Bewährte Methoden für CI/CD-Pipelines - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für CI/CD-Pipelines

Im Folgenden finden Sie bewährte Methoden für vollständige CI/CD-Pipelines:

  • Sicherung der Produktionsumgebung — Da mit IaC praktisch alles Notwendige für die Konto- und Umgebungswartung erledigt werden kann, ist es wichtig, alle Anstrengungen zu unternehmen, um die Produktionsumgebung zu schützen, indem der Konsolen- und programmgesteuerte Zugriff eingeschränkt wird. Wir empfehlen, den Zugriff auf nur wenige oder gar keine Benutzer zu beschränken. Wenn Sie IaC über bereitstellen AWS CloudFormation, benötigt der Benutzer eingeschränkte Berechtigungen. Die meisten Berechtigungen werden dem CloudFormation Dienst über eine Servicerolle zugewiesen. Weitere Informationen finden Sie in der CloudFormation Dokumentation unter Servicerolle und unter Implementieren von Richtlinien für Berechtigungen mit den geringsten Rechten für. AWS CloudFormation

  • Erstellen Sie separate Konten für jede Umgebung — Indem Sie jeder Umgebung ein eigenes Konto zuweisen, können Sie den Bereitstellungsprozess vereinfachen und detaillierte Zugriffskontrollen auf Kontoebene einrichten. Wenn mehrere Umgebungen Ressourcen gemeinsam nutzen, verringert dies die Integrität der Umgebung als isolierte Einheit. Es ist am besten, Umgebungen zu synchronisieren und voneinander zu unterscheiden. Dies ist für die Produktionsumgebung noch wichtiger, da alles, was in diesem Konto enthalten ist, als Produktionsressource behandelt werden sollte.

  • Beschränken Sie persönlich identifizierbare Informationen (PII) auf die Produktionsumgebung — Sowohl aus Sicherheitsgründen als auch zum Schutz vor Haftungsrisiken sollten Sie personenbezogene Daten so weit wie möglich schützen. Verwenden Sie nach Möglichkeit in niedrigeren Umgebungen anonymisierte Daten oder Beispieldaten, anstatt potenziell sensible Daten aus der Produktionsumgebung zu kopieren.

  • Code in Repositorys überprüfen — Ein vollständiger CI/CD-Prozess reduziert die Zugangspunkte für eine Pipeline auf einen einzigen Punkt, und dieser zentrale Punkt sollte gesichert werden. Aus diesem Grund wird empfohlen, dass Sie mehrere Code-Reviews durchführen lassen, bevor Sie Feature-Branches in den Hauptzweig zusammenführen. Diese Code-Reviews können von jedem qualifizierten Teammitglied durchgeführt werden, aber mindestens ein erfahrenes Mitglied sollte sie überprüfen. Der Code sollte vom Prüfer gründlich getestet werden. Schließlich besteht der beste Weg, Probleme in einer Pipeline zu beheben, darin, zu vermeiden, dass sie in die Pipeline eingeführt werden. Außerdem ist es wichtig, alle Kommentare aller Prüfer vor der Zusammenführung zu klären. Diese Lösung könnte lediglich eine Erklärung dafür sein, warum keine Änderungen erforderlich sind, aber die Berücksichtigung aller Kommentare ist eine wichtige zusätzliche Überprüfung, um zu verhindern, dass Probleme in die Pipeline kommen.

  • Kleine und häufige Zusammenführungen vornehmen — Um die Vorteile der kontinuierlichen Integration voll auszuschöpfen, ist es eine gute Idee, auch lokale Änderungen kontinuierlich in die Pipeline zu integrieren. Schließlich ist es für die Entwicklungsumgebungen viel vorteilhafter, synchron zu bleiben, wenn auch die lokalen Umgebungen mit ihnen Schritt halten.

Weitere bewährte Methoden für CI/CD-Pipelines finden Sie unter Zusammenfassung der bewährten Methoden in Practicing Continuous Integration and Continuous Delivery am. AWS