自动化运维工具安全审计问题?
一般机构都有堡垒机(运维审计平台) 自动化运维绕过了审计,这方面是如何做的。
像ansible 使用ssh 是如何与 堡垒机对接的。还是单独建立帐户权限,或直接使用秘钥认证呢
2同行回答
Ansible可以通过堡垒机管理被管节点,例如有三类节点:
管理节点,admin.example.com,是执行ansible命令的服务器
被管理的节点,internal1.example.com, internal2.example.com
堡垒机,bastion.example.com
管理节点不能直连 internal1 & internal2,需要通过堡垒机建立连接。
管理节点连接堡垒机的方式如下:
ssh -i keyfile_bastion -p 12345user@bastion.example.com
从堡垒机连接internal节点的方式如下:
ssh -i keyfile_internal -p 23456 user@internal1.example.com
ssh -i keyfile_internal -p 23456 user@internal2.example.com
收起