麒麟UNI-SOP堡垒机升级方案
麒麟UNI-SOP堡垒机计划升级以支持3万台主机,实现自动化运维管理,包括系统账号自动管理、用户及设备资产自动增删、权限自动划分等功能,提升运维效率。
1.前言:
麒麟UNI-SOP 堡垒机已经在XXX P2P公司正式上线使用一年多的时间,目前运维人员主要是通过堡垒机登录到跳板机,通过跳板机操作服务器进行运维。
鉴于XXX P2P公司业务的扩大和管理的需要,XXX P2P公司计划将堡垒机扩容为管理3万台主机,并且不在使用跳板机(直接通过堡垒机登录到服务器)进行运维。
2.用户需求:
经过与XXX P2P公司相关人员进行几次沟通,目前将XXX P2P公司的要求定义如下:
管理设备数量未来计划扩充到3万台左右
需要实现系统帐号的自动管理,即堡垒机系统可以为新增加的主机自动创建运维帐号,并且能根据要求自动分配运维权限
需要实现自动添加和删除用户功能,即如果有XXX P2P公司新员工入职或老员工辞职,系统可以自动添加或删除。
需要实现设备资产的自动添加功能,即当有设备增加或减少时,系统可以自动添加或删除变动的设备
需要实现权限自动划分功能,即用户和资产发生变化时,堡垒机能自动对新的用户和新的资产进行权限的分配
用户最主要的需求就是在运维人员、主机数量大幅增加的情况下,可以实现95%的运维自动管理,以降低管理人员负担,提高整体运维管理水平。
3.运维用户使用描述:
运维用户以后登录时不需要在使用跳板机,堡垒机会自动设置每个运维用户能登录的主机,并且在这个主机上为这个用户运维建立用户(密码与堡垒机上的静态密码相同),运维用户登录系统时,只需要输入堡垒机密码,从堡垒机跳转到设备上的密码由堡垒机代填。
4.设计开发:
本次开发主要由用户需求进行设计,分为帐号权限管理模块、堡垒机模块、文件传输模块、应用发布模块四大部分。
帐号权限管理模块主要实现帐号、资产同步,并且将自动设计账号和资产的权限关系,首先模块从AD域服务器进行同步用户帐号和组,当有新建帐号时,将帐号和帐号的组同步过来,并且将帐号加入所在组中,同时,模块还将与XXX P2P公司资产库进行资产同步,当有资产发生变化时,系统会自动将新的资产同步,并且将已经删除的资产删除,模块内部的权限关系主要是用户、用户组对设备组,当新的用户导进来时,加到相应的组中,即可自动分配相应的权限,当新的设备导入时,将设备加入到组中即完成设备的权限分配。账号同步模块上开户Radius或LDAP服务,所有的设备都将认证指到帐号同步模块系统上,系统会根据用户、用户组绑定的设备组进行判断用户能登录到哪台设备,运维用户希望登录设备时,只需要输入堡垒机上的帐号和密码,登录设置时的用户名与密码由堡垒机代填,这样可以大大增强运维效率。
堡垒机拆分为SSH/TELNET/RDP模块、FTP/SFTP模块、应用发布模块三个模块,其中SSH/TELNET/RDP为主要堡垒机模块,运维人员登录系统运维时主要使用这个模块,这个模块采用负载均衡方式,模块的认证、权限查询都要到认证授权中心进行。
FTP/SFTP模块为了让用户可以上传、下载文件,同样到认证授权中心进行认证和权限查询,FTP/SFTP模块可以记录用户向网内传送的文件名称。
应用发布模块用于运维人员配置B/S和C/S的系统时使用,同样,该模块也即有负载均衡功能,并且到认证授权中心进行认证和权限查询
5.系统实现:
本次定制开发主要实现如下功能:
将堡垒机拆分为若干模块,以便增强堡垒机性能和有助于管理
认证授权模块可以自动同步用户和资产变化,并且通过已经设置好的用户组和资产资的权限对应关系进行自动授权
认证授权模块开启认证服务(LDAP/RADIUS),所有设置将认证都指到认证授权中心,认证授权模块通过已经设置好的用户组和资产组之间的权限关系来判断哪个用户能登录哪台设备
设备上的用户可以通过认证模块自动创建,不需要手工创建
运维人员登录只需要输入堡垒机密码,设备用户名和密码由堡垒机代填
经过这些功能,堡垒机可以实现高性能,并且集帐号、资产、权限统一管理的自动化运维系统。
麒麟UNI-SOP 堡垒机已经在XXX P2P公司正式上线使用一年多的时间,目前运维人员主要是通过堡垒机登录到跳板机,通过跳板机操作服务器进行运维。
鉴于XXX P2P公司业务的扩大和管理的需要,XXX P2P公司计划将堡垒机扩容为管理3万台主机,并且不在使用跳板机(直接通过堡垒机登录到服务器)进行运维。
2.用户需求:
经过与XXX P2P公司相关人员进行几次沟通,目前将XXX P2P公司的要求定义如下:
管理设备数量未来计划扩充到3万台左右
需要实现系统帐号的自动管理,即堡垒机系统可以为新增加的主机自动创建运维帐号,并且能根据要求自动分配运维权限
需要实现自动添加和删除用户功能,即如果有XXX P2P公司新员工入职或老员工辞职,系统可以自动添加或删除。
需要实现设备资产的自动添加功能,即当有设备增加或减少时,系统可以自动添加或删除变动的设备
需要实现权限自动划分功能,即用户和资产发生变化时,堡垒机能自动对新的用户和新的资产进行权限的分配
用户最主要的需求就是在运维人员、主机数量大幅增加的情况下,可以实现95%的运维自动管理,以降低管理人员负担,提高整体运维管理水平。
3.运维用户使用描述:
运维用户以后登录时不需要在使用跳板机,堡垒机会自动设置每个运维用户能登录的主机,并且在这个主机上为这个用户运维建立用户(密码与堡垒机上的静态密码相同),运维用户登录系统时,只需要输入堡垒机密码,从堡垒机跳转到设备上的密码由堡垒机代填。
4.设计开发:
本次开发主要由用户需求进行设计,分为帐号权限管理模块、堡垒机模块、文件传输模块、应用发布模块四大部分。
帐号权限管理模块主要实现帐号、资产同步,并且将自动设计账号和资产的权限关系,首先模块从AD域服务器进行同步用户帐号和组,当有新建帐号时,将帐号和帐号的组同步过来,并且将帐号加入所在组中,同时,模块还将与XXX P2P公司资产库进行资产同步,当有资产发生变化时,系统会自动将新的资产同步,并且将已经删除的资产删除,模块内部的权限关系主要是用户、用户组对设备组,当新的用户导进来时,加到相应的组中,即可自动分配相应的权限,当新的设备导入时,将设备加入到组中即完成设备的权限分配。账号同步模块上开户Radius或LDAP服务,所有的设备都将认证指到帐号同步模块系统上,系统会根据用户、用户组绑定的设备组进行判断用户能登录到哪台设备,运维用户希望登录设备时,只需要输入堡垒机上的帐号和密码,登录设置时的用户名与密码由堡垒机代填,这样可以大大增强运维效率。
堡垒机拆分为SSH/TELNET/RDP模块、FTP/SFTP模块、应用发布模块三个模块,其中SSH/TELNET/RDP为主要堡垒机模块,运维人员登录系统运维时主要使用这个模块,这个模块采用负载均衡方式,模块的认证、权限查询都要到认证授权中心进行。
FTP/SFTP模块为了让用户可以上传、下载文件,同样到认证授权中心进行认证和权限查询,FTP/SFTP模块可以记录用户向网内传送的文件名称。
应用发布模块用于运维人员配置B/S和C/S的系统时使用,同样,该模块也即有负载均衡功能,并且到认证授权中心进行认证和权限查询
5.系统实现:
本次定制开发主要实现如下功能:
将堡垒机拆分为若干模块,以便增强堡垒机性能和有助于管理
认证授权模块可以自动同步用户和资产变化,并且通过已经设置好的用户组和资产资的权限对应关系进行自动授权
认证授权模块开启认证服务(LDAP/RADIUS),所有设置将认证都指到认证授权中心,认证授权模块通过已经设置好的用户组和资产组之间的权限关系来判断哪个用户能登录哪台设备
设备上的用户可以通过认证模块自动创建,不需要手工创建
运维人员登录只需要输入堡垒机密码,设备用户名和密码由堡垒机代填
经过这些功能,堡垒机可以实现高性能,并且集帐号、资产、权限统一管理的自动化运维系统。
扫一扫
9950
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
