前言
自动化运维架构,是一种综合了管理机制、权限划分、软件和人员支持的综合架构。在建设和优化的过程中,需要设计人员不断根据产品现状进行调整。这篇文章主要从 测试环境、造数规范、运维入口、服务器和软件规范、网络隔离级别 几个方面入手,阐述实用的运维架构的编制方法。
目录
- 什么是自动化运维
- 运维入口的一致性
- 入口一致性之测试篇
- 入口一致性之人员篇
- 入口一致性之服务器篇
- 入口一致性之软件配置篇
- 入口一致性之网络篇
这里的自动化运维,主要是应用上线后的 测试环境管理 / 应用更新 / 监测机制 。读者可以参照这些机制,按照现有或将来的技术发展、选择适合自己的软件和设备来实现架构。
当然,自动化是运维发展到一定程度(注意:不是一定规模)的自然需要。在此之前,运维入口的一致性(如:统一抽取日志 / 统一监控等软件的安装位置 / 统一系统用户权限等)、服务器规范和软件规范的一致性必须得到保证。下面就笔者掌握的经验来谈谈。
首先从测试环境管理机制讲起。测试环境与生产环境相比,除了代码的差异外、还有系统数据的差异。而两种环境之间,应该共享一套用户认证机制(如采用相同版本的 CAS 、 LDAP 等统一访问协议)和网络划分 / 权限管理方法。此外,数据库安装位置和参数设置也应尽量和生产环境对齐、以便复现问题和减少排查工作。
| 服务器 | 数据库 | 涉外文件服务器 / CDN | |
| 认证方式 | 建议与生产一致 | 建议与生产一致 | 建议与生产一致 |
| 账号规范 | 建议与生产一致 | 建议与生产一致 | 建议与生产一致 |
| 部署方式(DevOps 、 Yum 安装、NPM 安装等) | 建议与生产一致 | 建议与生产一致 | |
| 请求网关(Nginx 、Httpd等) | |||
| 安装位置 | 建议与生产一致 | 建议与生产一致 | |
| 日志采集 | 建议与生产一致 | 建议与生产一致 | 建议与生产一致 |
| 应用数据规范 | 需要区分 | 需要区分 | |
| 网络权限 | 建议与生产一致 | 建议与生产一致 |
如上表所示,空白的部分建议按需考虑。测试环境不是简单复制了生产环境,有一些部分还需要进行调整、因为测试环境是针对设计场景和生产问题而服务的。测试环境非必要不引进生产的数据。一般在涉及基础软件(如应用框架版本 / 服务器操作系统 / 数据库版本变更)的修改时,才需要引进生产环境的真实数据。
与真实数据相对,我们需要测试环境的造数规范。测试环境应该有一套完整的用户、物料、组织单元、系统权限名称(等)的命名规则。如所有测试用户都以 “测” 开头,且名字应该随机生成。各测试系统间的接口 / 直联数据库等应该实现自动生成;避免开发和测试人员在不同系统间,重复录入测试信息。
| 业务流程所需集成环境 | 单据生成 | 其他 | |
| 生产 | 可以按各自规范集成 | 可以按需使用模板或手工生成 | |
| 测试 | 需要一键集成、节省测试时间 | 建议按业务场景预制模板后,用模板生成 |
接下来,我们具体谈运维入口的一致性。业务系统各模块应该有对应的责任人(Owner),对系统的原始数据拥有使用权。如果该模块使用了其他模块的数据,则按原始数据的模块 Owner 一同会签管理。当需要进行运维,应当由各模块的 Owner 以书面形式提交到工作台。工作台在明确需求后,如需要开通访问权限,则通过脚本在目标机器生成临时账号,使用后及时删除该账号。如需进入超级用户操作应用,则需工作台人员输入账号密码、并全程在工作台人员陪同下操作。
还有服务器规范。服务器安装应该按应用机、数据库机、堡垒机(集群)进行网段划分。特别是数据库和应用服务器,单体应用通常采用数据库和应用在相邻 IP 地址部署(好朋友天天见?)。而且堡垒机应该设置对应的令牌、限制单次访问的会话长度。
还有软件规范。软件安装应采用统一的目录。如 Windows 机器可以专门安装在非系统盘的某个固定位置、Linux 机器可以在 /etc 等位置统一安排、保证需要访问的软件之间互通目录权限。并且,需要分开安装目录和备份目录。备份规则可以是 【软件名字】+【备份时间】+【 生产/ 测试 / 开发】。这里的目录和软件权限,可以和各生产 / 测试环境的账号权限管理结合起来。下面举例说明一些用户名字和访问权限的关系。同一个用户(主账号)可以绑定多个下面的权限账号。且当主账号所属人员离职和调动后、原有权限账号可以统一停用;或按下面规则转移一个或多个权限账号给交接的主账号。
| 名字 | 权限 | 使用范围 |
| zhangsan_prd_guest | 常规权限,访问管理员以外的目录;可以用作文件传输、数据处理等。 | 生产环境 |
| lisi_dev_dataquery | 数据库权限,专门访问数据库查询;建议只能访问数据库所在目录。 | 开发环境 |
| wangwu_uat_datamaster | 数据库权限,包含创建表和删除表的权限;建议只能访问数据库所在目录。 | 测试验收环境 |
| gongliu_prd_admin | 可以访问 linux 的 /home 目录或 windows 系统盘,具有完全操作权限。 | 生产环境 |
| zhaoqi_dev_appadmin | 可以访问配置好的 http 服务器(IIS / nginx / tomcat / Webshpere 等)目录,具有启动和停止应用的权限。适合进行日志调取、故障排查等场合。 | 开发环境 |
还有补充网络隔离级别的规范。
总结
以上是对于自动化运维架构的一些想法和编制思路,希望能帮到大家。
(完)
429
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
