’autre grande fonctionnalité, car notre grand projet pour l’année est de construire notre plateforme de développeurs”, a déclaré un ingénieur de cloud pour une entreprise Fortune 500 sur la côte est, qui a demandé l’anonymat parce qu’il n’était pas autorisé à parler auprès de son employeur dans la presse.
Comme dans de nombreuses grandes entreprises, certaines équipes gèrent également Red Hat OpenShift et Ansible dans d’autres domaines de l’entreprise Fortune 500. Aucune décision stratégique n’a été prise de standardiser sur l’une ou l’autre, mais l’ingénieur du cloud senior a déclaré qu’il n’avait pas l’intention d’envisager OpenShift. Au lieu de cela, étant donné la familiarité de son équipe avec Hashicorp, il prévoit d’utiliser Waypoint pour créer un “distributeur automatique d’infrastructure en libre-service” pour les développeurs, a-t-il déclaré.
Rob Strechay
Un analyste de l’industrie a souligné que les actions Waypoint, qui peuvent déclencher des systèmes externes tels que les pipelines CI / CD, chevauchent également certaines des fonctions de gestion de la configuration “Day 2+” en cours, autrement déléguées à ANNIBLE.
“La grande question est de savoir qui observe l’état des forfaits et regarde le pipeline CI / CD qui pousse à la production”, a déclaré Rob Strechay, analyste de TheCube Research. «Je soupçonne que c’est l’un des quelques endroits, y compris la révocation du module HCP, qui sera examiné pour rapprocher ANSIBLE et Terraform. [IBM] doit rapidement arriver à une opinion [position] de ce que vous faites dans Terraform et de ce que vous faites dans ANIBLE. “
OpenShift Plans Expansion Vault
Red Hat OpenShift et Hashicorp Vault ont longtemps été utilisés ensemble. L’intégration recommandée de Hashicorp reste que les clients utilisent Vault Secrets Operator (VSO) pour s’intégrer à OpenShift, ce qui permet aux pods de retirer les secrets de coffre-fort nativement de Kubernetes.
Cependant, quelques détails de plans d’intégration supplémentaires entre Hashicorp Vault et Red Hat OpenShift ont été rendus publics dans un article de blog Red Hat le mois dernier. Ceux mis en évidence incluent des extensions vers VSO pour protéger les secrets en transit, au repos et au point d’utilisation dans des environnements partagés; Certification du fournisseur de coffre-fort Hashicorp pour le pilote d’interface de stockage des conteneurs Kubernetes Secrets Store; Support officiel OpenShift qui relie les clusters OpenShift aux certificats d’infrastructure clés publics de Hashicorp Vault; Prise en charge conjointe d’un opérateur de secrets externes de Kubernetes pour synchroniser les secrets de Hashicorp Vault pour OpenShift Kubernetes Clusters; et un opérateur de configuration de Vault qui permettra une administration de style Gitops natif de Kubernetes pour Vault fonctionnant sur OpenShift.
“Il est généralement entendu que les secrets de Kubernetes ne sont pas particulièrement secrètes”, selon le Post. «Ils sont… accessibles aux administrateurs de cluster [and] Toute personne ayant des privilèges de créer un pod dans un espace de noms spécifique peut accéder aux secrets de cet espace de noms. Bien que la protection en repos puisse être fournie en chiffrant les données sensibles stockées dans etcd, une protection encore plus forte est fournie en intégrant un gestionnaire secret externe. “
Beth Pareau, une rédactrice de nouvelles pour Informa Techtarget, est un vétéran primé du journalisme informatique couvrant DevOps. Vous avez un pourboire? Envoyez-lui un courriel ou tendre la main @Pariseautt.
