中交兴路车联网运维副总监许颖维:怎么优雅管理多IDC的效劳器账
本文摘要:中交兴路车联网运维副总监许颖维:怎么优雅管理多IDC的效劳器账号9月1日由工业和信息化部辅导,我国信息通讯研讨院、我国通讯规范化协会主办,数据中心联盟承办的“2016可信云大会”在京隆重召开。在可信云效劳性能和运维论坛上,中交兴路车联网运维副总监许
中交兴路车联网运维副总监许颖维:怎么优雅管理多IDC的效劳器账号 9月1日由工业和信息化部辅导,我国信息通讯研讨院、我国通讯规范化协会主办,数据中心联盟承办的“2016可信云大会”在京隆重召开。在可信云效劳性能和运维论坛上,中交兴路车联网运维副总监许颖维宣布了题为“怎么优雅管理多IDC的效劳器账号”的演讲。

我国IDC圈报导,9月1日由工业和信息化部辅导,我国信息通讯研讨院、我国通讯规范化协会主办,联盟承办的 2016大会 在京隆重召开。在可信性能和运维论坛上,中交兴路车联网运维副总监许颖维宣布了题为 怎么优雅管理多IDC的效劳器账号 的演讲。以下是演讲全文:

中交兴路车联网运维副总监 许颖维 

我们下战书好!我今天共享的有几个环节,第一,我们细心考虑一下我们的需求是什么。我们发生故障今后,我们需求很简略,一、我需要的是一个人只需一个套令,我的密码改了今后,我不期望改完之后我还要到另外一个环节改,场景也十分简略,因为我们知道没有一个体系是万能的,我们只需要完成一个简略的需求。当时我们有很多方案,开源的我知道很多人在用,可是它也有很多问题,我们当时有一个同事用,说好像很简略,关于我们一个创业公司来说,可能就有两个人,你说两个人要管理一个体系,有一定的技能壁垒,也忧虑人员的离职会给我们带来很多麻烦。另外是商业的,商业的有AD和堡垒机。

我们看商业和开源真正分析的时分,有哪些原理不一样。比如价格,AD可能几千块钱就可以搞定,可是出去是商业的可能要十几万,可是假如我们有IDC多机房,可能本钱会小一些。还有散布式,还有架构模型,我们知道堡垒机我们是从web页面登录上去,可是多个页面会有操作体系上面的接口问题,也会有IT和阅读器的问题。还有授权形式,还有操作回放,因为开源的只集中于授权过程,而不太重视审查过程,我们有堡垒,我们有跳板机,它是可以支所有用户登录操作的时分,把你的操作记载到本地。

总之这么一分析的话,其实开源体系现已有了很大优势。然后我们介绍一下OpenLDAP是什么,其实它就是一个树状的结构,以目录的方式记载每一个节点,节点包括很多属性,它的最大优势在于索引十分大,OpenLDAP至今为止我们知道它的数据一直增加到十几万,通常也是毫秒等级。然后是用X.500协议,所以它的速度仍是十分快的。我们再分析一下我们的需求究竟是怎么做的?我们在OpenLDAP管理傍边,我们管理比较简略,就是用户的IP,用户账号,用户密码,还有用户的权限,它的整个认证过程是这样,我们用户要登录一台效劳器的时分,首要很简略,登录的时分需要在效劳器上通过跨模块扩展,跨模块本身我们知道我们登录效劳器的时分,跨模块会查到本身的块文件,可是我们在跨模块上又做了一个拓展,它可以支撑到OpenLDAP所有的都做一次验证。

我们的授权权限,因为我们初期时分不考虑太多,我们只需求每一个人登录上去是用你的账号登录的,它的提权方式是登录到效劳器就能够直接操作。这是运用方式,我曾经是在乐元素,就是做《开心消消乐》的公司。我们可以看到这个里边是通讯,我们把这块的效劳加入到OpenLDAP,可是唯一把数据库替换,为何?因为我们是基于安全的考虑把数据库剔除出去,因为数据库有必要核心。所有的用户登录过程傍边,会先通过跳板机,跳板机以外的我们都是开放的,也就是只有从公司才干登录,登录今后再登录到其他网站,他登录到效劳器的时分,会做身份认证,身份认证今后就能够使用了。这是整个的使用过程,实践上十分简略。

装置方式也十分简略,可以直接装置,装置今后你的环境就OK了。装备在很多网站上都有,这个是比较简略的谷歌装置方式,装置的时分会弹出一些界面,你只需依照操作进行相关的勾选就能够了。到这一步我们现已完成一个用户用一个账号和密码就能够登录了。可是过了一段时间今后,有一个研制同事说我们感觉你们的体系要做修正,为何?因为之前有一个同事登录的时分不知道怎么跑到根目录下了,导致把我们一台效劳器就干掉了,所今后来我们研制的同事说有必要要改。后来我们说OK,我们就开始想做机器化管理,我们把公司所有的人依照部分分红五类,第一类是超级管理员,它需要登录到效劳器做各种超级操作。第二类是日常运维部分,他要做一些效劳的装备变更,效劳的停启,做一些最正常的上线工作。还有一个是不能做事务管理,不能做体系办理,只能做运维网络等级的操作,可以做路由调整,IT变更,其他都不能。第四个是一个研制的同事,研制同事只能看,不能做。第五个是正常的用户登录上去,要切换到上面四个用户,才干证明你有这个权限。

这个图刚好可以衍生出我们现在对OpenLDAP的了解,我头几天有一个朋友给我打德律风,想问一下这些组是什么,我们是否是在界说下面加一个组,用户不该该放在组里边,权限不该该放在用户下面呢,依照这么了解也对,我应该有组,组下面是用户,用户下面有权限。但实践上我们不是这样的,我们第一个组是所谓的用户群,第二是用户,可是我们用户也有一个属性,叫做GID,我们查找的时分先查找用户,用户GDI和它关联上,要不然我们可能有一堆人都属于用户。然后权限是怎么做的?权限是因为设计了用户登录的权限,可是里边有一个叫CN的权限,通过CN可以查到它的属性,通过它就能够把用户和权限绑定起来。

这是详细的截图,这个是我们研制同事总的界说是什么样,这是我自己的账号,我自己账号里边会有显示GIP。这个是权限,你进来之后默许假如不归属任何组的状况下用的权限,这个是我们正常的事务,其实都是界说在我们OpenLDAP里边的。根本上方才现已界说完了,后来我们又有一个需求,事务慢慢扩展到多个机房,我记得曾经在乐元素的时分有六七个机房,我们现在中交兴路平台上有四百万辆火车,这个就导致我们单个机房接入太多的数据,所以我们又建了多个机房,可是机房要在效劳器里做认证,所以我们就有一个需求,这是我们提供的效劳,所有的操作都在一台机器上做,做完今后把数据推到其他机房,在本地收效,所有用户登录都可以到本机房登录,哪怕这个机房出问题了其他机房也不会受影响。

那么用户会问我是否是要更改密码的话也要跑到这个机房,其实不是。我们看一下它的装备,首要Master写了,复制到它这个机房,它推以前的账号是一个什么样的账号,这个当地一般来说是装备管理账号,这个密码是什么,以及它的认证方式是什么,装备今后,根本上操作都可以完成。另外一个是Slave,意思是说我所有的操作假如有动用到要权限的话,要不要找我,找我的老大,这是Master的外网运营。所以我们根本上现已知道了,也了解了OpenLDAP集群里边它的作业形式,这个也比较简略。

我们再看一下它的日志里边,其实我们看的比较清楚,首要它会打开第一行,我们看同步日志会怎么说,你用了多少机器,什么时分用的,做了哪些用户,方才这个操作说了,你给我同步到这么多当地,有这么多用户。到现在为止我们知道我们现已完成了方才说的散布式,还有精密化管理。其间一个演化就是安全考虑,安全考虑当时我记得悉数做完之后我们都松了一口气,根本上我们大部分需求都完成了,接下来安悉数门就找我来了,安悉数门是让人又爱又恨的部分,因为恨他是因为他老提出一些要求,爱也是因为他确实给我们敲响了很多警钟,让我们可以安安全全的度过我们每次的故障。他这里提出两个问题,一个是因为你们的通讯协议没有加密,所以导致用户的验证过程很糟糕。我当时自己装了包今后发现也确实如此,所以我们就做了一个加密处理,给我们提示一下,我们做证书的时分一定要做跨地域证书,不要做实践的。做完了今后会开启两个原生端口,一个是389,一个是636的端口。后来安悉数门跟我说,你们的防火墙很容易被打破,我们后来自己也测试了今后也发现了这个问题,所以我们做了一个PAM模块,这样就能够协助我们解决防暴力打破的方案。

当所有做完今后,我们发现一个问题,我们的前端研制人员认证十分慢,导致很多效劳器运转都十分慢,因为效劳器每次登录的时分,都会到后端验证他的权限,刚好那天同事的操作是要拜访本地文件,每次拜访文件都要到后端认证一下,他是否是有这个权限。这边是OpenLDAP比较不错的当地,它说了你可以界说一个不用过来拜访问我哪个用户是否是在这里有权限,我们在etc里边界说了这些,就是说只需用户启动了效劳,今后他不管干嘛都不用来找我,我都不用问OpenLDAP做什么,这样防止OpenLDAP有问题,应用有问题,或者应用有问题会导致OpenLDAP有问题。

后边会更刁钻一些,我们项目组找我们,说我们不期望其他项目组登录,虽然现在很简略,每一个上去我用账户就可以够登录,可是我不期望你来了今后还可以拜访另外的项目组。我们在OpenLDAP用户里边,加一行参数,只需加了这个参数,同时在客户端效劳器上加了一个参数,效劳器只需登录今后看到装备上有这个参数,我就能够拜访用户,知道有无包括我们本机的秘要,假如有我不让你登,没有的话我让你登。其实到这一步还没有完成,因为跟着我们事务添加有一个问题挺烦的,特别是我们知道运维有时分做操作的时分不期望被打乱,后来我们自己写了一个体系,这个体系做什么呢?这个体系我们在上面可以看到它可以对用户办理,首要可以增加用户,把一些组写进去,我们在后台可以看到这些用户几点几分创建,几点几分消失的。这个怎么做的?

我们分为几步,第一步是用户把需求提交上来今后,然后送到数据库里,我们会有一个API,实时从数据库里获取,我们后台有一个体系,从API或许使命调动,并且用比较土的方式拼接成命令,直接在效劳端收效,并且把收效成果送到API,然后送到数据库,我们就能够看到是M什么样的成果。

这是另外一个高效管理,因为我们效劳器到现在差不多一周快的上一百个效劳器,可是这也给我们带来一些管理上的问题,在这方面我们也有自己的一些处理计划,假如我们今后有在用的状况下,需要我们支撑的话也能够来找我们。

整个回忆一下,我们会有一个身份认证,以及架构上的管理,终究我们做了安全办理、高效管理,从2012年到现在通过了四年,根本上没有遇到什么问题,所以我们仍是引荐我们使用OpenLDAP。谢谢!


云资讯 阿里云陈峥:DT年代政务职业阿里云破冰实践 9月1日,由工业和信息化部辅导,我国信息通讯研讨院、我国通讯规范化协会主办,数据中心联盟承办的“2016可信云大会”在京隆重召开。在云核算重点职业应用分论坛上,阿里云
大数据资讯 芯联达杨宏桥:医疗大数据建设与考虑 9月1日,由工业和信息化部辅导,我国信息通讯研讨院、我国通讯规范化协会主办,数据中心联盟承办的“2016可信云大会”在京隆重召开。在云核算重点职业应用分论坛上,芯联达
云资讯 中投视讯CTO费有文:移动直播产品开发那点事 9月1日,由工业和信息化部辅导,我国信息通讯研讨院、我国通讯规范化协会主办,数据中心联盟承办的“2016可信云大会”在京隆重召开。在云核算重点职业应用分论坛上,中投视

相关内容