Дрейфът на конфигурацията е важен проблем за всички разработчици на IAAC. Тази публикация ще научи за управлението на дрейфа на конфигурацията, неговата важност, причини и потенциални решения.
Съдържание
Какво е отклонение на конфигурацията?
Собствениците на приложения трябва да променят своите приложения и основната инфраструктура с течение на времето, за да подобряват непрекъснато потребителското изживяване. Тези клиенти могат да бъдат както вътрешни, така и външни за компанията.
Конфигурацията на приложенията и инфраструктурата се променя в резултат на тези актуализации и промени. Тези модификации могат да бъдат от полза или да влошат здравото състояние на системите. Конфигурационният дрифт е терминът за това.
Как работи отклонението на конфигурацията
Потенциалът за отклонение в конфигурацията се увеличава със сложността на системите за производство и доставка на софтуер. Кодът обикновено се прехвърля от работната станция на разработчика в споделена среда за разработка, в среди за тестване и QA и евентуално в среди за етапи и производствени среди.
Потенциалното въздействие се увеличава с това колко далече по протежение на тръбопровода възниква дрейфът. Дори незначителни вариации между версия на пакет, инсталирана на лаптопа на разработчика, и версията, инсталирана на тестов сървър, могат да забавят отстраняването на грешки. Обикновено само постановката и продукцията се очаква да бъдат реплики една на друга. Напрежението е голямо, защото много фирми внедряват нов код много пъти на ден.
Често срещани причини за отклонение в конфигурацията
Липса на комуникация
Понякога екипите нагоре по веригата не успяват да комуникират с партньорите надолу по веригата относно промените, направени от тях, което в резултат разгражда цялата система надолу по веригата.
Горещи корекции
Горещите корекции са промени в кода, направени за справяне с критичен проблем, който не може да изчака следващата планирана актуализация на приложението. Понякога инженерите, работещи по решаването на проблема, не успяват да направят промени или да документират същата корекция в други среди в процеса на работа, което в резултат води до отклонение. Често повторното въвеждане на първоначалния проблем ще реши това отклонение.
Актуализации на критични пакети
Актуализациите на критичните пакети са донякъде подобни на актуалните корекции. И двете се изпълняват с бързи темпове. Основната разлика е, че критичните актуализации на пакети се прилагат с надеждата да се избегнат бъдещи инциденти. Така че такива актуализации могат да причинят отклонение по същия начин като актуалните корекции.
Липса на автоматизация
Автоматизацията няма да премахне напълно шансовете за отклонение в конфигурацията. Това само ще намали шансовете му.
Промени за удобство
Понякога промените, направени от разработчиците, са временни. Например отклонение възниква, ако разработчик инсталира нов пакет на тестов сървър, за да тества някаква функционалност и забрави да го върне в първоначалното му състояние.
Защо управлението на конфигурацията е важно?
Една от причините отклонението на конфигурацията да бъде толкова вредно е, че ако никой не го търси непрекъснато, отклонението може да остане неоткрито, тъй като постепенно подкопава основата на вашата инфраструктура, подобно на малък теч в къща зад стена.
Когато отклонението в конфигурацията бъде открито, намирането на основната причина за отклонението в конфигурацията, което е причинило всичко да се случи, отнема време, което е ценен ресурс при спешни случаи.
При разработката на софтуер дрейфът е важна причина за циклите на бавно освобождаване. Това може да причини ненужна работа и да попречи на производителността на разработчиците.
По-ниски разходи
Можете да намалите общата необходима сума, като идентифицирате дублиране или свръхпровизиране, когато имате подробен образ на вашата ИТ инфраструктура.
По-висока производителност
Клъстери със стабилни и добре познати конфигурации позволяват управление на партиди и изграждане на инфраструктура. Освен това, изискването за ръчно управление на индивидуалните настройки е намалено чрез ограничаване на уникалните (или снежинки) сървъри.
По-бързо отстраняване на грешки
Последователните конфигурации позволяват на екипите за отстраняване на грешки да изключат грешки в конфигурацията. Екипите могат да се концентрират върху други потенциални причини, разрешавайки по-бързо тикети, защото няма да се налага да търсят несъответствия в конфигурацията между сървъри, сървърни клъстери или среди.
Проблеми, причинени от отклонение в конфигурацията
Проблеми със сигурността
Несигурните конфигурации са една от най-честите причини за пробиви в сигурността. Дрифтът на конфигурацията може да направи други атаки и мрежови пробиви по-вероятни, дори ако започнете със защитена конфигурация.
Престой
Значителен престой може да е резултат от грешка в конфигурацията, която позволява на атакуващ да използва DoS недостатък или да компрометира ключов сървър. Това обаче не е всичко. Да приемем, че промените конфигурацията на мрежово устройство, което засяга производителността. Винаги можете да се върнете към вашата „златна конфигурация“, нали? Възстановяването на услугата ще отнеме много повече време, ако тази конфигурация е дефектна.
Изпадане в съответствие
Необходим е строг контрол за сигурност за спазване на разпоредби като ISO 27001, PCI-DSS и HIPAA. Дрифтът на конфигурацията може да доведе до нарушаване на съответствието, ако не бъде спрян.
Влошена производителност
Една конфигурация обикновено е в най-оптималното си състояние, когато е в предвиденото състояние. Ad-hoc модификациите могат да попречат на опитите за оптимизиране на мрежата, като причинят затруднения и конфликти.
Изгубено време
Отстраняването на неизправности в мрежа, която не разбирате добре или не отговаря на мрежовата ви документация, може да отнеме много време. Това означава, че отклонението в конфигурацията може да доведе до проблеми при отстраняване на неизправности в ИТ, които може да не са съществували или биха били по-лесни за разрешаване, ако мрежата е била в предвиденото състояние, в допълнение към генерирането на престой за потребителите.
Често срещани грешки, за които трябва да внимавате, когато наблюдавате дрейфа на конфигурацията
В един перфектен свят всички сървъри на средата за разработчици (Dev/QA/Staging/Prod) биха имали еднакви конфигурации. За съжаление нещата не работят в „реалния“ свят. В търговски настройки собствениците на приложения често променят инфраструктурата, когато в софтуера се въвеждат нови възможности.
Наблюдението на промените в конфигурацията е от решаващо значение, за да се гарантира, че софтуерните среди са възможно най-хомогенни. Конфигурирането на управлението намалява разходите, повишава производителността и времето за отстраняване на грешки и подобрява потребителското изживяване.
За да бъдат възможно най-успешни с мониторинга, организациите трябва да избягват грешки, дори когато използват управление на конфигурацията и наблюдават промените в конфигурацията си.
Често срещаните грешки са изброени по-долу:
Не се поддържа CMDB
Поддържането на база данни за управление на конфигурацията (CMDB) актуална е важен елемент от управлението на конфигурацията. Информацията за хардуерните и софтуерните инсталации на мрежата може да бъде прегледана на едно място, предоставена от база данни за управление на конфигурацията. Данните се събират за всеки актив или конфигурационен елемент, осигурявайки видимост и прозрачност на работното място.
Неуспешното поддържане на CMDB излага бизнеса на опасността да не разберат напълно как конфигурацията на един елемент засяга друг елемент. Организациите рискуват да повредят своята инфраструктура и сигурност, без да разбират последствията.
CMDB могат да бъдат предизвикателство за администриране, особено когато броят на активите нараства, но ефективната организация и управление на базата данни са от решаващо значение за успешното проследяване на промените в конфигурацията и разбирането на инфраструктурата.
Нямате план как да наблюдавате дрейфа на конфигурацията
Организациите често имат масивна, сложна инфраструктура, която трябва да бъде наблюдавана. Определянето кои компоненти трябва да бъдат наблюдавани най-много е от решаващо значение. В противен случай управлението на конфигурацията може бързо да стане неуправляемо и хаотично.
Организациите трябва да посочат кои активи са от съществено значение за наблюдението на компанията и конкретни бизнес единици. Ще бъдат наблюдавани най-важните системи, които ще се различават от единица до единица и индустрия до индустрия.
Не се следи автоматично
Организациите могат да наблюдават промените в конфигурацията по няколко начина. Някои подходи обаче са по-прецизни и успешни от други.
Ръчното наблюдение на отклонението в конфигурацията е скъпо и отнема много време. Ръчното наблюдение също разкрива възможността за човешка грешка. Това не е най-добрата техника за наблюдение на промените в конфигурацията, освен ако вашата компания няма много малък инфраструктурен отпечатък.
Автоматичният мониторинг е най-развитият и ефективен начин за поддържане на конфигурациите в желаното състояние. Специализираните системи за мониторинг на конфигурацията могат незабавно да открият дрейфа и често предлагат решения, включително бърза корекция. Това гарантира, че инфраструктурата на бизнеса се връща в желаното състояние възможно най-бързо и с минимални ефекти.
Как да наблюдавате отклонението на конфигурацията:
Става очевидно защо откриването на дрейфа на конфигурацията трябва да бъде основна грижа, след като осъзнаете щетите, които може да причини. Първата стъпка в този процес е да знаете какво да запазите и защо е било представено като промяна, която е създала отклонение.
Знайте какво търсите
Можете да сортирате вашата организация, като идентифицирате компонентите, които са от решаващо значение за организацията като цяло, и тези, които са от решаващо значение за всяка бизнес единица.
Това варира според единица и може да бъде експанзивно в силно регулирани индустрии или да се фокусира единствено върху по-тесни критични за системата файлове/приложения. Важността на системата ще определи честотата и сериозността на системите за наблюдение.
Задайте базова линия
Винаги ще има разлики между производствената среда и етапите на тестване поради различните настройки. Базовата линия за проверка за дрейф се създава чрез определяне на това каква трябва да бъде всяка стъпка и видовете отклонения, които са допустими.
Ранните етапи на тестване може да са по-подходящи за по-голямо отклонение от настройката за изпитване за приемане от потребителя или етап на производство с нулев дрейф.
Наблюдавайте вашата система
Нивото на необходимото наблюдение ще варира в зависимост от зрелостта на организацията, текущите й системи, инструменти, общия брой конфигурации, които трябва да бъдат проверени, и необходимото ниво на контрол. В зависимост от изискванията и съответствието, наблюдението може да се различава за всяко звено в организацията.
Как да предотвратите отклонение на конфигурацията
Мониторингът трябва да гарантира, че инфраструктурата се поддържа в подходящата конфигурация, след като са дефинирани базови конфигурации и допустими пропуски. Без стратегия за наблюдение, изграждането на конфигурационни планове и документация губи време.
Могат да се използват различни подходи за наблюдение на промените в конфигурацията и много фирми ще комбинират методологии и инструменти въз основа на тяхната зрялост и изисквания за съответствие.
Постоянно ръчно наблюдение
Индивидуалните конфигурации на машината могат да бъдат прегледани ръчно и сравнени с известен конфигурационен файл. Поради човешкия аспект този процес все още е склонен към грешки и е скъп по отношение на часовете на служителите. Трябва да се използва само в малък мащаб за няколко конкретни сървърни клъстера или компания със скромен инфраструктурен отпечатък.
Одити
Екип ръчно проверява конфигурациите на сървъра като част от одитите на конфигурацията, като ги сравнява с определен модел. Тези одити могат да бъдат скъпи, тъй като изискват специализирани познания, за да се определи как трябва да бъде изградена една система и след това задълбочено проучване на всеки недокументиран шанс, за да се реши дали тя трябва да бъде запазена или не.
Одитният екип също така прави необходимите корекции в документите за конфигурация, които ще бъдат приложени по време на следващия одит. Одитите обикновено се запазват за клъстери с висока стойност или тежки изисквания за съответствие и се изпълняват редовно, обикновено няколко пъти годишно, поради съображения за време и разходи.
Одитът гарантира последователна и повторяема конфигурация на сървъра по предварително определен график.
Въпреки това, до следващия одит, настройките ще се променят и остават все повече и повече.
Автоматизирано наблюдение в реално време
Автоматизираният мониторинг в реално време е най-усъвършенстваният начин за поддържане на конфигурациите в желаното състояние. За да направите това, трябва да се създадат сървъри или групи от сървъри заедно с описание на това как те трябва да бъдат конфигурирани с помощта на специални инструменти за настройка на сървъра.
Тези програми ще използват лек агент, за да наблюдават конфигурацията на сървъра в тази група и да я сравняват с нейната дефиниция.
Този автоматизиран процес незабавно предупреждава за отклонение и обикновено предоставя няколко възможности за коригиране на отклонението на сървъра.
Заключителни думи:
Непоследователните конфигурационни елементи (CI) между компютри или устройства са основната причина за отклонението на конфигурацията. Промените в конфигурацията се случват естествено в среди на центрове за данни, когато софтуерните и хардуерните модификации се извършват в движение, без да бъдат подробно документирани или проследени.
Много повреди на системата за висока наличност и възстановяване след бедствие се дължат на отклонение в конфигурацията. Администраторите трябва да водят щателни записи на мрежовите адреси на хардуерните устройства, заедно с версиите на софтуера, инсталирани на тях, и направените надстройки, за да минимизират отклоненията в конфигурацията.