Örömmel jelentjük be, hogy mostantól biztonságos módon oszthat meg infrastruktúrát a fiókok között. Azt is meghatározhatja, hogy milyen műveleteket végezhet ezeken a megosztott erőforrásokon, így részletes ellenőrzést biztosítva Önnek. Ez az új funkció lehetővé teszi, hogy különböző erőforrás-csoportokat osszon meg egy vagy több másik fiókkal. Minden egyes házirendet hozzáférés-vezérlési listának, röviden ACL-nek nevezünk. Igényeitől függően tetszőleges számú ACL-lel rendelkezhet, és az elvégzett módosítások azonnal életbe lépnek. Nem is beszélve arról, hogy az összes ACL használata teljesen ingyenes.
A keretrendszert úgy terveztük, hogy egyszerű, átlátható és könnyen karbantartható legyen. A valódi biztonság olyan eszközökből származik, amelyeket az emberek ténylegesen használnak és aktívan karbantartanak, ezért ezt az elvet alkalmaztuk a felhőalapú infrastruktúra megosztásánál is.
Az alábbiakban egy nagyon könnyen követhető útmutatót mellékelek, amellyel beüzemelheti az első ACL-jét, valamint egy YouTube-videós bemutatót. Jómagam is használom őket a fiókomban, hogy megosszam az erőforrásokat a kollégáimmal, így biztos vagyok benne, hogy Önnek sem okoz majd gondot a használatuk. Emellett a végén említettem néhány példát arra is, hogyan használhatja az új ACL-keretrendszert.
Három egyszerű lépés a biztonságos megosztáshoz
Kezdjük hát el. Egy egyszerű, háromlépéses folyamatot hoztunk létre az ACL-ek használatának megkezdéséhez. Az új szekciót már élesben is megtalálja a fiókjában a webalkalmazásban:
Felhő ACL-ek: felhőalapú erőforrások biztonságos megosztása
1. lépés: Címke létrehozása
Először is be kell állítanunk egy címkét a megosztani kívánt erőforrások azonosítására. Navigáljon a webalkalmazás Címkék (Tags) szakaszába, és kattintson a ‘létrehozás’ gombra. Tegyük fel, hogy adatbázis-szervereket szeretnénk megosztani, és hozzunk létre egy database nevű címkét:
Új felhőinfrastruktúra-címke létrehozása
Mostanra létrejött az első címkénk, és észreveheti, hogy az erőforrások oszlopban ‘0’ szerepel, ami azt jelenti, hogy még egyetlen erőforrást sem címkéztünk meg:
Felhőinfrastruktúra-címkék
2. lépés: Felhőinfrastruktúra felcímkézése
Most navigáljon a számítási (compute) szakaszhoz a megkívánt adatbázis-szerverek kiválasztásához (kérjük, vegye figyelembe, hogy ha megcímkéz egy szervert, automatikusan megcímkézzük a hozzá kapcsolódó összes meghajtót és hálózati házirendet is):
Rendszerezze felhőszervereit címkékkel
Most már láthatja, hogy a két adatbázis-szerverhez sikeresen hozzáadásra került a címke:
Adatbázis felhőszerverek az új címkével
3. lépés: A hozzáférés-vezérlési lista (ACL) létrehozása
Most, hogy az infrastruktúránk fel van címkézve, készen állunk az erőforrások megosztására. Visszatérhetünk az ACL-ek szakaszhoz, és a létrehozás gombra kattintva új ACL-t adhatunk hozzá:
ACL létrehozása a felhőinfrastruktúrához
Adjon nevet a hozzáférés-vezérlési házirendnek, és állítsa be a megadni kívánt jogosultságokat. Engedélyezni fogom az indítást/leállítást (start/stop), a VNC megnyitását (hasznos a rendszer-helyreállításhoz) és a szerkesztést (edit, amihez listázási jogosultság is szükséges). Nem fogom engedélyezni a csatolást (attach) vagy a klónozást (clone), így a házirend inkább a szerver jelenlegi állapotában történő kezeléséről szól, semmint a skálázásról vagy a felhőszerver-konfiguráció nagymértékű módosításáról:
Junior adatbázis-adminisztrátor ACL
Most adjuk hozzá a database címkét ehhez az ACL-hez:
Címke hozzárendelése egy ACL-hez
Végezetül hozzá kell adnunk az adatbázis-adminisztrátorunkat a házirendhez, és természetesen el kell mentenünk a házirendet:
Személyek hozzáadása az ACL-hez
Megjegyzés: Biztonsági okokból kitakartuk az UUID-t.
Az ACL-ünk most már aktív, és megosztja a beállított erőforrásokat. Visszatérve a szerverlistámhoz, észreveheti, hogy az adatbázis-szerverek neve előtt megjelent egy ikon, ami azt jelzi, hogy jelenleg aktívan meg van osztva:
Felhőszerverek aktív megosztással
Természetesen a másik oldalon a megosztott felhőinfrastruktúrának meg kell jelennie az adatbázis-adminisztrátorunk fiókjában (ebben az esetben a CloudSigma másik társalapítójánál, Patricknél!):
A megosztott felhőszerverek most már láthatóak
Ezután észre fogja venni az eltérő ikont, amely a fiókjával megosztott erőforrásokat ábrázolja, szemben azokkal az erőforrásokkal, amelyeket Ön oszt meg másokkal. A szerverekhez kapcsolódó meghajtókat Patrick tárhely (storage) szekciójában is láthatja:
Megosztott felhőszerverek meghajtói
Patrick most már megnyithatja a VNC-t és a többi műveletet, amelyet megadtam neki. Bármikor hozzáadhatok és eltávolíthatok infrastruktúrát a database címke használatával, vagy módosíthatom a megadott jogosultságokat. Emellett több címkét is hozzáadhat az infrastruktúrához, így elképzelhető, hogy több címkével és több rájuk vonatkozó irányelvvel rendelkező szerverei lesznek.
1. használati eset: Egy külső alvállalkozó
Lehet, hogy egy új szolgáltatást fejlesztő külső alvállalkozóval működik együtt, és szeretné, ha hozzáférne az adott projekt kezeléséhez szükséges infrastruktúrához, de nem szeretne teljes hozzáférést biztosítani neki a CloudSigma fiókjához és infrastruktúrájához. Az ACL-ek használatával most biztonságosan megoszthatja velük a szükséges infrastruktúrát anélkül, hogy veszélyeztetné a biztonságot. Mindössze annyit kell tennie, hogy létrehoz egy címkét a projekthez, nevezzük Project X-nek. Ezután egyszerűen jelölje meg az összes megosztani kívánt erőforrást az újonnan létrehozott Project X címkével. Végül lépjen az ACL-ek szakaszba, és hozzon létre egy új ACL-t. Döntse el, mely erőforrásokat szeretné megosztani, és milyen műveleteket kell végrehajtaniuk, majd adja hozzá a fiókjukat az ACL-hez az e-mail-címük és UUID-jük megadásával (minden bizonnyal el kell kérnie tőlük a CloudSigma UUID-jüket). És láss csodát, a Project X infrastruktúra automatikusan megjelenik a fiókjukban.
Most tegyük fel, hogy a projekt elkészült, vagy az alvállalkozó távozik, mindössze annyit kell tennie, hogy eltávolítja a Project X címkét az erőforrásról, és az többé nem lesz megosztva, vagy eltávolítja a külső alvállalkozót az ACL-ből (bármennyi embert hozzáadhat egy irányelvhez, így előfordulhat, hogy meg akarja tartani az irányelvet, de el akar távolítani egy adott személyt). Ilyen egyszerű.
2. használati eset: Adatbázis-adminisztrátor
Ebben a példában egy szerepkör alapú jogosultságkészletre lehet szüksége. Mert így a szervezetén belüli, adott szerepkörrel rendelkező személy hozzáférhet a számára szükséges infrastruktúrához. De nem fér hozzá más olyan infrastruktúrához, amely kívül esik a felelősségi körén. Ez ugyanaz a használati eset, mint amelyet a bejegyzés útmutatójában is ismertettünk.
Tegyük fel például, hogy engedélyezni szeretné az adatbázis-adminisztrátorának, hogy csak az infrastruktúráján belüli adatbázis-szerverekhez férjen hozzá. Ez meglehetősen egyszerű: először hozzon létre egy ‘database’ nevű címkét. Másodszor, jelölje meg az összes adatbázis-szerverét ezzel a database címkével. Végül hozzon létre egy ACL-t a megadni kívánt jogosultságok beállításával, adja hozzá az újonnan létrehozott database címkét, majd adja hozzá az adatbázis-adminisztrátorok fiókadatait ehhez az ACL-hez. Kész.
A legfontosabb, hogy ha további adatbázis-szerverei vannak, amelyekhez hozzá kell férnie az adatbázis-adminisztrátornak, mindössze annyit kell tennie, hogy hozzáadja a database címkét az adott szerverhez. Ennyi az egész, a jogosultságok valós időben automatikusan átfolynak az ACL-ből, és az adatbázis-adminisztrátor látni fogja a fiókjában az új adatbázis-szervert, amelyhez hozzáférése van. Vagy tegyük fel, hogy meg akarja vonni a hozzáférést? Egyszerűen távolítsa el a database címkét stb.
Remélem, Ön is olyan hasznosnak találja ezt a funkciót, mint én. Ha pedig segítségre van szüksége, egyszerűen használja az éjjel-nappal elérhető élő chat ügyfélszolgálatunkat, akik nagyon jól ismerik az ACL funkciót.
Kellemes számítástechnikát!
Robert
Hozzászólások
Még nincsenek hozzászólások. Legyen Ön az első.