1. 自动化运维架构设计原理
1.1 为什么要自动化
500台服务器的运维场景,如果不使用自动化工具,纯手工操作将面临三大困境:效率低下、一致性差、难以追溯。
效率低下的具体表现是,假设每台服务器需要执行10分钟的初始化操作,500台服务器需要连续操作5000分钟,接近84小时。即使由5人团队分工,每人也需要处理17小时。更糟糕的是,当出现紧急变更需求时,手工操作无法快速响应,可能延误故障处置。
一致性差的根本原因是人工作业必然会出错。以系统参数配置为例,500台服务器需要逐台登录、逐台修改、逐台验证。手工操作中,漏改、错改、参数不一致等问题难以避免。据业界统计,手工配置的错误率约为3%,500台服务器意味着可能出现15个配置错误点。
难以追溯的表现是,手工操作缺乏完整的操作记录,当出现问题时难以回溯原因。例如,某台服务器出现异常,运维人员需要回忆当时的操作过程,但人的记忆不可靠,可能遗漏关键步骤。审计场景下更是无法提供合规的操作轨迹。
自动化运维将人从重复性工作中解放出来,使运维工作聚焦于异常处置和架构优化。自动化工具执行操作的准确性远高于人工,且每次执行都会留下详细日志,满足审计和追溯需求。
1.2 分层架构设计
自动化运维体系采用分层架构设计,从下往上依次为:采集层、执行层、控制层、展现层。
采集层负责收集服务器的基础状态数据。采集内容包括主机信息、网络配置、运行进程、磁盘使用率、内存使用率、CPU负载、安装的软件版本等。采集层的设计要点是采集代理的轻量化和采集数据的标准化。Agent占用系统资源应控制在1%以下,采集数据格式统一为JSON,便于后续处理。
执行层负责具体操作命令的下发和执行。执行层的核心能力包括命令批量执行、脚本批量分发、文件批量传输。执行层需要支持多种执行模式:同步执行等待结果返回,异步执行立即返回任务ID,周期执行支持Cron表达式调度。执行层的可用性至关重要,建议采用主备架构,避免单点故障。
控制层负责作业调度和任务编排。控制层接收来自展现层或上层系统的指令,将指令拆解为具体的执行任务并下发到执行层。控制层的核心能力包括任务编排、依赖管理、失败重试、超时控制。任务编排支持串行、并行、条件分支四种模式,满足复杂运维场景的需求。
展现层负责提供人机交互界面。展现层通常包括运维控制台、Web界面、命令行工具。界面需要提供作业管理、主机分组、凭证管理、报告查看等功能。好的展现层设计应该降低用户的学习成本,让运维人员快速上手使用。
1.3 架构选型分析
500台服务器规模的自动化运维架构有三种常见选型:
第一种是Ansible Tower/AWX方案。Ansible作为执行引擎,Tower/AWX提供Web界面和作业管理能力。这种方案的优势是架构简单、部署快速、社区活跃;不足是并发能力有限,大规模环境下执行速度可能较慢。
第二种是HashiCorp Nomad方案。Nomad作为工作负载调度器,配合Consul提供服务发现,Vault管理密钥。这种方案的优势是架构现代化、支持多种工作负载;不足是需要较多的定制开发。
第三种是自研运维平台方案。基于Python/Go开发运维平台,集成配置管理、作业调度、监控告警等功能。这种方案的优势是完全可控、可深度定制;不足是开发成本高、持续维护投入大。
对于500台服务器规模,推荐第一种方案(Ansible + AWX),兼顾功能完整性和实施效率。
2. 基础设施层建设
2.1 SSH密钥管理与批量分发
SSH密钥是自动化运维的基础,密钥管理的安全性直接影响整个运维体系的安全水平。SSH密钥管理需要解决三个问题:密钥生成、密钥分发、密钥轮换。
密钥生成应使用安全的随机数生成器,密钥类型建议使用ED25519,相比RSA更安全且性能更好。生成的公钥需要登记到资产管理系统,记录公钥与主机、用户的对应关系。私钥必须设置passphrase,防止私钥泄露后被直接使用。
ED25519密钥生成命令:
# 生成ED25519密钥对
ssh-keygen -t ed25519 -C "automation@ops.example.com" -f ~/.ssh/automation_ed25519
# 生成的密钥文件
# ~/.ssh/automation_ed25519 - 私钥(需要设置passphrase)
# ~/.ssh/automation_ed25519.pub - 公钥
# 设置passphrase
ssh-add ~/.ssh/automation_ed25519
# 验证密钥
ssh-keygen -l -f ~/.ssh/automation_ed25519.pub
# 输出:256 SHA256:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx automation@ops.example.com (ED25519)
密钥分发是自动化运维落地的第一个难点。500台服务器环境下,需要确保公钥能够批量添加到服务器的authorized_keys文件中。推荐使用Ansible的authorized_key模块实现批量分发,分发前需验证目标主机的连通性和账户权限。
SSH批量分发Ansible Playbook:
# ssh_key_distribution.yml
---
- name: Distribute SSH Public Keys
hosts: all
become: yes
vars:
ssh_key_owner: automation
ssh_key_path: /home/{{ ssh_key_owner }}/.ssh
authorized_keys_file: "{{ ssh_key_path }}/authorized_keys"
tasks:
- name: Create SSH directory
file:
path: "{{ ssh_key_path }}"
state: directory
owner: "{{ ssh_key_owner }}"
group: "{{ ssh_key_owner }}"
mode: '0700'
- name: Deploy authorized_keys
authorized_key:
user: "{{ ssh_key_owner }}"
key: "{{ lookup('file', '~/.ssh/automation_ed25519.pub') }}"
state: present
exclusive: no
when: ansible_user == ssh_key_owner
- name: Verify authorized_keys permissions
file:
path: "{{ authorized_keys_file }}"
owner: "{{ ssh_key_owner }}"
group: "{{ ssh_key_owner }}"
mode: '0600'
密钥轮换机制用于应对密钥泄露风险。建议每90天强制轮换一次密钥,轮换过程需要确保新密钥生效后旧密钥才失效,避免轮换过程中出现无法登录的空窗期。轮换操作应支持灰度执行,先在少量主机验证,再全量推广。
密钥轮换Playbook:
# ssh_key_rotation.yml
---
- name: SSH Key Rotation
hosts: all
become: yes
vars:
ssh_key_owner: automation
ssh_key_path: /home/{{ ssh_key_owner }}/.ssh
new_public_key: "{{ lookup('file', '~/.ssh/automation_ed25519_new.pub') }}"
tasks:
- name: Backup current authorized_keys
shell: |
cp {{ ssh_key_path }}/authorized_keys {{ ssh_key_path }}/authorized_keys.backup.{{ ansible_date_time.epoch }}
changed_when: false
- name: Add new public key
authorized_key:
user: "{{ ssh_key_owner }}"
key: "{{ new_public_key }}"
state: present
- name: Verify new key works
shell: |
ssh -o StrictHostKeyChecking=no -i {{ ssh_key_path }}/automation_ed25519_new {{ ansible_host }} "echo success"
register: ssh_test
changed_when: false
failed_when: "'success' not in ssh_test.stdout"
- name: Remove old public key (after verification)
authorized_key:
user: "{{ ssh_key_owner }}"
key: "{{ lookup('file', '~/.ssh/automation_ed25519.pub') }}"
state: absent
when: ssh_test is succeeded
SSH连接参数的统一配置也很重要。建议在/etc/ssh/ssh_config或用户home目录的.ssh/config中统一配置连接参数,包括连接超时、压缩选项、跳板机配置等。统一的连接参数可以减少执行失败率,提升批量操作的稳定性。
SSH客户端配置文件:
# ~/.ssh/config
Host *
# 连接超时
ConnectTimeout 10
# 保持连接
ServerAliveInterval 60
ServerAliveCountMax 3
# 压缩
Compression yes
# 严格主机检查(首次需要手动确认)
StrictHostKeyChecking accept-new
# 日志级别
LogLevel ERROR
# 生产服务器组
Host prod-*
User automation
IdentityFile ~/.ssh/automation_ed25519
ProxyJump bastion.example.com
# 跳板机配置
Host bastion.example.com
User admin
Port 22
HostName bastion.example.com
IdentityFile ~/.ssh/admin_ed25519
2.2 Ansible、Tower、Puppet选型对比
自动化运维工具的选型需要综合考虑技术成熟度、社区活跃度、学习曲线、扩展能力等因素。主流工具包括Ansible、AWX/Tower、Puppet、Chef、SaltStack。
Ansible是目前最广泛使用的自动化运维工具。其优势在于:无代理架构,只需要SSH即可连接目标主机;playbook采用YAML格式,学习成本低;模块化设计,现有成千上万个模块覆盖各种场景;社区活跃,Galaxy上有大量可复用的角色和playbook。Ansible的不足是并发执行能力有限,大规模环境下执行速度较慢;状态管理能力较弱,不适合需要持续保持特定状态的场景。
AWX是Ansible的开源版本,Red Hat提供商业版本Ansible Tower。AWX/Tower为Ansible提供了Web界面、角色基础的访问控制、作业调度、执行日志集中管理等功能。对于500台服务器规模的组织,推荐使用AWX自建,可以满足需求且无license成本。AWX的不足是Web界面响应速度在大规模作业下可能较慢,API文档不够完善。
Puppet是历史悠久的配置管理工具,采用客户端-服务端架构。Puppet的优势在于状态管理能力强大,能够持续确保服务器处于期望状态;报告系统完善,可以详细记录配置变更历史。Puppet的不足是学习曲线陡峭,DSL语言需要时间掌握;agent需要在每台服务器安装,占用资源;服务端性能要求较高。
Chef采用Ruby语言描述配置,DSL风格偏向开发者习惯。Chef的优势是与云平台集成良好,Cookbook复用度高。不足是Ruby语言门槛,Chef Server架构较重。
SaltStack采用master-minion架构,支持远程执行和配置管理。SaltStack的优势是执行速度快,支持万级并发;状态管理能力强。不足是架构复杂,调试困难。
对于500台服务器规模的组织,Ansible+AWX是性价比最高的选择。其轻量级无代理架构降低了部署和运维成本,YAML格式的playbook降低了学习门槛,完善的模块生态覆盖了大部分运维场景。AWX提供了集中管理能力,满足团队协作和审计需求。
Ansible与Puppet对比:
| 维度 |
Ansible |
Puppet |
| 架构 |
无代理 |
C/S架构(需要agent) |
| 语言 |
YAML |
Puppet DSL/Ruby |
| 状态管理 |
声明式但不持续 |
声明式且持续 |
| 执行速度 |
中等 |
较快(minion缓存) |
| 学习曲线 |
低 |
中等 |
| 社区规模 |
很大 |
大 |
| 扩展方式 |
模块化 |
模块化 |
2.3 标准化系统镜像
标准化镜像是批量部署的基础。统一的镜像确保所有服务器从一开始就具备一致的操作系统和基础配置,减少后续的差异化配置工作。
镜像标准化应包含以下内容:操作系统版本及基础配置、系统内核参数优化、基础软件包安装、安全基线配置、监控agent部署。操作系统建议选择LTS版本,如Ubuntu 22.04 LTS或Rocky Linux 9,减少因系统升级带来的兼容性风险。
镜像制作推荐使用Packer工具。Packer支持多种镜像构建后端,包括VMware、Vagrant、AWS、阿里云等。Packer的模板文件采用JSON格式,定义构建步骤和配置。镜像构建过程中,建议使用Ansible作为provisioner,在镜像中安装基础软件和进行初始配置。
Packer模板示例:
{
"builders": [
{
"type": "qemu",
"iso_url": "https://releases.rockylinux.org/9.4/isos/x86_64/Rocky-9.4-x86_64-dvd.iso",
"iso_checksum": "sha256:xxxxxx",
"ssh_username": "root",
"ssh_password": "rocky",
"disk_size": 40960,
"format": "qcow2",
"headless": true,
"vm_name": "rocky9-template"
},
{
"type": "amazon-ebs",
"ami_name": "rocky9-base-{{ timestamp }}",
"region": "us-east-1",
"source_ami": "ami-xxxxx",
"instance_type": "t3.medium",
"ssh_username": "ec2-user"
}
],
"provisioners": [
{
"type": "ansible",
"playbook_file": "./playbooks/base.yml",
"extra_arguments": ["--tags", "base,security"]
},
{
"type": "shell",
"inline": [
"echo 'base image build completed'",
"rm -f /etc/udev/rules.d/70-persistent-net.rules"
]
}
],
"post-processors": [
{
"type": "manifest",
"output": "manifest.json",
"strip_path": true
}
]
}
Ansible基础配置Playbook:
# playbooks/base.yml
---
- name: Base System Configuration
hosts: all
become: yes
vars:
ntp_servers:
- 0.pool.ntp.org
- 1.pool.ntp.org
dns_servers:
- 8.8.8.8
- 8.8.4.4
tasks:
- name: Update system packages
dnf:
name: '*'
state: latest
when: ansible_os_family == "RedHat"
- name: Install base packages
package:
name:
- vim
- wget
- curl
- rsync
- net-tools
- tcpdump
- htop
- strace
- lsof
- iotop
- sysstat
state: present
- name: Configure NTP client
template:
src: ntp.conf.j2
dest: /etc/chrony.conf
mode: '0644'
notify: restart chronyd
- name: Disable unnecessary services
systemd:
name: "{{ item }}"
state: stopped
enabled: no
loop:
- cups
- postfix
- rhnsd
- name: Configure system limits
pam_limits:
domain: '*'
limit_type: "{{ item.type }}"
limit_item: "{{ item.item }}"
value: "{{ item.value }}"
loop:
- {type: 'soft', item: 'nofile', value: '65536'}
- {type: 'hard', item: 'nofile', value: '65536'}
- {type: 'soft', item: 'nproc', value: '65536'}
- {type: 'hard', item: 'nproc', value: '65536'}
handlers:
- name: restart chronyd
systemd:
name: chronyd
state: restarted
镜像版本管理需要建立清晰的命名规范和版本控制机制。镜像命名应包含操作系统版本、基础配置版本、构建日期等信息。版本控制系统记录每次镜像变更的内容和原因,便于问题追溯和回滚。
镜像版本命名规范:
{OS}-{VERSION}-{ROLE}-{BUILD_DATE}-{COMMIT_ID}
示例:rocky9-base-20260320-a1b2c3d
镜像验证是上线前的必要步骤。验证内容包括基础功能测试、安全扫描、兼容性测试。镜像验证应尽可能自动化,与CI/CD流水线集成,确保每次镜像变更都经过充分验证。
镜像验证Playbook:
# playbooks/verify_image.yml
---
- name: Image Verification
hosts: localhost
gather_facts: no
vars:
test_timeout: 300
tasks:
- name: Verify SSH connectivity
wait_for:
port: 22
host: "{{ target_host }}"
timeout: 30
state: started
- name: Verify hostname
shell: |
hostname -f && hostname -I | awk '{print $1}'
register: host_info
- name: Verify disk space
shell: |
df -h / | tail -1 | awk '{print $5}' | sed 's/%//'
register: disk_usage
failed_when: disk_usage.stdout | int > 80
- name: Verify memory
shell: |
free -m | grep Mem | awk '{print $2}'
register: memory_total
- name: Verify CPU cores
shell: |
nproc
register: cpu_cores
- name: Run security scan
shell: |
rpm -q --nosignature rpm-plugin-ostree || true
register: security_check
- name: Generate verification report
template:
src: report_template.j2
dest: /tmp/verification_report_{{ target_host }}.json
3. 配置管理层
3.1 CMDB建设
配置管理数据库(CMDB)是自动化运维体系的核心数据枢纽。CMDB存储服务器资产信息、配置信息、业务关联信息,为运维自动化提供数据支撑。
资产信息管理是CMDB的基础功能。每台服务器的物理信息(CPU、内存、磁盘)、网络信息(IP地址、网卡、交换机端口)、角色信息(Web服务器、数据库服务器、缓存服务器)都需要完整记录。资产信息应与实际环境保持同步,建议使用Zabbix等监控工具自动发现并更新资产信息。
服务器资产信息表设计:
-- 服务器基础信息表
CREATE TABLE servers (
id SERIAL PRIMARY KEY,
hostname VARCHAR(255) NOT NULL UNIQUE,
ip_address VARCHAR(45) NOT NULL,
ipmi_address VARCHAR(45),
mac_address VARCHAR(17),
os_name VARCHAR(100) NOT NULL,
os_version VARCHAR(50) NOT NULL,
kernel_version VARCHAR(100),
cpu_model VARCHAR(200),
cpu_cores INT,
cpu_threads INT,
memory_total BIGINT,
disk_total BIGINT,
disk_info JSONB,
status VARCHAR(20) DEFAULT 'active',
idc_id INT REFERENCES idc(id),
cabinet_id INT REFERENCES cabinets(id),
position VARCHAR(50),
sn VARCHAR(100) UNIQUE,
asset_code VARCHAR(100) UNIQUE,
purchase_date DATE,
warranty_expire DATE,
created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP,
updated_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);
-- 网络信息表
CREATE TABLE network_configs (
id SERIAL PRIMARY KEY,
server_id INT REFERENCES servers(id),
interface_name VARCHAR(50) NOT NULL,
ip_address VARCHAR(45),
mac_address VARCHAR(17),
netmask VARCHAR(20),
gateway VARCHAR(45),
vlan_id INT,
switch_name VARCHAR(100),
switch_port VARCHAR(50),
bond_master VARCHAR(50),
bond_slaves JSONB,
created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);
-- 业务关联表
CREATE TABLE business_relations (
id SERIAL PRIMARY KEY,
server_id INT REFERENCES servers(id),
service_id INT REFERENCES services(id),
service_role VARCHAR(50),
priority INT DEFAULT 0,
created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);
-- 服务信息表
CREATE TABLE services (
id SERIAL PRIMARY KEY,
service_name VARCHAR(100) NOT NULL UNIQUE,
service_type VARCHAR(50),
port INT,
protocol VARCHAR(20),
owner_team VARCHAR(100),
oncall_person VARCHAR(100),
sla_level VARCHAR(20),
description TEXT,
created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);
配置信息管理记录服务器的软件配置和参数设置。配置信息应区分静态配置和动态配置,静态配置如主机名、DNS服务器等变更频率低,动态配置如当前运行进程、当前连接数等需要持续更新。配置信息的历史记录用于审计和问题追溯。
-- 配置项记录表
CREATE TABLE config_items (
id SERIAL PRIMARY KEY,
server_id INT REFERENCES servers(id),
config_key VARCHAR(255) NOT NULL,
config_value TEXT,
config_type VARCHAR(50),
source VARCHAR(50),
verified_at TIMESTAMP,
verified_by VARCHAR(100),
created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP,
updated_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);
-- 配置变更历史表
CREATE TABLE config_history (
id SERIAL PRIMARY KEY,
server_id INT REFERENCES servers(id),
config_key VARCHAR(255) NOT NULL,
old_value TEXT,
new_value TEXT,
change_type VARCHAR(20),
change_reason TEXT,
changed_by VARCHAR(100),
changed_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);
业务关联信息建立服务器与业务系统的映射关系。记录服务器承载的服务、服务归属的业务线、服务依赖关系。业务关联信息在故障排查时尤为重要,可以快速定位受影响的业务范围和影响用户数量。
CMDB的工具选型方面,开源方案有opsbee、Commander,商业方案有ServiceNow、Bigfix。对于500台服务器规模,推荐使用CMDB配合Ansible的方案,自建CMDB成本可控且灵活性高。云上资产可以使用云厂商的配置审计服务,与自建CMDB形成互补。
CMDB API服务示例(Python Flask):
from flask import Flask, jsonify, request
from datetime import datetime
import psycopg2
app = Flask(__name__)
def get_db_connection():
conn = psycopg2.connect(
host="localhost",
database="cmdb",
user="cmdb_user",
password="xxxxx"
)
return conn
@app.route('/api/servers', methods=['GET'])
def get_servers():
status = request.args.get('status')
idc = request.args.get('idc')
query = "SELECT * FROM servers WHERE 1=1"
params = []
if status:
query += " AND status = %s"
params.append(status)
if idc:
query += " AND idc_id = %s"
params.append(idc)
conn = get_db_connection()
cur = conn.cursor()
cur.execute(query, params)
servers = cur.fetchall()
cur.close()
conn.close()
return jsonify({
'total': len(servers),
'servers': [dict(zip(['id', 'hostname', 'ip_address', ...], s)) for s in servers]
})
@app.route('/api/servers/<hostname>', methods=['GET'])
def get_server(hostname):
conn = get_db_connection()
cur = conn.cursor()
cur.execute("SELECT * FROM servers WHERE hostname = %s", (hostname,))
server = cur.fetchone()
cur.close()
conn.close()
if not server:
return jsonify({'error': 'Server not found'}), 404
return jsonify(dict(zip(['id', 'hostname', 'ip_address', ...], server)))
@app.route('/api/servers/<hostname>/configs', methods=['GET'])
def get_server_configs(hostname):
conn = get_db_connection()
cur = conn.cursor()
cur.execute("""
SELECT ci.* FROM config_items ci
JOIN servers s ON ci.server_id = s.id
WHERE s.hostname = %s
ORDER BY ci.config_key
""", (hostname,))
configs = cur.fetchall()
cur.close()
conn.close()
return jsonify({
'hostname': hostname,
'configs': [dict(zip(['id', 'server_id', 'config_key', 'config_value', ...], c)) for c in configs]
})
@app.route('/api/servers/<hostname>/services', methods=['GET'])
def get_server_services(hostname):
conn = get_db_connection()
cur = conn.cursor()
cur.execute("""
SELECT s.*, br.service_role FROM services s
JOIN business_relations br ON s.id = br.service_id
JOIN servers srv ON br.server_id = srv.id
WHERE srv.hostname = %s
""", (hostname,))
services = cur.fetchall()
cur.close()
conn.close()
return jsonify({
'hostname': hostname,
'services': [dict(zip(['id', 'service_name', 'service_type', ...], sv)) for sv in services]
})
3.2 配置基线与版本管理
配置基线是服务器应满足的配置标准。配置基线定义了什么配置是必须存在的、配置值必须在什么范围内。配置基线管理解决两个问题:如何定义基线、如何验证基线。
配置基线的定义应基于业务需求和安全要求。操作系统基线定义用户权限、密码策略、文件系统权限等;中间件基线定义端口配置、内存分配、日志级别等;网络基线定义防火墙规则、路由策略等。基线定义应形成文档,经过评审后生效。
操作系统安全基线示例:
# security_baseline.yml
---
- name: Security Baseline Check
hosts: all
become: yes
vars:
password_min_length: 12
password_max_days: 90
password_warn_days: 7
audit_log_max_size: 100
tasks:
- name: Check password policy
shell: |
grep "^PASS_MIN_LEN" /etc/login.defs || echo "PASS_MIN_LEN 12"
register: password_min_len
- name: Check password max days
shell: |
grep "^PASS_MAX_DAYS" /etc/login.defs | awk '{print $2}'
register: password_max_days
- name: Verify no root SSH login
lineinfile:
path: /etc/ssh/sshd_config
regexp: '^PermitRootLogin'
state: present
register: root_login_check
failed_when: root_login_check is not changed
- name: Check SSH Protocol
lineinfile:
path: /etc/ssh/sshd_config
regexp: '^Protocol'
line: 'Protocol 2'
register: ssh_protocol
failed_when: ssh_protocol is changed
- name: Check firewall status
systemd:
name: firewalld
register: firewall_status
when: ansible_os_family == "RedHat"
- name: Check unnecessary services
shell: |
systemctl list-units --type=service --state=running | grep -E 'cups|postfix|telnet|rsh'
register: unnecessary_services
failed_when: unnecessary_services.stdout != ""
- name: Check SUID files
shell: |
find /usr -perm -4000 -type f 2>/dev/null | wc -l
register: suid_count
changed_when: false
配置基线的验证通过自动化工具实现。Ansible的check模式可以验证当前配置与期望配置的差异。对于安全相关的配置,可以使用OpenSCAP进行合规扫描。扫描结果应生成报告,记录不符合基线的配置项和偏离程度。
OpenSCAP合规扫描:
# 安装OpenSCAP
yum install -y openscap-scanner scap-security-guide
# 列出可用的安全配置文件
oscap info /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml
# 执行安全基线扫描
oscap xccdf eval \
--profile xccdf_org.ssgproject.content_profile_cis \
--results scan_results.xml \
--report scan_report.html \
/usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml
# 针对特定基线项扫描
oscap xccdf eval \
--profile xccdf_org.ssgproject.content_profile_cis \
--rule xccdf_org.ssgproject.content_rule_ssh_disable_empty_passwords \
/usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml
配置版本管理记录配置变更的历史。每次配置变更应记录变更内容、变更原因、变更人、变更时间。版本控制系统如Git可以用于管理配置文件,支持配置的回滚和比对。对于需要审批的配置变更,工作流引擎可以强制执行审批流程后再应用变更。
配置文件版本管理示例:
# 初始化配置文件仓库
git init /opt/configs
cd /opt/configs
git config --local user.email "automation@example.com"
git config --local user.name "Automation System"
# 添加Ansible inventory
mkdir -p inventory/group_vars/all
cp /etc/ansible/hosts inventory/
git add inventory/hosts
# 添加主机变量
mkdir -p inventory/host_vars
for host in $(cat inventory/hosts | grep -v '^\[' | grep -v '^#'); do
mkdir -p "inventory/host_vars/$host"
done
git add .
# 提交初始配置
git commit -m "Initial configuration commit"
# 创建配置变更分支
git checkout -b change/update-ssh-config
# 修改配置后提交
git add inventory/hosts
git commit -m "[变更单:CHG001] Update SSH timeout configuration"
# 合并前需要审批(通过PR)
git push origin change/update-ssh-config
配置变更的灰度发布是控制风险的重要手段。配置变更应先在少量服务器验证,观察无异常后再全量推广。灰度发布策略包括按机房、按业务线、按服务器比例等多种方式。灰度过程中应持续监控业务指标和系统指标,发现异常立即回滚。
配置灰度发布Playbook:
# rolling_update_config.yml
---
- name: Rolling Configuration Update
hosts: localhost
vars:
target_group: webservers
rolling_percentage: 20
validation_timeout: 300
rollback_on_failure: true
tasks:
- name: Get total server count
set_fact:
total_servers: "{{ groups[target_group] | length }}"
batch_size: "{{ ((groups[target_group] | length * rolling_percentage / 100) | int) + 1 }}"
- name: Calculate server batches
set_fact:
batches: "{{ groups[target_group] | batch(batch_size | int) | list }}"
- name: Execute rolling update
include_tasks: execute_batch.yml
loop: "{{ batches }}"
loop_control:
loop_var: batch
- name: Verify all servers
include_tasks: verify_all.yml
3.3 批量配置下发
批量配置下发是自动化运维的核心操作场景。常见的批量配置场景包括:系统参数修改、软件包安装、服务部署、配置文件更新。
系统参数修改涉及内核参数、系统限制、时区配置等。内核参数通过sysctl命令或修改/etc/sysctl.conf实现;系统限制通过修改/etc/security/limits.conf实现;时区配置通过timedatectl命令实现。这些操作需要先在测试环境验证,批量下发时建议分批执行并验证结果。
内核参数批量配置Playbook:
# sysctl_config.yml
---
- name: Configure Kernel Parameters
hosts: all
become: yes
vars:
sysctl_params:
net.core.somaxconn: 65535
net.ipv4.tcp_max_syn_backlog: 65535
net.ipv4.tcp_fin_timeout: 30
net.ipv4.tcp_keepalive_time: 600
net.ipv4.tcp_keepalive_probes: 3
net.ipv4.tcp_keepalive_intvl: 15
net.ipv4.ip_local_port_range: "10240 65535"
net.core.netdev_max_backlog: 65535
net.core.rmem_max: 16777216
net.core.wmem_max: 16777216
net.ipv4.tcp_rmem: "4096 87380 16777216"
net.ipv4.tcp_wmem: "4096 65536 16777216"
vm.swappiness: 10
vm.dirty_ratio: 15
vm.dirty_background_ratio: 5
fs.file-max: 6553600
fs.inotify.max_user_watches: 524288
tasks:
- name: Configure sysctl parameters
sysctl:
name: "{{ item.key }}"
value: "{{ item.value }}"
state: present
reload: yes
sysctl_file: /etc/sysctl.conf
loop: "{{ sysctl_params | dict2items }}"
register: sysctl_changes
- name: Verify sysctl parameters
shell: |
sysctl {{ item.key }} | grep "{{ item.value }}"
loop: "{{ sysctl_params | dict2items }}"
when: sysctl_changes.changed
register: sysctl_verify
failed_when: sysctl_verify.rc != 0
- name: Display verification results
debug:
msg: "sysctl parameter {{ item.item.key }} verified"
loop: "{{ sysctl_verify.results }}"
when: item.rc == 0
软件包安装通过系统包管理器实现。Debian/Ubuntu系列使用apt-get,RHEL/CentOS系列使用yum/dnf。批量安装前需验证软件仓库的可用性和访问权限。安装完成后需验证软件版本和运行状态。
软件包批量安装Playbook:
# package_install.yml
---
- name: Install Software Packages
hosts: all
become: yes
vars:
common_packages:
- vim
- wget
- curl
- rsync
- net-tools
- iproute
- tcpdump
- htop
- strace
- lsof
- iotop
- sysstat
- jq
- bc
web_packages:
- nginx
- python3
- python3-pip
db_packages:
- postgresql-client
- mysql-client
tasks:
- name: Update package cache (Debian)
apt:
update_cache: yes
cache_valid_time: 3600
when: ansible_os_family == "Debian"
- name: Update package cache (RedHat)
dnf:
update_cache: yes
when: ansible_os_family == "RedHat"
- name: Install common packages
package:
name: "{{ common_packages }}"
state: present
- name: Install packages by role
package:
name: "{{ item }}"
state: present
loop: "{{ role_packages }}"
when: role_packages is defined
- name: Verify installed packages
shell: |
rpm -q {{ common_packages | join(' ') }} | grep -v "package" | wc -l
register: package_verify
failed_when: package_verify.stdout | int < common_packages | length
when: ansible_os_family == "RedHat"
- name: Get installed package versions
shell: |
dpkg -l | grep -E "{{ common_packages | join('|') }}" | awk '{print $2, $3}'
register: package_versions
when: ansible_os_family == "Debian"
服务部署是最复杂的配置场景,通常涉及多个步骤:创建系统账户、创建服务目录、上传部署包、修改文件权限、配置systemd服务、启动服务并验证。推荐将服务部署编写为Ansible playbook,支持幂等执行和重复执行。
Nginx服务部署Playbook:
# nginx_deploy.yml
---
- name: Deploy Nginx Service
hosts: webservers
become: yes
vars:
nginx_version: "1.26.0"
nginx_install_dir: "/opt/nginx"
nginx_config_dir: "/etc/nginx"
nginx_user: nginx
nginx_worker_processes: "auto"
nginx_worker_connections: 65535
tasks:
- name: Create nginx system user
user:
name: "{{ nginx_user }}"
system: yes
shell: /sbin/nologin
create_home: no
comment: "Nginx service user"
- name: Create nginx directories
file:
path: "{{ item }}"
state: directory
owner: root
group: root
mode: '0755'
loop:
- "{{ nginx_install_dir }}"
- "{{ nginx_install_dir }}/logs"
- "{{ nginx_install_dir }}/client_body_temp"
- "{{ nginx_install_dir }}/proxy_temp"
- "{{ nginx_install_dir }}/fastcgi_temp"
- "{{ nginx_install_dir }}/uwsgi_temp"
- "{{ nginx_install_dir }}/scgi_temp"
- name: Upload nginx binary
copy:
src: "files/nginx-{{ nginx_version }}"
dest: "{{ nginx_install_dir }}/nginx"
owner: root
group: root
mode: '0755'
- name: Upload nginx configuration
template:
src: "templates/nginx.conf.j2"
dest: "{{ nginx_config_dir }}/nginx.conf"
owner: root
group: root
mode: '0644'
notify: reload nginx
- name: Create systemd service file
template:
src: templates/nginx.service.j2
dest: /etc/systemd/system/nginx.service
notify:
- reload systemd
- start nginx
- name: Enable and start nginx
systemd:
name: nginx
enabled: yes
state: started
- name: Verify nginx is running
uri:
url: "http://localhost:{{ nginx_port | default(80) }}/healthz"
status_code: 200
register: nginx_health
retries: 5
delay: 3
until: nginx_health.status == 200
handlers:
- name: reload systemd
systemd:
daemon_reload: yes
- name: reload nginx
systemd:
name: nginx
state: reloaded
- name: start nginx
systemd:
name: nginx
state: started
4. 运维场景自动化
4.1 批量系统初始化
新服务器上线前的系统初始化是运维自动化的第一个应用场景。批量初始化需要保证所有服务器的配置一致性,同时需要处理不同硬件环境带来的差异。
初始化流程通常包括以下步骤:系统镜像安装、网络配置、基础软件安装、系统参数优化、安全基线配置、监控agent部署。
系统镜像安装通常通过PXEboot或云厂商的镜像启动机制实现。PXEboot环境需要配置DHCP服务器、TFTP服务器、NFS/HTTP服务器。自动化安装应答文件通过Kickstart(RHEL)或Preseed(Debian)定义,实现无人值守安装。
Kickstart应答文件示例:
# ks.cfg
# System language
lang en_US.UTF-8
# Keyboard layouts
keyboard us
# System timezone
timezone Asia/Shanghai --utc
# Root password (encrypted)
rootpw --iscrypted xxxxxxxxxxxxxxxxxxxxxxxx
# Use network installation
url --url="http://mirror.example.com/rocky/9.4/BaseOS/x86_64/os"
# System bootloader configuration
bootloader --location=mbr --driveorder=sda
clearpart --all --drives=sda
part /boot --fstype="xfs" --ondisk=sda --size=1024
part pv.01 --ondisk=sda --grow
volgroup vg_root pv.01
logvol / --fstype="xfs" --name=lv_root --vgname=vg_root --size=15360
logvol swap --fstype="swap" --name=lv_swap --vgname=vg_root --size=8192
logvol /var --fstype="xfs" --name=lv_var --vgname=vg_root --size=10240 --grow
# Network information
network --bootproto=dhcp --device=eth0 --onboot=on --ipv6=auto --activate
network --hostname=server.example.com
# Firewall configuration
firewall --enabled --service=ssh
# Services
services --enabled=chronyd,sshd --disabled=postfix,cups
# Package selection
%packages
@^minimal
@standard
chrony
vim
wget
curl
rsync
net-tools
iproute
tcpdump
htop
strace
lsof
iotop
sysstat
%end
# Post-installation script
%post --log=/root/ks-post.log
#!/bin/bash
# Configure DNS
echo "nameserver 8.8.8.8" >> /etc/resolv.conf
# Configure NTP
sed -i 's/server 0.*/server 0.pool.ntp.org/' /etc/chrony.conf
sed -i 's/server 1.*/server 1.pool.ntp.org/' /etc/chrony.conf
# Disable SELinux
sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config
# Configure SSH
sed -i 's/#PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config
sed -i 's/#PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sd_config
# Set environment
echo "export PATH=/opt/bin:$PATH" >> /etc/profile.d/custom.sh
%end
网络配置需要处理不同环境的差异化需求。服务器的IP配置方式分为静态IP和DHCP两种;网卡名称在不同硬件环境下可能不同。Ansible的ethernet_config角色可以通过变量覆盖适配不同环境。
网络配置Playbook:
# network_config.yml
---
- name: Configure Network
hosts: all
become: yes
vars:
default_gateway: "10.0.0.1"
dns_servers:
- "8.8.8.8"
- "8.8.4.4"
tasks:
- name: Get current network config
shell: |
ip addr show | grep -E '^[0-9]+:' | awk '{print $2}' | tr -d ':'
register: current_interfaces
- name: Configure interface with DHCP
nmcli:
conn_name: "{{ item }}"
type: ethernet
method: auto
autoconnect: yes
state: present
loop: "{{ current_interfaces }}"
when: network_method == "dhcp"
- name: Configure interface with static IP
nmcli:
conn_name: "{{ item }}"
type: ethernet
ip4: "{{ static_ip }}/{{ netmask }}"
gw4: "{{ default_gateway }}"
dns4: "{{ dns_servers | join(',') }}"
method: manual
autoconnect: yes
state: present
loop: "{{ current_interfaces }}"
when: network_method == "static"
- name: Ensure network service is enabled
systemd:
name: NetworkManager
enabled: yes
state: started
- name: Verify network connectivity
wait_for:
host: "{{ default_gateway }}"
port: 22
timeout: 30
state: started
基础软件安装根据操作系统类型选择相应的包管理器。安装的软件包通常包括:基础工具(curl、wget、vim、git)、网络工具(net-tools、iproute、tcpdump)、监控工具(zabbix-agent、telegraf)、安全工具(fail2ban、rkhunter)。
4.2 软件包批量部署
软件包批量部署是日常运维的高频操作。常见的部署场景包括:中间件升级、安全补丁、应用版本迭代。
中间件批量部署需要先在测试环境验证兼容性。中间件通常包括Nginx、MySQL、Redis、Kafka等。部署前需确认版本兼容性、数据迁移方案、回滚方案。批量部署采用灰度策略,先在10%的服务器部署,观察无异常后再全量推广。
Nginx升级Playbook:
# nginx_upgrade.yml
---
- name: Rolling Nginx Upgrade
hosts: webservers
become: yes
vars:
nginx_version: "1.27.0"
upgrade_batch_size: 10
health_check_url: "http://{{ inventory_hostname }}/healthz"
tasks:
- name: Get current nginx version
shell: |
/opt/nginx/sbin/nginx -v 2>&1 | grep -oP '\d+\.\d+\.\d+'
register: current_version
changed_when: false
- name: Check if upgrade needed
set_fact:
needs_upgrade: "{{ current_version.stdout is version_compare(nginx_version, '<') }}"
- name: Backup current nginx
shell: |
cp -r /opt/nginx /opt/nginx_backup_$(date +%Y%m%d%H%M%S)
when: needs_upgrade | bool
- name: Stop nginx service
systemd:
name: nginx
state: stopped
- name: Deploy new nginx binary
copy:
src: "files/nginx-{{ nginx_version }}"
dest: /opt/nginx/sbin/nginx
owner: root
group: root
mode: '0755'
backup: yes
when: needs_upgrade | bool
- name: Start nginx service
systemd:
name: nginx
state: started
- name: Verify nginx version
shell: |
/opt/nginx/sbin/nginx -v 2>&1 | grep -oP '\d+\.\d+\.\d+'
register: new_version
when: needs_upgrade | bool
- name: Health check after upgrade
uri:
url: "{{ health_check_url }}"
status_code: 200
register: health_check
retries: 5
delay: 3
until: health_check.status == 200
when: needs_upgrade | bool
安全补丁的部署需要快速响应。零日漏洞出现后,需要在最短时间内完成所有受影响服务器的补丁部署。安全补丁部署优先级高于普通变更,需要建立快速通道机制。部署完成后需验证漏洞是否修复。
紧急安全补丁Playbook:
# emergency_patch.yml
---
- name: Emergency Security Patch Deployment
hosts: all
become: yes
vars:
patch_priority: "critical"
max_parallel: 50
tasks:
- name: Check if system needs patching
shell: |
yum updateinfo list | grep -i "{{ cve_id }}"
register: patch_check
failed_when: false
- name: Apply security patch
yum:
name: "*"
state: latest
security: yes
bugfix: yes
when: patch_check.stdout | length > 0
register: patch_result
- name: Verify patch is applied
shell: |
rpm -qa --changelog | grep -i "{{ cve_id }}"
when: patch_result.changed
register: verify_patch
- name: Reboot if required
reboot:
reboot_timeout: 600
test_command: "uptime"
when: patch_result.changed and ansible_facts['needs_restart'] | default(false)
- name: Report patch status
template:
src: patch_report.j2
dest: /tmp/patch_report_{{ inventory_hostname }}_{{ ansible_date_time.epoch }}.json
4.3 配置变更批量执行
配置变更批量执行是自动化运维的核心价值场景。配置变更涉及系统安全,需要建立完善的审批和验证机制。
配置变更的发起应包含完整的变更信息:变更内容、变更范围、变更时间、变更原因、紧急程度、审批人。变更信息通过工单系统流转,审批通过后才可执行。
变更工单数据结构:
{
"change_id": "CHG-202603200001",
"title": "Update nginx worker connections to 65535",
"description": "Increase nginx worker connections to support higher concurrency",
"change_type": "standard",
"risk_level": "low",
"requester": {
"name": "John Doe",
"team": "Platform",
"email": "john@example.com"
},
"approvers": [
{
"name": "Jane Smith",
"role": "Team Lead",
"status": "approved",
"approved_at": "2026-03-20T10:00:00Z"
}
],
"target_servers": [
{
"hostname": "web-01.example.com",
"ip": "10.0.1.11",
"group": "webservers"
},
{
"hostname": "web-02.example.com",
"ip": "10.0.1.12",
"group": "webservers"
}
],
"rollback_plan": "Revert nginx.conf changes via Ansible rollback",
"implementation_plan": [
{
"step": 1,
"description": "Update nginx.conf template",
"playbook": "nginx_config_update.yml"
},
{
"step": 2,
"description": "Reload nginx service",
"playbook": "nginx_reload.yml"
}
],
"schedule": {
"planned_start": "2026-03-21T02:00:00Z",
"planned_end": "2026-03-21T02:30:00Z",
"maintenance_window": "2 hours"
},
"status": "approved",
"created_at": "2026-03-20T09:00:00Z"
}
配置变更的执行采用远程执行方式。Ansible的raw模块可以在不安装Python环境的服务器上执行命令,适合初始化场景;shell模块支持复杂Shell命令;script模块可以执行自定义脚本。执行前需在测试环境验证脚本的正确性。
配置变更执行Playbook:
# config_change.yml
---
- name: Execute Configuration Change
hosts: "{{ target_hosts }}"
become: yes
vars:
change_id: "{{ lookup('env', 'CHANGE_ID') }}"
change_playbook: "{{ lookup('env', 'CHANGE_PLAYBOOK') }}"
tasks:
- name: Validate change prerequisites
assert:
that:
- change_id is defined
- change_playbook is defined
fail_msg: "Missing required environment variables"
- name: Record change start
shell: |
echo "Change {{ change_id }} started at $(date -Iseconds)" >> /var/log/config_changes.log
- name: Include change-specific tasks
include_tasks: "{{ change_playbook }}"
- name: Verify change was applied
assert:
that:
- change_result is defined
- change_result.changed
fail_msg: "Configuration change verification failed"
- name: Record change completion
shell: |
echo "Change {{ change_id }} completed at $(date -Iseconds)" >> /var/log/config_changes.log
5. 监控与告警集成
5.1 统一监控平台对接
自动化运维体系需要与监控平台深度集成,实现告警触发自动处置、巡检数据自动采集、状态变化自动同步。
Zabbix是广泛使用的开源监控平台,支持主动模式、被动模式、Agent、SNMP等多种数据采集方式。Zabbix的自动发现功能可以自动识别网络中的服务器并添加到监控列表,减少人工录入工作。Zabbix的LLD(Low Level Discovery)机制可以自动发现并监控如磁盘分区、网络接口等动态资源。
Zabbix Agent配置示例:
# /etc/zabbix/zabbix_agentd.conf
Server=10.0.0.100
ServerActive=10.0.0.100
Hostname={{ ansible_facts['hostname'] }}
ListenPort=10050
RefreshActiveChecks=60
BufferSend=5
BufferSize=100
MaxLinesPerSecond=20
# 自定义监控项
UnsafeUserParameters=1
UserParameter=custom.cpu.load,/usr/local/bin/cpu_load.sh
UserParameter=custom.disk.io,/usr/local/bin/disk_io_stats.py
UserParameter=custom.app.status,/usr/local/bin/app_status.sh
Prometheus是云原生监控的事实标准,采用pull模式采集指标数据。Prometheus的ServiceMonitor和PodMonitor自定义资源可以实现与Kubernetes环境的原生集成。Prometheus AlertManager处理告警消息,支持分组、抑制、静默等高级功能。
Prometheus Agent配置示例:
# /etc/prometheus/prometheus.yml
global:
scrape_interval: 15s
evaluation_interval: 15s
external_labels:
cluster: 'production'
environment: 'prod'
alerting:
alertmanagers:
- static_configs:
- targets:
- alertmanager.monitoring:9093
rule_files:
- /etc/prometheus/rules/*.yml
scrape_configs:
- job_name: 'node-exporter'
static_configs:
- targets:
- 'node-exporter:9100'
relabel_configs:
- source_labels: [__address__]
target_label: instance
regex: '([^:]+):\d+'
replacement: '${1}'
- job_name: 'custom-metrics'
static_configs:
- targets:
- '10.0.1.11:8000'
- '10.0.1.12:8000'
metrics_path: /metrics
bearer_token_file: /var/run/secrets/prometheus/token
监控数据的存储和分析是监控体系的重要组成。时序数据库如Thanos、VictoriaMetrics提供了长期存储和高效查询能力。监控数据的分析可以发现系统瓶颈、预测容量需求、评估变更效果。
Thanos Sidecar配置:
# thanos-sidecar-config.yaml
type: SIDEKAR
config:
- target: http://prometheus:9090
tls_config:
ca_file: /etc/prometheus/certs/ca.crt
cert_file: /etc/prometheus/certs/client.crt
key_file: /etc/prometheus/certs/client.key
object_storage:
type: s3
config:
endpoint: s3.amazonaws.com
bucket: thanos-metrics
access_key: xxx
secret_key: xxx
region: us-east-1
5.2 告警收敛与自动化响应
告警收敛解决告警风暴问题。当故障发生时,同一故障可能触发多个相关告警,如果不进行收敛,运维人员会被大量重复告警淹没。告警收敛策略包括:时间收敛(同一告警在一定时间内只发送一次)、内容收敛(多个相关告警聚合成一条)、升级收敛(重复告警自动升级到更高级别)。
AlertManager路由配置示例:
# alertmanager.yml
global:
resolve_timeout: 5m
smtp_smarthost: 'smtp.example.com:587'
smtp_from: 'alertmanager@example.com'
route:
receiver: 'default-receiver'
group_by: ['alertname', 'severity', 'cluster']
group_wait: 30s
group_interval: 5m
repeat_interval: 4h
routes:
# 关键告警立即通知
- match:
severity: critical
receiver: 'pagerduty'
group_wait: 0s
continue: true
# 警告告警发送到Slack
- match:
severity: warning
receiver: 'slack'
group_wait: 1m
# 按服务分组
- match:
service: database
receiver: 'database-team'
continue: true
# 静默规则
- match_re:
alertname: '.*Test.*'
receiver: 'null'
continue: false
inhibit_rules:
# 抑制规则:同类告警抑制
- source_match:
severity: 'critical'
target_match:
severity: 'warning'
equal: ['alertname', 'instance']
# 抑制规则:网络故障抑制相关告警
- source_match:
alertname: 'NetworkUnreachable'
target_match_re:
alertname: '.*'
equal: ['instance']
告警路由根据告警类型和级别将告警发送到不同的接收渠道和处理人员。告警路由规则基于告警标签、服务归属、区域位置等信息匹配。PagerDuty、OpsGenie等告警管理平台提供了灵活的路由配置能力。
告警接收器配置:
receivers:
- name: 'default-receiver'
email_configs:
- to: 'alerts@example.com'
send_resolved: true
headers:
subject: '[{{ .Status | toUpper }}] {{ .GroupLabels.alertname }}'
- name: 'pagerduty'
pagerduty_configs:
- service_key: '{{ .Envs.PAGERDUTY_KEY }}'
severity: '{{ .GroupLabels.severity }}'
component: 'automated-ops'
class: 'config-change'
link: 'https://ops.example.com/alerts/{{ .GroupLabels.alertname }}'
details:
- key: 'environment'
value: '{{ .Labels.environment }}'
- key: 'severity'
value: '{{ .Labels.severity }}'
- name: 'slack'
slack_configs:
- api_url: '{{ .Envs.SLACK_WEBHOOK }}'
channel: '#alerts-production'
send_resolved: true
title: '[{{ .Status | toUpper }}] {{ .GroupLabels.alertname }}'
text: |
{{ range .Alerts }}
*Alert:* {{ .Labels.alertname }}
*Severity:* {{ .Labels.severity }}
*Description:* {{ .Annotations.description }}
*Details:* {{ range .Labels.SortedPairs }} - {{ .Name }}: {{ .Value }}
{{ end }}
{{ end }}
color: '{{ if eq .Status "firing" }}danger{{ else }}good{{ end }}'
- name: 'webhook'
webhook_configs:
- url: 'http://automation-service:8080/webhook/alerts'
send_resolved: true
自动化响应是告警处置的高级形态。对于常见的告警场景,可以编写自动处置剧本。自动处置剧本通过告警平台触发,执行预定义的处置脚本。典型的自动化响应场景包括:磁盘空间不足自动清理日志、服务异常自动重启、异常流量自动封禁IP。
自动处置Playbook示例:
# auto_healing.yml
---
- name: Auto Healing Actions
hosts: localhost
gather_facts: no
tasks:
- name: Handle high disk space alert
when: alert_name == "HighDiskSpace"
block:
- name: Identify large log files
shell: |
find /var/log -type f -name "*.log" -mtime +7 -exec ls -lh {} \; | sort -k5 -rh | head -20
register: large_logs
- name: Compress old logs
shell: |
find /var/log -type f -name "*.log" -mtime +3 -exec gzip {} \;
register: compress_result
- name: Remove compressed logs older than 30 days
shell: |
find /var/log -type f -name "*.gz" -mtime +30 -delete
register: cleanup_result
- name: Report cleanup results
uri:
url: "http://automation-service:8080/alerts/{{ alert_id }}/resolve"
method: POST
body_format: json
body:
action: "disk_cleanup"
freed_space: "{{ cleanup_result.stdout_lines | length * 100 }}"
files_processed: "{{ compress_result.stdout_lines | length }}"
- name: Handle service restart alert
when: alert_name == "ServiceDown"
block:
- name: Get service name from alert
set_fact:
service_name: "{{ alert_labels.service }}"
- name: Restart service on affected hosts
include_tasks: restart_service.yml
vars:
target_hosts: "{{ alert_labels.instance }}"
service_name: "{{ service_name }}"
- name: Verify service is running
wait_for:
port: "{{ service_port }}"
host: "{{ target_ip }}"
timeout: 60
state: started
- name: Handle high CPU alert
when: alert_name == "HighCPU"
block:
- name: Identify high CPU process
shell: |
ps aux --sort=-%cpu | head -10
register: top_processes
- name: Kill runaway process if needed
shell: |
ps aux --sort=-%cpu | head -2 | tail -1 | awk '{print $2}' | xargs -I {} kill -15 {}
when: alert_severity == "critical"
register: kill_result
6. 500台规模实战证据链
6.1 实施前后对比数据
某互联网公司在500台服务器规模下实施自动化运维体系建设,获得了显著的效率提升和风险降低。
实施前的状态:服务器初始化采用手工方式,每台服务器需要运维人员操作约60分钟,500台服务器累计需要500小时;配置变更采用逐台登录方式,紧急变更时需要多人同时操作,容易出错;故障定位依赖手工排查,平均MTTR(平均恢复时间)约45分钟。
实施后的状态:服务器初始化完全自动化,新服务器上架后自动完成初始化,耗时约15分钟,提升效率75%;配置变更通过Ansible批量执行,500台服务器变更耗时约20分钟,提升效率90%以上;故障定位通过自动化采集和分析,平均MTTR降低到15分钟,提升效率67%。
人员效率方面:自动化前,运维团队5人负责500台服务器,日常工作处于饱和状态;自动化后,运维团队可以支撑1000台服务器规模的运维工作,人员效率提升100%。
6.2 运维效率提升指标
自动化运维体系的效率提升体现在多个维度,以下是具体指标的对比分析。
变更发布效率:自动化前,单次配置变更从准备到执行完成需要约4小时;自动化后,同样的变更在30分钟内完成。效率提升约87%。主要时间节省在人工逐台操作环节。
故障恢复效率:自动化前,服务器异常需要运维人员登录排查,平均耗时45分钟;自动化后,系统自动采集异常数据并推荐处置方案,平均耗时15分钟。效率提升约67%。
新服务器上线效率:自动化前,新服务器从上架到交付业务使用需要约3天;自动化后,标准化流程将时间缩短到4小时。效率提升约85%。
配置一致性:自动化前,配置错误导致的故障占比约15%;自动化后,配置错误导致的故障占比降低到2%以下。风险降低约87%。
审计合规性:自动化前,操作日志完整率约60%;自动化后,操作日志完整率达到100%。合规性大幅提升,满足了等级保护等监管要求。
6.3 典型运维场景效率对比
日常运维场景的效率对比:
| 场景 |
手工耗时 |
自动化耗时 |
效率提升 |
| 单台服务器初始化 |
60分钟 |
15分钟 |
75% |
| 100台配置变更 |
8小时 |
20分钟 |
96% |
| 安全补丁部署 |
6小时 |
45分钟 |
88% |
| 日志收集分析 |
2小时 |
5分钟 |
92% |
| 故障排查定位 |
45分钟 |
15分钟 |
67% |
| 定期巡检报告 |
3小时 |
5分钟 |
97% |
故障响应时效对比:
| 故障类型 |
手工响应时间 |
自动化响应时间 |
改善 |
| 磁盘空间不足 |
30分钟 |
2分钟 |
93% |
| 服务异常 |
45分钟 |
5分钟 |
89% |
| 网络异常 |
60分钟 |
10分钟 |
83% |
| 性能下降 |
120分钟 |
20分钟 |
83% |
6.4 运维平台架构设计
500台服务器规模的自动化运维平台需要精心设计的架构来保证稳定性和可扩展性。
平台整体架构采用微服务设计,包含以下核心服务:
| 服务名称 |
功能描述 |
技术选型 |
容器副本 |
| API Gateway |
统一入口,认证授权 |
Kong/Nginx |
2 |
| Task Scheduler |
作业调度引擎 |
Python/Celery |
3 |
| Executor |
任务执行器 |
Python/Paramiko |
5 |
| CMDB Service |
配置管理数据库 |
PostgreSQL |
2 |
| File Server |
文件传输服务 |
FastDFS/MinIO |
2 |
| Audit Service |
审计日志服务 |
ELK |
2 |
| Web Console |
Web控制台 |
Vue/React |
3 |
平台核心模块API设计:
# 任务管理API
@app.route('/api/v1/tasks', methods=['POST'])
def create_task():
"""
创建运维任务
请求体:
{
"name": "批量部署Nginx",
"task_type": "ansible",
"playbook": "nginx_deploy.yml",
"target_servers": ["web-01", "web-02"],
"variables": {"nginx_version": "1.26.0"},
"schedule": null,
"notification": {
"on_success": true,
"on_failure": true,
"channels": ["slack", "email"]
}
}
"""
pass
@app.route('/api/v1/tasks/{task_id}', methods=['GET'])
def get_task(task_id):
"""获取任务详情"""
pass
@app.route('/api/v1/tasks/{task_id}/cancel', methods=['POST'])
def cancel_task(task_id):
"""取消正在执行的任务"""
pass
@app.route('/api/v1/tasks/{task_id}/retry', methods=['POST'])
def retry_task(task_id):
"""重试失败的任务"""
pass
# 服务器管理API
@app.route('/api/v1/servers', methods=['GET'])
def list_servers():
"""
获取服务器列表
查询参数: page, page_size, group, status, idc
"""
pass
@app.route('/api/v1/servers/{hostname}', methods=['GET'])
def get_server(hostname):
"""获取服务器详情"""
pass
@app.route('/api/v1/servers/batch', methods=['POST'])
def batch_update_servers():
"""
批量更新服务器信息
请求体:
{
"operation": "update_group",
"servers": ["web-01", "web-02"],
"parameters": {"group": "webservers_v2"}
}
"""
pass
# 执行结果查询API
@app.route('/api/v1/executions', methods=['GET'])
def list_executions():
"""获取执行历史"""
pass
@app.route('/api/v1/executions/{execution_id}', methods=['GET'])
def get_execution(execution_id):
"""获取执行详情,包含每台服务器的执行结果"""
pass
@app.route('/api/v1/executions/{execution_id}/logs/{hostname}', methods=['GET'])
def get_execution_log(execution_id, hostname):
"""获取指定服务器的执行日志"""
pass
任务调度器采用Celery实现,支持定时任务、延时任务、任务链。任务状态机设计:
任务状态流转:
PENDING -> STARTED -> RUNNING -> SUCCESS/FAILURE
|
+-> RETRY (失败重试)
|
+-> CANCELLED (手动取消)
任务执行引擎设计:
class ExecutionEngine:
def __init__(self, max_workers=50):
self.executor = ThreadPoolExecutor(max_workers=max_workers)
self.result_store = Redis()
def execute_playbook(self, task):
"""执行Ansible Playbook"""
hosts = self._resolve_hosts(task.target_servers)
inventory = self._generate_inventory(hosts)
# 创建执行记录
execution_id = self._create_execution_record(task, hosts)
# 异步执行
futures = []
for host in hosts:
future = self.executor.submit(
self._execute_on_host,
execution_id,
host,
task.playbook,
task.variables
)
futures.append((host, future))
# 收集结果
results = {}
for host, future in futures:
try:
results[host] = future.result(timeout=3600)
except Exception as e:
results[host] = {'status': 'error', 'message': str(e)}
# 更新执行记录
self._update_execution_record(execution_id, results)
return execution_id
def _execute_on_host(self, execution_id, host, playbook, variables):
"""在单个主机上执行任务"""
# 记录开始时间
self._log_execution_start(execution_id, host)
# 执行Ansible
result = subprocess.run([
'ansible-playbook',
'-i', f'{host},',
playbook,
'--extra-vars', json.dumps(variables),
'--check', # 预览模式
], capture_output=True, text=True)
# 记录结果
self._log_execution_result(execution_id, host, result)
return {
'status': 'success' if result.returncode == 0 else 'failure',
'output': result.stdout,
'error': result.stderr
}
6.5 团队协作与流程规范
自动化运维体系建设不仅是技术问题,还涉及团队协作和流程规范。良好的流程规范可以确保自动化体系的持续有效运行。
运维工单流转流程:
┌─────────┐ ┌─────────┐ ┌─────────┐ ┌─────────┐
│ 用户 │ -> │ 工单系统 │ -> │ 审批 │ -> │ 执行 │
│ 发起 │ │ 创建 │ │ 流程 │ │ 自动化 │
└─────────┘ └─────────┘ └─────────┘ └─────────┘
│
v
┌─────────────┐
│ 结果反馈 │
│ 完成/失败 │
└─────────────┘
工单审批流程配置:
# approval_workflow.yml
approval_flows:
- name: standard_change
description: 标准变更流程
steps:
- name: self_approval
approvers: [requester]
auto_approve: true
- name: team_lead_approval
approvers: [team_lead]
timeout: 24h
- name: security_review
condition: "risk_level == 'high'"
approvers: [security_team]
timeout: 48h
- name: emergency_change
description: 紧急变更流程
steps:
- name: oncall_approval
approvers: [oncall_engineer]
timeout: 1h
auto_approve: false
- name: post_approval
approvers: [team_lead]
timeout: 72h
description: 事后审批
- name: deployment
description: 应用部署流程
steps:
- name: code_review
approvers: [code_reviewer]
condition: "deployment_type == 'production'"
- name: qa_approval
approvers: [qa_team]
condition: "deployment_type != 'development'"
- name: staging_deployment
task: deploy_to_staging
- name: smoke_test
task: run_smoke_tests
- name: production_approval
approvers: [tech_lead]
- name: production_deployment
task: deploy_to_production
角色权限矩阵:
| 角色 |
服务器操作 |
配置变更 |
用户管理 |
审计查看 |
工单审批 |
| Developer |
- |
- |
- |
- |
- |
| Operator |
R |
R |
- |
- |
- |
| Senior Operator |
R |
RW |
- |
R |
- |
| Team Lead |
R |
RW |
R |
R |
RW |
| Security Admin |
R |
R |
R |
RW |
- |
| Platform Admin |
RW |
RW |
RW |
RW |
RW |
(R=只读, RW=读写)
总结
500台服务器的自动化运维体系建设是一个系统工程,需要从基础设施、配置管理、运维场景、监控告警等多个层面综合考虑。核心目标是提升运维效率、降低人为错误、满足合规要求。
实施路径建议从易到难、从点到面:首先实现SSH密钥的批量管理和基础命令的批量执行;然后建设CMDB系统,实现资产信息的统一管理;接着将常用运维场景编写为自动化剧本;最后建立监控告警与自动处置的联动机制。
自动化运维体系的持续运营同样重要。需要建立自动化剧本的版本管理机制,定期评审和优化剧本内容;建立运维数据的分析机制,从历史数据中发现优化机会;建立团队的能力传承机制,确保自动化知识在团队内有效传递。
实施自动化的关键成功因素包括:领导层支持、流程规范化、工具平台化、知识共享化。通过持续优化这些环节,自动化运维体系将为组织的数字化运营提供坚实的技术支撑。
发表于 前天 07:26
|
查看: 15|
回复: 0
