社区特邀文章，作者是Cartografos工作组的Danielle Cook、Simon Forster、John Forman和Robbie Glenn

你已经听说了容器、微服务和这个叫做Kubernetes的东西的好处。你已经调查过了，你了解了业务和技术的好处，现在想开始向云原生技术转型？你所需要的是弄清楚从哪里开始，采取什么步骤来实现你的目标。

像CNCF的云原生景观和线索图这样的工具在你完成这个旅程时提供了一些资源。但对一些组织来说，理解什么时候做什么往往是一个挑战。这正是Cartografos工作组所要解决的问题。该工作组正在提供工具，帮助采用者和终端用户浏览CNCF的景观和更广泛的云原生生态系统。它希望通过有效和实用的指导来教育和告知用户，帮助他们了解云原生生态系统。

创建云原生成熟度模型

它的第一个项目是创建云原生成熟度模型。这个小组的成员都围绕着云原生和Kubernetes的发展历程，分别撰写了成熟度模型。我们的目标是将这些模型结合起来，形成一个涵盖整个云原生生态系统的全方位模型。

随着成熟度模型的建立，我们很快就发现，这个过程并不局限于技术。在人、流程和政策方面有明确的主题，因为每一个主题都在采用云原生技术方面发挥着巨大作用。

人

云原生是一种心态，是一种不同的技术方法。你的员工是这个旅程的一部分。团队需要同意他们将如何工作，确定需要什么技能，以及组织将如何通过成熟阶段的发展。安全问题一直存在于这个模型中，这包括如何平衡安全和人员的能力。

流程

你的流程也会改变。你需要了解所需的流程和技术来支持它。这包括将政策映射到工作流程、CI/CD、基础设施即代码（Iac），并尽可能地将安全流程向左转移。

此外，你需要考虑你更广泛的组织的流程如何与云原生互动。你现在有哪些工作流程？它们将如何映射到你的新的云原生技术？你的工作流和流程也会影响你的云原生流程。

政策

根据你的组织，你可能只有有限的政策，或者是重于合规的政策，有大量的政策！你需要将这些政策转化为你自己的政策。这种政策需要转化为你的云原生环境。你需要知道需要哪些内部和外部政策来实现安全和合规的要求，以及这些政策如何反映你的企业的运营环境。

技术

最后，你所使用的技术在它的生命周期中可能会有几次变化。在这个旅程的开始，你需要一个基线水平的技术来获得成功--比如说采用容器。你需要花时间在技术上，以实现云原生的好处，支持人员、流程和政策，以及CI/CD的技术，采用GitOps，可观察性，安全性，存储，网络等。

成熟度模型是否适合我？

成熟度模型的建立是为了在每个阶段提供指导，围绕人员、流程、政策和技术。这个模型的目的不是为了过度的规定性，而是作为一个工具来帮助指导你的旅程。云原生转型不是一门精确的科学，而是存在于你的项目、你的组织中，当然也会在特定的时间和地点发生。没有任何项目、组织或个人会被期望与模型中包含的所有细节完美匹配。它的设计是为了涵盖许多不同的场景；从初创公司到财富100强公司的一切。

云原生成熟度的5个阶段

在云原生成熟度模型中，有五个阶段。虽然你可能对一个应用程序处于第五阶段，但同时，你可能对另一个应用程序处于第二阶段。当你确定你的成熟度阶段时，请牢记这一点。

第1级：构建。你有一个基线的云原生实施，并处于预生产状态。

第2级：运营。云原生的基础已经建立，你正在转向生产。

3级：规模。你的能力正在增长，你正在为规模化定义流程。

第四级：改进。你正在改善整个环境的安全性、政策和治理。

第五级：优化。您正在重新审视之前做出的决定，并监测应用程序和基础设施的优化。

在每一节中，云原生成熟度模型都讨论了核心概念以及它在人员、流程、政策和技术方面的意义。

欢迎投稿!

该成熟度模型是开源的，我们希望它能随着云原生社区和环境的发展而成为一份活的文件。CNCF Cartografos工作组欢迎云原生社区成员的参与。你可以在https://github.com/cncf/cartografos 了解更多关于该小组的信息，并阅读完整的成熟度模型。

我准备好开始了吗？

知道云原生何时适合你，是开始这个成熟度之旅的第一步。然而，这是一个工具，无论你在哪个阶段都可以使用。如果你已经处于第三级，它可以帮助你了解你在接下来的阶段需要实现什么。

为了在云原生的人员方面取得成功，你需要了解你的关系以及开发和运营之间的潜在分离。你需要了解如何在授权的情况下保持合规性，以及你的员工在这个旅程中需要的技能。

当你的应用程序的部署是手动完成的，或者需要很长时间才能完成，往往需要多次尝试，你已经准备好开始你的流程之旅。你可能支持同一软件的多个发行版本，并且在没有大量停机的情况下难以升级或评估。你也可能发现自己需要 "退一步"，看看你的一些流程，仔细评估它们的整体有效性。

你的策略可能是位于应用程序及其平台外部的惯例和规则的形式，而不是在你的应用程序和运行时环境中原生执行。政策可能是不一致的，而且是建立在孤岛上的；深度防御的平等性可能是一个意外，而不是故意的。

在技术方面，你有一些虚拟机的需求，一些分散的自动化，以及基线安全组件，如SIEM，RBAC概念，以及某种类型的目录。你会有周边安全，也许在1-4层有一些课程网络分区，但你可能会感到一些焦虑和安全实践。你在加密方面的经验可能有所不同--例如你可能有一些证书机构，但它们可能没有被广泛使用，对许多人来说有很高的准入门槛。

你有一些软件包装，但这可能是不一致的。你的应用程序可能依赖于基础设施解决方案的高可用性，这反过来可能比你想要的更昂贵。

你的服务器资产可能包括从低水平的单一物理或虚拟服务器到高可用性的集群。扩展可能是一个真正的挑战，可能需要大量的资金、时间和规划投资。你可能已经开始涉足 "一切皆为代码 "的模式，即开始用Terraform为你的基础设施编写脚本。