来源 | thenewstack

Edgenesis编译

本篇文章来自美国空军首席软件官Nicholas Chaillan在2019年Kubecon上的演讲，表明美国国防部（DoD）在F-16战斗机上采用Kubernetes部署，凸显了Kubernetes在安全性和其他方面的特性。Kubernetes是一个开源容器编排平台，可以自动化应用程序部署、扩展和管理。在这种情况下，美国国防部选择使用Kubernetes作为其基础设施的一部分，说明了其在安全性、灵活性和可扩展性方面的信任。

就混合云策略而言，美国空军尝试采纳更先进的技术。

军事组织越来越依赖于软件，并且它们正转向各种开源工具，如Kubernetes和Istio，以完成工作。2019年，美国空军首席软件官Nicholas Chaillan在圣地亚哥的KubeCon演讲中说到：从武器系统到战斗机，这些工具都部署在一些非常重要的地方。F-16正在使用这些工具在那些喷气式飞机内置的遗留硬件上运行Kubernetes。

Chaillan说：“团队要证明这是可以做到的”。他向空军及其合作伙伴发起挑战，让他们在45天内在喷气式飞机上运行Kubernetes。虽然这听起来很困难，但团队最终还是实现了目标。F-16现在就正在运行三个并发的Kubernetes集群。

很重要的问题是，为什么要用Kubenetes进行实现？在KubeCon开幕式后的演讲中，Chaillan解释了空军为何在容器、Istio和Kubernetes上押下重注：因为这是一个灵活但通用的开发平台，适用于整个军队的软件团队，可以防止供应商锁定。

“在开始这个项目之前，大多数军事软件团队都在使用老式的瀑布（waterfall）流程构建软件，新代码可能需要数年时间才能完全投入生产。即便如此，更新、测试甚至安全审查都严重依赖人工来完成那些早就应该实现自动化的任务。”

就执行任务所需的技术而言，军方不能落后前沿技术太远。如果竞争对手在自身软件实力上大力投资，那么他们在战场上的优势就会显现出来。而更新军方关键应用程序的过程很缓慢，这对国家安全的影响是显而易见的。

“对我们来说，能够减轻威胁非常重要，” Chaillan表示。

1、国防部企业DevSecOps

Chaillan团队决定采用开源软件作为新开发平台的基础，他们将其称为 DoD Enterprise DevSecOps Initiative。该计划规定了一组安全要求严格的容器来“硬化”内部开发规范，指定Kubernetes、Istio、Knative作为默认的软件开发平台。

Chaillan说：“不同部门或地区的软件团队有一定的自主权，但所有东西都必须建立在空军的平台层上。有趣的是，由于国防部授予微软的10年JEDI云合同产生了巨大争议，整个堆栈被设计为可在Amazon Web Services或Microsoft Azure上上运行。

演讲结束后，CNCF主持了一场新闻发布会，Chaillan在会上就这点进行了详细阐述，并解释说“我们不想被任何一件事所束缚。” 出于这个原因，该团队专门选择使用Kubernetes，Istio等其他项目为DoD堆栈的网络层提供安全性。他同时说到：“我们希望确保Istio在整个堆栈中能持续运行”。

当然，这一路走来也遇到了很多挑战。Chaillan说，Kubernetes并不是为军方在许多情况下必须使用断开连接的环境而设计的，这些环境涉及的数据永远不会到达互联网。他暗示到：国防部将就Kubernetes维护人员所解决的部分提出建议，这可能有助于为Kubernetes在其他敏感操作环境中的使用铺平道路。

“我们非常习惯于使用互联网进行更新，并与互联网连接，直接从互联网获得更新。对我们来说，我们必须将整个堆栈随身携带。”这些堆栈需要安装在被设计为断网的喷气式飞机或武器系统上。

2、在美国国防部的规模下开源栈

美国国防部的运营规模与几乎所有商业运营不同；Chaillan不仅要培训10万人掌握DevSecOps原则，还要学会使用新工具。“技术文化的转变很有趣，”他在新闻发布会上表示，似乎有些克制。

该规模反映了美国国防部将使用这个新的开发平台来处理许多普通和未经分类的应用程序：超过200万人在军队工作，他们中的大多数都没有为运行Kubernetes的F-16战机工作。

“战机很有趣，但它只是我们正在做的其他工作的一小部分。我们有很多业务系统正在转向云原生环境，转向微服务，并从一开始就构建，”Chaillan说。

整个美国国防部企业DevSecOps计划采用开源的技术栈，并可供任何人查看，Chaillan说。他表示，军事机构正在“变得更好”地将更多工作发布到开源社区，还指出“我们不会分叉（开源）软件。”