Azure允许合作伙伴管理客户的资源。但作为为企业客户提供服务的初创公司,我们可能会被要求在客户的Azure Linux服务器资源上安装我们的软件并对其进行管理,但我们不希望他们通过shell访问Linux机箱或完全克隆它,从而在我们不知情的情况下制作副本。你是如何解决这个问题的?
对于安装,我会编写一个bash脚本来安装你的应用程序,方法是输入二进制文件并设置一些环境设置。如果您想更进一步,您的客户可以创建一个ARM模板来旋转VM并通过custom script extension安装您的应用程序。在管理应用程序时,您应该能够使用Application Insights在Azure中查看日志文件,并使用该应用程序执行管理功能。如果出现无法从日志文件和内置应用程序诊断程序中诊断出来的问题(例如安装失败,应用程序无法写入本地目录中的日志文件),我将与客户端进行屏幕共享并进行故障排除。
您可以创建一个Web应用程序,该应用程序将与操作系统通信并执行您希望的管理任务。这样,您只需打开一个端口(可能性443 - HTTPS)并与您的合作伙伴共享登录凭据。这样您的操作系统就受到了保护 - 管理任务只能通过Web UI执行。
通过快速Google搜索,您可以找到一些开源选项:
您需要确保为访问受限的客户创建用户。以Webdmin为例:https://doxfer.webmin.com/Webmin/Webmin_Users
标准的,开箱即用的Webmin安装只有一个用户(称为root或admin)可以使用每个模块的每个功能。在一个人只使用的家庭或办公系统上,这就是你所需要的。即使您的系统有多个用户,也可能只有一个人需要执行系统管理任务。
但是,在许多情况下,管理员可能希望让某些人访问Webmin功能的子集。例如,您的组织中可能有一个人,他的工作是创建和编辑DNS区域和记录。在普通的Unix系统上,必须为此人提供root访问权限,以便他可以编辑区域文件并在必要时重新启动DNS服务器。不幸的是,一旦有人能够以root用户身份登录,他就可以完全控制系统,并可以做任何他想做的事情。
Webmin通过允许您创建可以登录但只能访问几个模块的其他用户来解决此类问题。您可以进一步限制用户在每个模块中可以执行的操作,以便他不会滥用其功能来执行他不应该执行的操作。由于即使受限用户使用Webmin仍然以完全root权限运行,因此它仍然可以访问所需的所有配置文件和命令。