企业操作环境标准化始于操作系统(OS),但远不止于此。随着系统数量增长,配置会发生偏移,维护工作变得重复,更新操作可能迅速演变为棘手难题。红帽致力于支持您的标准化之旅,为您提供所需资源,助您打造强大且一致的集成式标准操作环境解决方案。
在这篇博客文章中,我将探讨您在标准化之旅中应重点关注的关键领域,以及如何利用红帽技术、产品和服务来实现这些环节的简化。
跨混合云的一致性
随着时间的推移,系统上的日常活动可能会导致配置偏移、工作负载运行问题以及潜在的威胁暴露。开启标准化之旅的最佳方式是拥有整个基础架构都可以依赖的一致基准,无论是在裸机、虚拟机监控程序还是云上。
红帽企业 Linux(RHEL)提供了两种不同的方式来开始构建安装镜像,这些镜像经过强化、预配置了您所需的工具,更重要的是能够长期重复使用。
镜像构建器
镜像构建器包含在 RHEL 中,也可在红帽智能分析服务中获取,它允许您定义操作系统镜像的蓝图。您的镜像可以根据需要包含任意数量的自定义设置,包括用户、防火墙规则、存储库以及要包含的软件包。您可以应用安全配置文件来强化镜像等。
镜像构建器可以生成能部署在本地、云中或边缘的安装介质(如 ISO、云提供商镜像、虚拟机监控程序镜像等)。
RHEL 的镜像模式
镜像模式基于开源 bootc 项目,引入了一种大规模构建和管理 RHEL 系统的新方法。通过在 Containerfile 中定义系统内容,您可以获得一个容器镜像,该镜像可以转换为安装介质(ISO、云镜像、虚拟机监控程序镜像等),并在整个基础架构中一致地部署。
优势
采用此类工具有很多好处,包括:
- 标准化构建:借助镜像构建器和镜像模式,您可以为服务器和应用创建更可信且可重复使用的基准。
- 减少偏移:镜像模式利用不可变的容器镜像,使系统保持在线状态,并提升稳定性与一致性。只有 /var 目录在更新过程中保持持久化。
- 提高安全性:标准化、版本控制且不可变的镜像,有助于减少暴露风险并改善安全态势。借助在镜像创建期间实施安全防护策略(CIS、PCI-DSS 等)的能力,可在构建时实现强化且合规的基准,从而缩短 Day 1 和 Day 2 运维时间。
红帽身份管理
身份和访问权限控制对于最大限度地减少企业组织内外的攻击面至关重要。权限管理需同时实现集中化与精细化。
能够定义和实施规则、策略,并管理主机、服务和用户,将极大提升系统维护效率与安全性。这有助于减少配置蔓延和偏移,避免您的基础架构暴露于安全威胁之中。
每个 RHEL 订阅都包含红帽身份管理(IdM),这是一个用于集中式身份和访问权限控制的完整解决方案。它提供:
- 面向主机、服务和身份的域控制器功能。
- 用于管理 RHEL 环境的 DNS 服务器功能。
- 用于颁发、签署和轮换证书的证书颁发机构功能。
- 实施细粒度的基于角色的访问权限控制(RBAC),以定义谁可以访问哪些系统,以及他们可以执行哪些操作。
- 多重身份验证和通行密钥支持。
置备、修补和内容管理
众所周知,在扩展基础架构时,服务器数量可能会激增。随着时间的推移,确保服务器内容和配置与其用途保持一致,这可能会成为一项挑战。通过采用红帽卫星,可在单一界面中大规模管理 RHEL 服务器。
红帽卫星提供广泛的功能,包括内容管理、置备以及针对数千个主机的大规模操作自动化。它还可作为报告和进一步开发自动化的可靠清单来源。
具体来说,当您需要满足实现以下目标时,红帽卫星是理想之选:
- 管理多个来源的内容,如 RPM 软件包、Flatpak、容器镜像。
- 定义和实施内容生命周期管理,定义环境和阶段,并在它们之间推进内容。
- 与裸机、虚拟机监控程序和云提供商交互,以置备和管理 RHEL 服务器。
- 利用与红帽智能分析的直接集成,充当非联网服务器的代理。红帽智能分析顾问功能甚至可以作为红帽卫星 6.17 中的技术预览版功能离线使用。
红帽智能分析
红帽智能分析是一款完全托管在红帽基础架构上的软件即服务(SaaS)解决方案。它有助于实现 CVE 管理和修复、恶意软件检测,并提供配置建议和意见等。
自动化
在处理成百上千台服务器时,自动化必不可少。借助自动化,您无需手动处理重复且可能容易出错的任务。但它的作用远不止于此。出色的自动化平台还能帮助您管理机密、凭据,并组织多项复杂任务。
红帽 Ansible 自动化平台是一个全面的 IT 自动化平台,可让您轻松开始大规模自动化服务器。不仅如此,它还提供了一整套功能,能够全面满足自动化需求的各个方面,包括:
- 管理服务器、设备、云提供商、第三方平台的凭据,或者您也可以创建和定义自己的凭据。
- 创建并管理设备清单,这些清单可以是静态的,也可以是从外部服务(如云提供商或虚拟机监控程序)或完全集成的红帽产品(如红帽卫星服务器、红帽智能分析等)中动态获取的。
- 在模板中组织自动化流程,以实现复杂运维的自动化,并针对特定任务引入授权步骤。
- 使用嵌入式的基于角色的访问权限控制功能来管理授权,以限制对平台的可见性、交互和访问。
如果您要创建或重用内容,该平台还提供将集合、角色和执行环境直接镜像和存储到自动化中心的功能,非常适合非联网环境或受严格监管的场景。
自版本 2.4 起,红帽 Ansible 自动化平台中提供了事件驱动自动化。这引入了一种全新的自动化范式,使您能够通过直接集成捕获并响应来自外部源(监控系统、云服务、队列和消息传递系统)的事件。
许多事件源已获得开箱即用的支持。未来计划支持更多事件源,并且第三方供应商已发布受支持的事件源版本。有关事件驱动自动化的更多信息,请阅读此概述。
实现环境标准化
标准化绝非仅仅选择单一操作系统,便能指望一切自动掌控。它需要一个由集成工具和产品组成的完整生态系统,以管理系统的各个方面,从部署到修补、更新和升级以及维护。
在红帽,我们坚信拥有一个由完全集成的组件构成的环境将获得巨大优势,这种环境能够满足您的企业组织所依赖的各项需求。 正因如此,我们在规划和执行客户向标准操作环境迁移的过程中,已为他们创造了巨大价值。
如果您有兴趣了解更多信息,请立即联系我们!
关于作者
Alessandro Rossi is an EMEA Senior Specialist Solution Architect for Red Hat Enterprise Linux with a passion for cloud platforms and automation.
Alessandro joined Red Hat in 2021, but he's been working in the Linux and open source ecosystem since 2012. He's done instructing and consulting for Red Hat and delivered training on Red Hat Enterprise Linux, Red Hat Ansible Automation Platform and Red Hat OpenShift, and has supported companies during solutions implementation.
