運維思索 如何納管伺服器實現統一登入

2021-10-20 12:55:10 字數 1662 閱讀 2871

繼運維思索:cobbler無人值守實現作業系統安裝規範化、運維思索:作業系統配置規範化、自動化兩篇文章後,運維團隊已經能夠快速交付規格一致的伺服器了,接下來我們的需求就是如何進一步納管伺服器並對外提供統一登入

為了實現這一需求,我們需要借助於堡壘機。在此我們特通過jumpserver的應用來深度體驗如何納管伺服器並實現統一登入。

傳統管理方式給運維團隊及開發、測試人員帶來以下問題:

開發、運維、測試登入生產環境,需要進行二次跳轉,操作繁雜;

開發、運維、測試登入各種環境伺服器,強烈依賴賬戶密碼,一旦管控有疏漏,很容易導致密碼洩露,帶來極大的安全隱患;

為配合審計,運維需要在伺服器上額外部署操作記錄審計、遠端記錄等操作,給運維工作帶來了額外的負擔;

基礎運維需要花費額外精力維護訪問控制策略;

頻繁因輸錯密碼導致重新認證,浪費不必要的登入時間;

對於運維團隊新成員,需要花費很大的力氣去熟悉業務相關伺服器,延長了融入團隊的時間;

傳統管理方式除在使用上不方便外,更主要的是由於資產零散,其實對團隊新成員極其不友好,給繁雜的運維工作帶來了額外的壓力。

在基於測試環境、生產環境隔離的基礎上,jumpserver登入體系將基於不同環境進行統一的登入管理,可以有效的對運維、開發、測試進行許可權分離。具體如下:

對接ldap實現統一的使用者管理,運維只需針對使用者進行資產分配,不必再單獨建立使用者;

使用者登入密碼和伺服器登入密碼隔離,使用者使用過程中不會涉及到伺服器相關密碼,可以有效避免密碼的洩露;

支援多種形式的操作記錄,歷史命令記錄與錄影,可直接用於審計;

資產按業務、功能分組,可以方便團隊成員了解並熟悉元件及業務分布;

支援命令過濾、免密許可權提公升,方便使用與管理;

由上,jumpserver給我們不僅帶來管理上的便捷,而且通過有效管理給團隊進行賦能,給相關使用人員帶來更好的體驗。

jumpserver可以支援各種環境100+、甚至上千臺伺服器,如何快速將賬戶不統一的伺服器中納入jumpserver管理,不是一蹴而就的,整個過程建議規劃為以下幾個階段:

伺服器賬戶規劃,統一分為管理賬戶、應用賬戶、日誌賬戶三類賬戶;

配置自動化,採用開源自動化工具作為統一的配置中心對三類賬戶進行分批次部署,極大的提高了工作效率;

資產分配,在環境分離或隔離前,集中對各個業務開通進行伺服器分配,保證開發能夠正常登入伺服器;

對開發、測試人員的資產進行查漏補缺,保證資產到位;

其實以上每個階段都是要耗費了很大的精力額,要考慮長遠的規範、長效的管理,而不是為了簡單應用而上線。

ps: 在此實施過程可以借助於ansible、saltstack等自動化運維工具實現資產的集中化管理,這樣可以快速納管伺服器。

在我們堅持不懈的努力下,一套由運維規範支撐、可有效管控伺服器的初始框架體系,就可以正式對開發、測試開放了。

但美中不足的是,當jumpserver的投入使用後,最大的不足還是資產的分類管理,主要體現:

按系統分組,無法有效和業務進行對應,導致分模擬較混亂。

按業務分組,必須有乙份開發、運維、測試共同認可的組織分類,因此這個分類最終會對開發、測試開放的。良好的組織分類可以給不同團隊更快的熟悉伺服器的業務分布,而且極大的提高了登入體驗。

當然jumpserver的資產分組與cmdb的資產分組是否應該保持一致,也是我們需要考慮的乙個問題,這個就交給大家發散的思考下吧!

伺服器運維基礎 一

centos是linux發行版本之一,是完全開源的。在國內廣泛應用作伺服器的作業系統 ssh是乙個專為遠端登入會話和其他網路服務提供安全性的協議。ssh應用在客戶端和伺服器之間傳遞資料,加快資料傳輸速度。xshell 是乙個強大的安全終端模擬軟體,支援ssh協議,使用者可在windows系統下來控制...

伺服器運維難題之300臺伺服器如何管理

300臺伺服器,對於站長人群來說,已經屢見不鮮,甚至有機房會有十幾萬臺的伺服器,在大資料的情況下,運維人員必須學會管理伺服器,那麼如何去管理好它們呢,市面上有幾款遠端桌面,下面我們來分析一下 1 iis7遠端桌面管理工具 2 向日葵遠端桌面 3 teamviewer 一 ii s7遠端桌面管理 功能...

一 伺服器部署 建立運維使用者

一 建立運維賬戶命令 adduser abcd 新建abcd使用者 passwd 123456 給使用者設定密碼 groupadd test 新建test工作組 usermod g test abcd 把abcd使用者增加到test工作組 chgrp test data data1 給對應的組賦予許...