Rudder-ის მონტაჟი და ექსპლუატაცია

წინასიტყვაობა

ჩვენი „მეგობრობა“ ორი წლის წინ დაიწყო. მივედი ახალ სამუშაო ადგილზე, სადაც წინა ადმინისტრატორმა თავისუფლად დამიტოვა ეს პროგრამა, როგორც მემკვიდრეობა. ინტერნეტში, ოფიციალური დოკუმენტაციის გარდა, ვერაფერი მოიძებნა. ახლაც თუ დაგუგლებ „საჭეს“, 99% შემთხვევაში გასცემს: გემის საჭეებს და კვადროკოპტერებს. მე მოვახერხე ამისთვის გზის პოვნა. ვინაიდან ამ პროგრამული უზრუნველყოფის საზოგადოება უმნიშვნელოა, გადავწყვიტე გამეზიარებინა ჩემი გამოცდილება და რაკი. ვფიქრობ ვინმეს გამოადგება.

ასე რომ, საჭე

Rudder არის ღია კოდის აუდიტისა და კონფიგურაციის მართვის პროგრამა, რომელიც ეხმარება სისტემის კონფიგურაციის ავტომატიზაციას. იგი მუშაობს თითოეული საბოლოო მომხმარებლისთვის აგენტის დაყენების პრინციპზე. მოსახერხებელი ინტერფეისის საშუალებით, ჩვენ შეგვიძლია დავაკვირდეთ, თუ როგორ შეესაბამება ჩვენი ინფრასტრუქტურა ყველა მითითებულ პოლიტიკას.

გამოიყენეთ

ქვემოთ ჩამოვთვლი რისთვის ვიყენებ საჭეს.

• ფაილის და კონფიგურაციის კონტროლი: ./ssh/authorized_keys ; /etc/hosts ; iptables ; (და მერე სად მიგვიყვანს ფანტაზია)

• დაინსტალირებული პაკეტების კონტროლი: zabbix.agent ან ნებისმიერი სხვა პროგრამული უზრუნველყოფა

სერვერის ინსტალაცია

მეორე დღეს გავაუმჯობესე ვერსია 5-დან 6.1-მდე, ყველაფერმა კარგად ჩაიარა. ქვემოთ იქნება ბრძანებები Deban/Ubuntu-სთვის, მაგრამ ასევე მხარდაჭერა: RHEL/CentOS и Sles.

ინსტალაციას სპოილერებში დავმალავ, რომ ყურადღება არ გაგიტაცოს.

სპოილერი

დამოკიდებულებები

საჭე-სერვერს სჭირდება მინიმუმ Java RE ვერსია 8, შეიძლება დაინსტალირდეს სტანდარტული საცავიდან:

შეამოწმეთ არის თუ არა დაინსტალირებული

java -version

თუ გამომავალი

-bash: java: command not found

შემდეგ დააინსტალირეთ

apt install default-jre

სერვერი

გასაღების იმპორტი

wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -

აქ არის ანაბეჭდი

pub  4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
      Key fingerprint = 7C16 9817 7904 212D D58C  B4D1 9322 C330 474A 19E8

ვინაიდან ჩვენ არ გვაქვს ფასიანი გამოწერა, ვამატებთ შემდეგ საცავს

echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.list

განაახლეთ საცავების სია და დააინსტალირეთ სერვერი

apt update
apt install rudder-server-root

შექმენით ადმინისტრატორი

rudder server create-user -u admin -p "Ваш Пароль"

მომავალში ჩვენ შეგვიძლია მომხმარებლების მართვა კონფიგურაციის საშუალებით

ყველაფერი, სერვერი მზად არის.

სერვერის დაყენება

ახლა თქვენ უნდა დაამატოთ აგენტების ip მისამართები ან მთელი ქვექსელი საჭის აგენტს, აქცენტი უსაფრთხოების პოლიტიკაზე.

პარამეტრები -> ზოგადი

ველში "ქსელის დამატება" შეიყვანეთ მისამართი და ნიღაბი ფორმატში xxxx/xx . იმისათვის, რომ დაუშვათ წვდომა შიდა ქსელის ყველა მისამართიდან (თუ, რა თქმა უნდა, ეს არის სატესტო ქსელი და თქვენ უკან ხართ NAT), შეიყვანეთ: 0.0.0.0/0

მნიშვნელოვანია - IP მისამართის დამატების შემდეგ არ დაგავიწყდეთ დააჭიროთ ცვლილებების შენახვას, წინააღმდეგ შემთხვევაში არაფერი შეინახება.

პორტები

გახსენით შემდეგი პორტები სერვერზე

• 443-tcp

• 5309-tcp

• 514-უდპ

ჩვენ გავარკვიეთ სერვერის საწყისი დაყენება.

აგენტის ინსტალაცია

სპოილერი

გასაღების დამატება

wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -

გასაღების თითის ანაბეჭდი

pub  4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
      Key fingerprint = 7C16 9817 7904 212D D58C  B4D1 9322 C330 474A 19E8

საცავის დამატება

echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.list

აგენტის დაყენება

apt update
apt install rudder-agent

აგენტის დაყენება

მიუთითეთ პოლიტიკის სერვერის ip მისამართი აგენტისთვის

rudder agent policy-server <rudder server ip or hostname> #Без скобок. Можно также использовать доменное имя 

შემდეგი ბრძანების გაშვებით ჩვენ გამოგიგზავნით მოთხოვნას სერვერზე ახალი აგენტის დამატების შესახებ, რამდენიმე წუთში ის გამოჩნდება ახალი აგენტების სიაში, შემდეგ განყოფილებაში აგიხსნით როგორ დავამატოთ

rudder agent inventory

ჩვენ ასევე შეგვიძლია ვაიძულოთ აგენტი დაიწყოს და ის მომენტალურად გამოგიგზავნით მოთხოვნას

rudder agent run

ჩვენი აგენტი მზადაა, მოდი გავაგრძელოთ.

აგენტების დამატება

Შესვლა

https://127.0.0.1/rudder/index.html

თქვენი აგენტი გამოჩნდება განყოფილებაში "ახალი კვანძების მიღება", მონიშნეთ ყუთი და დააჭირეთ "მიღებას".

სისტემას გარკვეული დრო სჭირდება სერვერის შესაბამისობის შესამოწმებლად

შექმენით სერვერების ჯგუფები

მოდით შევქმნათ ჯგუფი (ეს ჯერ კიდევ გასართობია), იმის გარეშე, თუ რატომ გააკეთეს დეველოპერებმა ჯგუფების ასეთი ბუასილის ფორმირება, მაგრამ როგორც მე მესმის, სხვა გზა არ არის. გადადით Node Management -> Groups განყოფილებაში და დააჭირეთ შექმნას, აირჩიეთ სტატიკური ჯგუფი და სახელი.

ჩვენ ვფილტრავთ სერვერს, რომელიც გვჭირდება სპეციალური ნიშნების მიხედვით, მაგალითად, ip მისამართის მიხედვით და ვინახავთ

ჯგუფი შექმნილია.

წესების დაყენება

გადადით კონფიგურაციის პოლიტიკაზე → წესები და შექმენით ახალი წესი

დაამატეთ ადრე მომზადებული ჯგუფი (ეს შეიძლება მოგვიანებით გაკეთდეს)

და ჩვენ ვქმნით ახალ დირექტივას

მოდით შევქმნათ დირექტივა საჯარო გასაღებების დასამატებლად .ssh/authorized_keys-ში. მე ამას ვიყენებ, როდესაც ახალი თანამშრომელი მიდის, ან გადაზღვევისთვის, მაგალითად, თუ ვინმემ შემთხვევით მომჭრა გასაღები.

გადადით კონფიგურაციის პოლიტიკაზე → დირექტივები მარცხნივ ჩვენ ვხედავთ „დირექტივის ბიბლიოთეკას“ იპოვეთ „დისტანციური წვდომა → SSH ავტორიზებული გასაღებები“, მარჯვენაზე დააწკაპუნეთ დირექტივის შექმნაზე.

ჩვენ შევიყვანთ მონაცემებს მომხმარებლის შესახებ და ვამატებთ მის გასაღებს. შემდეგი, აირჩიეთ განაცხადის პოლიტიკა

• გლობალური - ნაგულისხმევი პოლიტიკა

• Enforce - შესრულება არჩეულ სერვერებზე

• აუდიტი - ჩაატარეთ აუდიტი და უთხარით რომელ კლიენტებს აქვთ გასაღები

აუცილებლად მიუთითეთ ჩვენი წესი

შემდეგ შეინახეთ და დაასრულეთ.

შემოწმება

გასაღები წარმატებით დაემატა

ფუნთუშები

აგენტი იძლევა სრულ ინფორმაციას სერვერის შესახებ. დაინსტალირებული პაკეტების, ინტერფეისების, ღია პორტების და მრავალი სხვა სიები, რომლებიც შეგიძლიათ იხილოთ ქვემოთ მოცემულ ეკრანის სურათზე

თქვენ ასევე შეგიძლიათ დააინსტალიროთ და მართოთ პროგრამული უზრუნველყოფა არა მარტო ლინუქსზე, არამედ ვინდოუსზეც, ეს უკანასკნელი არ გადამიმოწმებია, არ იყო საჭირო..

ავტორისაგან

თქვენ უნდა იკითხოთ, რატომ ხელახლა გამოიგონეთ ბორბალი, თუკი დიდი ხანია გამოიგონეს საჭე და თოჯინა?

მე ვპასუხობ: Ansible-ს აქვს ნაკლოვანებები, მაგალითად, ჩვენ ვერ ვხედავთ, რა მდგომარეობაშია ეს კონფიგურაცია, ან ყველამ იცის სიტუაცია, როდესაც იწყებ როლს ან სათამაშო წიგნს და დაფრინავს ავარიის შეცდომები და იწყებ სერვერზე ასვლას და ხედავ. რომელი პაკეტი სად არის განახლებული. და მე უბრალოდ არ ვმუშაობდი თოჯინასთან ..

რუდერს აქვს რაიმე უარყოფითი მხარე? ბევრი.. დაწყებული იქიდან, რომ აგენტები იშლება და თქვენ უნდა დააინსტალიროთ ისინი ან გამოიყენოთ საჭის გადატვირთვის ბრძანება. (მაგრამ, სხვათა შორის, მე ეს ჯერ არ მინახავს მე-6 ვერსიაში), დამთავრებული უკიდურესად რთული კონფიგურაციით და ალოგიკური ინტერფეისით.

არის რაიმე უპირატესობა? ასევე ბევრი პლიუსია: კარგად ცნობილი ანსიბლისგან განსხვავებით, ჩვენ გვაქვს ვებ ინტერფეისი, რომელშიც შეგვიძლია დავინახოთ ჩვენს მიერ გამოყენებული შესაბამისობა. მაგალითად, არის თუ არა პორტები მთელ მსოფლიოში, რა მდგომარეობაშია firewall, არის თუ არა დაყენებული უსაფრთხოების აგენტები თუ სხვა მაწანწალა.

ეს პროგრამა შესანიშნავია ინფორმაციის უსაფრთხოების განყოფილებისთვის, რადგან ინფრასტრუქტურის მდგომარეობა ყოველთვის თქვენს თვალწინ იქნება და თუ რომელიმე წესი წითლად ანათებს, მაშინ ეს არის სერვერის მონახულების მიზეზი. როგორც ვთქვი, უკვე 2 წელია, რაც რუდერს ვხმარობ და ცოტას თუ მოწევ, მაშინ ცხოვრება უკეთესი ხდება. დიდ ინფრასტრუქტურაში ყველაზე რთული ის არის, რომ არ გახსოვთ, რა მდგომარეობაშია სერვერი, გამოტოვა თუ არა ივნისმა უსაფრთხოების აგენტების დაყენება თუ სწორად დაკონფიგურირებული iptable-ები, საჭე დაგეხმარებათ გაეცნოთ ყველა მოვლენას. გაცნობიერებული ნიშნავს შეიარაღებას! )

პ.ს იმაზე ბევრად მეტი გამოვიდა ვიდრე დავგეგმე, არ აღვწერ პაკეტების დაყენებას, თუ რაიმე მოთხოვნა იქნება მეორე ნაწილს დავწერ.

PSS სტატია საინფორმაციო მიზნებისთვისაა, გადავწყვიტე გამეზიარებინა, რადგან ინტერნეტში ძალიან ცოტა ინფორმაციაა. იქნებ ვინმესთვის საინტერესო იყოს. კარგ დღეს გისურვებთ ძვირფასო მეგობრებო

რეკლამის უფლებების შესახებ

ეპიკური სერვერები - რამდენად VPS Linux-ზე ან Windows ძლიერი AMD EPYC ოჯახის პროცესორებით და ძალიან სწრაფი Intel NVMe დისკებით. იჩქარეთ შეკვეთა!

წყარო: www.habr.com