【雙方技術長對談未來願景】兩大IT自動化平臺Terraform和Ansible未來如何整合？

【波士頓現場直擊】

今年3月，獲得英國主管機關的核准後，IBM終於完成了對雲端基礎架構工具業者HashiCorp的收購案，HashiCorp旗下混合雲管理自動化工具Terraform，和紅帽旗下DevOps圈愛用的IT自動化工具Ansible，都成為IBM旗下產品。

紅帽產品長Ashesh Badani在年會中宣布，未來將與HashiCorp將有更深度合作，因為許多紅帽的企業用戶，同時使用HashiCorp的Terraform和Vault產品，及紅帽OpenShift平臺和Ansible工具。

Ansible擅長應用程式配置程式碼化管理，而是Terraform則是基礎架構程式碼化的主流，不少企業的IT團隊，習慣混合運用這兩款IT自動化工具，來部署應用程式和所需要的基礎架構資源。彼此各有擅長，也各有重複的自動化管理能力，企業IT得學會兩套不同的自動化做法，自己判斷何時適合用哪一種。

兩大工具整合後，可以涵蓋完整基礎架構的管理

Ashesh Badani表示，Terraform和Ansible兩款自動化工具可以互補，提供涵蓋基礎架構管理生命周期，更完整、端到端的自動化管理，從開發設計階段（Day 0）、上線部署（Day 1）到後續維運（Day 2）的階段。

他舉例說明，紅帽在Ansible工作流程中，整合了許多的Terraform的工作流程指令「計畫」命令，使用者可以直接在Ansible工作流程中，選擇要啟用哪些 Terraform計畫。這些工作流程同時可透過Ansible和Terraform觸發後續步驟。

「 AI運作也需要自動化，尤其是事件驅動的自動化能力是關鍵， 」 Ashesh Badani 表示，未來幾個月的整合目標，要先提高產品對產品的整合度，特別是跨兩大平臺的整合，來打造相關機制。

在IBM宣布要併購HashiCorp之後，兩家公司也收到很多客戶的詢問，尤其彼此同質性產品的整合和發展。所以，兩家公司的技術長，紅帽技術長Chris Wright和HashiCorp創辦人兼技術長Armon Dadgar展開一場對談，進一步說明兩家公司整合後的發展方向和願景。

紅帽技術長Chris Wright先強調，兩家公司的混合雲願景非常契合，很早就開始討論如何合作。IBM宣布收購HashiCorp的消息後，人們最常問他的問題是Red Hat怎麼辦？其次是容器環境的秘密管理未來發展。另一個較少人提到，他很有興趣的議題是，Vault 和Ansible對憑證普及化的整合潛力。

HashiCorp技術長Armon Dadgar則指出，從生命周期角度來看，第一步是建立雲端帳戶，部署VPC環境等，Terraform對Day 0和Day 1的基礎架構配置的表現非常好，但建立一個VM運作環境後，需要執行配置管理，來符合應用程式的需求，後續第二天、第三天長期運作上，不只VM需要修補，也需要升級應用程式，甚至應用程式有壽命，如測試環境的程式在任務完成後需要銷毀。Terraform建立環境後，可以交接給Ansible。不過，清理VM後可以自動將測試版本從AP服務管理清單中註銷，得手動處理。這就AP生命週期中，需要Ansible和Terraform實現更好整合的例子。他的願景是基礎架構程式碼完全自動化，從第零天到運作的最後一天。

指導性整合建議，而非強制性整併

Chris認為，每一個工具都是整體中的不同部分，如何讓它看起來像是單一平臺、緊密整合的工具。未來願景是，找出更好的組合，描繪一個從基礎設施開始，到應用程式結束的生命周期是什麼樣的樣貌。這樣的整合，是一種指導性的建議，而非強制。企業不想因為有更好的功能而得有很大的改變。因應市場需求，兩家公司都需要保持各自工具的靈活性，雙方的社群也有很大的不同。

打造集中式的秘密管理機制

人們常說OpenShift就等於K8s，但Armo認為，OpenShift涵蓋範圍更大，甚至可以視為CNCF容器生態系統，遠不只是K8s。不過，想要串接整套流程，在OpenShift 發行版中，有38個需要另外整合其他工具或機制的接觸點，像是在CI/CD流程、GitOps流程，應用程式都需要金鑰、憑證來運作。如何簽發憑證，後續如何更換，都是麻煩。

如何確保整體如預期般的運作，甚至確保機密，需要一個以安全為預設的平台，集中式的秘密管理機制、密鑰管理機制和憑證管理機制。只要在OpenShift平臺打開一個預設選項，就能讓整個流程和環境，協同運作，甚至隨著新版本更新而自動更新，這是一個未來可以整合的機會。

Chris表示，如何用同一套秘密管理來處理整合，如何延伸到所有的管理功能中，這種功能應該做到，開箱即用就能做對的事情。「沒有什麼事情比簡單更複雜的挑戰了。」

Armon觀察，許多組織的挑戰是，在基礎架構環境中用Vault集中管理金鑰，但要如何將金鑰派發給應用程式，能不能在部署應用程式緊密整合 Vault，是一大需求。像這類的最後一哩路，將是未來整合的巨大機會。像是部署建立同時交付秘密金鑰，更新和修補時，也將憑證更換列入維運生命週期管理的一環，可以對金鑰集中管理、加密、權杖化，也進行最後一哩的交付，這會是未來改善體驗的重點。還有一個顧客常見的需求，能不能用單一個混合雲的管理API，就能同時部署和管理Terraform和Ansible，這是雙方討論重點之一。

目標打通基礎架構管理和AP交付

「這不只是Ansible和Terraform成為可以協同運作的工具，而是真正打通基礎設施的管理，以及應用程式的交付。」Chris強調。

Armon補充，各自有所不足，聯手就可以創造新的共同機會。幾乎所有企業的挑戰是，他們將擁有多個公雲和私雲，如何跨越這些環境來操作是一大挑戰，對開發人員來說，只想寫出程式碼，不在乎這些程式如何執行，在哪裡執行等運作細節。如何能夠提供單一視圖和單一的雲端管理平臺，任開發人員專注於他們所關心的目標，這是我認為的正確方向。

「如何找到一套黃金模式、黃金工作流程，又能在混合環境中靈活運作。」Armon強調，我們考慮在OpenShift平臺上，將各種元件打包，提供更高層次的開發者抽象層，提供一個可以跨環境進行工作流程自動化的平臺，這正是Waypoint開發者入口網站想要實現的事。目前開始思考，需要什麼樣的開發者可視化，如何讓維運者也有一致的模式，提供跨環境的一致化操作方式，這是我最終想要達到的目的地。讓開發人員跨越不同環境，從營運角度來確保該有的安全風險配置，「這還需要很多工作，但我很有信心。」Armon表示。

Chris強調，如何在背後整合成本、複雜性和合規性，讓整套平臺總是合規而且預設安全，還能提供成本管理。從複雜性的角度來看，優化必須內建，不過，該如何隱藏，並將其打包，來確保一致性，不用讓每一家企業反覆遇到同樣的問題，這是我們的關鍵課題。