14、云原生系统安全与持续部署实践

云原生系统安全与持续部署实践

1. AWS S3 内容复制

在云原生系统中，数据的备份和恢复至关重要。AWS S3 可以将一个存储桶的内容复制到另一个存储桶。为确保恢复账户不受其他账户违规的影响，建议将数据复制到与其他账户完全隔离的单独账户中。同时，为避免某个区域的故障影响恢复区域，最好将数据复制到未使用的区域。

操作步骤如下：
1. 为每个要复制的源存储桶在恢复账户中创建对应的存储桶，可使用前缀或后缀的命名约定来区分源存储桶和目标存储桶。
2. 所有存储桶都必须开启版本控制以支持复制。
3. 源存储桶授予 S3 服务执行复制的权限，目标存储桶授予源账户写入恢复账户的权限，并将复制内容的所有权转移到恢复账户。

2. 构建持续部署管道

为了最小化和控制潜在的错误，需要遵循将部署与发布解耦的实践。通过小批量、聚焦的实验向用户发布功能，每个实验由一组故事组成，每个故事由一组小的聚焦任务组成，这些任务是部署的基本单位。

2.1 创建 CI/CD 管道

任务分支工作流是一种 Git 工作流，专注于极短生命周期的分支（以小时而非天为单位）。它与问题分支工作流类似，每个任务在项目管理工具中作为一个问题进行跟踪。

操作步骤如下：
1. 准备工作 ：需要有一个 GitLab 账户。
2. 创建项目 ：

$ sls create --template-url https://github.com/danteinc