運維思索：如何納管伺服器實作統一登入

簡述

繼運維思索：Cobbler無人值守實作作業系統安裝規範化、運維思索：作業系統配置規範化、自動化兩篇文章後，運維團隊已經能夠快速傳遞規格一緻的伺服器了，

接下來我們的需求就是如何進一步納管伺服器并對外提供統一登入

。

為了實作這一需求，我們需要借助于堡壘機。在此我們特通過JumpServer的應用來深度體驗如何納管伺服器并實作統一登入。

傳統管理方式

傳統管理方式給運維團隊及開發、測試人員帶來以下問題：

1. 開發、運維、測試登入生産環境，需要進行二次跳轉，操作繁雜；
2. 開發、運維、測試登入各種環境伺服器，強烈依賴賬戶密碼，一旦管控有疏漏，很容易導緻密碼洩露，帶來極大的安全隐患；
3. 為配合審計，運維需要在伺服器上額外部署操作記錄審計、遠端記錄等操作，給運維工作帶來了額外的負擔；
4. 基礎運維需要花費額外精力維護通路控制政策；
5. 頻繁因輸錯密碼導緻重新認證，浪費不必要的登入時間；
6. 對于運維團隊新成員，需要花費很大的力氣去熟悉業務相關伺服器，延長了融入團隊的時間；

傳統管理方式除在使用上不友善外，更主要的是由于資産零散，其實對團隊新成員極其不友好，給繁雜的運維工作帶來了額外的壓力。

Jumpserver管理方式

在基于測試環境、生産環境隔離的基礎上，JumpServer登入體系将基于不同環境進行統一的登入管理，可以有效的對運維、開發、測試進行權限分離。具體如下：

1. 對接LDAP實作統一的使用者管理，運維隻需針對使用者進行資産配置設定，不必再單獨建立使用者；
2. 使用者登入密碼和伺服器登入密碼隔離，使用者使用過程中不會涉及到伺服器相關密碼，可以有效避免密碼的洩露；
3. 支援多種形式的操作記錄，曆史指令記錄與錄像，可直接用于審計；
4. 資産按業務、功能分組，可以友善團隊成員了解并熟悉元件及業務分布；
5. 支援指令過濾、免密權限提升，友善使用與管理；

由上，JumpServer給我們不僅帶來管理上的便捷，而且通過有效管理給團隊進行賦能，給相關使用人員帶來更好的體驗。

實施規劃

JumpServer可以支援各種環境100+、甚至上千台伺服器，如何快速将賬戶不統一的伺服器中納入JumpServer管理，不是一蹴而就的，整個過程建議規劃為以下幾個階段：

1. 伺服器賬戶規劃，統一分為管理賬戶、應用賬戶、日志賬戶三類賬戶；
2. 配置自動化，采用開源自動化工具作為統一的配置中心對三類賬戶進行分批次部署，極大的提高了工作效率；
3. 資産配置設定，在環境分離或隔離前，集中對各個業務開通進行伺服器配置設定，保證開發能夠正常登入伺服器；
4. 對開發、測試人員的資産進行查漏補缺，保證資産到位；

其實以上每個階段都是要耗費了很大的精力額，要考慮長遠的規範、長效的管理，而不是為了簡單應用而上線。

ps: 在此實施過程可以借助于ansible、saltstack等自動化運維工具實作資産的集中化管理，這樣可以快速納管伺服器。

總結

在我們堅持不懈的努力下，一套由運維規範支撐、可有效管控伺服器的

初始架構體系

，就可以正式對開發、測試開放了。

但美中不足的是，當JumpServer的投入使用後，最大的不足還是資産的分類管理，主要展現：

1. 按系統分組，無法有效和業務進行對應，導緻分類比較混亂。
2. 按業務分組，必須有一份開發、運維、測試共同認可的組織分類，是以這個分類最終會對開發、測試開放的。良好的組織分類可以給不同團隊更快的熟悉伺服器的業務分布，而且極大的提高了登入體驗。

當然JumpServer的資産分組與CMDB的資産分組是否應該保持一緻，也是我們需要考慮的一個問題，這個就交給大家發散的思考下吧！