自动化部署用户及权限(理论篇)

一、Jenkins安全域管理

Jenkins可使用多种方式对用户授权进行管理。在实际应用中,一般大型团队可建立LDAP服务器,小型团队可使用Unix用户/ 组。

Jenkins专有用户数据库 Jenkins的内置验证,适用于没有用户数据库小范围的设定。不支持组概念。
LDAP 轻量目录访问协议验证,需要在外部建立LDAP服务器
Servlet容器代理 使用Servlet容器认证用户,遵循Servlet规范。旧版本遗留功能。
Unix用户/组数据库 将授权验证委托给Jenkins的操作系统。

表1: Jenkins安全域管理

二、授权策略

Jenkins内置的授权策略为任何用户可以做任何事、登录用户可以做任何事、或遗留模式。内置模式无法满足多角色操作的需求,因此我们引入插件 Role Strategy Plugin,来实现用户ACL管理策略。RSP可建立的策略包括:

  • 建立角色,如系统管理员,项目管理员,匿名用户等。并在全局范围内赋予工作台、从节点、项目、运行、视图或版本控制权限。
  • 建立项目角色,对指定的项目赋予管理和运行权限
  • 建立从节点角色,管理节点相关权限
Overall  全局, 系统级别的定义组
  Administer 管理员,分配后具备Jenkins所有操作权限
  Read 系统访问,该权限包括大部分Jenkins页面的只读权限
  RunScripts 运行脚本,在Jenkins系统中运行脚本,包括Groovy脚本或可交互的Groovy命令行,不包括任务。
Credentials   凭证
   Create、Update、View、Delete 分别为创建、更新、访问、删除凭证
  ManageDomains 凭证域管理
Agent   节点
  Create、Configure、Delete 创建、修改、删除节点
Connect、Disconnect 连接、断开连接操作
 Job  任务
  Create、Configure、Delete、Read 创建、修改、删除、查看任务
  Discover 发现。当勾选后,无Read权限的用户访问任务URL时,将被提示重新登录。若为不勾选,则会出现404.
  Build、Cancel 启动一个构建、中断正在运行的构建
  Workspace 工作区的源代码访问权限
Run  构建
  Update、Delete 更新或删除一个构建
View  视图
  Create Configure、Delete、Read 创建、修改、删除、查看视图

表2.系统权限表

三、组织结构

按照组织结构和任务分工,可将用户分为开发(dev)、测试(qa)、配置管理(scm)、运维工程师(sa)、管理员(admin)等角色。

角色  职责
dev
  • 对关联项目具有只读权限,可进行编译工作和发布至测试环境工作。
  • 不可发布准生产(UAT)环境、生产(Prod)环境
qa
  • 具有dev的所有权限
  • 发布代码至UAT、PROD环境
  • 对已发布版本标记Tag功能。
scm
  •  建立项目、配置Jenkins项目权限
  • 不受限于项目配置分配
  • 由于Jenkins项目需要,scm也一般也具备dev的编译和发布至测试环境工作
sa
  • 具有认证帐号的管理权限,如svn的帐号密码,git的访问私钥、ssh密钥等
  • 无项目管理权限
admin
  • 具有全部功能权限
  • 用户管理、项目组管理及用户权限分配
  • 用于其他系统排错及异常处理工作
  • 一般不使用admin账户进行日常发布工作

表3:Jenkins用户角色职责表

 

注: Role Strategy Plugin: https://wiki.jenkins-ci.org/display/JENKINS/Role+Strategy+Plugin

 

 

自动化部署FAQ

问:程序要修改配置文件怎么办?

答:程序配置文件修改提交给自动化配置管理工程师,提交内容包括:

  •  修改了哪个文件
  • 增加了那几行
  • test, uat, prod环境分别是什么

问:业务服务自动化的一般过程是什么?

答:1. 基础系统自动化,构建setup.yml,进行系统配置及基础服务安装,如时间同步脚本、语言设置、supervisor服务管理工具等,JDK安装等。
2. 项目基础环境安装,运行项目内的的全部任务,加上—tags=setup,完成项目依赖的环境安装,如项目目录、日志目录、容器等初始化过程。
3. 构建Jenkins任务,推送项目文件。

 

DevOps最佳实践(开篇)

十年工作以来,我一直工作在IT工作领域,从事的工作包括工程师,高级工程师,技术总监,产品总监,也包括有事业部总经理,集团副总裁等管理职能。每次职能提升,我更多的看到是跨部门协作和沟通的重要性和难度。如何处理部门间的工作分配、协同、甚至是整合,成了我日常工作的重要内容。

开发部的利益诉求,是保障产品功能得以快速上线,功能正常运行;运维团队的利益诉求是系统安全、功能稳定,系统高效。在运维的最佳实践中,大都会指明:『为了更好的保证数据安全和运维稳定,应该禁止开发人员直接访问和修改生产环境』。该实践说明运维原则的Why和What,但少有公司能解决How。在缺乏工具的时代,常常是开发人员完成工作后,将开发结果交给运维人员,运维人员再通过FTP等工具上传至生产服务器,完成部署和重启工作。而这个过程中,运维人员对上线的的服务不了解,承担不了上线过程的审核工作,只是机械的重复的完成了FTP、代码搬运、服务重启的执行工作。而开发人员也在惆怅说没有生产环境权限,对于部署中或部署后的日志访问权限受限,降低了服务故障的识别效率。

DevOps(Development和Operations的组合词)是一种重视“软件开发人员(Dev)”和“IT运维技术人员(Ops)”之间沟通合作的文化、运动或惯例。透过自动化“软件交付”和“架构变更”的流程,来使得构建、测试、发布软件能够更加地快捷、频繁和可靠。借助这一理论框架,可对公司的开发和运维方式建立一套解决方案。

我最早接触DevOps概念是2007年在『满星』任职时期。当时还不叫DevOps的概念,但开发、测试、运维的实际工作与DevOps的组织结构很相似。开发人员使用PHP进行开发,CVS用于代码管理,运维提供称之为『Code Ballinrobe Launcher』的WEB工具。 cheap NBA jerseys 在每次上线时,开发人员先声明需要增量发布的标记Tag,使用这个Tag对需要增量更新的代码进行标记;而后交付给开发团队进行代码走查,测试人员使用『Code cheap jerseys Lancher』将Tag文件签出,上线到测试环境进行回归测试。测试通过后,再将测试环境的代码rsync到生产环境完成整个上线过程。这套工具很好的释放了运维工程师,将上线工作交给了测试人员,因为测试人员有审核代码是否达到上线标准的权利。 wholesale NBA jerseys 2010年进入腾讯,广告平台部。我继承了满星的思路,使用Python开发了一个全新的发布系统,称之为『Code wholesale NBA jerseys Builder』,用来承载广告平台部门及其外包部门的代码管理和发布工作。然后DevOps的概念开始蔓延,capistrano、 Tasar?m Jenkins等各种辅助工具出现,并相互渗透整合,形成了DevOps的生态链。至此我也放弃了对CodeBuilder的继续维护,并切换到开源微服务阵营。

DevOps的技术理论和工具的不断完善,给自动化运维带来了福音。他不是一个新的产品活工具,而是提供了一个跨部门的管理框架。

之所以开篇写此系列,是希望能将我爬过山,填过的坑做一个整理,将过往的经验进行一次整理,形成一个DevOps的最佳实践。我尽量将『最佳实践』进行了抽象和整理,尽可能少的涉及到业务细节和开发语言细节,使其具有一定的适应性和简便性,但每一次实践都取决于特定时期和特定环境,实践是否能在读者的工作环境快速推进,需要读者根据当前的环境认真分析和决策。