Rhagair
Dechreuodd ein “cyfeillgarwch” ddwy flynedd yn ôl. Deuthum i weithle newydd, lle gadawodd y gweinyddwr blaenorol y feddalwedd hon i mi fel etifeddiaeth. Ni allwn ddod o hyd i unrhyw beth ar y Rhyngrwyd heblaw dogfennaeth swyddogol. Hyd yn oed nawr, os ydych chi'n google “rudder”, mewn 99% o achosion bydd yn cynnwys: helmau llong a quadcopters. Llwyddais i ddod o hyd i ymagwedd ato. Gan fod cymuned y feddalwedd hon yn ddibwys, penderfynais rannu fy mhrofiad a'm cribinio. Rwy'n meddwl y bydd hyn yn ddefnyddiol i rywun.
Felly Rudder
Mae Rudder yn gyfleustodau archwilio a rheoli cyfluniad ffynhonnell agored sy'n helpu i awtomeiddio cyfluniad system. Mae'n gweithio ar yr egwyddor o osod asiant ar gyfer pob defnyddiwr terfynol. Trwy ryngwyneb cyfleus, gallwn fonitro i ba raddau y mae ein seilwaith yn cydymffurfio â'r holl bolisïau penodedig.
Defnyddio
Isod byddaf yn rhestru'r hyn yr wyf yn defnyddio Rudder ar ei gyfer.
-
Rheoli ffeiliau a chyfluniadau: ./ssh/authorized_keys ; /etc/hosts; iptables; (ac yna lle mae'ch dychymyg yn arwain)
-
Rheoli pecynnau gosod: zabbix.agent neu unrhyw feddalwedd arall
Gosod gweinydd
Yn ddiweddar diweddarais o fersiwn 5 i 6.1, aeth popeth yn dda. Isod mae'r gorchmynion ar gyfer Deban/Ubuntu ond mae cefnogaeth hefyd: и .
Byddaf yn cuddio'r gosodiad mewn anrheithwyr er mwyn peidio â thynnu eich sylw.
Spoiler
Dibyniaethau
Mae gweinydd llyw yn gofyn am Java RE o leiaf fersiwn 8, gellir ei osod o'r ystorfa safonol:
Gwirio i weld a yw wedi'i osod
java -versionos bydd y casgliad
-bash: java: command not foundyna gosod
apt install default-jreGweinydd
Mewnforio'r allwedd
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -Dyma'r print ei hun
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Gan nad oes gennym danysgrifiad taledig, rydym yn ychwanegu'r ystorfa ganlynol
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listDiweddarwch y rhestr o ystorfeydd a gosodwch y gweinydd
apt update
apt install rudder-server-rootCreu gweinyddwr defnyddiwr
rudder server create-user -u admin -p "Ваш Пароль"Yn y dyfodol gallwn reoli defnyddwyr trwy'r ffurfwedd
Dyna ni, mae'r gweinydd yn barod.
Tiwnio Gweinydd
Nawr mae angen ichi ychwanegu cyfeiriadau IP yr asiantau neu is-rwydwaith cyfan at yr asiant llyw, rydym yn canolbwyntio ar y polisi diogelwch.
Gosodiadau -> Cyffredinol
Yn y maes “Ychwanegu rhwydwaith”, rhowch y cyfeiriad a'r mwgwd yn y fformat xxxx/xx. Er mwyn caniatáu mynediad o bob cyfeiriad y rhwydwaith mewnol (Oni bai wrth gwrs mai rhwydwaith prawf yw hwn a'ch bod y tu ôl i NAT) rhowch: 0.0.0.0/0
Pwysig - ar ôl ychwanegu'r cyfeiriad ip, peidiwch ag anghofio clicio Cadw newidiadau, fel arall ni fydd dim yn cael ei arbed.
Porthladdoedd
Agorwch y pyrth canlynol ar y gweinydd
-
443 - tcp
-
5309 - tcp
-
514 - udp
Rydym wedi trefnu'r gosodiad gweinydd cychwynnol.
Gosod Asiant
Spoiler
Ychwanegu allwedd
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -Olion bysedd allweddol
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Ychwanegu ystorfa
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listGosod yr asiant
apt update
apt install rudder-agentGosodiad asiant
Rydym yn nodi i'r asiant gyfeiriad IP y gweinydd polisi
rudder agent policy-server <rudder server ip or hostname> #Без скобок. Можно также использовать доменное имя Trwy redeg y gorchymyn canlynol byddwn yn anfon cais i ychwanegu asiant newydd i'r gweinydd, mewn ychydig funudau bydd yn ymddangos yn y rhestr o asiantau newydd, byddaf yn esbonio sut i ychwanegu yn yr adran nesaf
rudder agent inventoryGallwn hefyd orfodi'r asiant i ddechrau a bydd yn anfon y cais ar unwaith
rudder agent runMae ein hasiant wedi'i sefydlu, gadewch i ni symud ymlaen.
Ychwanegu asiantau
Mewngofnodi
https://127.0.0.1/rudder/index.html
Bydd eich asiant yn ymddangos yn yr adran “Derbyn nodau newydd”, ticiwch y blwch a chliciwch ar Derbyn
Dylai gymryd ychydig o amser nes bod y system yn gwirio'r gweinydd i weld a yw'n cydymffurfio
Creu grwpiau gweinydd
Gadewch i ni greu grŵp (mae hynny'n dal i fod yn adloniant), dim syniad pam y gwnaeth y datblygwyr ffurfio grŵp mor erchyll, ond yn ôl a ddeallaf, nid oes unrhyw ffordd arall. Ewch i'r adran rheoli Node -> Grwpiau a chliciwch ar Creu, dewiswch grŵp statig ac enw.
Rydym yn hidlo'r gweinydd sydd ei angen arnom yn ôl nodweddion arbennig, er enghraifft, yn ôl cyfeiriad ip, ac yn arbed
Mae'r grŵp wedi'i sefydlu.
Sefydlu rheolau
Ewch i'r polisi Ffurfweddu → Rheolau a chreu rheol newydd
Ychwanegwch y grŵp a baratowyd yn gynharach (gellir gwneud hyn yn ddiweddarach)
Ac rydym yn ffurfio cyfarwyddeb newydd
Gadewch i ni greu cyfarwyddeb ar gyfer ychwanegu allweddi cyhoeddus i .ssh/authorized_keys. Rwy'n defnyddio hwn pan fydd gweithiwr newydd yn gadael, neu ar gyfer sicrwydd, er enghraifft, os bydd rhywun yn torri fy allwedd allan yn ddamweiniol.
Ewch i'r polisi Ffurfweddu → Cyfarwyddebau ar y chwith gwelwn “Llyfrgell gyfarwyddeb” Dod o hyd i “Mynediad o bell → allweddi awdurdodedig SSH”, ar y dde cliciwch Creu Cyfarwyddeb
Rydyn ni'n mewnbynnu gwybodaeth am y defnyddiwr ac yn ychwanegu ei allwedd. Nesaf, dewiswch y polisi cais
-
Byd-eang - Polisi diofyn
-
Gorfodi - Gweithredu ar weinyddion dethol
-
Archwilio - Bydd yn cynnal archwiliad ac yn dweud pa gleientiaid sydd â'r allwedd
Byddwch yn siwr i nodi ein rheol
Yna arbed ac rydych chi wedi gorffen.
Gwiriwch
Wedi ychwanegu'r allwedd yn llwyddiannus
Byns
Mae'r asiant yn darparu gwybodaeth gyflawn am y gweinydd. Rhestrau o becynnau wedi'u gosod, rhyngwynebau, porthladdoedd agored a llawer mwy, y gallwch eu gweld yn y screenshot isod
Gallwch hefyd osod a rheoli'r feddalwedd nid yn unig ar Linux ond hefyd ar Windows, ni wnes i wirio'r olaf, nid oedd angen ..
Gan yr awdur
Efallai eich bod yn gofyn, pam ailddyfeisio'r olwyn os yw ansible a phyped eisoes wedi'u dyfeisio amser maith yn ôl?
Atebaf: Mae gan Ansible rai anfanteision, er enghraifft, nid ydym yn gweld beth yw cyflwr y ffurfwedd hon nawr, na'r sefyllfa gyfarwydd pan fyddwch chi'n lansio rôl neu lyfr chwarae ac mae gwallau damwain yn ymddangos, ac rydych chi'n dechrau dringo ar y gweinydd a gweld pa becyn sydd wedi'i ddiweddaru ble. A nes i ddim gweithio gyda phyped..
A oes unrhyw anfanteision i Rudder? Mae llawer.. Gan ddechrau o'r ffaith bod asiantau yn cwympo i ffwrdd a bod yn rhaid i chi eu hailosod neu ddefnyddio'r gorchymyn ailosod llyw. (ond gyda llaw, nid wyf wedi gweld hwn yn fersiwn 6 eto), gan arwain at setup hynod gymhleth a rhyngwyneb afresymegol.
A oes unrhyw fanteision? Ac mae yna lawer o fanteision hefyd: Yn wahanol i'r Ansible adnabyddus, mae gennym ryngwyneb gwe lle gallwch weld y cydymffurfiad yr ydym wedi'i gymhwyso. Er enghraifft, a yw'r porthladdoedd yn sticio allan i'r byd, beth yw cyflwr y wal dân, a yw asiantau diogelwch wedi'u gosod neu declynnau eraill.
Mae'r meddalwedd hwn yn berffaith ar gyfer yr adran diogelwch gwybodaeth, gan y bydd cyflwr y seilwaith bob amser o flaen eich llygaid, ac os bydd unrhyw un o'r rheolau'n goleuo'n goch, yna mae hyn yn rheswm i ymweld â'r gweinydd. Fel y dywedais, rydw i wedi bod yn defnyddio Rudder ers 2 flynedd bellach, ac os ydych chi'n ei ysmygu ychydig, mae bywyd yn gwella. Y peth anoddaf mewn seilwaith mawr yw nad ydych chi'n cofio beth yw cyflwr y gweinydd, p'un a oedd mis Mehefin wedi methu gosod asiantau diogelwch neu a yw wedi ffurfweddu iptables yn gywir, ond bydd llyw yn eich helpu i fod yn ymwybodol o'r holl ddigwyddiadau. Ymwybodol yn golygu arfog! )
PS Mae'n troi allan yn llawer mwy nag yr oeddwn yn bwriadu, ni fyddaf yn disgrifio sut i osod pecynnau, os yn sydyn mae ceisiadau, byddaf yn ysgrifennu ail ran.
PSS Mae'r erthygl at ddibenion gwybodaeth, penderfynais ei rannu gan mai ychydig iawn o wybodaeth sydd ar y Rhyngrwyd. Efallai y bydd hyn yn ddiddorol i rywun. Cael diwrnod braf, ffrindiau annwyl)
Ar Hawliau Hysbysebu
Gweinyddion epig - A yw neu Windows gyda phroseswyr teulu pwerus AMD EPYC a gyriannau Intel NVMe cyflym iawn. Brysiwch i archebu!
Ffynhonnell: hab.com