本节书摘来自异步社区《Linux/UNIX OpenLDAP实战指南》一书中的第1章,第1.8节,作者:郭大勇著,更多章节内容可以访问云栖社区“异步社区”公众号查看
1.8.1 互联网面临的问题当今局域网、互联网不断发展,其网络规模也在不断扩大,为了集中管理主机及其相关资源,我们可以通过DHCP及DNS服务器来自动分配IP地址、子网掩码、网关、主机名等相关网络配置信息。随着企业规模不断发展,系统规模不断增加,那么作为系统运维管理人员维护服务器有些力不从心,比如:
当公司业务不断发展,当前业务系统无法满足需求,这时该如何快速部署系统并且应用到当前的业务系统?批量对业务系统进行变更以及管理,传统方式需要通过登录每台机器进行操作管理,那么如何在短时间内完成各种应用的变更及日常管理,提高工作效率?随着运维团队的不断扩大,为了保证系统账号安全性,账号管理员需要在线上系统的所有机器进行创建个人运维账号(useradd account && echo "password" | passwd --stdin account || echo "account add failed")。当运维管理人员异动或者离职时,账号管理员需要登录线上系统,做同样的操作(userdel –r account),这不但容易出错,而且宝贵的时间不知不觉中就浪费。那么如何对账号进行集中管理,提高保障系统账号的安全性?为了保证线上系统的安全性,通常登录堡垒机及跳板机对线上服务器的登录进行维护以及各种变更操作,这通过购买商业软件可以实现,例如帕拉迪软件。那么如何通过开源的方式实现堡垒机以及跳板机的功能?我们了解了目前企业中面临的各种各样的问题,了解了问题的所在,那就带着这些问题让我们一起看看通过自动化运维是如何解决的。
1.8.2 自动化解决方案目前,自动化运维解决方案有以下几种。
系统安装企业中批量安装系统是难免的事情,如何在短时间内安装大量系统?为了提高工作效率,一般运维管理员通常会使用PXE +Kickstart、Cobbler开源软件来实现系统的自动安装部署。PXE+Kickstart架构不适合同时安装不同系统平台。目前Cobbler软件在企业中应用比较广泛。
自动化部署对于自动化部署平台的管理,一般采用开源软件实现,如Puppet(C/S架构)、Ansible(SSH互信实现)、Saltstack等开源架构实现统一管理以及各种应用变更部署。针对每一款产品都有一定的应用场景,大多数企业混合使用,针对不同的场景使用不同的产品,例如,使用Puuppet进行推送,利用Saltstack远程执行命令等,目前Puppet深受运维人员喜爱。
账号集中管理对于线上系统及各种应用平台实现账号统一管理,实现方式有开源软件以及商业软件。例如OpenLDAP(开源软件)、NIS、IBM Tivoli Directory Server(商业管理软件)。针对OpenLDAP软件有众多功能模块,同样也可以通过自定义schema实现企业中特殊的需求以及通过第三方软件实现高可用负载架构等,这是商业软件所没有的特点。商业软件价格比较昂贵,这对中小型企业是一项不菲的开支。
目前OpenLDAP主要在中大(型)企业得到广泛应用,使用LDAP实现各种系统及平台用户集中身份验证,降低账号管理复杂度,增强系统及账号安全性,实现账号统一集中管理。同样本书重点讲解OpenLDAP产品以及在企业中应用的场景。
堡垒机、跳板机实现为了保证线上服务器的安全性,一般会在前端设立安全关卡。满足条件才允许你使用账号进行登录线上服务器。目前保垒机、跳板机的实现方式有采用OpenLDAP+Jumpserver(开源架构)、帕拉迪软件(商业软件)等。对于小型企业,采用商业软件无疑会给企业带来不菲的开支,选择开源的架构无疑是不错的选择。实战章节会介绍Jumpserver软件的使用及其在企业中的应用场景。
相关资源:OpenLDAP实战指南 郭大勇pdf扫描版