Gerenciando cluster de computadores linux atrás de firewalls

19

O produto da minha empresa é essencialmente uma caixa Linux (Ubuntu) na rede de outra pessoa executando nosso software. Até agora, tínhamos menos de 25 caixas na natureza e usamos o TeamViewer para gerenciá-las.

Estamos prestes a enviar 1000 dessas caixas e o TeamViewer não é mais uma opção. Meu trabalho é descobrir uma maneira de acessar essas caixas e atualizar o software nelas . Esta solução deve ser capaz de perfurar firewalls e o que você tem.

Eu considerei:

1. Solução doméstica (por exemplo, um serviço Linux) que estabelece um túnel reverso SSH para um servidor na nuvem e outro serviço na nuvem que mantém o controle desses e permite que você se conecte a eles.

Isso obviamente é trabalhoso e, francamente, parece reinventar a roda, pois muitas outras empresas já devem ter passado por esse problema. Mesmo assim, não tenho certeza se faremos um ótimo trabalho.

2. Ferramentas como fantoche, chef ou OpenVPN

Tentei ler o máximo possível, mas não consigo penetrar o suficiente no discurso de marketing para entender a escolha óbvia a seguir.

Ninguém mais, exceto nós, precisa se conectar a essas caixas. Existe alguém com experiência relevante que possa me dar algumas dicas?

linux  linux-networking  apt  ansible 
hakura
fonte
2
"Nós não estamos a ponto de navio" => "Nós estamos agora prestes a navio"?
Bob

Respostas:

23

Receba atualizações, não force

À medida que você escala, torna-se inviável fazer atualizações por push de todos os seus produtos.

  • Você precisará rastrear todos os clientes, cada um com uma configuração de firewall diferente.
  • Você precisará criar conexões de entrada através do firewall do cliente, o que exigiria o encaminhamento de porta ou algum outro mecanismo semelhante. Este é um risco de segurança para seus clientes

Em vez disso, solicite aos seus produtos as atualizações periodicamente e, em seguida, você poderá adicionar capacidade extra ao lado do servidor à medida que crescer.

Quão?

Esse problema já foi resolvido, como você sugeriu. Aqui estão várias abordagens em que consigo pensar.

  • using apt : Use o sistema apt interno com um PPA personalizado e uma lista de fontes. Como configuro um PPA?
    • Contras: A menos que você use um serviço de hospedagem pública como a barra de ativação, a configuração do seu próprio sistema de empacotamento PPA + apt não é para os fracos de coração.
  • using ssh : gere uma chave pública SSH para cada produto e adicione a chave desse dispositivo aos seus servidores de atualização. Depois, basta ter o seu software rsync/ scpos arquivos necessários.
    • Contras: É necessário rastrear (e fazer backup!) De todas as chaves públicas de cada produto enviado.
    • Pro : mais seguro que um download bruto, já que os únicos dispositivos que podem acessar as atualizações seriam aqueles com a chave pública instalada.

  • download bruto + verificação de assinatura :

    • Poste um arquivo de atualização assinado em algum lugar (Amazon S3, servidor FTP, etc.)
    • Seu produto verifica periodicamente a alteração do arquivo de atualização e baixa / verifica a assinatura.
    • Contras : dependendo de como você implanta isso, os arquivos podem ser acessíveis ao público (o que pode facilitar seu produto de fazer engenharia reversa e hackear)

  • ansible : O Ansible é uma ótima ferramenta para gerenciar configurações do sistema. Está no reino do fantoche / chef, mas não tem agente (usa python) e foi projetado para ser idempotente. Se a implantação do seu software exigir um script bash complicado, eu usaria uma ferramenta como essa para tornar menos complicado a execução de suas atualizações.

Claro, existem outras maneiras de fazer isso. Mas isso me leva a um ponto importante.

Assine / valide suas atualizações!

Não importa o que você faça, é imperativo que você tenha um mecanismo para garantir que sua atualização não seja adulterada. Um usuário mal-intencionado pode se passar por seu servidor de atualização em qualquer uma das configurações acima. Se você não validar sua atualização, sua caixa será muito mais fácil de invadir e invadir.

Uma boa maneira de fazer isso é assinar seus arquivos de atualização. Você precisará manter um certificado (ou pagar alguém para fazê-lo), mas poderá instalar sua impressão digital em cada um dos seus dispositivos antes de enviá-los para que eles possam rejeitar atualizações que foram adulteradas.

Segurança física

Obviamente, se alguém tiver acesso físico à implantação do cliente, poderá facilmente assumir o controle do servidor. Mas pelo menos eles não podem atacar as outras implantações! A segurança física é provavelmente a responsabilidade do seu cliente.

Por um momento, imagine o que aconteceria se você usasse uma grande rede OpenVPN para atualizações ... Eles poderiam usar o servidor comprometido para atacar todas as instâncias da VPN

Segurança

Faça o que fizer, a segurança precisa ser incorporada desde o início. Não corte cantos aqui - você vai se arrepender no final, se o fizer.

A proteção total deste sistema de atualização está fora do escopo desta publicação, e eu recomendo fortemente a contratação de um consultor se você ou alguém da sua equipe não tiver conhecimento nessa área. Vale cada centavo.

BobTuckerman
fonte
2
Eu recomendaria o uso do Ansible - ele está no meio da complexidade entre os scripts de shell e o gerenciamento completo da configuração do estilo Puppet / Chef e tem a sofisticação para fazer coisas mais complexas do que apenas atualizar o software (como sugerido pela pergunta " gerir").
RichVel
Se você seguir o caminho do uso do Ansible, poderá gravá-lo para rodar em 'localhost' e não exigirá acesso SSH a nenhuma das máquinas que estão sendo gerenciadas. Configure-o para ser um cronjob, e você é de ouro.
BobTuckerman 1/08/16
1
BTW: Se você deseja executar seu próprio servidor de pacotes, fpme aptlyexistem duas ótimas ferramentas que tornam muito mais fácil criar e hospedar seus próprios pacotes. Acabei de passar por esse processo recentemente e foi muito bom.
BobTuckerman
10

Você realmente precisa acessá-los?

Ou apenas atualizá-los? Como você pode fazer com que eles se atualizem, semelhante à forma como o apt é atualizado sem supervisão.

Se você precisar fazer login

Por que não um daemon OpenSSH escutando via encaminhamento de porta? Cada cliente pode ter uma chave separada para segurança e só será conectado quando necessário.

Até seus clientes

Você precisa levar em consideração o que o cliente também está disposto a aceitar. Eles podem não se sentir confortáveis ​​com qualquer acesso remoto à sua rede ou apenas com tecnologias / configurações específicas.

Ryan Babchishin
fonte
4
isto. com 1000 requisitos diferentes de clientes, pelo menos alguns não desejam uma conexão openvpn permanente de volta aos seus escritórios. O ideal é você tentar fazê-los se atualizar, se / como / quando detectam uma nova versão está disponível (a partir de um arquivo em um balde AWS S3, dizer que é o que fazemos..
Sirex
@Sirex - Uma desvantagem do uso de um bucket S3 é que não há uma lista de permissões de IP simples que o cliente possa usar para bloquear esse servidor, para que ele possa alcançar apenas o bucket que contém a atualização. Acabamos tendo que configurar um servidor de atualização com um endereço IP público estático para que os clientes pudessem usar filtros IP para controlar com o que esse servidor pode conversar. (AWS faz publicar todos os seus blocos de IP, por isso é teoricamente possível configurar um filtro que permite o acesso apenas a AWS recursos, mas isso é muito ampla para este caso de uso)
Johnny
Não temos as atualizações no S3, mas temos um arquivo de texto que detalha qual é a versão mais recente - usada pelo aplicativo para fornecer as mensagens de faixa 'atualização disponível'. Os clientes podem acionar (no nosso caso manualmente) o download da versão mais recente, no nosso caso, de um serviço chamado fetchapp.
Sirex
9

Sugiro uma ferramenta de orquestração como Puppet ou Salt .

O salt é uma fila de mensagens e pode fazer uma conexão de saída persistente do seu dispositivo para um servidor mestre. Você pode usar isso para executar comandos arbitrários nos dispositivos ... como um apt-get.

A outra opção é Puppet, onde você ainda possui um servidor mestre e os clientes fazem conexões de saída a partir de seus locais.

Uso essas duas ferramentas para uma finalidade semelhante, onde talvez eu não tenha controle administrativo do firewall.

ewwhite
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.