서버를 그룹으로 관리하기
Overview
수많은 서버를 그룹화하여 접속 가능한 계정 및 정책을 한 번에 적용할 수 있습니다. 목적에 따라 서버 그룹을 만든 후 일괄적으로 정책을 편리하게 관리할 수 있으며 이렇게 그룹화한 서버 그룹 권한을 개별 유저 또는 유저 그룹에 한 번에 부여할 수 있습니다.
서버 그룹 등록에 필요한 각 리소스들을 사전에 등록해 주시는 것을 권장합니다.
Administrator > Servers > Server Account Management > Server Account Templates
Administrator > Servers > Server Account Management > SSH Key Configurations
서버 그룹 생성하기
Administrator > Servers > Connection Management > Server Groups 메뉴로 이동합니다.
우측 상단의
+ Create Group
버튼을 클릭합니다.그룹 생성을 위한 다음의 정보들을 입력합니다.
Name : 서버 그룹을 화면 상에서 구별할 수 있는 이름입니다.
Description : 해당 서버 그룹에 대한 부가적인 설명을 입력할 수 있습니다.
Server Tags : 해당 서버 그룹에 포함될 서버를 Server Tags를 통해 필터링하여 추가합니다.
Save
버튼을 통해 저장합니다.
서버 그룹은 Tag 기반으로 서버를 관리 할 수 있습니다. 특정 Tag를 서버그룹의 Server Tags에 지정하여, 해당 Tag가 있는 모든 서버가 서버그룹에 포함되는 형태의 유동적인 서버 관리가 가능합니다.
서버 그룹 생성/수정하기
아래 정보를 입력하여 서버 그룹을 생성하실 수 있습니다. 생성 후 일부 항목은 수정이 가능합니다.
1. 기본 정보 입력 및 서버를 Tag 로 추가하기
Name : 서버 그룹의 이름을 입력합니다.
Description : 서버 그룹을 설명할 수 있는 내용을 입력합니다. 여러 관리자가 있을 경우, 서버 그룹 간 쉬운 식별을 위해 목적에 맞게 이름 및 설명을 자세히 입력하시는 것을 권장합니다.
Server Tags : 서버 그룹으로 묶고 싶은 서버의 태그를 지정하여 유동적으로 서버 그룹의 대상을 관리할 수 있습니다. 태그를 통해 추가된 서버는 서버 테이블에서 수동으로 삭제를 할 수 없으며, Server Tags의 태그를 수정하여야 합니다.
2. Server 를 수동으로 추가하기
Servers에서는 해당 서버 그룹에 속할 서버를 확인하거나 서버를 서버그룹에 수동 추가 할 수 있습니다.
우측 상단의
Add Server
버튼을 클릭하면 화면 위에 서버 리스트를 확인할 수 있는 팝업이 표시됩니다.해당 팝업창에서 서버 그룹에 추가할 개별 서버를 선택 후
Add
버튼을 클릭합니다.팝업 내 필터(:필터:) 기능을 이용하여 여러 조건으로 서버를 필터링할 수 있습니다.
최종 해당 서버 그룹에 추가된 서버들을 확인할 수 있습니다.
Information의 Server Tags에서 수동 추가된 서버와 관련된 테그를 삭제하더라도, 수동으로 추가된 서버는 서버그룹에서 제외되지 않습니다. Servers 테이블에서 체크박스 선택 후 나오는
Delete
버튼을 통한 수동 삭제만 가능합니다.Test Connection을 통해 Server Group내 추가된 Server와 Account에 대한 계정 정보 확인을 할 수 있습니다.
Test Connection을 사용하기 위해선 최소 1개의 Server와 Account를 Server Group에 추가해야 합니다.
Test Connection은 Server Group을 저장한 후에만 사용할 수 있습니다.
3. Accounts 등록하기
해당 커넥션에 접속 시 필요한 Account를 입력합니다. Account를 입력하는 방법은 두 가지가 있습니다.
Copy
버튼을 눌러 Server Account Templates 메뉴에서 이미 등록한 Account를 한 번에 불러올 수 있습니다.Sever Account Template 을 등록하는 방법은 Server Account Templates를 참고합니다.
또는
Add Account
기능을 이용하여 수동으로 Account 를 추가할 수 있습니다.
개별 Account에 입력하거나 설정해야 하는 정보는 아래와 같습니다.
Account : 개별 계정을 구분할 수 있는 이름을 입력합니다.
Auto Login : 자동 로그인 설정을 할 수 있습니다. Off 로 설정할 경우 Password 인증 방식만 사용할 수 있습니다.
Provisioning : 서버 계정에 대한 비밀번호 변경 자동화 기능을 사용할 대상으로 지정 가능합니다.
Administrator > General > Company Management > Security > Server Connection Security 메뉴에서 Password Provisioning이 활성화 되어 있는 경우에만 해당합니다.
Secret Store가 QueryPie로 지정되어 있을 때만 나타납니다.
Auth Type : 개별 계정의 인증 방식을 선택합니다. Password와 SSH Key 방식을 선택할 수 있으며, SSH Key 방식을 선택하고자 할 경우 Auto Login 설정을 먼저 On 으로 변경 해주세요.
Authority : 인증 방식이 Password 일 경우 인증에 사용할 Password 를 입력합니다. SSH Key 일 경우에는 SSH Key Configurations 에서 이미 등록한 키 중 하나를 선택할 수 있습니다.
Protocols : 해당 계정으로 SSH 또는 SFTP 접속 허용 여부를 설정할 수 있습니다.
3-1. 서버 그룹에서 Secret Store 를 통한 인증 설정하기 (Hashicorp Vault K/V 엔진 기준)
서버 그룹에 Account 정보 등록 시 Secret Store 연동 정보를 활용하면 사전 지정된 Secret Store 인증 정보 연동을 통해 커넥션에 접속할 수 있습니다. 사전에 서버 인증정보를 Secret Store 에 저장하고, 서버 원격 접속시 사용자가 Secret Store 에 저장된 서버 인증정보를 활용해 접속하게 함으로써 서버 인증정보에 대한 보안을 강화할 수 있습니다. Server Groups이 지정된 Server는 Server Groups와 동일한 Secret Store를 사용하도록 강제됩니다.
Administrator > Servers > Connection Management > Server Groups 메뉴에서
Create Group
버튼을 통해 새로운 서버 그룹을 생성합니다.이는 Administrator > Servers > Server Account Management > Server Account Templates 메뉴에서의 설정 방식도 동일합니다.
입력 항목 중 Secret Store 항목에서 사전에 등록한 Secret Store 항목을 선택합니다.
Secret Store 설정에 저장된 Secret Engine 타입 중 K/V 항목을 선택합니다.
Add Account
버튼을 클릭합니다.Alias 항목에 이용자들에게 노출될 서버 계정 명을 입력합니다.
Account / Authority 항목에 Vault 의 Path 를 입력합니다.
Path 의 형태는
prod_os/data/linux?account
형태로 입력할 수 있습니다.예시 기준 실제로 Vault 내의 경로는
prod_os > linux
의 key 가account
인 경우입니다.중간의
/data
경로를 추가해야합니다.
Save
버튼을 통해 서버 그룹 정보를 저장합니다.
3-2. 서버 그룹에서 Secret Store 를 통한 인증 설정하기 (Hashicorp Vault SSH OTP 엔진 기준)
Hashicorp Vault의 SSH OTP 엔진을 사용하여, Passwordless 형태로 서버 계정을 관리할 수 있습니다. 단, 서버에 vault의 server agent인 vault-ssh-helper를 설치를 해야합니다. 자세한 가이드는 Hashicorp Vault 공식 가이드를 참조 해주세요.
Administrator > Servers > Connection Management > Server Groups 메뉴에서
Create Group
버튼을 통해 새로운 서버 그룹을 생성합니다.이는 Administrator > Servers > Server Account Management > Server Account Templates 메뉴에서의 설정 방식도 동일합니다.
입력 항목 중 Secret Store 항목에서 사전에 등록한 Secret Store 항목을 선택합니다.
Secret Store 설정에 저장된 Secret Engine 타입 중 SSH OTP항목을 선택합니다.
Add Account
버튼을 클릭합니다.Account에 접속하려는 계정을 입력합니다. Vault OTP의 role을 생성할 때 Allowed users에 포함된 account여야 합니다.
Authority 항목에 Vault 의 Path 를 입력합니다.
Path 의 형태는
engine/creds/role
형태로 입력할 수 있습니다.
4. Server Group Owner 등록하기
서버 그룹 오너를 등록하여 Workflow의 승인자로 지정할 수 있습니다.
우측 상단의
Assign Owners
버튼을 클릭하면 User 및 User Group을 표시하는 팝업이 표시됩니다.해당 팝업창에서 서버 그룹 오너로 지정할 User 또는 User Group을 선택 후
Save
버튼을 클릭합니다.해당 서버 그룹에 오너로 지정된 User 또는 User Group을 확인할 수 있습니다.
Save Changes
버튼을 통해 저장합니다.