运维思索:如何纳管服务器实现统一登录
读完需 4 分钟
速读需 2 分钟
继运维思索:操作系统安装规范化、运维思索:操作系统配置规范化、自动化两篇文章后,运维团队已经能够快速交付规格一致的服务器了,接下来我们的需求就是如何进一步纳管服务器并对外提供统一登录。
为了实现这一需求,我们需要借助于堡垒机。在此我们特通过JumpServer的应用来深度体验如何纳管服务器并实现统一登录。
传统管理方式
传统管理方式给运维团队及开发、测试人员带来以下问题:
开发、运维、测试登录生产环境,需要进行二次跳转,操作繁杂;
开发、运维、测试登录各种环境服务器,强烈依赖账户密码,一旦管控有疏漏,很容易导致密码泄露,带来极大的安全隐患;
为配合审计,运维需要在服务器上额外部署操作记录审计、远程记录等操作,给运维工作带来了额外的负担;
基础运维需要花费额外精力维护访问控制策略;
频繁因输错密码导致重新认证,浪费不必要的登录时间;
对于运维团队新成员,需要花费很大的力气去熟悉业务相关服务器,延长了融入团队的时间;
传统管理方式除在使用上不方便外,更主要的是由于资产零散,其实对团队新成员极其不友好,给繁杂的运维工作带来了额外的压力。
Jumpserver管理方式
在基于测试环境、生产环境隔离的基础上,JumpServer登录体系将基于不同环境进行统一的登录管理,可以有效的对运维、开发、测试进行权限分离。具体如下:
对接LDAP实现统一的用户管理,运维只需针对用户进行资产分配,不必再单独创建用户;
用户登录密码和服务器登录密码隔离,用户使用过程中不会涉及到服务器相关密码,可以有效避免密码的泄露;
支持多种形式的操作记录,历史命令记录与录像,可直接用于审计;
资产按业务、功能分组,可以方便团队成员了解并熟悉组件及业务分布;
支持命令过滤、免密权限提升,方便使用与管理;
由上,JumpServer给我们不仅带来管理上的便捷,而且通过有效管理给团队进行赋能,给相关使用人员带来更好的体验。
实施规划
JumpServer可以支持各种环境100+、甚至上千台服务器,如何快速将账户不统一的服务器中纳入JumpServer管理,不是一蹴而就的,整个过程建议规划为以下几个阶段:
服务器账户规划,统一分为管理账户、应用账户、日志账户三类账户;
配置自动化,采用开源自动化工具作为统一的配置中心对三类账户进行分批次部署,极大的提高了工作效率;
资产分配,在环境分离或隔离前,集中对各个业务开通进行服务器分配,保证开发能够正常登录服务器;
对开发、测试人员的资产进行查漏补缺,保证资产到位;
其实以上每个阶段都是要耗费了很大的精力额,要考虑长远的规范、长效的管理,而不是为了简单应用而上线。
ps: 在此实施过程可以借助于ansible、saltstack等自动化运维工具实现资产的集中化管理,这样可以快速纳管服务器。
总结
在我们坚持不懈的努力下,一套由运维规范支撑、可有效管控服务器的初始框架体系,就可以正式对开发、测试开放了。
但美中不足的是,当JumpServer的投入使用后,最大的不足还是资产的分类管理,主要体现:
按系统分组,无法有效和业务进行对应,导致分类比较混乱。
按业务分组,必须有一份开发、运维、测试共同认可的组织分类,因此这个分类最终会对开发、测试开放的。良好的组织分类可以给不同团队更快的熟悉服务器的业务分布,而且极大的提高了登录体验。
当然JumpServer的资产分组与CMDB的资产分组是否应该保持一致,也是我们需要考虑的一个问题,这个就交给大家发散思考下吧!
instantbox:30s内快速搭建可通过webshell管理的Linux系统