作者  | 馮煒

本系列內容是我們在不同項目的維護過程中總結的關于DevOps/SRE方面的最佳實踐，我們將致力于在項目上盡最大的努力來推行這些最佳實踐。我們希望這些最佳實踐能對項目的穩定運營提供幫助，也希望剛接觸DevOps/SRE的新人能通過學習這些最佳實踐來提升自己在這方面的水平。

當涉及到 DevOps/SRE 的最佳實踐時，操作系統和服務的管理是一個關鍵領域。在這個領域，有許多最佳實踐可以幫助團隊更好地管理他們的系統，提高效率和安全性。

在本章中，我們將探討一些關鍵的最佳實踐，包括隱藏服務商資源地址、只安裝必要的依賴和工具、只運行必要的服務和端口以及使用堡壘機保護內部資源。這些最佳實踐有助于使您的系統和服務更加安全、可靠和高效。

隱藏服務商資源地址

用戶可以通過網絡訪問服務商提供的某些服務，然而服務商提供的資源地址對應著承載該服務的具體資源，并通過帶有隨機字符串的域名或IP地址來標識。因此，直接將資源地址直接暴露給用戶可能會導致攻擊者更容易地訪問和操縱敏感數據或系統。此外，當需要切換資源時，還需要通知用戶及時更新他們的配置信息。

為了提高系統的安全性和靈活性，建議使用負載均衡或代理服務來作為用戶和實際服務之間的中介。中間設備應該提供可被管理的域名，并使用CNAME或Alias的方式將服務域名解析到負載均衡或代理服務上。

負載均衡或代理服務再去訪問實際服務，從而保護實際服務資源。如果服務商需要更改資源，例如將資源遷移到新的服務器或IP地址，可以通過更新域名解析或者代理服務器配置來更新資源映射，無需讓用戶更改他們使用的資源信息，從而提升系統的可維護性和可擴展性。

優點：

• 高性能：通過CDN(Content Delivery Networks)等代理服務將網站內容緩存在位于世界各地的服務器上，減少服務到達用戶的距離。這將為遠離網站源服務器的用戶提供更快的加載時間以及更好的網站性能，從而提高用戶滿意度和留存率。
• 安全性：通過向用戶隱藏服務器的具體信息來提高系統的安全性，使攻擊者難以找到具體的服務資源。
• 易擴展：使用代理服務可以對后端的多個實例，提供統一的入口訪問，增加服務的擴展性，同時提高了服務的可靠性和靈活性。
• 用戶體驗：使用單個、易于記憶的域名，而不是特定的IP地址，可以很好的提升用戶體驗。

缺點：

• 復雜性：額外的負載均衡和代理服務會增加系統復雜度，不合理的配置也可能會對服務的穩定性造成影響
• 增加成本：引入額外的負載均衡和代理服務會增加系統的整體成本，在系統的設計階段，應合理進行評估和規劃。

實施要點：

• 當服務商提供的資源名稱帶有證書，使用映射后的域名訪問會碰到證書不匹配的問題。可以通過使用支持證書的負載均衡設備代理相應的服務來解決這類問題，用戶使用域名證書與負載均衡設備進行通信，而負載均衡設備使用資源證書與后臺資源進行通信。

一些云平臺廠商提供具體的負載均衡資源可供參考：

• AWS: https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html
• GCP: https://cloud.google.com/load-balancing/docs/https

設計合適的負載均衡和代理服務時，要考慮預期的流量、請求的類型、用戶的地理位置、正在使用的服務器類型和所需的安全水平等因素。設計還應該考慮對網絡延遲、帶寬利用率和整體系統復雜性的潛在影響。

只安裝必要的依賴和工具

在業務運行的系統中，無論是虛擬機還是容器中，保持系統的最小化和精簡化是一種有效的安全措施，只安裝必要的依賴和工具可以最大限度地減小系統大小并降低系統的攻擊面，減少系統漏洞和風險。

此外，在排查問題時隔離有問題的虛擬機或者容器后僅在必要時安裝需要的工具。在排錯結束之后，及時銷毀這臺虛擬機或者容器，可以最大限度地保護系統安全。在安裝工具之前，建議先進行必要的安全檢查并確保工具的來源和完整性。可以使用數字簽名或哈希值驗證工具的完整性，以確保安裝的工具沒有被篡改或植入惡意代碼。

優點：

• 提高性能：通過僅安裝必要的依賴和工具，可以降低系統的負載，使虛擬機或容器將運行得更快、更高效。
• 減少存儲需求：更少的依賴和工具意味著更少的磁盤空間和內存，可以減少存儲成本和系統資源的占用。
• 提高安全性：不安裝不必要的依賴文件，可以最大化減少工具和服務產生的漏洞和風險，從而提高系統的安全性和穩定性。
• 易于維護：當需要管理的依賴和工具減少時，系統或容器更新和維護的難度也會降低，節省了運維的時間和精力。

缺點：

• 增加運維復雜度：需要運維人員可以識別哪些是必要的依賴和工具，并且解決它們之間的各種關鍵依賴問題后成功安裝，且要讓各種系統或應用可以正常運行。這在一些復雜的系統中，安裝的復雜度會快速疊加。
• 有限的功能：在虛擬機和容器的應用開發過程中，前期安裝的依賴和庫不滿足需要，會導致要額外添加或更新依賴和庫。這可能會比較耗時，尤其是在虛擬機中安裝更新依賴和庫。
• 增加運維成本：需要運維通過一些工具或文檔記錄和維護虛擬機或容器中所安裝的所有依賴和庫，會增加運維的工作量和成本。

實施要點：

• 使用最小的基礎鏡像：使用虛擬機或Docker時，你可以選擇一個最小的基礎鏡像，它只包含應用程序所需的組件。在構建系統和應用時，還可以采用分層構建。這些都可以幫助你減小系統和應用的大小并避免安裝不必要的依賴項。
• 確定系統或應用的具體要求：在開始安裝任何依賴或工具之前，需要確認你的系統或應用要運行什么程序依賴什么庫。
• 使用包管理工具：包管理工具可以幫助你只為系統或應用安裝必要的依賴項，并管理它們的版本和依賴項。系統的包管理工具如yum/apt等。編程語言的包管理器如 Python 的 pip/poetry、Node.js 的 npm/yarn 和 java 的 gradle等。
• 使用虛擬環境：可以為應用程序創建虛擬隔離環境。這樣可以避免不同版本包之間的沖突，并確保你只安裝應用程序所需的內容。
• 刪除未使用的依賴項：需要你定期檢查系統或容器中安裝的依賴項并刪除不再需要的依賴項。這可以幫助你減小系統或應用的整體大小并提高其性能。

實施示例：

• Docker的分層構建

• 包管理工具

只運行必要的服務和端口

確保系統中只運行必要的服務，并限制服務對外訪問權限，是一種常見的安全措施。如果一個服務并不需要對外提供訪問，那么最好將其關閉，以避免可能的安全漏洞。如果一個服務有多個端口，最好將業務端口和管理端口分離，并根據需要限制兩種端口的訪問權限。

優點：

• 提高安全性：僅啟動必要的服務和端口，可以減少系統的攻擊面，從而提高系統的安全性。攻擊者無法利用未使用的服務和端口進行攻擊。
• 提高系統性能：減少不必要的服務和端口，系統將不會浪費資源來處理對應的中斷和信息，可以釋放系統資源并提高性能。
• 提高可靠性：不需要運行的服務在異常情況下可能會導致系統崩潰或停止響應， 減少不必要的服務和端口，可以減少系統故障的風險。。
• 簡化系統維護：減少運行的服務和端口可以簡化系統維護。管理員不必費力去維護不必要的服務和端口，從而提高了維護效率。

缺點：

• 特定需求受限：如果只運行必要的服務和端口，則系統可能無法滿足一些特定需求，例如網絡共享或遠程管理等。
• 需要重新評估和配置：如果需要添加新功能或服務，則需要重新評估并重新配置系統以確保安全性和性能。這可能涉及到重新打開某些服務或端口，同時確保它們不會影響系統的安全性和性能。
• 分析和測試：確定哪些服務和端口是必要的，需要進行深入的分析和測試，這可能會增加系統配置的復雜性。實施過程中可能會影響業務的正常運作，需要謹慎評估風險和影響。

實施要點：

• 只運行必要的服務：在系統中只安裝并啟動需要的服務，避免安裝不必要的服務。對于不需要的服務，最好將其卸載或者禁用。
• 限制對外訪問權限：對于需要對外提供服務的服務，應該根據實際需求限制訪問權限，例如使用防火墻等工具來控制外部訪問。同時，對于不需要對外提供服務的服務，應該禁止其對外訪問。
• 分離業務端口和管理端口：對于一個服務有多個端口的情況，應該將業務端口和管理端口分離。業務端口用于對外提供服務，而管理端口則用于服務管理和配置。這樣可以更好地控制管理端口的訪問權限，避免安全漏洞。
• 根據需要限制訪問權限：針對業務端口和管理端口，應該根據需要限制訪問權限。例如，只允許特定的IP地址或者IP地址段訪問，或者使用訪問控制列表（ACL）來限制訪問權限。
• 使用堡壘機來訪問服務資源：使用堡壘機來訪問服務資源，能夠增加訪問控制，并且減少暴露給公網的風險。同時，堡壘機也能夠記錄所有的訪問日志，便于安全審計。

實施示例：

• 在Linux系統中查看當前正在運行的服務和端口
  

  

• 在Linux系統中查看特定端口的運行情況
  

  

使用堡壘機保護內部資源

堡壘機（Bastion Host）或跳板機是一種網絡安全設備，通常用于管理和控制遠程訪問內部網絡的權限和流量。它是一種安全網關，位于外部網絡和受保護網絡的邊界，它可以限制只有授權用戶或系統管理員通過它來訪問內部的受保護資源，從而提高網絡安全性。堡壘機也需要定期進行安全檢查和升級，以確保其安全性和穩定性。

優點：

• 提高安全性：堡壘機可以對遠程訪問進行身份驗證和授權，確保只有授權的用戶可以訪問敏感系統和數據，從而提高網絡安全性。
• 簡化管理：堡壘機可以集中管理所有遠程訪問請求和日志記錄，管理員可以更輕松地監控和審計遠程訪問活動，同時可以簡化對遠程訪問的管理工作。
• 減少風險：堡壘機可以監視遠程訪問并實時響應威脅和攻擊，包括攔截和隔離威脅，從而降低風險。

1. 增強合規性：堡壘機可以記錄所有遠程訪問活動和審計數據，從而更好地滿足合規性要求，如PCI DSS、HIPAA等。

缺點：

• 單點故障：如果堡壘機是一個單節點設備，在它出現故障，所有的遠程訪問都會受到影響，可能會導致業務中斷。
• 性能影響：堡壘機需要處理大量的網絡流量和訪問請求，如果性能不足或配置不當，可能會導致網絡延遲或阻塞。
• 需要培訓：堡壘機需要管理員具備一定的技術知識和技能，包括配置、管理和故障排除等方面，需要額外的培訓成本。
• 部署復雜：堡壘機需要與其他網絡安全工具、身份驗證系統和訪問控制系統進行集成，部署和配置比較復雜，需要耗費時間和資源。

實施場景：

• 遠程訪問控制：企業通常有多個地點或辦公室，員工需要遠程訪問企業內部的系統和應用程序來完成工作。通過實施堡壘機，企業可以控制遠程訪問的權限和流量，防止未經授權的訪問和入侵，并可以記錄所有遠程訪問活動以進行安全審計和監測。
• 云安全管理：隨著云計算的普及，企業需要管理和控制對云資源的訪問和操作。通過實施堡壘機，企業可以控制云主機的遠程訪問權限和流量，保護敏感數據和系統不受未經授權的訪問和攻擊，并可以記錄所有云訪問活動以進行安全審計和監測。
• 第三方訪問控制：企業通常需要與供應商、客戶或合作伙伴共享系統和應用程序，這些第三方用戶需要遠程訪問企業內部資源。通過實施堡壘機，企業可以控制第三方訪問的權限和流量，確保只有授權的用戶可以訪問受保護的資源，同時還可以記錄所有第三方訪問活動以進行安全審計和監測。
• 內部訪問控制：企業內部員工需要訪問和操作多個系統和應用程序，有時候也需要在不同的權限級別下進行操作。通過實施堡壘機，企業可以控制內部用戶的訪問權限和流量，保護敏感數據和系統不受未經授權的訪問和攻擊，并可以記錄所有內部用戶的訪問活動以進行安全審計和監測。

實施要點：

• 設計網絡架構：在部署堡壘機之前，需要先設計好網絡架構。這包括確定哪些服務器需要保護，以及堡壘機如何與這些服務器進行通信。需要考慮安全性、性能和可用性等因素來設計網絡架構。
• 選擇堡壘機軟件：選擇適合您需求的堡壘機軟件是非常重要的。需要考慮軟件的功能、安全性、易用性和可擴展性等方面，以及它是否滿足您的需求。
• 安全設置：堡壘機的安全設置是非常重要的，它決定了誰可以訪問堡壘機以及如何保護堡壘機。需要為堡壘機設置強密碼、限制登錄嘗試、啟用雙因素認證、限制網絡訪問等安全措施。
• 認證和授權：為了確保只有授權用戶才能訪問堡壘機和私有網絡，需要配置認證和授權策略。這包括使用身份驗證機制、配置訪問控制列表（ACL）、限制用戶權限等。
• 日志和審計：為了監控堡壘機上的用戶活動并檢測異常行為您需要配置日志和審計功能。這包括記錄登錄和退出時間、監視用戶活動、檢測安全事件等。
• 監控和報警：為了快速檢測并響應安全事件，需要設置監控和報警功能。這包括監視堡壘機和私有網絡的活動、檢測異常行為、配置警報規則等。
• 測試和評估：在部署堡壘機之前，需要進行測試和評估，以確保它能夠滿足需求并提供足夠的安全保護。這包括測試堡壘機的性能、安全性、可用性等方面。