8 min Devops

Met Infrastructure Cloud vindt HashiCorp zijn hele productportfolio opnieuw uit

Met Infrastructure Cloud vindt HashiCorp zijn hele productportfolio opnieuw uit

De verenigde productreeks van HashiCorp onder de noemer HashiCorp Cloud Platform (HCP) komt algemeen beschikbaar in Europa. De producten krijgen tevens nieuwe functionaliteiten en verbeteringen, die het bedrijf presenteert onder de verzamelterm ‘The Infrastructure Cloud’. Daarmee wil het eveneens een nieuwe industriestandaard neerzetten.

Het meest in het oog springende product dat een dergelijke gedaanteverandering heeft ondergaan, is Terraform Cloud. Nu gaat dit als HCP Terraform door het leven en inmiddels integreert het met de API van AWS.

De komende tijd komen steeds meer producten volgens deze Hashicorp ‘nieuwe stijl’ beschikbaar. Niet allemaal tegelijk of met alle functionaliteiten meteen beschikbaar; het uitrollen ervan gebeurt geleidelijk. Het doel is verdere productintegratie -en daarmee betere samenwerking- van alle producten in de waaier van HashiCorp.

Al deze integraties en de aanpassingen aan de afzonderlijke producten noemt HashiCorp The Infrastructure Cloud. Doel is meer mogelijkheden bieden aan developers om voor hun bedrijf de stap naar de cloud te zetten, en tegelijk zicht te houden op de kosten en -risico’s die een dergelijke stap met zich meebrengt.

Alle producten op de schop

Behalve Terraform voor de provisioning van cloudomgevingen gaat het om Packer (images-as-code) Waypoint (automated developer services, eigenlijk een grafische UI om Terraform heen) Nomad, (orkestratie en scheduling), Vault (secrets manager), Boundary (remote access beheren) en Consul (service-based networking).

Platform voor ontwikkelomgevingen Vagrant, dat net als Terraform het meest ‘op zichzelf’ stond, ondergaat ook een gedaanteverandering. Het bevindt zich in de nieuwe stijl momenteel in een publieke bèta. Voorganger Vagrant Cloud verdwijnt op termijn, alle gebruikersdata wordt naar het nieuwe platform gemigreerd. Dat heeft een opgefriste UI gekregen en verbeterde zoekfunctionaliteit.

HashiCorp wil met het zelfgekozen begrip The Infrastructure Cloud naar eigen zeggen een nieuwe industriestandaard neerzetten voor het opzetten en beheren van cloud-infrastructuur. Volgens CTO en mede-oprichter Armon Dadgar vonden veel klanten dat ze te veel moesten nadenken over de manier waarop de verschillende producten van HashiCorp met elkaar samenwerken.

‘Dat wilden we óns probleem maken, niet langer dat van de klanten’, zei hij tijdens zijn keynote tijdens de HashiDays Conference, die op 4 juni plaatsvond in een historische brouwerij in Londen. Deze conferentie krijgt overigens op 6 juni een vervolg in München en op 12 juni in Sydney.

Local Region in Europa

Voor Europa heeft HashiCorp een local region opgezet, met het oog op data residency en om latency te verminderen. De gebruikte datacenters staan in Dublin en Frankfurt. De beschikbaarheid is nog beperkt, wat wil zeggen dat er een bovengrens zit aan de maximale capaciteit.

Sowieso gaan eerst nieuwe klanten over naar HashiCorp nieuwe stijl, daarna worden pas bestaande klanten gemigreerd. Die kunnen dan wennen, is de gedachte.

AWS Cloud Control-integratie voor Terraform

Belangrijke ontwikkeling is dat Terraform voortaan is geïntegreerd met de API van AWS Cloud Control. Deze awscc-provider zorgt ervoor dat developers nieuwe diensten en features van AWS meteen kunnen inzetten zodra ze beschikbaar komen bij de provisioning van clouds via Terraform. Het is iets meer dan 7 miljoen keer gedownload in bèta en nu algemeen beschikbaar. De integratie dient meteen als startschot voor een strategische samenwerking met Amazon, waarover Hashicorp verder overigens nog niets kwijt wilde.

Hashicorp heeft private version control toegevoegd aan Terraform zodat developers niet langer onnodig builds hoeven bloot te stellen aan het internet. Ook policy enforcement is lokaal mogelijk. Met Terraform Explorer kunnen gebruikers zoekfilters toepassen ten behoeve van rapportages en is API-ondersteuning beschikbaar voor custom workflows.

Provider defined functions komen beschikbaar in aanvulling op native functions. De ambitie is om workflows te vereenvoudigen, zoals eigenlijk het doel is over de gehele linie. Zo is het makkelijker geworden om databronnen te parsen en daarmee voor specifieke use cases meer bruikbare context te genereren, zoals bijvoorbeeld het definiëren van een regio.

Toekomst van Terraform

Hiermee is ook meteen duidelijk hoe volgens HashiCorp de toekomst van het veelgebruikte Terraform eruit ziet, waarover recent is geschreven. Dat wordt veel meer geïntegreerd in de totale productreeks van Hashicorp en staat daarmee dus meteen al verder af van -en biedt iets wezenlijks anders dan- de nog niet zo lang geleden geforkte variant OpenTF.

Wat betreft de business-licentie die HashiCorp tegenwoordig hanteert voor Terraform (in tegenstelling tot de open source-licensie van weleer), evenals het huidige betaalmodel Resources Under Management (RUM) waarbij klanten betalen voor het aantal gebruikte resources in plaats van het aantal gebruikers: daar verandert de komende tijd niets aan. Al stelt Field CTO Sarah Polan dat HashiCorp altijd ‘blijft evalueren dat het beleid van het bedrijf gebaseerd is op best practices in de industrie’.

Gedaanteverandering voor Waypoint

Ook Waypoint heeft een gedaanteverandering ondergaan. Het is niet langer een CI/CD tool, maar dient als een abstrahering van de gebruikte infrastructure-as-code (IaC). In zijn keynote presenteerde Dadgar Waypoint als een tool voor gebruikers die Terraform eigenlijk niet willen leren, maar er als app-developer wel mee moeten werken binnen de clouds die zijn geprovisioned door de daarvoor verantwoordelijke beheerders.

Met Waypoint kun je bepaalde acties en workflows via een UI uitvoeren, zoals versies terugrollen, zonder dat je verder met Terraform hoeft te werken. De handelingen worden weliswaar uitgevoerd via Terraform, maar dat blijft onder de motorkap nadat dit eenmaal is ingesteld door de cloudbeheerders. ‘We verstoppen de details waar app-developers niet om geven’, verwoordde Dadgar het.

Packer en Vault

Packer was al een product om eenvoudig virtual machine-images te maken. Daaraan zijn zogeheten webhooks toegevoegd, waarmee automatisch acties plaatsvinden naar aanleiding van gespecificeerde events. Een voorbeeld is dat wanneer een nieuwe versie van een image beschikbaar komt, oudere versies meteen worden ge-revoked.

De nieuwe versie wordt dan via Terraform ge-redeployed en gebruikers krijgen daar vervolgens een melding van via bijvoorbeeld Slack, zodat het hele team op de hoogte is. Ook voorziet Packer voortaan in metadata, bijvoorbeeld over versiebeheer en afhankelijkheden.

In lijn met de gedachte achter The Infrastructure Cloud is het dus niet alleen mogelijk om eenvoudig VM-images te maken, maar ook om die in een volgende fase gemakkelijker te standaardiseren voor gebruik tussen teams onderling. De volgende fase -het opschalen- betreft dan bijvoorbeeld nieuwe images patchen met één klik voor het hele bedrijf.

Vault maakt het mogelijk gevoelige data veilig te bewaren, voortaan ook als die zijn ondergebracht bij publieke cloudproviders zoals AWS, Azure en Google Cloud. Deze integratie met CSP’s komt in aanvulling op Github en Vercel waar dit al mogelijk was. Verder aangekondigde features hier zijn onder meer een nieuwe interface met centrale beheeromgeving en automatisch updates pushen naar alle omgevingen.

Vers beschikbaar in de publieke bèta van Vault is Secrets Rotation, dat beheerders een heleboel werk uit handen moet nemen door het proces van wachtwoordveranderingen, nieuwe API-codes genereren en ander beheer van gevoelige informatie verregaand te automatiseren. Het is mogelijk autorotatie in te stellen op basis van 30, 60 of 90-daagse tijdschema’s. Uiteraard is het ook mogelijk om ter plekke te roteren in noodgevallen.

Vault Radar

De huidige support voor versie 2 van de KV Secrets Engine wordt binnenkort uitgebreid met meer types. Ook komt er support voor Red Hat’s OpenShift-containerplatform. Er komt verder een LTS versie van Vault met twee jaar support. Gebruikers kunnen van LTS naar LTS updaten en kunnen de tussenliggende kleinere releases overslaan.

Verder biedt HCP Vault Radar nu ook de mogelijkheid om Confluence en Jira te scannen op het lekken van niet-gemanagede of plaintext secrets. Vault Radar is de voortzetting van BluBracket, dat vorig jaar is overgenomen door Hashicorp en nu dus is geïntegreerd in HCP Vault. Dit is bedoeld om losslingerende credentials ‘in de kluis’ te krijgen. Is dat eenmaal gebeurd, dan kunnen de opgespoorde credentials mee in het rotatiesysteem.

Remote Access Control met Boundary

Voor het beheer van remote access is er Boundary, dat de toestemmingen checkt van iedere gebruiker en elk apparaat voordat die toegang krijgt tot een bepaalde omgeving, en voorziet in het uitdelen van privileges. Lifecycle management, zoals retentie en automatische verwijdering, horen daarbij. Ook maakt HashiCorp het nu mogelijk aliassen in te stellen voor het vereenvoudigd opzetten van tijdelijke, beveiligde verbindingen.

De dienst is verder uitgebreid met updates voor session recording, om te voldoen aan de wens van klanten om dergelijke opnames beveiligd en compliant op te slaan. Dat kan nu door ondersteuning van objectopslagsysteem MinIO, wat zowel in public clouds als on-prem kan draaien. MinIO biedt is API-compatibel met de Amazon S3-cloudopslagservice.

Nomad biedt ten slotte time-based taakuitvoering, waarmee het onmogelijk wordt bepaalde taken uit te voeren buiten een bepaald tijdvenster. Vanwege de lastigheid om Nomad samen te laten werken met de nieuwste versies van netwerkplatform Consul, heeft HashiCorp een transparante proxy en gateway support voor de Consul API toegevoegd. Ook is er nu ondersteuning voor partities.

In stappen bouwen aan cloudomgevingen

Deze integratie van alle producten is volgens het bedrijf bedoeld om de dienstverlening te optimaliseren voor enerzijds de bouw, inzet en management van cloud-infrastructuur en anderzijds de security lifecycle management daarvan. Dat moet in stappen, volgens het bedrijf, dat tijdens de Hashidays-conferentie in Londen deze week zijn visie uit de doeken doet over hoe een cloudomgeving op een dergelijke wijze kan worden ‘gerijpt’.

Het heeft daarvoor drie stappen gedefinieerd: adopting (de initiële gang naar de cloud), standaardiseren en vervolgens opschalen. Dit noemt Hashicorp het ‘maturity model’. Binnen die verschillende stappen voorziet het bedrijf voor elk van de producten dus in een reeks nieuwe of verbeterde toepassingen ten behoeve van workflow automation, het maken en beheren van één verenigd system of record en lifecycle management.

Lees ook: IBM bevestigt miljardenovername van HashiCorp