身份与访问管理工具助力红牛车队应对F1严苛法规

多年来，《Computer Weekly》发布的大量案例研究证明，F1车队在研发和测试上投入的每一分钟、每一分钱都弥足珍贵，任何浪费都令人痛惜。

在这项设有成本上限的运动中，工程能力的较量丝毫不亚于驾驶技术的竞争，冠军的归属——无论是车手总冠军还是车队总冠军——往往取决于毫厘之差。

本赛季，F1还面临着十年一遇的运动规则全面革新，赛车设计几乎被迫从零开始。对于梅赛德斯-AMG石油公司车队而言，此番改变收获颇丰；但对甲骨文红牛车队来说，过去几周却颇为艰难。

车队的两位车手——前世界冠军马克斯·维斯塔潘及其新搭档伊萨克·哈达尔——即将前往迈阿密参加本赛季第四站比赛，成绩尚不理想。但在米尔顿凯恩斯的总部，工程师们正在全力以赴，士气高昂。

在风洞测试与零部件研发方面，车队近期与身份及访问管理专业公司1Password的合作已初见成效，技术人员的工作效率得到大幅提升。

在网络安全领域，成效往往难以量化，有时甚至不宜直言，以免潜在威胁者从中获取有用信息。但此次甲骨文红牛车队可以明确表示：引入1Password后，在测试与研发过程中，风洞系统的恢复时间从原来的一小时缩短至两分钟，降幅高达97%。

然而，为何这一数据如此关键？身份与访问管理（IAM）技术又与风洞有何关联？表面看来，两者似乎风马牛不相及，但车队首席信息官马特·卡迪厄给出了解释。

"负责开发和升级风洞及其软件的团队始终在挑战极限。模型越来越大，复杂程度也与日俱增，当某些负载首次运行时，基础设施往往难以承载，"卡迪厄表示，"大概每隔几个月就会出现一次停机，主要原因就是在工具和方法上不断挑战边界。"

极具挑战性的客户

伊恩·布伦顿负责甲骨文红牛车队空气动力学团队的软件开发工作，他进一步讲述了这一过程。

"与我共事的团队，本质上负责编写供车辆设计工程师团队使用的软件。我们将商业CAD（计算机辅助设计）软件与CFD（计算流体动力学）平台对接，以便在早期阶段快速迭代，"他说道。"我们也为风洞提供技术支持……目前，我们正在建造一座全新的风洞，这是一项极具挑战性的工程，但我相信它最终将助力我们打造出地球上速度最快的赛车。"

布伦顿坦言，他的团队在IT需求方面是"难伺候"的客户。他标准严苛、要求极高，且坚定地贯彻始终。"我们的目标是实现高可用性，"他说，"最不需要的就是任何系统无法按预期运行，无论那是什么系统。"

高可用性的重要性在风洞环境中尤为突出，因为该环境在测试时长和实验次数上均受到严格的规则限制。

"我们基本上有八周时间，在这段时间内必须审计所有操作记录，同时也有一个可动用的资源预算，"布伦顿说道。"从某种程度上说，风洞承受的压力甚至比赛道更大……在赛道上，零部件制造精良，组装方式已知，配置选项也相对有限。"

"但在风洞里，每一次测试本质上都是一场关于性能提升方向的实验。有些零部件可能并不完全契合；工程师在推进过程中，边设计边摸索。"

"在规定时间内完成赛车制造的巨大压力下，根本承受不起任何停机——时间不能浪费，实验次数不能消耗在无效测试上。损失这些资源是严重的失职，因为它会直接影响赛车在赛道上的表现。"

我们的目标，是尽可能让在风洞工作的人，能够将全部精力专注于风洞本身的工作。

——伊恩·布伦顿，甲骨文红牛车队

在布伦顿看来，一个本就高度复杂的系统——运行着近20个服务，跨多个集群、多个Kafka主题和不同数据库——一旦发生故障，导致风洞在测试未完成时被迫关停，不仅浪费时间，更会拖慢整体研发进度，后果不堪设想。

"一旦系统出现问题需要重置，就得依赖隧道现场的人发现故障，然后打电话给我——这可能发生在深夜，因为风洞是24小时运转的——我必须接听电话、登录设备、排查问题，再逐步将系统恢复上线，"布伦顿说道。

1Password的核心价值，在于帮助他实现系统自动恢复到已知稳定状态。这样一来，即便是精通赛车设计与工程的技术人员，即使对Kubernetes或SQL数据库一无所知，也能通过按下一个"大红按钮"让系统重新运转起来。

借助1Password，系统恢复流程通过Ansible和RunDeck实现了全面自动化。整个重新部署过程可在约两分钟内完成触发，运行手册通过专用的、可轮换的Token进行身份验证，在运行时自动获取所需密钥。

"我们的目标，是尽可能让在风洞工作的人，能够将全部精力专注于风洞本身的工作，"布伦顿说道。

统一身份控制平面

然而，此次合作的价值远不止于提升风洞的可用性，其带来的效率提升远不止于此。

通过将密钥迁移至1Password，甲骨文红牛车队构建了一个统一、可信的凭证控制平面，覆盖Kubernetes集群、各类环境与命名空间，以及工厂、风洞和仿真工作负载。

开发人员现在可以访问具有明确归属和可复用管理模式的共享保险库，确保在重新部署或工作流变更期间拥有可预期的稳定访问权限。与此同时，人工访问与自动化访问被分隔至独立的保险库，针对关键Kubernetes工作负载（包括空气动力学集群和Kubernetes部署）实施严格的访问限制。

车队现已采用1Password的Kubernetes Operator，通过1Password Connect Server进行身份认证，从1Password条目中提取配置值并为工作负载创建Kubernetes密钥。当条目发生变更时，该Operator可自动更新密钥并触发滚动更新，使工作负载能够即时应用新的配置值。

仅在布伦顿所在的空气动力学部门，5个保险库中就存储了近100条记录，涵盖集群凭证、SQL密码、客户端密钥、访问Token及Windows虚拟机（VM）登录信息。与此同时，车辆性能和动力总成团队的同事维护着超过150条记录。随着新部署默认接入1Password，两个团队得以减少访问协调的时间成本，降低临时共享凭证带来的潜在风险，并在开发人员修改或恢复工作负载时，随时掌握当前有效凭证的状态。

在仿真工作流方面，甲骨文红牛车队通过1Password命令行界面（CLI）获取SQL连接字符串及Microsoft Entra ID凭证，以访问所需的各类服务。密钥集中管理后，团队可以用受统一治理的共享密钥引用替代明文凭证，不再需要将密钥硬编码在代码或配置文件中，从而消除了另一项安全隐患。

由于应用程序现在依赖密钥引用，用户可以安全地更换凭证，同时支持更安全的自动化流程和更早期的应用程序编程接口（API）集成。最终结果是：仿真过程在更早阶段便能实现更高的精度与能力，而此时进行调整的难度和成本，远低于在仿真之外进行修改。

迈向赛道应用

"我们始终致力于提升网络安全态势和凭证管理水平，"卡迪厄表示，"这里的每个人都是团队的一员，都努力做正确的事——如果需要纠正某人的行为，通常轻拍一下肩膀就足够了。因此，能够提前发现问题，并以这种简单的方式将其扼杀在萌芽状态，是非常有帮助的。"

在工程层面实现密钥与访问管理标准化之后，甲骨文红牛车队正着手将1Password的应用延伸至赛道现场。在某个比赛周末，车队需要运行多组先进的蒙特卡洛模拟（这里指的是数学模型，而非摩纳哥大奖赛）来评估各类场景，并为临场战略决策提供实时支持。

车队目前正在探索如何将相同的管理模式应用于基于甲骨文云基础设施（OCI）的赛道系统——包括凭证与证书管理——从而在比赛日的高压环境下实现稳定可靠的自动化运维。

Q&A

Q1：红牛车队的风洞系统为何需要身份与访问管理工具？

A：红牛车队风洞系统极为复杂，运行着近20个服务，跨多个集群和数据库。一旦系统故障需要重置，以往需要专业IT人员半夜接电话、远程排查，恢复时间长达一小时。引入1Password后，系统通过Ansible和RunDeck实现了自动化恢复，即使不懂Kubernetes或数据库的工程师也能触发重新部署，恢复时间缩短至约两分钟，降幅达97%。

Q2：1Password如何帮助红牛车队管理密钥和凭证？

A：红牛车队通过1Password构建了统一的凭证控制平面，覆盖工厂、风洞和仿真等各类工作负载。开发人员使用共享保险库管理凭证，人工访问与自动化访问分离，避免了凭证硬编码在代码中的安全风险。仅空气动力学部门就存储了近100条记录，车辆性能和动力总成团队超过150条，大幅减少了临时共享凭证带来的安全隐患。

Q3：红牛车队未来计划如何扩展1Password的应用？

A：在完成工程层面的密钥管理标准化后，红牛车队计划将1Password的应用拓展至赛道现场系统。比赛周末需要运行多组蒙特卡洛仿真来支持实时战略决策，车队正在探索将相同的凭证与证书管理模式应用于基于甲骨文云基础设施（OCI）的赛道系统，以在比赛日高压环境下实现稳定可靠的自动化运维。