Formáli
„Vinátta“ okkar hófst fyrir tveimur árum. Ég kom á nýjan vinnustað þar sem fyrri stjórnandi skildi frjálslega eftir þennan hugbúnað sem arfleifð til mín. Á Netinu, fyrir utan opinber skjöl, var ekkert að finna. Jafnvel núna, ef þú gúglar „stýri“, mun það gefa sig í 99% tilvika: hjálmur skips og fjórflugvélar. Mér tókst að finna leið til þess. Þar sem samfélag þessa hugbúnaðar er hverfandi, ákvað ég að deila reynslu minni og raka. Ég held að það komi einhverjum að gagni.
Svo Rudder
Rudder er opinn uppspretta endurskoðunar- og stillingarstjórnunarforrit sem hjálpar til við að gera sjálfvirkan kerfisstillingu. Það virkar á meginreglunni um að setja upp umboðsmann fyrir hvern endanotanda. Með notendavænu viðmóti getum við fylgst með því hvernig innviðir okkar eru í samræmi við allar tilgreindar reglur.
Nota
Hér að neðan mun ég lista hvað ég nota Rudder í.
-
Skrá og stillingarstýring: ./ssh/authorized_keys ; /etc/hosts ; iptables ; (og þá hvert fantasían mun leiða)
-
Stjórn á uppsettum pakka: zabbix.agent eða öðrum hugbúnaði
Uppsetning netþjóns
Um daginn uppfærði ég úr útgáfu 5 í 6.1, allt gekk vel. Hér að neðan verða skipanirnar fyrir Deban/Ubuntu en einnig styðja: и .
Ég mun fela uppsetninguna í spoilerum til að trufla þig ekki.
Spoiler
Ósjálfstæði
stýrisþjónn krefst að minnsta kosti Java RE útgáfu 8, hægt að setja upp úr venjulegu geymslunni:
Athugaðu hvort það sé uppsett
java -versionef framleiðsla
-bash: java: command not foundsettu síðan upp
apt install default-jreServer
Flytja inn lykilinn
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -Hér er áletrunin
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Þar sem við erum ekki með greidda áskrift, bætum við eftirfarandi geymslu
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listUppfærðu listann yfir geymslur og settu upp þjóninn
apt update
apt install rudder-server-rootBúðu til admin notanda
rudder server create-user -u admin -p "Ваш Пароль"Í framtíðinni getum við stjórnað notendum í gegnum stillingar
Allt, þjónninn er tilbúinn.
Stilling miðlara
Nú þarftu að bæta IP-tölum umboðsmanna eða heilt undirnet við stýrismiðilinn, með áherslu á öryggisstefnuna.
Stillingar -> Almennar
Í reitinn „Bæta við neti“ Sláðu inn heimilisfangið og grímuna á sniðinu xxxx/xx . Til að leyfa aðgang frá öllum vistföngum innra netsins (Nema, auðvitað, þetta sé prófunarnet og þú sért á bak við NAT), sláðu inn: 0.0.0.0/0
Mikilvægt - eftir að hafa bætt við ip tölunni, ekki gleyma að smella á Vista breytingar, annars verður ekkert vistað.
Hafnir
Opnaðu eftirfarandi tengi á þjóninum
-
443-tcp
-
5309-tcp
-
514-udp
Við komumst að fyrstu uppsetningu netþjónsins.
Að setja upp umboðsmanninn
Spoiler
Að bæta við lykli
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -Fingrafar lykils
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Bætir við geymslu
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listAð setja upp umboðsmanninn
apt update
apt install rudder-agentUppsetning umboðsmanns
Tilgreindu ip tölu stefnumiðlarans fyrir umboðsmanninn
rudder agent policy-server <rudder server ip or hostname> #Без скобок. Можно также использовать доменное имя Með því að keyra eftirfarandi skipun munum við senda beiðni um að bæta nýjum umboðsmanni við þjóninn, eftir nokkrar mínútur mun hann birtast á listanum yfir nýja umboðsmenn, ég mun útskýra hvernig á að bæta við í næsta kafla
rudder agent inventoryVið getum líka þvingað umboðsmanninn til að byrja og hann mun senda beiðni samstundis
rudder agent runUmboðsmaður okkar er búinn, við skulum halda áfram.
Bætir við umboðsmönnum
Skrá inn
https://127.0.0.1/rudder/index.html
Umboðsmaður þinn mun birtast í hlutanum „Samþykkja nýja hnúta“, hakaðu í reitinn og smelltu á Samþykkja
Það ætti að taka nokkurn tíma fyrir kerfið að athuga hvort þjónninn sé í samræmi
Búðu til netþjónahópa
Við skulum búa til hóp (það er samt skemmtun), án þess að hafa hugmynd um hvers vegna teymið gerðu slíka gyllinæð myndun hópa, en eins og ég skil það er engin önnur leið. Farðu í Hnútastjórnun -> Hópar hlutann og smelltu á Búa til, veldu kyrrstæðan hóp og nafn.
Við síum netþjóninn sem við þurfum eftir sérstökum merkjum, til dæmis eftir ip tölu, og vistum
Hópurinn er settur upp.
Að setja upp reglur
Farðu í Stillingarstefnu → Reglur og búðu til nýja reglu
Bættu við hópi sem var undirbúinn fyrr (þetta er hægt að gera síðar)
Og við myndum nýja tilskipun
Við skulum búa til tilskipun um að bæta almennum lyklum við .ssh/authorized_keys. Ég nota þetta þegar nýr starfsmaður hættir, eða í endurtryggingu, til dæmis ef einhver klippir lykilinn minn fyrir slysni.
Farðu í Stillingarstefnu → Tilskipanir vinstra megin sjáum við „Leiðarbókasafn“ Finndu „Fjaraðgangur → SSH heimildir lyklar“, hægri smelltu á Búa til tilskipun
Við sláum inn gögn um notandann og bætum við lyklinum hans. Næst skaltu velja umsóknarstefnu
-
Alþjóðlegt - Sjálfgefin stefna
-
Framfylgja - Framkvæma á völdum netþjónum
-
Endurskoðun - Gerðu úttekt og segðu hvaða viðskiptavinir hafa lykilinn
Vertu viss um að tilgreina regluna okkar
Vistaðu síðan og þú ert búinn.
Athuga
Lykli bætt við
Bollur
Umboðsmaðurinn gefur allar upplýsingar um netþjóninn. Listar yfir uppsetta pakka, viðmót, opnar hafnir og margt fleira, sem þú getur séð á skjámyndinni hér að neðan
Þú getur líka sett upp og stjórnað hugbúnaði ekki aðeins á Linux heldur einnig á Windows, ég athugaði ekki hið síðarnefnda, það var engin þörf ..
Frá höfundinum
Þú hlýtur að vera að spyrja, hvers vegna finna upp hjólið aftur ef ansible og leikbrúða hafa lengi verið fundin upp?
Ég svara: Ansible hefur galla, til dæmis, við sjáum ekki í hvaða ástandi þessi stilling er núna, eða allir vita hvernig ástandið er þegar þú byrjar hlutverk eða leikbók og crash villur fljúga, og þú byrjar að klifra á þjóninum og sjá hvaða pakki hefur verið uppfærður hvar. Og ég vann bara ekki með brúðu..
Eru einhverjir gallar við Rudder? Mikið .. Byrjar á því að agentar detta af og þú verður að setja þá upp aftur eða nota rudder reset skipunina. (en við the vegur, ég hef ekki séð þetta í útgáfu 6 ennþá), endar með afar flókinni uppsetningu og órökréttu viðmóti.
Eru það einhverjir kostir? Og það eru líka margir kostir: Ólíkt hinu vel þekkta ansible, erum við með vefviðmót þar sem við getum séð fylgnina sem við notum. Til dæmis hvort hafnir séu að stinga út í heiminn, í hvaða ástandi eldveggurinn er, hvort öryggisfulltrúar eða aðrir flækingar séu settir upp.
Þessi hugbúnaður er fullkominn fyrir upplýsingaöryggisdeildina, þar sem ástand innviða verður alltaf fyrir augum þínum og ef einhver reglna logar í rauðu, þá er þetta ástæða til að heimsækja netþjóninn. Eins og ég sagði þá hef ég notað Rudder í 2 ár þegar og ef þú reykir það aðeins þá verður lífið betra. Það erfiðasta í stórum innviðum er að þú manst ekki í hvaða ástandi þjónninn er, hvort June missti af því að setja upp öryggismiðla eða stilla iptables rétt, stýrið mun hjálpa þér að fylgjast með öllum atburðum. Meðvitaður þýðir vopnaður! )
PS Það reyndist miklu meira en ég ætlaði, ég mun ekki lýsa því hvernig á að setja upp pakka, ef það eru einhverjar beiðnir mun ég skrifa seinni hlutann.
PSS Greinin er til upplýsinga, ég ákvað að deila henni vegna þess að það eru mjög litlar upplýsingar á netinu. Kannski mun það vekja áhuga einhvers. Eigið góðan dag kæru vinir
Um réttindi auglýsinga
Epískir netþjónar - Er eða Windows með öflugum AMD EPYC fjölskyldu örgjörvum og mjög hröðum Intel NVMe drifum. Drífðu þig að panta!
Heimild: www.habr.com