foreword
Urang "silaturahim" dimimitian dua taun ka tukang. Kuring datang ka tempat gawé anyar, dimana admin saméméhna casually ninggalkeun kuring software ieu salaku warisan. Kuring teu bisa manggihan nanaon dina Internet lian ti dokuméntasi resmi. Malah ayeuna, lamun google "setir", dina 99% kasus eta bakal datang nepi ka: helms kapal na quadcopters. Kuring junun manggihan pendekatan ka anjeunna. Kusabab komunitas software ieu negligible, Kuring mutuskeun babagi pangalaman kuring jeung rake. Jigana ieu bakal mangpaat ka batur.
Jadi Rudder
Rudder mangrupikeun pamariksaan sumber terbuka sareng utilitas manajemén konfigurasi anu ngabantosan otomatis konfigurasi sistem. Gawéna dina prinsip masang agén pikeun tiap pamaké tungtung. Ngaliwatan antarbeungeut anu merenah, urang tiasa ngawas sabaraha infrastruktur urang saluyu sareng sadaya kawijakan anu ditangtukeun.
pamakean
Handap I bakal daptar naon atuh make Rudder pikeun.
-
Kontrol file sareng konfigurasi: ./ssh/authorized_keys ; /etc/hosts ; iptables ; (teras dimana imajinasi anjeun nuju)
-
Kadali pakét anu dipasang: zabbix.agent atanapi parangkat lunak anu sanés
Pamasangan server
Nembe kuring diropéa tina versi 5 ka 6.1, sagalana indit ogé. Di handap ieu paréntah pikeun Deban/Ubuntu tapi aya ogé dukungan: и .
Kuring bakal nyumputkeun pamasangan dina spoiler supados henteu ngaganggu anjeun.
spoiler
Depéndensi
rudder-server merlukeun Java RE sahenteuna versi 8, bisa dipasang ti Repository baku:
Mariksa pikeun ningali naha éta dipasang
java -versionlamun kacindekan
-bash: java: command not foundlajeng install
apt install default-jreserver
Impor konci
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -Di dieu téh print sorangan
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Kusabab kami henteu ngagaduhan langganan anu mayar, kami nambihan gudang di handap ieu
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listApdet daptar repositories tur masang server
apt update
apt install rudder-server-rootJieun admin pamaké
rudder server create-user -u admin -p "Ваш Пароль"Dina mangsa nu bakal datang urang bisa ngatur pamaké ngaliwatan config nu
Éta éta, server parantos siap.
Server Tuning
Ayeuna anjeun kedah nambihan alamat IP agén atanapi subnet sadayana kana agén rudder, urang difokuskeun kawijakan kaamanan.
Setélan -> Umum
Dina widang "Tambahkeun jaringan", lebetkeun alamat sareng topéng dina format xxxx/xx. Dina raraga ngidinan aksés ti sakabeh alamat jaringan internal (Iwal tangtosna, ieu jaringan test na anjeun balik NAT) asupkeun: 0.0.0.0/0
Nu penting - sanggeus nambahkeun alamat ip, ulah poho pikeun klik Simpen parobahan, disebutkeun euweuh bakal disimpen.
Palabuhan
Buka palabuhan di handap ieu dina server
-
443 - tcp
-
5309 - tcp
-
514 - udp
Kami geus nyortir kaluar setelan server awal.
Instalasi Agén
spoiler
Nambahan konci
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -Sidik konci
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Nambahkeun gudang
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listMasang agén
apt update
apt install rudder-agentSetélan agén
Kami nunjukkeun ka agén alamat IP tina server kawijakan
rudder agent policy-server <rudder server ip or hostname> #Без скобок. Можно также использовать доменное имя Ku ngajalankeun paréntah di handap ieu kami bakal ngirim pamundut pikeun nambihan agén énggal ka server, dina sababaraha menit éta bakal muncul dina daptar agén énggal, kuring bakal ngajelaskeun kumaha carana nambihan dina bagian salajengna
rudder agent inventoryUrang ogé tiasa maksa agén pikeun ngamimitian sareng éta bakal langsung ngirim pamundut
rudder agent runAgén kami parantos diatur, hayu urang teraskeun.
Nambahkeun agén
Lebet
https://127.0.0.1/rudder/index.html
Agén anjeun bakal muncul dina bagian "Tampa titik anyar", centang kotak teras klik Tampa
Sakuduna butuh waktu saeutik nepi ka sistem mariksa server pikeun minuhan
Nyieun grup server
Hayu urang nyieun grup (éta masih hiburan), teu boga pamanggih naha pamekar ngalakukeun formasi grup heinous misalna, tapi sakumaha Abdi ngartos eta, teu aya deui jalan séjén. Pindah ka Manajemén Node -> bagian Grup teras klik Jieun, pilih grup sareng nami statik.
Urang nyaring server urang butuh ku fitur husus, contona, ku alamat ip, sarta simpen
Rombongan geus diatur.
Nyetél aturan
Buka Kabijakan Konfigurasi → Aturan sareng jieun aturan anyar
Tambahkeun grup anu disiapkeun tadi (ieu tiasa dilakukeun engké)
Sarta kami ngabentuk diréktif anyar
Hayu urang nyieun diréktif pikeun nambahkeun konci umum pikeun .ssh/authorized_keys. Kuring make ieu lamun pagawe anyar ninggalkeun, atawa pikeun reinsurance, contona, lamun batur ngahaja motong kaluar konci kuring.
Pindah ka Kabijakan Konfigurasi → Directives di kénca kami ningali "Perpustakaan Diréktif" Milarian "Aksés Jauh → Tombol otorisasi SSH", dina klik katuhu Jieun Diréktif
Urang asupkeun informasi ngeunaan pamaké sarta tambahkeun konci na. Salajengna, pilih kawijakan aplikasi
-
Global - Kawijakan standar
-
Laksanakeun - Laksanakeun dina server anu dipilih
-
Inok - Bakal ngalaksanakeun hiji Inok jeung ngabejaan klien nu boga konci
Pastikeun pikeun nunjukkeun aturan urang
Teras simpen sareng anjeun parantos réngsé.
Cék
Key ditambahkeun suksés
Buns
Agen nyadiakeun informasi lengkep ngeunaan server. Daptar bungkusan anu dipasang, antarmuka, palabuhan kabuka sareng seueur deui, anu anjeun tiasa tingali dina layar di handap ieu
Anjeun ogé tiasa masang sareng ngontrol parangkat lunak sanés ngan ukur dina Linux tapi ogé dina Windows, kuring henteu pariksa anu terakhir, henteu peryogi.
Ti pangarang
Anjeun bisa jadi nanya, naha reinvent kabayang lamun ansible jeung wayang geus nimukeun lila pisan?
Kuring ngajawab: Ansible boga sababaraha drawbacks, Contona, urang teu ningali naon kaayaan config ieu ayeuna, atawa kaayaan akrab mun anjeun ngajalankeun peran atawa playbook sarta kasalahan nabrak muncul, tur anjeun mimiti nanjak kana server tur tingal. paket naon geus diropéa mana. Sareng kuring ngan ukur damel sareng wayang ..
Dupi aya kalemahan Rudder? A loba .. Mimitian ti kanyataan yén agén layu atawa gugur jeung anjeun kudu reinstall aranjeunna atanapi nganggo paréntah reset setir. (tapi ku jalan kitu, kuring henteu acan ningali ieu dina versi 6 acan), nyababkeun pangaturan anu rumit pisan sareng antarmuka anu teu logis.
Dupi aya kaunggulan? Sareng aya ogé seueur kauntungan: Teu sapertos Ansible anu terkenal, kami gaduh antarmuka wéb dimana anjeun tiasa ningali patuh anu kami terapkeun. Contona, anu palabuhan nempel kaluar kana dunya, kumaha kaayaan firewall, agén kaamanan dipasang atawa gadget lianna.
Parangkat lunak ieu sampurna pikeun departemén kaamanan inpormasi, sabab kaayaan infrastruktur bakal salawasna aya di payuneun panon anjeun, sareng upami aya aturan anu terang beureum, maka ieu mangrupikeun alesan pikeun nganjang ka server. Salaku Cenah mah, Kuring geus ngagunakeun Rudder pikeun 2 taun ayeuna, sarta lamun ngaroko eta saeutik, hirup jadi hadé. Hal paling hese dina infrastruktur badag nyaéta yén anjeun teu apal naon kaayaan server, naha June lasut install agén kaamanan atawa naha anjeunna ngonpigurasi iptables leres, tapi setir bakal nulungan urang tetep abreast sadaya acara. Sadar hartina pakarang! )
PS Tétéla langkung seueur ti anu direncanakeun, kuring moal ngajelaskeun kumaha carana masang bungkusan, upami ujug-ujug aya pamundut, kuring bakal nyerat bagian kadua.
PSS Tulisan ieu kanggo tujuan inpormasi, kuring mutuskeun pikeun ngabagikeunana kusabab sakedik inpormasi dina Internét. Meureun ieu bakal metot batur. Wilujeng dinten anu saé, réréncangan anu dipikacinta)
salaku iklan
server epik - eta atanapi Windows sareng prosesor kulawarga AMD EPYC anu kuat sareng drive Intel NVMe gancang pisan. Buru-buru mesen!
sumber: www.habr.com