本文介绍运维员如何通过堡垒机进行批量自动运维,并对执行过程及结果进行审计,帮助企业提高运维效率的同时大大降低管理成本及运维安全风险。
背景信息
在企业业务中,存在对大批量资产进行同时运维的管理场景。因此,自动化批量运维的需求愈加明显,例如对多台资产进行定期备份主机文件、清理临时文件以及定时运行脚本等操作。通过编写和执行相应的脚本,可以有效简化工作流程,从而提升运维效率。
同时,批量执行脚本的场景存在脚本来源不明、脚本内容审查不足以及执行策略绕过等问题,这对企业而言可能导致业务数据被窃取、系统受损及恶意脚本的执行等风险。因此,如何在提升工作效率的同时保障运维安全,是企业需要关注的重要问题。
解决方案
为满足用户在自动化任务场景下的需求,阿里云堡垒机提供运维任务功能。运维员可针对主机批量下发执行脚本,管理员则能够同时查看脚本内容及运维任务的配置,从而有效避免恶意脚本和误操作等问题。在运维任务执行完成后,运维员可以查看并下载输出结果,管理员可查看堡垒机上所有运维任务的执行情况及结果,保证运维操作的全程审计,使运维更安全高效。
运维员批量运维
运维员可以通过运维任务功能批量对主机执行脚本。脚本设置完成后,通过关联被授权的主机账户批量对主机执行运维任务。任务执行完成之后,还可以查看或下载执行结果。
脚本内容目前仅支持Shell命令集,且最大不能超过64 KB。
脚本支持手动输入或指定运维脚本。运维脚本包括私有脚本和公共脚本,私有脚本由运维员创建,公共脚本由管理员创建并供运维员直接选择使用。
创建并执行运维任务
堡垒机控制台(RAM用户):如果运维员被授予RAM用户角色,需要在堡垒机控制台的管理页面创建并执行运维任务。具体操作,请参见RAM用户。
运维门户(非RAM用户):如果运维员被授予非RAM用户角色,需要在堡垒机运维门户创建并执行运维任务。具体操作,请参见非RAM用户。
查看运维任务执行结果
堡垒机控制台(RAM用户)
登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。
在堡垒机实例列表,定位到目标实例,单击管理。
在左侧导航栏,选择
在运维任务页签,定位到目标任务,在操作列,单击查看执行结果。
运维门户(非RAM用户)
登录堡垒机运维门户。具体操作,请参见登录运维门户。
在左侧导航栏,单击运维任务。
在运维任务页签,定位到目标任务,在操作列,单击查看执行结果。
管理员审计管控
管理员可对自动批量运维进行管控,包括公共脚本创建、运维任务审批及任务执行结果审计,同时管理员可以查看堡垒机上所有运维任务的详情,包括脚本内容、执行情况等信息,降低恶意脚本、非法命令等风险。
创建公共脚本
管理员创建公共运维脚本后,运维员在新建运维任务时可以直接选择使用。
登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。
在堡垒机实例列表,定位到目标实例,单击管理。
在左侧导航栏,选择
在公共脚本管理页签,单击新建运维脚本。
在新建运维脚本面板,输入脚本名称和脚本内容,单击新建运维脚本。
说明脚本名称长度为1~128个字符,不能以特殊字符开头,且只可包含特殊字符中的半角句号(.)、下划线(_)、短划线(-)以及空格。
脚本内容目前仅支持Shell命令集,且最大不能超过64 KB。
审批运维任务
运维员新建运维任务之后,需要管理员审批通过之后,任务才能正常执行。
登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。
在堡垒机实例列表,定位到目标实例,单击管理。
在左侧导航栏,选择。
在任务审批页签,定位到待审批的任务,在操作列,单击允许或拒绝。
审计任务执行结果
运维员在执行运维任务后,堡垒机会自动保存任务记录,管理员可以搜索、查看和下载不同时间段内的任务执行记录。
登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。
在堡垒机实例列表,定位到目标实例,单击管理。
在左侧导肮栏,选择。
在任务记录页面,查看最近180内的任务执行记录,包括脚本内容、执行结果等。