在您自己的基础设施上运行 Pulumi Insights

Source: Pulumi Blog

一览 Insights

Insights 提供两项互补的功能，形成针对云基础设施的治理生命周期。

• 发现（Discovery） 会扫描 AWS、Azure、GCP 等云账户，列出所有资源，无论它们是通过 Pulumi、Terraform、CloudFormation 还是手动方式创建的。资源被编录后，你可以搜索、过滤、分组并导出资源数据。还可以将未受管理的资源导入 Pulumi，以实现 IaC 管理。
• 策略（Policy） 通过用 TypeScript 或 Python 编写的代码即策略（policy‑as‑code）来强制合规。Pulumi 提供了针对 CIS、NIST、PCI DSS、HITRUST 等框架的预构建合规包，让你无需编写代码即可开始评估。审计策略组会持续评估所有已发现的资源和 IaC 堆栈，而预防性策略则在部署进入生产环境前阻止不合规的操作。

通过这些功能，你可以绘制云资产全景、评估合规性，并对策略发现的任何问题进行修复。

为什么选择自托管？

在自己的基础设施上运行 Insights 并使用客户管理的工作流运行器，可获得以下优势：

• 数据驻留 – 扫描执行和策略评估完全在私有网络内部进行。
• 私有基础设施访问 – 能够扫描位于 VPC 和其他不可通过公共互联网访问的环境中的资源。
• 合规性 – 云提供商的凭证可以保留在内部网络，满足对凭证处理的监管要求。
• 灵活的托管方式 – 可在满足需求的任何环境中运行工作流运行器，包括 Linux、macOS、Docker 和 Kubernetes。

工作原理

客户管理的工作流运行器是轻量级代理，轮询 Pulumi Cloud 获取待处理任务，在本地执行并将结果回报。你可以配置运行器处理特定类型的工作流：发现扫描、策略评估、部署，或三者全部。

• 同样的方式适用于 SaaS Pulumi Cloud 和自托管部署。
• 运行器通过 HTTPS 与 Pulumi Cloud API 通信，无需入站连接，因而非常适合受限网络环境。
• 在内部，分布式工作调度系统会将任务路由到相应的运行器池，采用租约方式执行，并在出现故障时自动恢复。
• 如需深入了解架构，请参阅 How We Built a Distributed Work Scheduling System for Pulumi Cloud。

如果你的团队已经在使用客户管理的工作流运行器进行 Pulumi 部署，现有的运行器池即可直接处理 Insights 工作流，无需额外基础设施。

入门指南

自托管 Insights 仅在 Pulumi Cloud 的 Business Critical 版中提供。想了解更多或进行配置，请：

• 自托管 Insights 文档 – 在自有基础设施上配置和设置发现扫描及审计策略评估。
• 客户管理的工作流运行器 – 运行器安装、配置参考以及池管理。
• Insights 与治理概览 – 发现和策略功能的完整文档。

请联系销售团队，为你的组织启用自托管 Insights。