בעולם שבו מערכות AI ארגוניות הופכות לכלי חיוני עבור ארגוני אנטרפרייז, הצורך בתשתית ענן מאובטחת, סקיילבילית ומנוהלת בקוד הוא קריטי מתמיד. בפרויקט זה, חטיבת ה-DevOps שלGalil Software ליוותה חברת SaaS בינלאומית בבניית תשתית ענן מתקדמת, כזו שמשלבת Kubernetes, Azure, Terraform וסטנדרטים מחמירים של אבטחת מידע, כדי לאפשר למערכת AI חכמה לרוץ באופן יציב, מהיר ובטוח.
רקע: פיתוח פלטפורמת “Organizational AI” עבור ארגונים גלובליים
הלקוח, חברת SaaS חדשנית בתחום ה-AI הארגוני עם התמחות בתובנות נתונים בונה באופן אוטומטי מודלים סמנטיים ותיעוד מודע-הקשר-עסקי לאורך ה-Modern Data Stack ומאפשר אנליטיקה אמינה לארגונים באמצעות AI ו-BI בקנה מידה ארגוני. הלקוח פיתח פלטפורמה שמטרתה לשפר את שיתוף הידע והמוניטין הארגוני. המערכת מאפשרת לכל עובד "לשוחח" עם בוט AI חכם שמחובר למקורות מידע ארגוניים כמו Jira בסיסי נתונים פנימיים, מערכות שירות ופתרונות ניהול עסקיים נוספים.
החזון:
ליצור שכבת ידע מאוחדת בארגון, שבה כל עובד יכול לקבל תשובות מדויקות בהתאם לתפקידו ולתחום אחריותו, גם כאשר הוא מגיע מעולמות שונים לגמרי בתוך החברה.
זהו פתרון שדורש גמישות, אבטחה מתקדמת וקיבולת משמעותית להפעלת עשרות שירותים במקביל.
האתגר: הקמת תשתית ענן מאובטחת, סקיילבילית ונשלטת בקוד (DevOps-as-Code)
חברת SaaS הפועלת בענן הציבורי של Microsoft Azure נדרשה לסביבה שתעמוד בארבעה תנאי ליבה מהותיים:
1. יכולת Scalability גבוהה
המערכת מפעילה עשרות microservices במקביל כולם צריכים לפעול ללא עיכובים, גם בעומסים כבדים.
2. אוטומציה מקצה לקצה
Pipeline מלא של Deployment, ניטור, בדיקות ו-Versioning.
3. עמידה בתקני אבטחת מידע מחמירים
כולל SOC2 ודרישות רגולטוריות להפרדת הרשאות, שמירת סודות ושקיפות audit מלאה.
4. אחידות בין סביבות
פיתוח, בדיקות ו-Production – כולן צריכות לפעול על בסיס ארכיטקטורה זהה ומוגדרת בקוד כדי לצמצם טעויות אנוש.
הפרויקט הוטל במלואו על חטיבת ה-DevOps של Galil Software, מתכנון הארכיטקטורה ועד ניהול ה-CI/CD.
הפתרון: תשתית Azure + Kubernetes + Terraform הכול כ-DevOps-as-Code
הגישה שנבחרה הייתה בניית סביבה שבה כל רכיב נשלט בקוד, החל ממשאבי הענן, דרך ה-Kubernetes Cluster ועד הרשאות גישה ואוטומציית Deployment.
תשתית ענן מתקדמת על Azure
המערכת רצה כולה על Azure Cloud תוך שימוש ב-AKS – פתרון Kubernetes מנוהל שמאפשר ניהול עומסים, אוטומציה וסקיילינג ברמת Enterprise.
כל microservice נכתב ב-Python, נארז כ-Docker Image, נשמר ב- .Azure Container Registry
GitHub Actionsשימש כתשתית CI/CD מלאה, כאשר כל Push ל-main הפיק Pipeline מלא שכלל:
- Build
- Unit Tests
- Container Packaging
- Deployment ל-AKS
- בדיקות Smoke לאחר הפריסה
המערכת לוותה בניטור מלא באמצעות שילוב של Grafana + Prometheus , שאיפשר מעקב אחרי עומסים, ביצועים, מגמות ואירועים בזמן אמת.
Infrastructure as Code באמצעות Terraform
אחד היתרונות הגדולים של הפרויקט היה בניית כל תשתית הענן באמצעות Terraform.
רשתות VNet ו-Subnets
- הגדרות Kubernetes Cluster
- מאגרי נתונים
- Storage Accounts
- הרשאות, תפקידי גישה וזהויות
- Gateways ו-Load Balancing
תוצאה מרכזית:
הקמה של סביבה חדשה Dev, Staging – או Production ניתנת לביצוע תוך פחות משעה, במקום ימים או שבועות של קונפיגורציה ידנית.
היתרון העסקי ברור:
הרחבת צוות, השקת פיצ’רים חדשים או פתיחת סביבת בדיקות לא דורשות השקעה של זמן ואנשי תשתיות יקרים.
אבטחת מידע מתקדמת והתממשקות מלאה לתקני SOC2
בהיותו מוצר SaaS האמון על מידע רגיש מאוד, הלקוח נדרש לעמוד בכללי SOC2 ועקרונות אבטחה מחמירים.
הפתרון כלל שכבות אבטחה מרובות:
הרשאות מבוססות Azure Active Directory
גישה נעשית רק דרך מנגנוני Managed Identities ותוך שימוש ב-MFA.
Least Privilege הרשאות מינימליות בלבד
כל עובד, שירות או microservice מקבלים גישה רק למה שהם חייבים עד לרמת טבלה ב-PostgreSQL.
ניהול סודות מאובטח באמצעות Azure Key Vault
כל הסיסמאות, tokens ,Webhook ו-API Keys נשמרים מוצפנים ומסונכרנים אוטומטית מול .Kubernetes Secrets
תיעוד ובקרה מלאה
כל פעולה בתשתית מתועדת וניתנת לביקורת (Audit Logging), שכן זוהי דרישה מהותית בתקני SOC2. המשמעות: תשתית מאובטחת מהבסיס ("Security by Design") ללא תלות בקונפיגורציות ידניות שעלולות ליצור טעויות.
אוטומציה מלאה וניהול רציף
במערכת כזו, ה-CI/CD אינו רק כלי תשתית כי אם המנוע שמניע את כל מחזור חיי הפיתוח.
GitHub Actions שימש לניהול:
- Build → Test → Deploy בכל שינוי בקוד
- Canary Deployments במידת הצורך
- Auto-scaling לפי עומסים
- Load Balancing בין שירותים
- בדיקות בריאות שוטפות
- עדכוני גרסה אוטומטיים
התוצאה: תהליך פיתוח מהיר, יציב ונטול מגע יד אדם, שמפחית בצורה דרמטית את כמות התקלות ואת זמני ההמתנה.
השורה התחתונה: מערכת AI מבוססת ענן, מאובטחת, סקיילבילית ועתירת אוטומציה
הפרויקט סיפק ללקוח תשתית שמאפשרת הפעלה של עשרות microservices במקביל, תוך:
- סקיילינג אוטומטי
- ניטור מלא
- אבטחה מותאמת לתקני SOC2
- גמישות עסקית גבוהה
- יכולת חדירה לשווקים חדשים במהירות
במקום לנהל תשתית מורכבת באופן ידני, הכול נשלט בקוד, מתוחזק באוטומציה ומותאם לעומסים של מוצר SaaS מבוסס AI.
מסקנות מרכזיות מהפרויקט
Infrastructure as Code הוא הבסיס לתשתית מודרנית אמינה
עולם שבו כל רכיב נשלט בקוד מאפשר אחידות, אוטומציה והפחתת טעויות.
Security by Design אינו המלצה כי אם הכרח
תשתית מאובטחת מתחילה בשכבת הענן ולא בקונפיגורציות מאוחרות.
שילוב הדוק בין DevOps לפיתוח הוא המפתח לצמיחה
כאשר הצוותים עובדים כיחידה אחת, המוצר יציב יותר, מהיר יותר וגמיש יותר.
Galil Software מובילה חברות SaaS ו-AI לתשתיות ענן מודרניות המאפשרות חדשנות, בלי לעכב את המוצר.
