很多工程師在面對雲端平台遷移(Cloud Migration)時,最痛苦的不是寫程式,而是那些重複且枯燥的搬運工作。例如,要把 AWS 的 Terraform 設定檔逐行翻譯成 Azure 的 Bicep 或 Terraform,或是手動對照兩邊的服務對應表。這種工作我們稱之為 Monkey Work,也就是缺乏創造力、僅靠體力的機械式勞動。
最近 Microsoft 提出了一種名為 Agentic Platform Engineering 的概念,並透過一個叫 Git-Ape 的 AI Agent 工具來實作。它的核心目標不是簡單的語法轉換,而是透過 AI 提取原有的部署意圖(Intent Extraction),並將其重新映射為目標平台的原生架構。
讓我們用一個將 AWS 部署遷移到 Azure 的實例,來看看這個流程如何運作,以及它為什麼比傳統的遷移方式更聰明。
從語法轉換到意圖提取
傳統的遷移工具通常採取 1:1 的語法轉換,但這會導致一個大問題:你把 AWS 的設計模式原封不動地搬到 Azure,結果會發現 Azure 有更簡單的原生服務可以取代複雜的組合。
Git-Ape 的做法是先分析 AWS 的所有部署文件,包括 Terraform 檔案、bootstrap 腳本(例如 user_data.sh)以及相關文檔。它不是在看程式碼怎麼寫,而是在分析這個應用程式到底想要達成什麼目的。
例如,它會分析出:這是一個 Node.js 20 的 Next.js 應用,需要一個負載平衡器(ALB),需要儲存空間(S3),且目前是透過 PM2 在 EC2 虛擬機上運行。一旦掌握了這個意圖,它就不再受限於原有的工具,而是開始思考:在 Azure 中,最適合這個需求的原生設計是什麼?
原生化映射與設計審查
在分析完意圖後,AI 會提出一個 Azure 原生設計建議。例如,它會建議將 EC2 + PM2 改為 Azure App Service,將 IAM Role 改為 Managed Identity(受管理識別,一種不需要管理金鑰的身份驗證方式),並將 S3 儲存直接整合進 CI/CD 流程中。
這裡最關鍵的一步是引入了 Critique Agent(審查代理人)。這就像是在正式寫程式碼前,先找一位資深架構師進行 Rubber Ducking(橡皮鴨除錯),讓另一個獨立的 AI 角色來挑戰這個設計。
在實際案例中,審查代理人發現了兩個嚴重的反模式:
第一,原計畫想模仿 AWS,在啟動時才從儲存空間下載檔案並執行 npm build。審查員指出這會導致冷啟動(Cold Start)過慢且部署不穩定,應改為在 GitHub Actions 中完成構建,直接部署成品。
第二,原計畫想建立一個 Azure Blob Storage 來對應 AWS S3,但審查員發現既然已經改用 CI 部署,這個儲存層根本是多餘的,直接刪除可以降低成本與複雜度。
自動化生成與 IaC 的選擇
當設計經過審查並達成共識後,AI 會進入代碼生成階段。有趣的是,當被要求使用最有效率的代碼時,Git-Ape 並沒有選擇通用但冗長的 Terraform,而是選擇了 Bicep。
Bicep 是 Azure 的原生基礎設施即代碼(IaC)語言,它比 Terraform 更簡潔且與 Azure 深度整合。結果是原本需要 200 多行的 Terraform 檔案,被精簡成了約 80 行的 Bicep 模板。
最終產出不僅包含基礎設施代碼,還包括完整的 GitHub Actions 工作流(Workflow),實現從代碼提交到自動部署、健康檢查的完整閉環。
對工程師的實際影響
這種遷移方式帶來了顯著的提升:
成本降低:透過將複雜的 EC2 + ALB 組合簡化為 App Service,預估月費從 34 美元降至 13 美元。
安全性提升:從開放 SSH 端口與管理 IAM 金鑰,轉向使用 HTTPS-only、OIDC(開放識別連接)以及 Managed Identity,消除了金鑰外洩的風險。
維運簡化:不再需要手動 SSH 進伺服器維護 PM2,而是透過平台管理的 Runtime 與 Application Insights 監控。
給 Junior 工程師的提醒
雖然 AI 可以幫我們完成大部分的搬遷工作,但在實務上仍有幾個風險點需要注意:
權限過大:AI 生成的 RBAC(基於角色的存取控制)可能過於寬鬆,務必檢查權限範圍是否符合最小權限原則。
隱藏的環境假設:很多舊系統的知識藏在 user_data 腳本中,必須確認 Azure 的環境變數與構建步驟是否完整覆蓋。
生產環境風險:絕對不要讓 AI 一鍵部署到生產環境。應該採用 Pull Request 作為控制平面,經過人類審核、安全掃描與 What-if 分析(預演部署結果)後再執行。
總結來說,Agentic Platform Engineering 的價值在於將工程師從語法搬運中解放出來,讓我們將重心放在架構設計的審查與安全管控上。
來源:devblogs.microsoft.com
本文由 Agent Donma | 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。