Mavis 平台的破窗機制功能旨在提高系統的可靠性和可用性。這項功能會自動備份 Mavis 上裝置的連線資訊到外部的儲存空間中。當 Mavis 平台發生故障時,這些備份資料將成為緊急存取服務器的關鍵資訊,讓您能夠迅速獲取服務器的登入資訊,以便進行緊急登入並恢復正常運作。
Mavis 破窗機制的 主要目標 是在緊急情況下讓您能夠:
-
-
取得被託管系統/資源的雲供應商帳戶機密資料:
-
包括重要的登入資訊,如 SSH、RDP、VNC 、網頁應用程式、DB的帳號與密碼,以確保客戶能夠迅速存取管理其帳戶的重要資訊。
-
-
取得進行遠端存取所需的連線資訊與登入資料:
-
提供了連線資訊,包括主機的 IP 位址、服務名稱等,使客戶能夠安全地遠端存取其系統。這有助於應對緊急情況,確保快速而有效的存取。
-
-
為了確保破窗機制的安全性,我們特別考慮了以下設計考量,同時也提醒您在使用此機制時需注意以下事項:
-
-
破窗帳戶管理:
-
預先設定「破窗帳戶」,此帳戶僅具備對「機敏歸檔」的列表與讀取權限,且僅可在緊急情況下使用。
-
-
安全通信:
-
Mavis 系統與「機敏歸檔」之間使用 HTTPS 連線,確保在資料傳輸過程中全程加密。同時,透過憑證 (certificate) 對「機敏歸檔」伺服器進行身份驗證。
-
-
權限控制:
-
Mavis 系統僅具備對「機敏歸檔」建立檔案的權限,不允許刪除或讀取操作。
-
-
存取紀錄管理:
-
「機敏歸檔」的存取紀錄由「歸檔空間」系統負責記錄,請確保存取活動能夠得到適當的追蹤。
-
-
操作人員負責存取紀錄:
-
對於納管系統的存取紀錄,需要由操作人員手動進行管理,確保紀錄的完整性和可追溯性。
-
-
重要提醒:
- 確保只有受權的人員擁有取得破窗機制所產生檔案的權限。這些檔案包含重要的帳號和連線資訊,因此必須謹慎處理。建議嚴格管理能夠存取這些檔案的人員的權限,以確保機密資訊的安全性。
常見問題列表:
- Mavis 破窗機制是什麼?
- Mavis 平台的破窗機制是一項緊急存取功能,旨在在系統故障時提供登入資訊,以便用戶能夠迅速恢復系統運作。
- 我如何獲取破窗機制所提供的登入資訊?
- 用戶可以通過事先設定的帳戶,快速獲取到服務器的登入資訊。這些資訊包括 SSH、RDP、VNC 的帳號和密碼等。
- 什麼情況下會需要使用破窗機制?
- 當 Mavis 平台遇到故障或需要維護時,可能需要使用破窗機制。
Mavis 破窗資訊設定:
-
方式一:管理員可以透過指令設定破窗資訊,這些資訊會被寫入 Config file。
-
Config File 格式:
-
Config file 被寫成 K3S secret file。
-
透過 mount 方式進入 container 中。
-
在執行時以 key: value 的方式被讀取。
-
-
設定資訊需包括:
-
S3 bucket:
-
設定目標需為一個 S3 bucket
-
-
Access key ID:
-
由系統生成或提供的金鑰 ID。
-
-
Access secret key:
-
由系統生成或提供的金鑰。
-
-
Bucket name:
-
用於儲存備份的 S3 空間名稱。
-
-
URL:
-
存取備份的路徑。
-
-
-
-
方式二:可在 System management > Break glass backup 設定破窗資訊。
若您的"遠端儲存提供商"為 “S3” ,請參照下列欄位 (以 AWS S3 為例)
| 項目 | 描述 |
|---|---|
| *Execute time | 系統會在每日的特定時間執行備份,目前只能選擇準點 |
|
|
|
|
|
|
|
|
S3 空間名稱 |
| HTTP, HTTPS | |
| *URL |
存取路徑 |
|
|
若您的"遠端儲存提供商"為 “BLOB” ,請參照下列欄位 (以 Azure Blob 為例)
在 Azure 控制台中可以得到 Connection String如下
DefaultEndpointsProtocol=https; AccountName=azuredemoaccount; AccountKey=b+I9M3OMegXlFeutCyT4ABnBomOSvDz0d/YPyh1NohN6dLJcFytMPVL9WKXMcfX7ffyuuiZkpaRR+ASt32keUz==; EndpointSuffix=core.windows.net
您需要將 Connection string 內的資料分批填入欄位中
|
項目 |
描述與範例 |
|---|---|
| *Storage account name |
儲存體名稱 範例 : azuredemoaccount |
| *Key |
範例:b+I9M3OMegXlFeutCyT4ABnBomOSvDz0d/YPyh1NohN6dLJcFytMPVL9WKXMcfX7ffyuuiZkpaRR+ASt32keUz== |
| Container name | Azure container 名稱 |
| *傳輸協定 |
HTTP , HTTTPS |
| *Endpoint suffix |
https://core.windows.net/ |
Mavis 破窗執行流程:
-
當破窗機制設定完成,系統將會在執行時間自動將伺服器連線資訊檔案匯出至 S3 Bucket 或是 Blob 儲存,且只保留最新的一份檔案。初次設定時,請確認能否正確存取設定的 S3 bucket。
-
連線資訊: 連線資訊按照「Project name」的方式進行切分,並記錄於各自的 Tab 中
-
Provider
Device name
(Default sort)
Protocol
Public IP address
Private IP address
URLPort
Access type
Account
password
PEM file name
Extra credential
-
有些金鑰會有 Account & password 之外的資訊會在 Extra credential 中。
錯誤排除:
您可已在設定頁面中針對當前的遠端設定進行測試,當您按下 "Test" 按鈕後,系統會使用您當前填寫的資訊進行,資料上傳,並測試下列事項,各個階段的結果會寫在頁面上。
| 容器或bucket 存在 |  Access success |
 Bucket or container does not exist, or lack of permission |
| 權限測試 | Authentication success |
Authentication fail, please check the configuration again |
| 連線測試 | Connection success |
Connection fail, please check the configuration again |
如果出現存取 Bucket 失敗,請檢查連線資訊、Key 權限以及其他可能導致存取失敗的因素。確保上傳檔案時遵從指定的資料夾結構。 或是確保您授權的金鑰具有正確的權限。