利用红帽 Ansible 自动化平台实现政府 IT 自动化

手动活动占据了政府 IT 团队每周的大部分工作时间，这阻碍了创新。部署一台服务器或存储设备，可能需要人均花费 1-3 天的时间。在完成置备后，每台设备和应用都需要执行耗时的 Day 2 运维活动，例如重启、安装安全补丁以及配置更改。

手动 IT 活动会阻碍政府效率，因为这些活动具有以下特点：

• 耗时：修补工作尤其繁琐。一个紧急补丁可能需要分别安装到 200 台虚拟机（VM）上。除了完成补丁安装外，管理员还必须识别依赖关系并解决相关问题，与网络和应用团队协调，逐一关闭应用服务器以维护服务级别协议（SLA），并重新配置负载均衡器以排空正在进行修补的服务器上的流量。针对每个操作系统或应用的补丁安装，还需要花费更多时间获取相关技能和工具。
• 易于出错：许多 IT 团队手动升级和修补系统，有时需遵循包含数十甚至数百个步骤的流程。若未能正确完成其中任何一个步骤，都可能导致安全漏洞或直接引发系统故障。
• 忽视漏洞：未应用的安全补丁（无论是 IT 团队因忙碌而无意遗漏，还是出于战术考量刻意忽略），会使政府机构面临攻击风险。根据 Ponemon Institute 的一项研究，57% 的攻击本可通过安装现有的安全补丁得以避免。¹
• 效率低下：IT 人才的最大价值在于推动创新以支持您的核心使命，而非执行重复性活动。

自动化可以帮助 IT 团队应对这些挑战。通过自动化处理一项手动任务所节省的时间，可用于实现更多任务的自动化，或优化软件和基础架构运维，从而为您的核心使命提供更有力的支撑。 

政府 IT 团队可以利用红帽® Ansible® 自动化平台，跨各种硬件和软件产品自动执行和编排操作，包括基础架构、网络设备、安全信息和事件管理（SIEM）系统、边缘设备、私有云和公共云以及 IT 服务管理（ITSM）系统。

Ansible 自动化平台提供跨 IT 流程和任务的端到端自动化，无论是配置系统、部署补丁及其他软件，还是编排高级工作流。该平台可以部署在本地，也可以部署到您选择的云服务提供商处，包括 Amazon Web Services（AWS）、Microsoft Azure 或 Google Cloud Platform，并提供托管版本，以进一步简化部署和运维。

作为 Ansible 自动化平台组成部分的 Ansible 内容集，将可重复使用的模块、插件、Playbook 和角色打包到一起，用于自动化 IT 任务，例如修补数据库或配置交换机，遵循一致的结构并采用单一可移植格式。其中许多内容集都经过红帽认证，但 IT 部门也可以编写自己的 Ansible 内容，以满足独特的要求或用例。然后，管理员可以通过单个步骤执行自动化任务，并同样高效地恢复到原始配置。

红帽的自动化技术专为复杂的企业环境而设计，可满足政府 IT 的严格要求，包括：

• 进入门槛低：Ansible 自动化平台在公共和私营部门广泛应用，因此具备专业技能的人才资源十分丰富。与传统代码不同，Ansible 内容采用人类可读的语言，易于编写和阅读，且具有自记录功能。所有 IT 团队（计算、存储、网络、操作系统和应用）都使用相同的平台和语言。
• 简化安全防护和治理：鉴于自动化代码影响的系统数量和数据量之大，验证代码来源是否合法至关重要。Ansible 自动化平台可以集中存储所有自动化内容，无论这些内容是内部开发还是由第三方开发。IT 团队可以选择不执行任何来源的自动化内容，除非这些内容已经过数字签名。
• 补充现有的自动化工具：Ansible 自动化平台不会取代现有的特定于产品的自动化工具，而是将它们链接起来，从而实现价值倍增。例如，采用基础架构即代码（IaC）方法且使用 Hashicorp Terraform 的团队，可以从 Ansible 自动化平台调用 Terraform 工作流。
• 可与政府部门常用的 IT 系统集成：Ansible 自动化平台兼容 ServiceNow（用于 ITSM）、Splunk（用于 SIEM）和 Dynatrace（用于软件可观测性）等解决方案，可帮助 IT 团队编排观测、决策制定、变更管理和配置管理流程。
• 赋予每个团队对其自身配置和流程的控制权：控制资产的团队同时也掌控该资产的访问权限，有助于防范配置偏移或未经授权的特权提升等安全风险。例如，从 Ansible 自动化平台内部启动流程（如修补服务器或升级软件）的管理员，不会获得特权访问权限。相反，Ansible 自动化平台将会调用相关资产所属团队定义的操作指令。
• 为获得操作授权（ATO）扫清障碍：红帽携手政府机构，为简化 ATO 申请流程提供指导。作为 Ansible 自动化平台管理界面的自动化控制器，其《安全技术实施指南》（STIG）可从美国国防部（DoD）网络交换中心 STIG 文档库下载。 

修补和配置更改。 这些任务只需稍作努力即可实现自动化，从而快速获得投资回报（ROI）。

置备计算或存储资源。 IDC 的一项研究表明，93% 的企业组织使用多个公共云提供商。²作为能够在本地和公共云中置备资源的单一工具，Ansible 自动化平台有助于降低复杂性。

管理虚拟机。 借助红帽 OpenShift® 虚拟化，在红帽 OpenShift 上运行虚拟机和容器。然后，使用 Ansible 自动化平台自动执行 Day 2 虚拟机运维，如配置更改、修补和重启。Ansible 自动化平台还简化了 VMware vSphere 运维的自动化流程。

创建自我修复服务。 使用事件驱动的 Ansible（Ansible 自动化平台的一项功能）来监控定义的条件，并通过执行自动化操作来做出响应。例如，如果集群中的一个节点停止响应，Ansible 自动化平台可以自动重启服务。

提供限时网络访问权限。 例如，如果承包商需要 24 小时访问系统，则管理员必须在设定时间过后关闭防火墙端口。但是，如果管理员错过了自己设置的提醒，端口将保持开放状态，从而造成安全漏洞。借助 Ansible 自动化平台，系统可以在管理员设置作业时提示他们输入结束时间，这样端口将会在指定时间自动关闭。

置备限时资源。政府 IT 团队有时需要在短时间内提升云计算能力，例如为医保开放参保期、税务申报或军事行动做准备。然而，在不再需要这些资源后仍继续保留它们，会导致云成本迅速攀升。借助 Ansible 自动化平台，系统可以在置备过程中提示管理员输入释放资源的时间。

支持事件响应。如今，政府 IT 安全团队通常会通过逐台设备采取应用补丁、关闭端口、删除用户等措施来缓解威胁。但手动事件响应会耗费大量人力，且最后修复的设备比最先修复的设备暴露于风险的时间更长。借助 Ansible 自动化平台，安全团队可以针对所有存在漏洞的设备同时采取措施，无需等待。

建立事件驱动的流程。 当与其他政府系统集成时，Ansible 自动化平台能够检测这些系统中的事件，并自动触发相应的操作。具体示例包括：处理通过 IT 工单系统提交的虚拟机请求、利用基础架构即代码（IaC）实现服务器置备自动化、为新员工创建软硬件系统帐户，或恢复应用服务器与数据库之间的连接。 

为美国某个大城市服务的中央 IT 团队

之前：为 90 台 Oracle 高可用性（HA）服务器分别安装补丁需要 2 小时，创建域名系统（DNS）记录需要 8 小时。在变更窗口期间（通常跨越周末），两名 Oracle 数据库管理员和一名 Linux® 工程师需随时待命。

采用 Ansible 自动化平台后：服务器补丁安装所需时间减少 81%，单台服务器通常耗时不到 45 分钟。以 90 台服务器计算，IT 团队每次修补可节省 112.5 小时，这相当于一名全职员工两周的工作时间。创建 DNS 记录的时间从 8 小时缩短到 15 分钟，降幅达 97%。此外，IT 人员无需再在周末随时待命。

某执法机构

之前：该机构每个月要重建 25 个 Linux 虚拟机，需要 4 个人工作 1-2 天才能完成。

采用 Ansible 自动化平台后：现在只需一名员工工作 30 分钟即可实现 Linux 虚拟机重建任务自动化。此举每年为该机构节省 1,500 个带薪工时。由于 IT 团队能在一天内处理完大部分应用恢复请求，服务水平显著提升。

与某主要联邦政府机构合作的系统集成商

之前：该系统集成商每天会收到 3-4 个虚拟机重启请求。每当收到请求，VMware vCenter 管理员都需要暂停当前工作 15 分钟，以登录系统、重启虚拟机，并在工单系统中记录活动。

采用 Ansible 自动化平台后：请求会自动得到处理，每天为管理员节省 45-60 分钟时间。

注册以免费试用红帽 Ansible 自动化平台。