Управление кластером компьютеров Linux за брандмауэрами
Продукт моей компании - это, по сути, Linux-система (Ubuntu), находящаяся в чужой сети, в которой работает наше программное обеспечение. До сих пор у нас было менее 25 ящиков в дикой природе, и мы использовали TeamViewer для управления ими.
Сейчас мы собираемся отправить 1000 таких ящиков, и TeamViewer больше не является вариантом. Моя задача - найти способ доступа к этим ящикам и обновления программного обеспечения на них . Это решение должно иметь возможность преодолевать брандмауэры и то, что у вас есть.
Я рассмотрел:
1. Домашнее решение (например, служба Linux), которое устанавливает обратный туннель SSH к серверу в облаке, и другую службу в облаке, которая отслеживает их и позволяет вам подключаться к ним.
Очевидно, что это трудозатратно, и, честно говоря, похоже на изобретение велосипеда, поскольку многие другие компании уже столкнулись с этой проблемой. Тем не менее, я не уверен, что мы хорошо с этим справимся.
2. Такие инструменты, как марионетка, шеф-повар или OpenVPN
Я старался читать как можно больше, но, похоже, не могу вникнуть в маркетинговую речь, чтобы понять очевидный выбор.
Никому, кроме нас, не нужно. подключиться к этим ящикам. Есть ли у кого-нибудь соответствующий опыт, который может дать мне несколько советов?
आरएसएनसी / एससीपी आवश्यक फाईल्स आहेत.
[१२62२] कॉन: [११48495]]] आपण पाठविलेल्या प्रत्येक उत्पादनासाठी सर्व सार्वजनिक की चा मागोवा घ्या (आणि बॅकअप घ्या!) आवश्यक आहे. [१२63]] प्रो [११979 7 a]: कच्च्या डाऊनलोडपेक्षा अधिक सुरक्षित, केवळ प्रवेश करणार्या डिव्हाइसमुळे अद्यतने ही सार्वजनिक की स्थापित केलेली अद्यतने असेल. [१२64]] कच्चा डाउनलोड + स्वाक्षरी तपासणी [११4848383]]: [१२65]] कोठेतरी साइन इन केलेली फाईल पोस्ट करा (Amazonमेझॉन एस 3, एफटीपी सर्व्हर इ.)[१२66]] आपले उत्पादन नियमितपणे अद्ययावत फाइल बदलली जाण्यासाठी तपासते आणि नंतर स्वाक्षरी डाउनलोड करते / सत्यापित करते. [१२67]] कॉन [११484]]:]: आपण या उपयोजित कसे केले यावर अवलंबून, फायली सार्वजनिकरित्या प्रवेश करण्यायोग्य असू शकतात [११85485००] (जे कदाचित रिव्हर्स इंजिनियर आणि हॅक करण्यासाठी आपले उत्पादन सुलभ करा)
उत्तरदायी : सिस्टम कॉन्फिगरेशन व्यवस्थापित करण्यासाठी उत्तरदायी एक उत्तम साधन आहे. हे कठपुतळी / शेफच्या क्षेत्रात आहे, परंतु एजंटलेस आहे (अजगर वापरतो) आणि आदर्शवत करण्यासाठी डिझाइन केलेला आहे. आपल्या सॉफ्टवेअरला उपयोजित करण्यासाठी क्लिष्ट बॅश स्क्रिप्टची आवश्यकता असल्यास, मी आपली अद्यतने करणे कमी क्लिष्ट करण्यासाठी यासारखे एखादे साधन वापरणार आहे. [१२69]] अर्थात हे करण्यासाठी इतरही मार्ग आहेत .. परंतु ते माझ्याकडे आणते महत्त्वाचा मुद्दा. [१२70०] आपली अद्यतने साइन / वैध करा! [१२ 12१] आपण काय करता हे महत्त्वाचे नाही, [११4815१155] अत्यावश्यक आहे [११4815१156] आपल्या अद्ययावतमध्ये छेडछाड केली गेली नाही याची खात्री करण्यासाठी आपल्याकडे यंत्रणा आहे. दुर्भावनायुक्त वापरकर्ता वरीलपैकी कोणत्याही कॉन्फिगरेशनमध्ये आपल्या अद्यतन सर्व्हरची तोतयागिरी करु शकेल. आपण आपले अद्यतन सत्यापित न केल्यास, आपला बॉक्स खूपच [११4848१ much [8] खाचणे आणि त्यात प्रवेश करणे सोपे आहे. [१२72२] असे करण्याचा एक चांगला मार्ग म्हणजे आपल्या अद्यतन फायलींवर स्वाक्षरी करणे. आपल्याला प्रमाणपत्र टिकवून ठेवावे लागेल (किंवा तसे करण्यासाठी एखाद्याला पैसे द्यावेत) परंतु आपण आपल्या प्रत्येक डिव्हाइसवर आपली फिंगरप्रिंट शिप आउट करण्यापूर्वी स्थापित करण्यास सक्षम व्हाल जेणेकरून ते छेडछाड केलेली अद्यतने नाकारू शकतील. [१२73]] शारीरिक सुरक्षा [१२7474] अर्थातच, एखाद्यास ग्राहकाच्या उपयोजनात प्रत्यक्ष प्रवेश असल्यास ते सर्व्हर सहज स्वीकारू शकतात. [११4815१9]] परंतु किमान अन्य तैनातींवर ते हल्ला करू शकत नाहीत! [११481१60०] शारीरिक सुरक्षा ही कदाचित आपल्या ग्राहकाची जबाबदारी असेल. [१२7575] जर आपण एका क्षणासाठी, एक वापरला तर काय होईल याची कल्पना करा अद्यतनांसाठी मोठे ओपनव्हीपीएन नेटवर्क ... त्यानंतर ते वापरू शकले व्हीपीएन [१२ 12]] सुरक्षा [१२7777] वर प्रत्येक प्रसंगी [११4 1284]] attack] वर हल्ला करण्यासाठी तडजोड सर्व्हर [१२76 Security] सुरक्षितता [१२77]] आपण जे काही कराल त्यापासून सुरक्षेपासून [११481१63]] [११4848१63]] मध्ये अंगभूत करणे आवश्यक आहे. येथे कोपरा कापू नका - आपण असे केल्यास शेवटी त्याचा पश्चाताप कराल. [१२78]] या अद्ययावत प्रणालीची पूर्णपणे सुरक्षितता करणे या पोस्टच्या आवाक्याबाहेर आहे आणि आपण किंवा आपल्या कार्यसंघातील कोणी नसल्यास सल्लागार नेण्याची मी जोरदार शिफारस करतो. या क्षेत्रात जाणकार नाही. हे प्रत्येक पैशाचे मूल्य आहे.
आपल्याला त्यामध्ये प्रत्यक्षात प्रवेश करण्याची आवश्यकता आहे?
किंवा त्यांना अद्यतनित करा? कारण आपण त्यांच्या स्वतःस अद्ययावत करू शकता जसे की स्वतःच्या अद्ययावत अद्यतनांप्रमाणेच कसे करावे. [१२२१] आपल्याला लॉग इन करणे आवश्यक असल्यास [१२२२] ओपनएसएच डिमन पोर्ट फॉरवर्डिंगद्वारे का ऐकत नाही? प्रत्येक ग्राहकांकडे सुरक्षेसाठी एक वेगळी की असू शकते आणि जेव्हा आवश्यक असेल तेव्हाच कनेक्ट केली जाईल. [१२२]] आपल्या ग्राहकांवर अवलंबून [१२२]] ग्राहक काय स्वीकारण्यास इच्छुक आहे ते आपण विचारात घेणे आवश्यक आहे. ते कदाचित त्यांच्या नेटवर्कमध्ये कोणत्याही दूरस्थ प्रवेशामुळे आरामदायक नसतील किंवा केवळ विशिष्ट तंत्रज्ञान / कॉन्फिगरेशनसह आरामदायक असतील.
मी पपेट [11481112] किंवा मीठ सारख्या ऑर्केस्ट्रेशन साधन सुचवितो.
मीठ एक संदेश आहे रांग आहे आणि आपल्या डिव्हाइसवरून मास्टर सर्व्हरवर सक्तीने परदेशी कनेक्शन बनवू शकते. आपण याचा उपयोग उपकरणावर अनियंत्रित आज्ञा चालविण्यासाठी करू शकता ... जसे की [११4811१] a] -प्ट-गी [११4811१55]. [१२32२] दुसरा पर्याय पपेट आहे, जिथे आपल्याकडे अद्याप मास्टर सर्व्हर आहे आणि क्लायंट त्यांच्याकडून आउटबाउंड कनेक्शन बनवतात स्थाने. [१२3333] मी ही दोन्ही साधने एकाच कारणासाठी वापरतो जिथे माझ्याकडे फायरवॉलचे प्रशासकीय नियंत्रण असू शकत नाही. [११47686868]]