Skip to content

Platform Engineering 概览

最后更新: February 23, 2026

1. 什么是 Platform Engineering?

定义

Platform Engineering(平台工程)是为开发者自助服务而设计、构建和运营工具、工作流与基础设施的学科。Platform Engineering 团队构建 Internal Developer Platform (IDP)(内部开发者平台),使开发者无需直接处理基础设施复杂性,就能快速且安全地部署应用程序。

Internal Developer Platform (IDP)

IDP 是一种自助服务平台,它抽象了基础设施配置、部署和监控等运维任务,使开发者能够专注于编写代码。

IDP 的核心价值:

  • 自助服务:开发者无需提交工单即可直接配置基础设施
  • 护栏:默认内置安全性与合规性
  • 标准化:通过 Golden Paths(黄金路径)实现一致的部署模式
  • 自动化:通过消除重复性任务降低认知负担

Platform Engineering vs DevOps vs SRE

方面Platform EngineeringDevOpsSRE
关注点开发者体验与自助服务平台建设开发与运维的文化融合服务可靠性与运维自动化
关键交付物Internal Developer PlatformCI/CD pipelines、自动化脚本SLO/SLI、错误预算、繁琐工作自动化
主要指标开发者生产力、入职时间部署频率、交付前置时间可用性、错误预算消耗率
团队结构专职平台团队跨职能团队SRE 团队或嵌入式 SRE
关系构建在 DevOps + SRE 之上的产品层文化与方法论运维工程实践

注意:这三种方法是互补的,而不是互斥的。Platform Engineering 是关于将 DevOps 原则和 SRE 实践封装为产品

平台团队角色与结构

关键角色:

角色职责
Platform Product Manager分析开发者需求,管理 IDP 路线图,定义成功指标
Platform Engineer构建核心 IDP 基础设施,Kubernetes/cloud 自动化
Platform SRE平台自身的可靠性、监控、事件响应
Developer Experience (DX) EngineerCLI 工具、文档、入职工作流

2. AWS CAF Platform Perspective

AWS Cloud Adoption Framework 简介

AWS Cloud Adoption Framework (CAF) 为云采用提供组织层面的指南。Platform Perspective 涵盖三个关键领域:

  1. Platform Engineering -- 本节的重点
  2. Platform Architecture -- 云架构设计原则
  3. Data Architecture -- 数据管理与分析策略

成熟度模型:START → ADVANCE → EXCEL

AWS CAF 将云平台成熟度定义为三个阶段。让我们看看 Kubernetes 生态系统工具如何映射到每个阶段。

START:基础建设

建立基础设施并设置安全护栏的阶段。

能力描述Kubernetes 生态系统映射
Landing Zone & Guardrails多账户环境、预防性/侦测性控制EKS cluster 配置、OPA Gatekeeper / Kyverno
Authentication集中式身份管理、IdP 集成K8s Authentication & Authorization、OIDC、IRSA
Networking集中式网络管理VPC CNI、CalicoCilium
Logging跨账户可观测性PrometheusLokiOpenTelemetry
Controls程序化安全控制Pod Security StandardsNetwork Policies
Cost Management标签策略、成本分摊Resource Quotas、LimitRange、EKS Cost Optimization

ADVANCE:运维扩展

扩展自动化并构建集中式可观测性的阶段。

能力描述Kubernetes 生态系统映射
Infrastructure AutomationIaC、自助服务产品ACKKRO、Crossplane、Helm
Central Observability日志/指标/追踪关联Grafana Stack、CloudWatch
Systems Management镜像标准化、补丁管理Image SecurityKyverno
Credential Management临时凭证、自动轮换Secrets Management、IRSA
Security ToolingXDR、细粒度监控Runtime Security、Trivy、GuardDuty

EXCEL:持续优化

实现自动化治理与持续改进的阶段。

能力描述Kubernetes 生态系统映射
Automated Identity Management通过 IaC 进行版本控制的角色/策略基于 GitOps 的 RBAC 管理
Anomaly Detection主动漏洞评估、异常模式检测Runtime Security (Falco)、审计日志分析
Threat Analysis对照行业基准进行持续监控CIS Benchmark、kube-bench
Permission Refinement自动化最小权限原则基于 K8s 审计日志的 RBAC 优化
Platform Metrics与组织目标对齐的指标DORA metrics、SLI/SLO

3. IDP 参考架构

基于 Kubernetes 的 IDP 层次结构

┌─────────────────────────────────────────────────────┐
│            Developer Interface Layer                  │
│      (Backstage, Port, CLI, GitOps UI)               │
├─────────────────────────────────────────────────────┤
│         Integration/Orchestration Layer               │
│      (ArgoCD, FluxCD, Crossplane, KRO)               │
├─────────────────────────────────────────────────────┤
│                Resource Layer                         │
│      (ACK, Helm Charts, Operators, CRDs)             │
├─────────────────────────────────────────────────────┤
│              Infrastructure Layer                     │
│      (EKS, VPC, IAM, S3, RDS, ...)                   │
└─────────────────────────────────────────────────────┘

各层的角色与工具映射

角色关键工具仓库文档
Developer Interface开发者交互使用的 UI/CLIBackstage、Port、Argo Workflows UI-
Integration/Orchestration声明式状态管理、部署自动化ArgoCD、FluxCD、KROGitOpsKRO
Resource云/K8s 资源抽象ACK、Helm、OperatorsACKHelmK8s Extensions
Infrastructure实际计算/网络/存储EKS、VPC、IAMEKS

Self-Service Catalog Pattern (KRO RGD + ACK)

KRO 的 ResourceGraphDefinition (RGD) 与 ACK 结合,可以实现强大的自助服务模式:

yaml
# Single manifest written by developers
apiVersion: kro.run/v1alpha1
kind: WebApplication
metadata:
  name: my-app
spec:
  name: my-app
  image: my-app:v1.0
  replicas: 3
  database:
    engine: postgresql
    instanceClass: db.t3.medium

通过这个单一 manifest,KRO 会在内部创建:

  1. Deployment + Service (Kubernetes native)
  2. RDS Instance (AWS resource via ACK)
  3. IAM Role (Permission setup via ACK)

有关详细示例,请参见 ExampleCorp Integration Example

Golden Path 概念

Golden Path 是平台团队提供的推荐部署路径

  • 目的:指导开发者使用经过验证的方法快速上手
  • 特征:推荐但不强制 -- 开发者可在需要时偏离,但在大多数情况下它是最佳选择
  • 示例
    • “New Microservice Deployment” Golden Path:Helm Chart 模板 → ArgoCD 集成 → 自动 Prometheus metrics 收集
    • “Database Provisioning” Golden Path:KRO RGD manifest → 通过 ACK 创建 RDS → 自动 Secret 注入

4. Platform Engineering 工具生态系统

本节说明本仓库涵盖的工具在 platform engineering 领域中的位置。

类别工具仓库文档链接
Package ManagementHelm、KustomizeHelm
AWS IaCACK、CloudFormationACK
Resource OrchestrationKRO、CrossplaneKRO
Extension MechanismsCRD、OperatorsKubernetes Extension Mechanisms
GitOpsArgoCD、FluxCDGitOps Section
Policy/GovernanceKyverno、OPA GatekeeperKyvernoOPA Gatekeeper
ObservabilityPrometheus、Grafana、OTelObservability Section
AutoscalingKEDA、KarpenterKEDAKarpenter
Service MeshIstio、CiliumIstioCilium Service Mesh
SecurityFalco、Trivy、PSSRuntime SecurityImage SecurityPSS

5. Platform 成熟度自评检查清单

评估组织的 platform engineering 成熟度。每个条目都链接到本仓库中的相关文档。

START 阶段

检查条目相关文档
[ ]EKS clusters 是否以标准化方式创建?EKS Cluster Creation
[ ]RBAC policies 是否已定义并强制执行?Authentication & Authorization
[ ]Network policies 是否已应用?Network Policies
[ ]是否已配置基础监控与日志记录?EKS Monitoring
[ ]Pod Security Standards 是否已应用?PSS
[ ]是否已设置 resource quotas 和 limits?EKS Cost Optimization

ADVANCE 阶段

检查条目相关文档
[ ]基础设施是否使用 IaC 管理?(ACK、Terraform 等)ACK
[ ]是否已建立 GitOps workflow?GitOps
[ ]集中式 observability stack 是否已运行?Observability
[ ]是否使用 policy engine 自动化治理?Kyverno
[ ]Secrets 是否从外部存储自动管理?Secrets Management
[ ]Container image scanning 是否已自动化?Image Security

EXCEL 阶段

检查条目相关文档
[ ]是否向开发者提供 self-service catalog?KROExampleCorp
[ ]DORA metrics 是否已被衡量并改进?-
[ ]Runtime security monitoring 是否已运行?Runtime Security
[ ]Autoscaling 是否已针对 workloads 优化?KEDAKarpenter
[ ]Platform SLOs 是否已定义并跟踪?Observability Analysis
[ ]Golden Paths 是否已定义并记录?本文档(第 3 节)

6. 参考资料