1.前言:
麒麟UNI-SOP 堡壘機已經在XXX P2P公司正式上線使用一年多的時間,目前運維人員主要是通過堡壘機登錄到跳板機,通過跳板機操作服務器進行運維。
鑑於XXX P2P公司業務的擴大和管理的需要,XXX P2P公司計劃將堡壘機擴容爲管理3萬臺主機,並且不在使用跳板機(直接通過堡壘機登錄到服務器)進行運維。
2.用戶需求:
經過與XXX P2P公司相關人員進行幾次溝通,目前將XXX P2P公司的要求定義如下:
管理設備數量未來計劃擴充到3萬臺左右
需要實現系統帳號的自動管理,即堡壘機系統可以爲新增加的主機自動創建運維帳號,並且能根據要求自動分配運維權限
需要實現自動添加和刪除用戶功能,即如果有XXX P2P公司新員工入職或老員工辭職,系統可以自動添加或刪除。
需要實現設備資產的自動添加功能,即當有設備增加或減少時,系統可以自動添加或刪除變動的設備
需要實現權限自動劃分功能,即用戶和資產發生變化時,堡壘機能自動對新的用戶和新的資產進行權限的分配
用戶最主要的需求就是在運維人員、主機數量大幅增加的情況下,可以實現95%的運維自動管理,以降低管理人員負擔,提高整體運維管理水平。
3.運維用戶使用描述:
運維用戶以後登錄時不需要在使用跳板機,堡壘機會自動設置每個運維用戶能登錄的主機,並且在這個主機上爲這個用戶運維建立用戶(密碼與堡壘機上的靜態密碼相同),運維用戶登錄系統時,只需要輸入堡壘機密碼,從堡壘機跳轉到設備上的密碼由堡壘機代填。
4.設計開發:
本次開發主要由用戶需求進行設計,分爲帳號權限管理模塊、堡壘機模塊、文件傳輸模塊、應用發佈模塊四大部分。
帳號權限管理模塊主要實現帳號、資產同步,並且將自動設計賬號和資產的權限關係,首先模塊從AD域服務器進行同步用戶帳號和組,當有新建帳號時,將帳號和帳號的組同步過來,並且將帳號加入所在組中,同時,模塊還將與XXX P2P公司資產庫進行資產同步,當有資產發生變化時,系統會自動將新的資產同步,並且將已經刪除的資產刪除,模塊內部的權限關係主要是用戶、用戶組對設備組,當新的用戶導進來時,加到相應的組中,即可自動分配相應的權限,當新的設備導入時,將設備加入到組中即完成設備的權限分配。賬號同步模塊上開戶Radius或LDAP服務,所有的設備都將認證指到帳號同步模塊系統上,系統會根據用戶、用戶組綁定的設備組進行判斷用戶能登錄到哪臺設備,運維用戶希望登錄設備時,只需要輸入堡壘機上的帳號和密碼,登錄設置時的用戶名與密碼由堡壘機代填,這樣可以大大增強運維效率。
堡壘機拆分爲SSH/TELNET/RDP模塊、FTP/SFTP模塊、應用發佈模塊三個模塊,其中SSH/TELNET/RDP爲主要堡壘機模塊,運維人員登錄系統運維時主要使用這個模塊,這個模塊採用負載均衡方式,模塊的認證、權限查詢都要到認證授權中心進行。
FTP/SFTP模塊爲了讓用戶可以上傳、下載文件,同樣到認證授權中心進行認證和權限查詢,FTP/SFTP模塊可以記錄用戶向網內傳送的文件名稱。
應用發佈模塊用於運維人員配置B/S和C/S的系統時使用,同樣,該模塊也即有負載均衡功能,並且到認證授權中心進行認證和權限查詢
系統簡圖如下:
5.系統實現:
本次定製開發主要實現如下功能:
將堡壘機拆分爲若干模塊,以便增強堡壘機性能和有助於管理
認證授權模塊可以自動同步用戶和資產變化,並且通過已經設置好的用戶組和資產資的權限對應關係進行自動授權
認證授權模塊開啓認證服務(LDAP/RADIUS),所有設置將認證都指到認證授權中心,認證授權模塊通過已經設置好的用戶組和資產組之間的權限關係來判斷哪個用戶能登錄哪臺設備
設備上的用戶可以通過認證模塊自動創建,不需要手工創建
運維人員登錄只需要輸入堡壘機密碼,設備用戶名和密碼由堡壘機代填
經過這些功能,堡壘機可以實現高性能,並且集帳號、資產、權限統一管理的自動化運維繫統。