【9. Windows跳板机简述】 云跳板机服务系统设计及实现

九. Windows跳板机简述

9.1 概述
    
   此文原出自【爱运维社区】：  http://www.easysb.cn

   由于Linux的跳板机都是基于SSH key鉴权认证的，所以权限的管理控制实际上就是对key的管理：当我们授权给用户时，就把他的key添加到服务器中，当回收权限时则删除key，管理过程非常简单。而Windows跳板机则有很大的不同，用户登录跳板机是的认证不是通过key来认证的，而是windows本身的有一套认证机制，与Linux存在很大的区别，而Linux跳板机和Windows跳板机管理服务器的方式也完全不同，导致我们无法直接把Windows跳板机和Linux跳板机统一管理起来。所以，如果我们强行将Linux跳板机和Windows跳板机的管理柔和在一起，一方面会造成所有的逻辑都会分成2份，很容易出现问题，另一方面也会导致开发周期变长，因为任何一部分代码都需要同时考虑两种情况，维护起来也相当困难。

   鉴于两种跳板机的异构差异太大，为了保持KISS原则，我们把Windows跳板机作部分为独立的模块，和Linux模块隔离分开，比如Web模块，日志模块，跳板机模块等等都需要分开。简单来说，我们得差不多得重新设计一套新的Windows跳板机系统控制流程。

9.2 Windows跳板机的框架
   
   Windows的验证机制都是基于用户和明文密码验证的方式，所以账户系统的管理是非常重要的。考虑到在任何的一个公司，我们都会有一个公司邮箱和邮箱密码，除了这一套密码之外，可能还会有其他的账号密码，所以如果我们在跳板机系统里面再维护单独的一套跳板机帐密系统的话，就还得给用户分配跳板机的用户和密码，那么无疑会增加用户的使用成本，也增加了安全人员的运营维护成本。因此，我们使用LDAP认证方式，一般公司都会提供这个认证方式，这样就可以有效避免使用单独的一套认证方式，大大降低我们的维护开发成本，该Windows跳板机系统的框架结构如下图9-1所示。

   
  图9-1 Windows跳板机的框架结构

 从上图9-1可以看出，用户登录跳板机时会走LDAP认证，认证通过后会在跳板机上创建用户的账号，然后用户再从跳板机登陆相对应的Windows服务器。值得注意的是，由于所有的Windows跳板机的认证是走LDAP认证，所以所有的跳板机是共用的，也就是说任何用户都可以登陆任意一台跳板机，这和Linux跳板机存在很大的不同，所以Windows跳板机是不分部门的，全员共享使用的。相对应的，Windows服务器也就不是专门属于某一台Windows跳板机管理的，用户在任意跳板机上，只要有Windows服务器的密码就可以访问。

9.3 小结
    
  Windows跳板机和Linux跳板机的权限控制有很大的不同，很难把两者完美滴结合在一起，导致我们使用了两种完全不同框架结构，在实现上也采用了完全不同的技术方案。在中央Web控制平台上，两者的操作模块也是相互独立的，尽量保持两者的独立性，避免逻辑的交叉混乱。

  作者：胡杨< [email protected] >< [email protected] >
  此文原出自【爱运维社区】：  http://www.easysb.cn
  如转载请标明原出处，谢绝阉割党。