早在HashiConf 2017年，我们宣布了Sentinel，我们的嵌入式策略作为代码框架。Sentinel支持细粒度的、基于逻辑的策略，可以利用外部信息源做出决策。Terraform Enterprise使用Sentinel对Terraform配置、状态和计划实施策略。组织所有者可以定义哨兵策略，这些策略在Terraform运行的计划和应用阶段之间进行检查，以验证基础结构更改，只有在策略通过时才应用这些更改。以前，哨兵策略将在组织中所有工作区的所有Terraform运行上强制执行。但是，应用程序和组件通常有多个环境（如开发、登台和生产），组织通常为一个组件创建多个工作区，每个环境一个工作区。这使得很难编写针对单个环境的哨兵策略，因为它们将在组织中的每个工作区上运行。由于这些原因，Terraform企业用户一直在寻求一种只在特定工作区上实施策略的方法。我们很高兴地宣布，通过在Terraform企业云和最新版本的私有Terraform Enterprise中添加策略集，这是可能的。»创建和配置策略集策略集与哨兵策略一样，是在组织上配置的。策略集包含哨兵策略的列表，可以应用于特定的工作区，也可以应用于组织中的所有工作区。查看组织的设置时，可以导航到侧栏中的"策略集"项，以显示该组织的策略集列表。如果您的组织已经在使用Sentinel，您可能会注意到已经为您创建了一个策略集。因为策略过去是在组织中的每个工作区上强制执行的，所以您将从使用任何现有Sentinel策略填充的全局策略集开始。不管你现在是否可以设置一个新的策略，你都可以点击一个新的策略。所有策略集都需要有一个名称。在本例中，将策略集命名为"staging"，并对其进行描述，以便其他组织成员可以轻松地看到策略集的用途。因为此策略集将只应用于登台基础设施，所以不要使用"策略范围"的单选按钮。接下来，添加一个相关的策略和工作区。此示例策略验证在处理应用程序的登台环境的基础结构的任何工作区中都不会创建大于t3.large的AWS实例：导入"tfplan"允许的实例类型=["t3.nano"，"t3.微型"，"t3.小"，"t3.中"，"t3.大"，]主=规则{全部tfplan.resources.aws_实例作为实例{所有实例均为{r。applied.instance_类型在允许的"实例"类型中}}}最后，保存策略集。»使用策略集现在您已经将策略集应用于临时工作区，请在该工作区中对运行进行排队。您可以从运行的策略检查中看到新的AWS策略已被强制执行并通过。如果您尝试在任何其他工作区中对运行进行排队，您会注意到没有选中AWS策略。»摘要策略集允许您在您选择的工作区上强制执行哨兵策略，并且可以在Terraform Enterprise云和最新版本的Private Terraform Enterprise中使用。如果您已经在使用Terraform Enterprise，请尝试上面的示例以开始使用策略集。要了解更多并开始使用Terraform Enterprise或请求免费试用，请访问https://www.hashicorp.com/products/terraform。