六· 跳板機模組
此文原出自【愛運維社群】:
6.1 概述
跳板機是登陸伺服器的唯一入口,任何使用者都需登陸跳板機才能訪問伺服器。跳板機模組是部署在跳板機伺服器上的,所有使用者的登陸和對伺服器操作都需經過該模組的**,並把伺服器的執行結果返回給使用者。該模組還負責接收處理跳板機系統其它模組發來的訊息,比如新增刪除伺服器,新增刪除使用者許可權等等。由於跳板機會模組記錄使用者所有的操作記錄,所以該模組還負責將使用者的操作記錄同步跳板機系統的**資料庫。
6.2 跳板機模組
跳板機模組主要包含認證及命令**,事件接收處理,日誌記錄和日誌同步四個子模組,不同的模組負責不同的邏輯處理,但又相互依賴,其結構如圖5-2-1所示。
圖 5-2-1 跳板機模組框架結構
其中,事件接收及處理模組是通過http協議和外部的事件排程處理模組進行通訊。認證及命令**模組,是使用者在登陸跳板機時進行認證,認證通過之後就可以登陸伺服器,該模組會把命令直接**過去。日誌記錄模組,是記錄使用者通過跳板機在伺服器上做的任何命令操作,包括命令的輸出結果。該模組會在本地建立乙個資料庫,並把操作記錄儲存下來。日誌同步模組,是將本地的操作日誌資料同步到**的資料庫。
6.2.1 事件接收及處理子模組
各個模組之間通訊主要有ticket訊息和跳板機訊息兩種訊息。而該模組是負責從監控排程處理模組接收跳板機訊息,然後做相應的操作,並將操作結果以json格式返回,跳板機訊息的型別及含義如表5-2-1所示。
表5-2-1 訊息型別定義
該事件處理模組,負責接收處理本跳板機相關10種訊息,主要涉及到伺服器和許可權控制兩部分。此外,為避免訊息偽造造成非法授權,所有的訊息都加入了salt欄位,用於檢驗訊息是否合法。
6.2.2 認證及命令**子模組
當使用者擁有了伺服器的訪問許可權之後,使用者就可以登陸跳板機,然後再從跳板機登陸伺服器。而認證及命令**子模組,則主要是實現了使用者的驗證,驗證通過後,就建立乙個終端直譯器,然後將使用者的指令**到該終端。使用者可以通過這種命令**的模式,可以登陸後端的伺服器,而伺服器上的命令執行結果也會被直接**回顯給使用者,也就是說,該模組實現了乙個命令橋接中轉的作用。
6.2.3 日誌記錄子模組
由於使用者的命令都是通過中轉的方式發給伺服器的,所以跳板機可以通過該命令輕鬆地把使用者操作及返回結果全部記錄下來,該日誌記錄子模組則是負責將使用者的登陸日誌,操作日誌進行分析,然後全部記錄到跳板機本地資料庫。
6.2.4 日誌同步子模組
在日誌記錄子模組將該跳板機上所有的使用者行為分析存入到本地的資料庫之後,跳板機會每隔5分鐘,呼叫日誌同步子模組,將所有的資料庫同步到**資料庫,以便前台顯示和後續的日誌分析之用。
6.3 小結
跳板機模組是整個跳板機系統的最重要的部分,當使用者擁有了伺服器的訪問許可權之後,就僅需要登入跳板機就可以訪問伺服器,不需要再去web頁面做任何登入前的準備工作,所以跳板機模組的穩定性和併發性是至關重要的。為此,需要對跳板機模組做了大量的容錯處理和異常檢測處理,保證跳板機的高度可用。
此文原出自【愛運維社群】:
2 跳板機服務 雲跳板機服務系統設計及實現
二 跳板機服務 此文原出自 愛運維社群 1.概述 當前主流的跳板機系統都是採用單機或者雙機熱備的部署方式,管理所有的伺服器。該部署方式缺陷在於,一旦部署完畢之後,可擴充套件性就比較差。此外,由於所有的人都是通過一台跳板機進行登入訪問,必須對安全許可權進行控制,倘若公司人員很多,許可權申請比較頻繁,安...
4 2 前端模組 雲跳板機服務系統設計及實現
4.3 跳板機管理員 此文原出自 愛運維社群 跳板機管理員,則是管理本部門所有伺服器許可權申請及告警等。不同部門的管理員管理的跳板機和伺服器是不相同,他們是不能管理其他部門的跳板機和伺服器,從而避免了非法授權的情況發生。跳板機管理員的ui模組主要包括 概要面板 告警記錄 伺服器 跳板機 許可權管理 ...
跳板機伺服器 jumpserver
1 有效管理使用者許可權資訊 2 有效記錄使用者登入情況 3 有效記錄使用者操作行為 1 系統環境 centos7.5 centos7.6 2 安全優化 selinux關閉 防火牆服務關閉 yum y install git python pip mariadb devel gcc automake...