A konfigurációs sodródás minden IAAC-fejlesztő számára fontos probléma. Ez a bejegyzés megismerheti a konfigurációs eltolódás kezelését, annak fontosságát, okait és lehetséges megoldásait.
Tartalomjegyzék
Mi az a Configuration Drift?
Az alkalmazástulajdonosoknak idővel módosítaniuk kell alkalmazásaikat és az alapul szolgáló infrastruktúrát, hogy folyamatosan javítsák az ügyfélélményt. Ezek az ügyfelek lehetnek a vállalaton belül vagy kívül.
Az alkalmazások és az infrastruktúra konfigurációja megváltozik a frissítések és változtatások eredményeként. Ezek a módosítások előnyösek lehetnek, vagy ronthatják a rendszerek edzett állapotát. A konfigurációs sodródás a kifejezés erre.
Hogyan működik a Configuration Drift
A konfigurációs sodródás lehetősége a szoftvergyártási és -szállítói rendszerek bonyolultságával nő. A kód általában a fejlesztői munkaállomásról egy megosztott fejlesztői környezetbe, teszt- és minőségbiztosítási környezetbe, végül pedig átmeneti és éles környezetbe kerül.
A potenciális hatás növekszik, ha a csővezeték mentén milyen messzire történik az elsodródás. Még a fejlesztő laptopjára telepített csomagverzió és a tesztkiszolgálóra telepített verzió közötti kisebb eltérések is késleltethetik a hibakeresést. Általában csak a színpadra állítás és a gyártás várhatóan egymás replikái. A feszültség erős, mert sok vállalkozás naponta többször telepít új kódot.
A konfigurációs eltolódás gyakori okai
Kommunikáció hiánya
Előfordulhat, hogy az upstream csapatok nem kommunikálnak a downstream partnerekkel az általuk végrehajtott változtatásokról, ami ennek eredményeként az egész downstream rendszert tönkreteszi.
Gyorsjavítások
A gyorsjavítások olyan kritikus probléma megoldása érdekében végrehajtott kódmódosítások, amelyek nem tudnak várni az alkalmazás következő tervezett frissítéséig. Néha a probléma megoldásán dolgozó mérnökök nem hajtanak végre változtatásokat vagy nem dokumentálják ugyanazt a javítást a folyamatban lévő más környezetekben, ami ennek eredményeként sodródáshoz vezet. Gyakran az eredeti probléma újbóli bevezetése megoldja ezt a sodródást.
Kritikus csomagfrissítések
A kritikus csomagfrissítések némileg hasonlóak a gyorsjavításokhoz. Mindkettőt gyors ütemben hajtják végre. A fő különbség az, hogy a kritikus csomagfrissítéseket a jövőbeni incidensek elkerülése érdekében alkalmazzák. Tehát az ilyen frissítések ugyanúgy sodródást okozhatnak, mint a gyorsjavítások.
Az automatizálás hiánya
Az automatizálás nem szünteti meg teljesen a konfigurációs eltolódás esélyét. Ez csak csökkenti az esélyeit.
Kényelmi változások
Néha a fejlesztők által végrehajtott változtatások átmenetiek. Például, ha a fejlesztő egy új csomagot telepít egy tesztkiszolgálóra, hogy teszteljen bizonyos funkciókat, és elfelejti visszaállítani az eredeti állapotát.
Miért fontos a konfigurációkezelés?
Az egyik oka annak, hogy a konfigurációk eltolódása olyan káros lehet, hogy ha senki sem keresi folyamatosan, az elsodródás felderíthetetlen marad, mivel fokozatosan aláássa az infrastruktúra alapjait, akárcsak egy kis szivárgás egy fal mögötti házban.
Amikor a konfigurációs eltolódást felfedezik, időbe telik a konfigurációs eltolódás mögöttes okának megtalálása, amely mindezt okozta, ami vészhelyzetben értékes erőforrás.
A szoftverfejlesztésben a sodródás a lassú kiadási ciklusok jelentős oka. Felesleges fáradságot okozhat, és akadályozhatja a fejlesztő termelékenységét.
Alacsonyabb költségek
Csökkentheti a szükséges teljes összeget a párhuzamosságok vagy a túlzott kiépítés azonosításával, ha részletes képet kap az IT-infrastruktúráról.
Magasabb termelékenység
A stabil és jól ismert konfigurációkkal rendelkező fürtök kötegkezelést és infrastruktúra-építést tesznek lehetővé. Továbbá az egyedi beállítások manuális kezelésének követelménye csökken az egyedi (vagy hópehely) szerverek korlátozásával.
Gyorsabb hibakeresés
A konzisztens konfigurációk lehetővé teszik a hibakereső csapatok számára, hogy kizárják a konfigurációs hibákat. A csapatok más lehetséges okokra koncentrálhatnak, és gyorsabban oldják meg a jegyeket, mert nem kell konfigurációs eltéréseket keresniük a szerverek, szerverfürtök vagy környezetek között.
A konfigurációs eltolódás miatt okozott problémák
Biztonsági kérdések
A nem biztonságos konfigurációk a biztonság megsértésének egyik leggyakoribb oka. A konfiguráció eltolódása más támadásokat és hálózati feltöréseket valószínűsíthet, még akkor is, ha védett konfigurációval kezdi.
Állásidő
Jelentős leállást okozhat egy konfigurációs hiba, amely lehetővé teszi a támadó számára, hogy DoS-hibát használjon, vagy feltörjön egy kulcsfontosságú szervert. Ez azonban még nem minden. Tegyük fel, hogy módosítja egy hálózati eszköz konfigurációját, ami befolyásolja a teljesítményt. Mindig visszatérhet az „arany konfigurációjához”, igaz? Sokkal tovább tart a szolgáltatás visszaállítása, ha a konfiguráció hibás.
Kiesés a megfelelésből
Szigorú biztonsági ellenőrzésekre van szükség az olyan előírásoknak való megfeleléshez, mint az ISO 27001, a PCI-DSS és a HIPAA. A konfiguráció eltolódása a megfelelőség megsértését okozhatja, ha nem állítja le.
Csökkent teljesítmény
Egy konfiguráció általában akkor van a legoptimálisabb állapotban, ha a tervezett állapotában van. Az ad-hoc módosítások akadályozhatják a hálózat optimalizálási kísérleteit azáltal, hogy szűk keresztmetszeteket és konfliktusokat okoznak.
Elvesztegetett idő
Hosszú ideig tarthat egy olyan hálózat hibaelhárítása, amelyet nem ért jól, vagy nem egyezik a hálózati dokumentációval. Ez azt jelenti, hogy a konfiguráció eltolódása olyan informatikai hibaelhárítási problémákat eredményezhet, amelyek esetleg nem léteztek volna, vagy könnyebben megoldhatók lettek volna, ha a hálózat a tervezett állapotban lett volna, amellett, hogy leállást generál a felhasználók számára.
Gyakori hibák, amelyekre figyelni kell a konfigurációs eltolódás figyelésekor
Egy tökéletes világban az összes fejlesztői környezetkiszolgáló (Dev/QA/Staging/Prod) azonos konfigurációval rendelkezne. Sajnos a dolgok nem így működnek a „valós” világban. Kereskedelmi környezetben az alkalmazástulajdonosok gyakran módosítják az infrastruktúrát, amikor új képességeket vezetnek be a szoftverbe.
A konfigurációs eltolódás figyelése kulcsfontosságú annak biztosításához, hogy a szoftverkörnyezetek a lehető leghomogénebbek legyenek. A felügyelet konfigurálása csökkenti a költségeket, növeli a termelékenységet és a hibakeresési időt, valamint javítja a felhasználói élményt.
Ahhoz, hogy a lehető legsikeresebb legyen a megfigyelés, a szervezeteknek még akkor is el kell kerülniük a hibákat, amikor konfigurációkezelést használnak, és figyelik konfigurációs eltolódásukat.
Az alábbiakban felsoroljuk a gyakori hibákat:
Nem tart fenn CMDB-t
A konfigurációkezelési adatbázis (CMDB) naprakészen tartása a konfigurációkezelés fontos eleme. A hálózat hardver- és szoftvertelepítéseivel kapcsolatos információk egy helyen, egy konfigurációkezelő adatbázis segítségével vizsgálhatók. Minden egyes eszközről vagy konfigurációs elemről adatgyűjtés történik, láthatóságot és átláthatóságot biztosítva a munkahelyen.
A CMDB karbantartásának elmulasztása annak a veszélynek teszi ki a vállalkozásokat, hogy nem értik teljesen, hogyan hat az egyik elem konfigurációja egy másik elemre. A szervezetek azt kockáztatják, hogy károsítják infrastruktúrájukat és biztonságukat anélkül, hogy megértenék a következményeket.
A CMDB-k adminisztrálása kihívást jelenthet, különösen az eszközök számának növekedésével, de a hatékony adatbázis-szervezés és -kezelés kulcsfontosságú a konfigurációs eltolódások sikeres követéséhez és az infrastruktúra megértéséhez.
Nincs terv a konfigurációs eltolódás figyelésére
A szervezetek gyakran hatalmas, bonyolult infrastruktúrával rendelkeznek, amelyre figyelni kell. Kulcsfontosságú annak meghatározása, hogy mely összetevőket kell leginkább figyelni. Ellenkező esetben a konfigurációkezelés gyorsan kezelhetetlenné és kaotikussá válhat.
A szervezeteknek meg kell határozniuk, hogy mely eszközök nélkülözhetetlenek a vállalatfelügyelethez és az egyes üzleti egységek számára. Megfigyelik a legfontosabb rendszereket, amelyek egységenként és iparágonként eltérőek lesznek.
Nem figyel automatikusan
A szervezetek többféleképpen figyelhetik a konfigurációs eltolódást. Néhány megközelítés azonban kifinomultabb és sikeresebb, mint mások.
A konfigurációs eltolódás kézi felügyelete költséges és időigényes. A kézi felügyelet emberi hiba lehetőségét is feltárja. Ez nem a legjobb technika a konfigurációs eltolódások figyelésére, kivéve, ha a vállalat infrastrukturális lábnyoma nagyon kicsi.
Az automatikus felügyelet a legfejlettebb és leghatékonyabb módja annak, hogy a konfigurációkat a kívánt állapotban tartsuk. A dedikált konfigurációfigyelő rendszerek azonnal észlelik az elsodródást, és gyakran kínálnak megoldásokat, beleértve a gyors korrekciót is. Ez garantálja, hogy a vállalkozás infrastruktúrája a lehető leggyorsabban és minimális hatásokkal kerül vissza a kívánt állapotba.
A konfigurációs eltolódás figyelése:
Nyilvánvalóvá válik, hogy a konfigurációs eltolódás észlelésének miért kell a legnagyobb gondot okoznia, ha felismeri az esetleges károkat. Ennek a folyamatnak az első lépése annak ismerete, hogy mit kell megőrizni, és miért mutatták be azt a változást, amely sodródást okozott.
Tudja, mit keres
Besorolhatja szervezetét, ha azonosítja a szervezet egésze és az egyes üzleti egységek szempontjából kulcsfontosságú összetevőket.
Ez egységenként változik, és kiterjedhet a szigorúan szabályozott iparágakra, vagy kizárólag a szűkebb rendszerkritikus fájlokra/alkalmazásokra összpontosíthat. A rendszer fontossága meghatározza a monitoring rendszerek gyakoriságát és komolyságát.
Állítson be egy alapvonalat
A különféle beállítások miatt mindig lesznek eltérések az éles környezet és a tesztelési szakaszok között. Az elsodródás ellenőrzésének alapvonalát úgy kell létrehozni, hogy meghatározzuk, hogy mik legyenek az egyes lépések, és milyen típusú eltérések megengedettek.
A korai tesztelési szakaszok alkalmasabbak lehetnek nagyobb eltolódási ráhagyásra, mint a felhasználói elfogadási tesztelési beállítás vagy a nulla eltolódást jelentő gyártási szakasz.
Figyelje rendszerét
A szükséges megfigyelés szintje a szervezet érettségétől, jelenlegi rendszereitől, szerszámaitól, az ellenőrizendő konfigurációk teljes számától és a szükséges ellenőrzés mértékétől függően változik. A követelményektől és a megfelelőségtől függően a felügyelet a szervezeten belüli egységenként eltérő lehet.
Hogyan lehet megakadályozni a konfiguráció eltolódását
A felügyeletnek biztosítania kell, hogy az infrastruktúra a megfelelő konfigurációban maradjon a konfigurációk alapvonalának és a megengedett hézagoknak a meghatározása után. Felügyeleti stratégia nélkül a konfigurációs tervek és a dokumentáció elkészítése időt pazarol.
Különféle megközelítések alkalmazhatók a konfigurációs eltolódás nyomon követésére, és sok vállalkozás az érettségük és a megfelelőségi követelményeik alapján kombinálja a módszereket és az eszközöket.
Állandó kézi felügyelet
Az egyes gépkonfigurációk manuálisan áttekinthetők és összehasonlíthatók egy ismert konfigurációs fájllal. Emberi vonatkozásból adódóan ez a folyamat még mindig hibalehető és költséges a munkaidő tekintetében. Csak kis léptékben használható néhány konkrét szerverfürthöz vagy egy szerény infrastruktúrával rendelkező vállalathoz.
Ellenőrzések
Egy csapat manuálisan vizsgálja meg a kiszolgálókonfigurációkat a konfigurációs ellenőrzések részeként, és összehasonlítja őket egy meghatározott modellel. Ezek az auditok költségesek lehetnek, mivel speciális ismereteket igényelnek a rendszer felépítésének meghatározásához, majd alapos vizsgálatot igényelnek minden dokumentálatlan lehetőségről annak eldöntésére, hogy meg kell-e őrizni vagy sem.
Az audit csoport elvégzi a szükséges módosításokat a konfigurációs dokumentumokban is, amelyeket a következő audit során alkalmazunk. Az ellenőrzéseket általában a nagy értékű vagy a megfelelőségi követelményeknek megfelelő klaszterek esetében tartják meg, és az idő- és költségmegfontolások miatt rendszeresen, általában évente többször hajtják végre.
Az auditálás garantálja a konzisztens és megismételhető szerverkonfigurációt egy előre meghatározott ütemezés szerint.
A következő auditig azonban a beállítások sodródnak, és egyre inkább megmaradnak.
Valós idejű automatizált megfigyelés
Az automatizált valós idejű megfigyelés a legkifinomultabb módja annak, hogy a konfigurációkat a kívánt állapotban tartsuk. Ehhez létre kell hozni kiszolgálókat vagy kiszolgálócsoportokat, valamint le kell írni, hogyan kell konfigurálni őket a dedikált szerver-beállító eszközök segítségével.
Ezek a programok egy egyszerűsített ügynök segítségével figyelik a kiszolgáló konfigurációját a csoporton belül, és összehasonlítják a definíciójával.
Ez az automatizált folyamat azonnal figyelmeztet az elsodródásra, és általában több lehetőséget kínál a szerver elsodródásának kijavításához.
Utolsó szavak:
A számítógépek vagy eszközök közötti inkonzisztens konfigurációs elemek (CI-k) a konfigurációs eltolódás alapvető oka. A konfigurációs eltolódás természetesen adatközponti környezetben történik, amikor a szoftver- és hardvermódosítások menet közben, alapos dokumentálás vagy nyomon követés nélkül történnek.
Számos magas rendelkezésre állási és katasztrófa-helyreállítási rendszerhiba a konfigurációs eltolódásnak tulajdonítható. Az adminisztrátoroknak gondosan fel kell jegyezniük a hardvereszközök hálózati címeit, a rájuk telepített szoftververziókat és a végrehajtott frissítéseket, hogy minimalizálják a konfigurációs eltolódást.