了解在swamp上发布的JFrog平台的最新授权特性。我们将展示诸如项目、联合存储库、签名管道和专用分发网络等新的创新改进如何通过安全性、协作性和可观察性实现大规模的二进制生命周期管理。我们还将探索PagerDuty、Slack、MS Teams、Splunk和DataDog的最新生态系统集成,为您的SDLC带来更大的可见性。
额外的资源:2022世界杯阿根廷预选赛赛程
视频记录
大家好,感谢您参加JFrog的What 's New网络研讨会,我们将在那里报道我们最近的Swamp Up活动的最新公告。我叫David Landsberg,是JFrog公司的产品管理总监。在我们深入了解最新消息之前,我想重申一下JFrog的使命,即为不断更新的无版本软件世界提供动力,我们将其称为Liquid software。
第一个公告是关于解决跨公司内部竖井团队共享JFrog平台的挑战。为了应对这一挑战,我们宣布了JFrog项目。那么什么是项目,我为什么需要它们?近年来我们看到的是,JFrog平台通常由一个小型的DevOps团队管理,他们负责各种服务,如源代码控制、二进制管理、CICD等。我们喜欢称这些团队为超级DevOps。这些团队今天面临的挑战之一是,他们需要处理大量与新团队的入职相关的工作。例如,创建存储库,授予权限。此外,当一个团队或项目需要新的资源或新成员时,他们可能也需要这个超级DevOps团队的帮助。这会让他们超负荷工作,成为真正的瓶颈。项目是解决这些挑战的新平台能力。
项目是一个管理实体,用于托管团队资源,并将用户或组作为成员与这些资源的特定访问权限相关联。2022世界杯阿根廷预选赛赛程2022世界杯阿根廷预选赛赛程资源的范围在项目级别。项目有一个名称和一个项目键。资源名的前缀是一个项目键,以区分它们,特定的资源可以在项目之间共享。2022世界杯阿根廷预选赛赛程正如您在示例中所看到的,存储库项目A是一个本地Docker repo,它与项目b共享。您可以在项目级别上修改存储配额,并且仍然可以在所有项目中共享全局资源。2022世界杯阿根廷预选赛赛程
我们还通过引入角色简化了权限模型。角色用于为用户和组授予权限。角色与具有该角色的用户所允许的操作列表相关联。正如您在这里看到的,项目成员可以被多个角色签名。我们有在整个JFrog平台范围内定义的全球角色。JFrog平台自带一些现成的工具,你也可以自己定义。这些可以用于定义更通用的角色,并且可以被许多项目使用,例如,只允许读取工件的查看器角色。由于我们有在项目范围内定义的项目角色,这些角色可以用于定义特定于项目的角色。
下一个公告是关于解决在扩展的同时保持控制的挑战。如今,您需要在多个数据中心之间、本地和云之间保持工件同步。您可能有一对一的拓扑,也可能有一对多的拓扑。管理越来越多的全球站点、越来越多的存储库和越来越多的工件之间的同步已经成为一个真正的挑战。因此,我们宣布了联合存储库,这实际上是一种易于配置和维护的终端复制。不同JFrog平台部署中的本地存储库在联邦下处于上限。配置本身也会自动同步。更改会尽可能快地分发,我们正在使用一种新的底层复制框架,我们称之为镜像。这确实节省了大量的时间和复杂性。随着发布速度的加快,我们发现自己存储了许多不一定再使用的旧版本。 This is even more relevant for enterprises under regulation that must store their releases for compliance reasons sometimes for many years. Storage can be expensive and we have to be agile in storage management as we are in other resources that we manage.
为了解决数据保留和存储成本不断增长的挑战,我们宣布了我们的冷库解决方案。冷存储通过存档未使用的工件来节省成本。我们将允许将存档的工件存储在不同类型的存储中。因此,您可以使用更便宜的存储解决方案,并降低您的总拥有成本。您将能够定义归档策略,以确定哪些工件将在何时何地归档。存档策略将支持使用工件元数据,以便为存档定义智能规则。最后,我们将提供检索归档工件及其相关元数据的方法。如果我们从工件生命周期的角度来看这个问题,我们将工件保存在我们正常的文件存储中。根据我们定义的策略,我们可以将工件归档到长期存储环境中。可以根据您定义的策略从存档存储中清理工件,或者检索回活动文件存储。
我们的下一个公告是我们新的JFrog签名管道,以确保防篡改构建。这是业界首次创新,签名管道支持零信任,这意味着管道将只对由签名管道产生的构建和工件采取行动。这允许避免任何对构建构件的篡改,无论是意外的还是恶意的,并且基本上阻止了这样的场景:例如,开发人员可能决定直接更新某个环境中的文件,而不经过源代码控制,将其作为管道的输出,从而忘记将其存储在源代码控制系统中。每个操作都存储在区块链类型的分类帐中,这也是签名的,允许完整的审计和可见性。我们的下一个公告是关于我们大规模分发软件的能力。您可能已经熟悉了我们通过ed服务器发送工件到具有边缘持久性的远程位置的分发功能。它支持远程缓存预填充,它支持安全性,您可以通过签署发布包来验证交付,并报告审计和跟踪。
但我们刚刚在沼泽应用中宣布的是一个行业第一个私人分销网络。生产在CDN和点对点协议中结合了两个业界已知的网络加速器,允许以更快的速度进行大规模并发下载。现在您可以创建自己的自定义分布拓扑,并在物理上尽可能地使软件工件接近消费点。PDN由分布组组成,分布组包含您选择部署的尽可能多的轻量级分布节点,它们可以运行在任何基础设施上,无论是云、内部部署、物联网,由您决定。现在,您可以使用非常接近随机客户端的发布包来预填充缓存,这些客户端使用这些工件,可以显著提高分发性能。
让我们看一个PDM的快速演示。在我们开始之前,我想先解释一下我们将要看到的拓扑结构。在演示中,我们将有一个中央工件实例,它连接到三个边缘服务器,一个在美国,一个在欧洲,一个在亚洲。每个Artifactory服务器都有一个或多个分销组来扩展我们的分销网络。每个组包含更多的分布节点。让我们开始演示。我们要做的第一件事就是生成一个发布包。我们将通过命令行API来实现这一点。在这种情况下,我们将把我们的发布包称为沼泽2021年。这就是303版本。 We have a query to capture the items as part of the release bundle. You can see that JSON that’s generated has different layers that are part of the release bundle. There’s a manifest file here. We have the check sum and we’ll use the command line to submit it into Artifactory.
在这里您可以看到新的发布包版本303。注意,状态还没有分发。我现在还不打算分配。我想先给你们看一个客户端拉取请求。想象一下,我们在伦敦,离一个发行组尽可能近,我们要为刚刚提交到Artifactory的新发布包做一个拉请求。我们将运行拉请求,你可以看到文件没有找到,我无法拉出Docker图像。我们还没有发布发布包。回到工厂UI,选择分发。你在这里看到的是所有组的树,拓扑结构中的边。我们要选择我们想要分配给的分配组。 Let us just unmark California one. Overall in this case, seven groups around 600 nodes. As we said, this can scale to thousand and thousand of nodes. Once we press a distribute button, the release bundle automatically propagates throughout the different distribution groups through are the hierarchy, concurrent downloads all the way down to the different edge groups.
你可以看到它在拓扑树中传播。看起来它已经结束了。状态显示完成。我们现在要做的是再次运行来自伦敦客户端的池请求。你可以看到下载的速度非常非常快,因为我们现在的位置非常非常接近分发组,旁边已经有一个可用的发布包。所以,再一次总结和强调私有分销网络的主要好处。速度,用于跨复杂拓扑的快速部署。信任,我们通过基于全卷的访问和发布包的签名来确保安全性。规模,我们支持大量的并发下载使用专有的点对点协议。简单的低占用空间节点是我们DevOps平台的一部分。 One more important item is security. In the world of enterprise software one of the main challenges we will always have is security. One of the main concerns of companies these days is supply chain attacks. One of the great examples of this was the solar wind supply chain attack where an attack on a single vendor ended up in 18,000 customers affected.
x射线就是我们应对这一挑战的答案。Xray尽早检测漏洞,拥有非常强大的漏洞数据库,是DevOps平台的核心部分。本季度,作为公告的一部分,我们介绍了两个新功能,这是我们轮班升降机理念的一部分。这些特性非常以开发人员为中心,并且允许在过程的早期扫描源代码依赖项和二进制文件,从而将安全性交到开发人员手中。源代码依赖项扫描是第一个。实现完整的Git存储库集成是最终目标的第一个阶段。这是一个新的CLI扫描命令,允许您扫描文件系统上的任何源代码,并获得包含所有x射线结果的完整依赖关系树。
最重要的是,了解它是否符合Xray安全和合规策略。这将通过CLI提供,可以集成到您的管道中。第二种是按需二进制扫描。这是另一个新的CLI扫描命令,允许您指向文件系统或CI服务器上的任何二进制文件,实际上是任何您想要的地方,并根据x射线策略扫描它。您可以在将二进制文件上传到Artifactory之前或作为条件扫描二进制文件。这就是我要讲的,现在我要把它交给我的同事Deep来讲解新的积分分析。
谢谢大卫。好的,我在这里要告诉你们更多关于我们的合作积分的新东西。我的名字是Deep Datta,我是JFrog合作伙伴团队的产品经理。所以今年,特别是过去两个季度,我们的目标是更好地了解JFrog客户如何将我们的产品与其他工具一起使用,以便他们能够完成监控、可观察性、协作、IT运维或IT服务管理等工作。hth华体会最新官方网站我们一直专注于如何帮助我们的用户更好地利用围绕他们的工件的元数据,以及这些工件发生了什么,以创建一个统一的端到端可观察框架,允许开发人员和运维团队通过各个阶段更好地管理软件的发布,以更好地洞察应用程序和多云环境的性能,并能够有效地解决问题。通过聊天应用程序以一种更加流畅和顺畅的方式进行协作,能够响应事件并管理其他类型的性能和运营问题。
所以我今天要讲的积分可以分为这三个部分。首先是可观察性。所以我们真的在加倍努力。我们想要做的是为开发者提供一个更智能的视角来了解JFrog平台内发生的一切,这样他们就可以查看指标并获得高级监控功能。同样的,我们希望JFrog平台上发生的事件和信息可以在聊天应用程序等协作工具中使用。我们不仅要确保开发人员和运维团队被告知构建状态变化、添加新的工件属性、可能是一个漏洞,而且我们希望允许您在这些聊天工具本身进行协作,甚至提供双向操作,您可以采取这些操作,然后更改或影响回购或JFrog平台实例中的某些内容。
我今天要讲的第三个主题是IT运营或IT服务管理。确保事件和行动被路由到正确的地方。发生的任何事件都可能需要来自不同利益相关者的批准或输入,这些都可以被路由,决策可以以一种自动化的方式有效地做出,甚至可以自动解决问题,然后像关闭Jira票据一样。这就是我今天要讲的积分。Splunk, Datadog, PagerDuty, Jira, Slack和Microsoft Teams。我们也有一些其他的集成,我们一直在工作,但这些不会在这个特定的网络研讨会上涉及。首先我要做的是打好基础,告诉你们原因。现在我要告诉你们为什么我们要关注可观察性。
因此,许多客户向我们询问有关工具的问题,这些工具可以帮助他们监视在Artifactory回购中发生的应用程序、工件和构建的性能。因此,作为第一步,我们想让第三方工具非常容易地获得JFrog平台中发生的事情的详细视图。我们将通过集成我们的开放度量API来做到这一点,我会在下一张幻灯片中讲到。但指标API有一堆数据,然后可以输入预先构建的仪表板,其中包含关于系统性能的图表,关于谈论Artifactory和Xray中发生的事情的运营洞察的图表。这些图表可以在工具本身中直接获得。所以仪表板可以在Datadog和Splunk中访问。这些信息都来自JFrog平台表单,通过我们的指标API。
另一方面是可观察性。这就是我们向合作伙伴工具提供所有构建信息的地方,以跟踪JFrog平台内发生的事情的使用情况。因此,通过JFrog平台的构建信息api,我们提供了诸如构建版本、工件提交级别等信息,所有这些都可以用来增强您的应用程序依赖关系映射,并帮助您的团队进行故障排除。关于如何使用这些信息的其他一些例子可能是JFrog管道和Kubernetes和集成,它们可以让你跟踪部署事件,以及为事件分析和根本原因分析提供相关元数据的构建信息。这些集成包括预先构建的漏洞仪表板,以显示Xray安全和许可证违规情况。同样,这些数据被提供给我们的合作伙伴,比如Elastic, Datadog和Splunk,我一会儿会讲到。我认为最重要的是,这些工具提供的不仅仅是指标。
我们提供带有跟踪信息的日志。这些集成真正提供了一个完整的端到端可观测平台,并对您最常用的所有技术提供了全面支持。首先我要讲的是Splunk的整合。那么Splunk的整合是什么?这又回到了开放度量API。这些数据通过我们与合作伙伴合作提供的预建仪表板输入Splunk。这里包含的信息基本上是,Artifactory进程使用的总CPU是多少?圆盘空间是多少?一次运行中删除的二进制文件的数量是多少?所有这些信息都在Splunk自身的仪表板视图中提供,并真正帮助您的开发和IT Ops团队监控JFrog平台实例内部发生的性能。
接下来要介绍的是Datadog。因此Datadog也使用了我们提供的开放度量API。我们还内置了一些漏洞仪表板。因此,漏洞指示板实际上是最新的更新。我们想把视图扩展到x射线中发生的事情。Datadog的集成包括日志,包括我之前提供给你们的所有开放度量API信息。这与漏洞数据一起为您的开发人员提供了一套完整的可用见解,以了解您的漏洞以及这些漏洞如何影响您的回购中的工件和组件。这与我们提供Splunk的信息相似,但它更进一步,为你的x光问题预先构建了仪表板。这包括x射线日志信息,x射线违规数据当然还有许可合规信息。
这种集成的强大之处在于一切都是集中的。它让您深入了解可以采取的行动,以帮助您解决问题或优化软件开发生命周期。我们还为您提供部署和构建信息的真实视图,以便您可以监控和处理您在那里看到的任何问题。这是我们提供给Datadog的一些x射线指标数据。同样,这些都是通过这些预先构建的仪表板看到的,仪表板上有我上面列出的所有信息。我接下来要讲的是IT运营,有时也扩展到IT服务管理。本季度的主要用例是事件管理。因此,如果在Xray中发生了问题或使用Xray时发生了问题,在你的回购中发生了问题,比如工件有新的漏洞或没有通过你的许可合规政策。
我们让这些对像PagerDuty这样的工具很明显,然后使用PagerDuty,你实际上可以获取这些信息,获取我们提供的所有元数据,你可以使用其他工具构建动作或自动工作流。例如,一些公司确实规范了软件开发过程,这些过程可能需要监控、质量闸门和版本控制实践。他们可能有非常严格的代码审查。显然,安全扫描是当今的一个大话题。因此,我们在PagerDuty内部提供的所有这些元数据可以帮助您管理事件,并帮助您真正简化IT操作。
因此,我们为Xray集成的PagerDuty为您提供有关违规和许可问题的所有Xray元数据,您的CBE详细信息,如CBE ID, CBE摘要,受影响的组件。使用这些元数据,您可以将PagerDuty用于事件警报,但也可以将PagerDuty等工具与其他IT Ops或IT服务管理工具集成在一起,以自动解决这些问题。所以在这里,你会看到在右手边,我给你展示了一些元数据视图,比如CBE描述,名称和[听不清00:27:30]值以及受影响组件的路径。都在那里。
接下来我要讲的是合作。所以这对我们来说是最终的左移。软件开发不仅仅发生在代码所在的地方。这也是一个以人为本的过程。所以你的员工,你的团队,你的开发人员,他们都在这些协作工具中相互交流。事实上,我们感觉和数据告诉我们,开发人员团队在这些工具上花费的时间可能和他们在ide上花费的时间一样多。因此,我们从将您的构建信息和部署信息从Artifactory连接到Jira开始。它所做的是给你一个非常详细的视图,关于每次构建发生了什么,每次部署发生了什么,元数据如何反馈到你在Jira内部管理的操作中。这实际上是客户一直要求的集成。所以我们对Jira的整合感到非常兴奋。
下一个当然是像Slack这样的聊天工具。我们正在做的是让你的Artifactory网络钩子事件信息和你的Xray网络钩子事件信息在Slack中可用。所以你会得到这些卡片上面有关于漏洞的元数据这些漏洞来自x射线策略和违规行为。当工件被上传或工件属性被添加时,您将得到显示您的卡片。这将允许你真正跟踪个人回购中发生的事情,并能够与你在Slack中建立的渠道内的团队讨论这种行为。我们相信,这是一种非常强大的新方法,可以洞察和可见JFrog平台实例中发生的事情。我们很高兴能提供一些你通常在平台里会做的动作。您可以采取一些操作,例如向违规行为添加忽略规则。你可以在Slack内部完成这项工作。
沿着同样的思路,我们正在构建与Microsoft Teams非常相似的集成。你将能够看到你的Docker标签信息,你的构建和你的发布包信息。就像我之前提到的,你可以把这些通知卡发送到不同的渠道。您可以与单个团队成员共享它们,这确实为您的开发人员提供了一个真实的视图,一个端到端的视图,了解所有工件和构建所发生的事情,从他们讨论构建什么开始,到计划阶段的监视和我前面提到的可观察性结束。我现在想做的是给你们看一个我们在微软团队中构建的快速演示。请记住,这是我的一个工程师预先录制的演示。开始吧。
现在让我们创建一个通知。再一次,我要创建一个通知,选择Artifactory,确保我在这个Artifactory中创建通知。它还告诉这个通知将在这个通道中创建。我输入通知名称。这个工件是一个演示。我稍后会输入delete这样我就可以删除这个,我不需要它了。如果你熟悉[听不清00:31:48]你就会很熟悉我们的UI。我只会监听任何更改和任何存储库。我们还获取[听不清00:32:03]存储库列表。要真正使用这个UI,你需要足够强大来创建一个web钩子,并获取一个存储库列表,从而保持良好的模式,排除模式和其他东西,并创建一个通知。
如您所见,通知已经创建。如果你想创建通知你可以点击这个。如果你想做别的事情而不是在这里输入,你可以点击帮助。然后你就有了更多的选择。为了确认我们的通知已经创建让我们点击管理通知,或者不,不,我们先跳过它。让我们测试通知。我要在Artifactory中触发这个通知,这样你就看不到了。所以我点击test在[听不清00:33:11]工厂内部传递我的通知。如你所见,我们收到四个通知,包括一些与通知相关的动作。请记住,这是我们的示例通知。 So if I click more info or download then what’s going to happen is our app has given me that I don’t really have a, it’s more info that’s nowhere because just it’s fake.
但是你知道这些通知是如何工作的以及通道是如何接收通知的。所以管理通知,因为这一点是什么,但删除通知。最终会有或多种选择。例如,如果你选择通知,你不仅可以删除它,还可以暂停通知,甚至可以添加通知。然而,在这一点上,我不确定我是否有时间这样做但是现在你只能删除它们。我们可以删除这个通知如果你想看看交互是什么样的。那么到底是哪一个呢?这个我认为是对的。不,是这个。相互作用很简单。 You just click on it and it will just delete it. And you got confirmation that the notification is no longer available.
好的。好了,现在你已经看到了微软团队的演示,并且大致了解了我们正在与新的合作伙伴集成做什么,我想看看你们是否有任何问题。
好的。实际上我们的收件箱里有几个问题,我们就从这个开始吧。第一个问题,私有配电网PDN的定价模式是什么?好问题。因此,私有配销网络定价模式是基于消费的。我们还在测试阶段。顺便说一下,如果你想试用我们的分销网络并参与测试,请随时联系我。冷库和配电网均在数据库中。所以你可以通过davidl@www.si-fil.com联系我。我们可以开始着手解决这个问题。 So the model itself is consumption based. So we measure the amount of gigabytes that get transferred in the distribution network. And that’s the pricing model. Again, until we’re GA I don’t have the final numbers of the pricing but P2P is already published in our pricing page. So you can look at that, that will give you a good idea of the model.
下一个问题。让我们来看看。好的,这里有一个关于我如何尝试冷库功能的问题?哦,我已经回答过了。这还是在beta阶段。所以请给我留言,davidl@www.si-fil.com,用于PDN或冷库。这里有一个关于项目的。我可以使用的项目数量有限制吗?所以项目有基于订阅的限制。因此,您可以开始与企业订阅中的项目交互。 You have 30 projects that you’re allowed to use in enterprise, enterprise X. When you want to use higher numbers you would do that in the Eplus subscription. And there’s no limit there. You get 300 out of the box and you can purchase bundles of a hundred, they’re fairly cheap to extend it. And we have customers that have already deployed thousands of projects. So the system can really handle a very large load of these project numbers.
我们有一个关于计划中的Jira整合的问题。所以这仍在进行中。我们正在进行的Jira集成,如果你想了解更多信息,也许想成为设计合作伙伴,请联系Deep D, Deep我的同事,他在你的集成deepd@www.si-fil.com上演示和谈论过。我相信迪普会很乐意与你进一步合作。另一个问题,Artifactory实例在edge有什么限制吗?所以我不确定那是什么意思。Shahish也许你可以提供更多的细节来说明你的意思。但如果我们讨论分布我们确实有边缘服务器,边缘服务器是只读的边缘。
没有限制,即使在某些情况下,我们允许正确,但它就像一个完整的Artifactory服务器,具有整个基于角色的权限和持久性,以及您从Artifactory服务器中熟悉的一切。当您谈论边缘的分布节点时,这是一个Golang实例,非常轻量级,没有持久性。它为你处理了高速下载的缓存,我提到过的并发下载。但是所有的逻辑,Artifactory的所有IP仍然在服务器本身。这些当然是不同的。我想就是这样了。如果没有问题了,今天就到此结束。谢谢大家的加入。
太好了。感谢David和Deep的精彩演讲。我们希望它对您有用。正如我们在开头提到的,你们明天会收到这次网络研讨会的录音。如果您有任何其他问题,请随时通过webinars@www.si-fil.com与我们联系。我看到还有两个问题,我们会通过邮件跟你跟进。谢谢大家,祝大家今天愉快。再见。
再见。
