Mavis 破窗機制如何設置
Mavis 平台的破窗機制功能旨在提高系統的可靠性和可用性。這項功能會自動備份 Mavis 上裝置的連線資訊到 S3 的儲存空間中。當 Mavis 平台發生故障時,這些備份資料將成為緊急存取服務器的關鍵資訊,讓您能夠迅速獲取服務器的登入資訊,以便進行緊急登入並恢復正常運作。
相關說明及常見問題請參考:Mavis 破窗機制功能解說
提供三種方式參考來設定備份破窗資料空間
一、使用雲端 S3 的儲存空間來做儲存 (以 AWS 為範例)
- 建立 AWS bucket
- 設定 Bucket policy
- 建立一組破窗機制專用的 Credential Key
- Mavis 設定破窗機制備份設定
- 取得連線資訊做緊急連線使用
- 內部準備一台機器 (以 CentOS 7 為範例)
- 安裝 Minio
- 建立 bucket
- Mavis 設定破窗機制備份設定
- 取得連線資訊做緊急連線使用
- 新增儲存體帳戶
- 建立 容器
- 取得儲存體帳戶金鑰
- Mavis 設定破窗機制備份設定
- 取得連線資訊做緊急連線使用
一、使用雲端 S3 的儲存空間來做儲存 (以 AWS 為範例)
1、建立 S3 bucket
登入 AWS Console ,使用 S3 服務 1. 選擇 適合的區域 (此範例選擇 東京) 2. 點選 「建立儲存貯體」 |
3. 儲存貯體類型:勾選 一般使用 4. 儲存貯體名稱:輸入 自定義名稱 |
5. 點選「建立儲存貯體」, 即可成功建立 bucket PS: 其他設定可依自己需求做設定:此範例其他設定都是選擇預設值 |
2、Bucket 設定 Policy
1. 點選進入剛建立的儲存貯體,此範例:mavis-break-glass |
2. 點選 許可 3. 儲存貯體政策:點選 編輯 |
4. Action 設定最低權限: 只給 GetObject 和 PutObject 5. Resource 設定:設定破窗機制使用的 bucket 6. Resource 設定:設定 IP 白名單,只允許這些 IP 可以存取 bucket 7. 設定政策後,點選 儲存變更 PS: 建議都是設定最低權限,依自己公司資安政策來設定 Policy 可參考以下範例 |
Bucket Policy 範例
{ "Version": "2012-10-17", "Id": "SourceIP", "Statement": [ { "Sid": "SourceIP", "Effect": "Deny", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::mavis-break-glass", "arn:aws:s3:::mavis-break-glass/*" ], "Condition": { "NotIpAddress": { "aws:SourceIp": [ "Modify.Allow.Access.IP1/32", "Modify.Allow.Access.IP2/32", "Modify.Allow.Access.IP3/32", "Modify.Allow.Access.IP4/32", "Modify.Allow.Access.IP5/32" ] } } } ] }
3、建立一組破窗機制專用的 Credential Key
進入到 AWS IAM 服務 1. 點選使用者 |
2. 點選 建立使用者 |
3. 使用者名稱:輸入自定義名稱 (此範例 AccessKey_For_Break-glass) 4. 點選 下一步 |
5. 許可選項:勾選直接連接政策 6. 點選 建立政策 |
7. 政策編輯器:點選 JOSN 8. 輸入 policy:只給 bucket s3:ListBucket,GetObject,PutObject 權限 PS:可參考下列範例 9. 點選 下一步 |
使用者 Policy 範例:
(只給 mavis-break-glass bucket 的 s3:ListBucket,GetObject,PutObject 權限)
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::mavis-break-glass", "arn:aws:s3:::mavis-break-glass/*" ] } ] }
10. 政策名稱:輸入自定義名稱 (此範例:accessKey_for_break-glass) 11. 此政策中定義的許可 : 檢視設定好的 policy 權限 12. 點選 建立政策 |
回到剛剛建立使用者設定許可步驟的頁面:直接連接政策 13. 許可政策:選擇剛已建立好的政策 (此範例 accessKey_for_break-glass) 14. 點選 下一步 |
15. 點選 建立使用者 |
回到 使用者帳號 建立存取金鑰 16. 選擇 使用者 17. 點選 已建立好的使用者:(此範例:AccessKey_For_break_glass) |
18. 進入 安全憑證 19. 點選 建立存取金鑰 |
20. 勾選 第三方服務 21. 勾選 確認 22. 點選 下一步 |
23. 點選 下一步 |
24. 顯示金鑰資訊:Access key ID 及 Access secret key 25. 點選 下載 .csv 檔案 26. 點選 完成 |
4、Mavis 設定破窗機制備份
使用管理者身份登入 Mavis 1. 進入 系統管理 2. 點選 破窗機制備份 3. 點選 編輯 |
4. 破窗機制備份:啟用 (此範例輸入:s3-ap-northeast-1.amazonaws.com |
5、AWS S3 如何取得 Mavis 上裝置的連線資訊做緊急連線使用
登入到 AWS,進到 S3 1. 進入到破窗備份使用的 bucket 2. 進入 break_glass 目錄下 3. 勾選 backup.xlsx 4. 點擊 下載 後,儲存到自己的電腦上 (PS:屬於機密資訊,請嚴格自己保管) |
二、使用內網儲存空間來做儲存 (以 Minio 為範例)
1、內網準備一台機器
此範例使用 Centos7
2、安裝 Minio
2-1. 下載最新版本的 Minio 軟體
wget https://dl.min.io/server/minio/release/linux-amd64/minio
chmod +x minio
mv minio /usr/local/bin/
2-2. 設定密碼 (option)
export MINIO_ROOT_USER=${USER}
export MINIO_ROOT_PASSWORD=${PASSWORD}
若不指定帳密預設皆為 minioadmin
2-3. 啟動 minio server
於本機建立一個目錄 (/data) 或使用 NAS 路徑作為 minio 服務數據存儲,監聽指定的 Domain or IP & Port,可以根據需求更改存儲目錄以及監聽位置。
2-3-1. http 連線
預設使用 http 連線,若想使用 https 請跳到 2-3-2. https 連線步驟
- 啟動 minio server 以 http 連線 (背景啟動)
nohup minio server /data --address :9000 --console-address :9001 &
- 查看服務是否啟動 (Port Listen 表示啟用中)
netstat -tulnp | grep minio
2-3-2. https 連線 (Network Encryption TLS)
建立目錄 /opt/minio/certs 並將憑證檔案置於該目錄,再將 key 命名成 private.key 及 certificate 命名成 public.crt
- 啟動 minio server 以 https 連線 (背景啟動)
nohup minio server /data --address :9000 --console-address :9001 --certs-dir /opt/minio/certs &
3、建立 bucket
1. 打開瀏覽器,http 輸入 minio server IP:9001 ; 若 https 輸入 https://{FQDN}:9001) 2. 輸入帳號 (若步驟 2-2. 未指定帳密,預設為 minioadmin) 3. 輸入密碼 4. login |
5. 進入 Buckets 6. 點選 「Create Bucket」 |
7. Bucket Name:輸入自定義名稱 8. 點擊 Create Bucket PS:其他設定可依據需求來設定,此範例為 OFF |
成功建立完成 |
4、建立 Minio Access Keys
1. 進入 Access Keys 2. 點擊 Create access key |
3. 點擊 Create PS:其他設定可以自己需求來設定,此範例都不設定 |
4. 點擊 Download for import,後下載 |
設定完成後可透過 API 方式來存儲檔案,但相關 Policy 設定仍須依自身需求做設定。
5、Mavis 設定破窗機制備份
使用管理者身份登入 Mavis 1. 進入 系統管理 2. 點選 破窗機制備份 3. 點選 編輯 |
4. 破窗機制備份:啟用 |
6、Minio 如何取得 Mavis 上裝置的連線資訊做緊急連線使用
登入到 Mino,進到 Object Browser 1. 進入到破窗備份使用的 bucket 2. 進入 break_glass 目錄下 3. 勾選 backup.xlsx 4. 點擊 下載 後,儲存到自己的電腦上 (PS:屬於機密資訊,請嚴格自己保管) |
三、使用 Azure Blob 儲存空間來做儲
1、儲存體帳戶
Azure 儲存體的所有存取都是透過儲存體帳戶進行,所以要先建立存儲體帳戶,請參閱 Azure 建立儲存體帳戶
2、建立容器
容器會組織一組 Blob,類似於檔案系統中的目錄。 儲存體帳戶可以包含無限數量的容器,而一個容器則可儲存無限數量的 Blob。請參閱 Azure:Azure 建立Blob
3、取儲存體帳戶金鑰
登入 Azure Console 1. 選主功能 進入到 所有服務 2. 進入到 存儲體帳戶 選擇進入到自己帳號下 3. 進入到 存取金鑰 4. 取得 金鑰 |
登入 AWS Console ,使用 S3 服務 1. 選擇 適合的區域 (此範例選擇 東京) 2. 點選 「建立儲存貯體」 |
4、Mavis 設定破窗機制備份
使用管理者身份登入 Mavis 1. 進入 系統管理 2. 點選 破窗機制備份 3. 點選 編輯 |
4. 破窗機制備份:啟用 |
5、Azure Blob 如何取得 Mavis 上裝置的連線資訊做緊急連線使用
登入到 AWS,進到 S3 1. 進入到破窗備份使用的 bucket 2. 進入 break_glass 目錄下 3. 勾選 backup.xlsx 4. 點擊 下載 後,儲存到自己的電腦上 (PS:屬於機密資訊,請嚴格自己保管) |