Wenn die Entwickler von Berg Software von zu Hause aus arbeiten (wie die meisten Menschen heutzutage), verwenden sie ein VPN, um eine sichere Verbindung zu unserer Infrastruktur am Standort herzustellen. Dies ist in einigen F\u00e4llen vollkommen ausreichend. Beim Zugriff auf die Nicht-Produktions-Infrastruktur gestaltet sich die Situation jedoch ein wenig komplexer:<\/p>\n
Wir haben uns daher eine Dynamic IP-L\u00f6sung ausgedacht, die zwei Dinge erf\u00fcllen soll:<\/p>\n
Unsere L\u00f6sung war ein automatisiertes, zeitgesteuertes Tool, das die Aktualisierung der Firewall\/IP-Liste automatisiert und damit Eingriffe der Operationsabteilung \u00fcberfl\u00fcssig macht sowie Wartezeiten verk\u00fcrzt.<\/p>\n[\/et_pb_text][\/et_pb_column][\/et_pb_row][et_pb_row use_custom_gutter=“on“ _builder_version=“4.7.7″ custom_margin=“||||false|false“ custom_padding=“6vh||||false|false“ hover_enabled=“0″ border_color_left=“rgba(0,0,0,0)“ sticky_enabled=“0″][et_pb_column type=“4_4″ _builder_version=“4.4.1″][et_pb_text _builder_version=“4.7.7″ text_font=“||||||||“ text_font_size=“1.1em“ text_line_height=“1.6em“ quote_font=“|700|||||||“ quote_text_align=“left“ quote_font_size=“16px“ header_2_text_color=“#ff6317″ header_2_font_size=“1.5em“ header_2_line_height=“0.9em“ header_3_font_size=“23px“ header_4_font=“||||||||“ header_4_font_size=“16px“ header_4_line_height=“1.5em“ header_5_font_size=“14px“ custom_margin=“||||false|false“ custom_padding=“||||false|false“ hover_enabled=“0″ border_color_left=“#ff6317″ sticky_enabled=“0″]
Um einen DNS-Dienst auszuw\u00e4hlen, haben wir den damaligen Status-quo genutzt, um die Anforderungen zu entwickeln:<\/p>\n
Darauf aufbauend haben wir uns f\u00fcr das Premium-DNS-Paket von ClouDNS entschieden: Es verlangt von unseren Entwicklern, einen Link in ihrem regul\u00e4ren Browser als Lesezeichen zu setzen und ihn dann anzuklicken\/zu \u00f6ffnen, um ihren jeweiligen FQDN-Eintrag zu aktualisieren.<\/p>\n
Nachdem der FQDN-Eintrag mit der Information \u00fcber die aktualisierte IP des Entwicklers verf\u00fcgbar war, mussten wir die Firewall-Informationen aktualisieren, sobald sich die IP-Adresse \u00e4nderte. Durch die Analyse unserer regul\u00e4ren Tools und Technologien konnten wir drei davon wie folgt kombinieren:<\/p>\n
Schauen wir uns also jedes einzelne davon an:<\/p>\n[\/et_pb_text][\/et_pb_column][\/et_pb_row][et_pb_row use_custom_gutter=“on“ _builder_version=“4.7.7″ custom_margin=“||||false|false“ custom_padding=“6vh||0px||false|false“ hover_enabled=“0″ border_color_left=“rgba(0,0,0,0)“ sticky_enabled=“0″][et_pb_column type=“4_4″ _builder_version=“4.4.1″][et_pb_text _builder_version=“4.7.7″ text_font=“||||||||“ text_font_size=“1.1em“ text_line_height=“1.6em“ quote_font=“|700|||||||“ quote_text_align=“left“ quote_font_size=“16px“ header_2_text_color=“#ff6317″ header_2_font_size=“1.5em“ header_2_line_height=“0.9em“ header_3_font_size=“23px“ header_4_font=“||||||||“ header_4_font_size=“16px“ header_4_line_height=“1.5em“ header_5_font_size=“14px“ custom_margin=“||||false|false“ custom_padding=“||||false|false“ hover_enabled=“0″ border_color_left=“#ff6317″ sticky_enabled=“0″]
Wir entschieden uns, Python zu verwenden, um den DNS-Teil der Herausforderung zu l\u00f6sen, weil:<\/p>\n
Unser Skript hat drei Hauptziele:<\/p>\n
Hier ist der Auszug aus dem Skript:<\/p>\n[\/et_pb_text][et_pb_text _builder_version=“4.7.7″ text_font=“|300|||||||“ text_font_size=“1em“ text_line_height=“1.3em“ quote_font=“|700|||||||“ quote_text_align=“left“ quote_font_size=“1em“ header_2_text_color=“#ff6317″ header_2_font_size=“1.5em“ header_2_line_height=“0.9em“ header_3_font_size=“23px“ header_4_font=“||||||||“ header_4_font_size=“16px“ header_4_line_height=“1.5em“ header_5_font_size=“14px“ background_color=“#f8f8f8″ custom_margin=“|5vw||5vw|false|false“ custom_padding=“||||false|false“ hover_enabled=“0″ border_width_left=“1px“ border_color_left=“#bbbbbb“ locked=“off“ sticky_enabled=“0″]
#!\/usr\/bin\/env python3<\/span>\nimport<\/span> socket<\/span>\nimport<\/span> sys<\/span>\nimport<\/span> os<\/span>\nipfile =<\/span> 'ci\/dynip\/oldips'<\/span>\nhostnames =<\/span> [<\/span>\"DeveloperFirstName.DeveloperLastName.dyn.myDomain.com\"<\/span>]<\/span>\nips=<\/span>\"\"<\/span>\nold_ips=<\/span>\"\"<\/span>\ni=<\/span>1<\/span>\nfor<\/span> hostname in<\/span> hostnames:\n print<\/span>(<\/span>hostname)<\/span>\n ip =<\/span> socket<\/span>.gethostbyname<\/span>(<\/span>hostname)<\/span>\n ips=<\/span>ips+'{ip = \"'<\/span>+ip+'\/32\",name = \"'<\/span>+hostname+'\"}'<\/span>\n if<\/span> i !=<\/span> len<\/span>(<\/span>hostnames)<\/span>:\n ips=<\/span>ips+\",\\n<\/span>\"<\/span>\n i=<\/span>i+1<\/span>\nprint<\/span>(<\/span>'Discovered ips:'<\/span>)<\/span>\nprint<\/span>(<\/span>ips)<\/span>\n### Here tyo add check if the string ips is different to the one we have in the status file. <\/span>\n### If different then continue - else exit<\/span>\ndef<\/span> inplace_change(<\/span>filename_tmpl,<\/span> filename_dest,<\/span> old_string,<\/span> new_string)<\/span>:\n # Safely read the input filename using 'with'<\/span>\n with<\/span> open<\/span>(<\/span>filename_tmpl)<\/span> as<\/span> fr:\n s =<\/span> fr.read<\/span>(<\/span>)<\/span>\n if<\/span> old_string not<\/span> in<\/span> s:\n print<\/span>(<\/span>'\"{old_string}\" not found in {filename}.'<\/span>.format<\/span>(<\/span>**locals<\/span>(<\/span>)<\/span>)<\/span>)<\/span>\n return<\/span>\n \n # Safely write the changed content, if found in the file<\/span>\n with<\/span> open<\/span>(<\/span>filename_dest,<\/span> 'w'<\/span>)<\/span> as<\/span> fw:\n print<\/span>(<\/span>'Changing \"{old_string}\" to \"{new_string}\" in {filename_tmpl}'<\/span>.format<\/span>(<\/span>**locals<\/span>(<\/span>)<\/span>)<\/span>)<\/span>\n s =<\/span> s.replace<\/span>(<\/span>old_string,<\/span> new_string)<\/span>\n fw.write<\/span>(<\/span>s)<\/span>\n## inplace_change('ci\/dynip\/secgroups-dynip-tmpl','secgroups-dynip.tf','!!!ADDRESSES!!!',ips)<\/span>\ndef<\/span> read_file(<\/span>filePathOldIps)<\/span>:\n\twith<\/span> open<\/span>(<\/span>filePathOldIps)<\/span> as<\/span> fr:\n\t\ts =<\/span> fr.read<\/span>(<\/span>)<\/span>\n\t\tprint<\/span>(<\/span>'Old ips:'<\/span>)<\/span>\n\t\tprint<\/span>(<\/span>'\"{s}\" found in \"{filePathOldIps}\".'<\/span>.format<\/span>(<\/span>**locals<\/span>(<\/span>)<\/span>)<\/span>)<\/span>\n\t\treturn<\/span> s\ndef<\/span> write_file(<\/span>filePathOldIps,<\/span> newIps)<\/span>:\n\twith<\/span> open<\/span>(<\/span>filePathOldIps,<\/span> 'w+'<\/span>)<\/span> as<\/span> fw:\n\t\tfw.write<\/span>(<\/span>newIps)<\/span>\n\t\tprint<\/span>(<\/span>'ips written in {filename}.'<\/span>)<\/span>\nif<\/span> os<\/span>.path<\/span>.isfile<\/span>(<\/span>ipfile)<\/span>:\n\told_ips =<\/span> read_file(<\/span>ipfile)<\/span>\nif<\/span> old_ips ==<\/span> ips:\n\tprint<\/span>(<\/span>'no ip was changed'<\/span>)<\/span>\n\tsys<\/span>.exit<\/span>(<\/span>666<\/span>)<\/span>\nelse<\/span>:\n\tprint<\/span>(<\/span>'ips were changed'<\/span>)<\/span>\n\twrite_file(<\/span>ipfile,<\/span>ips)<\/span>\n\tinplace_change(<\/span>'ci\/dynip\/secgroups-dynip-tmpl'<\/span>,<\/span>'secgroups-dynip.tf'<\/span>,<\/span>'!!!ADDRESSES!!!'<\/span>,<\/span>ips)<\/span><\/pre>[\/et_pb_text][\/et_pb_column][\/et_pb_row][et_pb_row use_custom_gutter=“on“ _builder_version=“4.7.7″ custom_margin=“||||false|false“ custom_padding=“6vh||0px||false|false“ hover_enabled=“0″ border_color_left=“rgba(0,0,0,0)“ sticky_enabled=“0″][et_pb_column type=“4_4″ _builder_version=“4.4.1″][et_pb_text _builder_version=“4.7.7″ text_font=“||||||||“ text_font_size=“1.1em“ text_line_height=“1.6em“ quote_font=“|700|||||||“ quote_text_align=“left“ quote_font_size=“16px“ header_2_text_color=“#ff6317″ header_2_font_size=“1.5em“ header_2_line_height=“0.9em“ header_3_font_size=“23px“ header_4_font=“||||||||“ header_4_font_size=“16px“ header_4_line_height=“1.5em“ header_5_font_size=“14px“ custom_margin=“||||false|false“ custom_padding=“||||false|false“ hover_enabled=“0″ border_color_left=“#ff6317″ sticky_enabled=“0″]Terraform<\/h2>\n
Um die Wartung und das \u00c4nderungsmanagement unserer Cloud-Infrastruktur zu unterst\u00fctzen, haben wir die Infrastructure-as-a-Code-L\u00f6sung von Terraform mit den OpenTelekomCloud-Modulen verwendet. (Dies liegt daran, dass wir die OTC-Cloud nutzen. Das gleiche Ergebnis kann durch AWS\/Azure mit ihren jeweiligen Modulen erreicht werden).<\/p>\n
Hierbei stie\u00dfen wir auf die n\u00e4chsten Herausforderungen: Da das Skript automatisch ausgef\u00fchrt wurde, brauchten wir die M\u00f6glichkeit, die \u00c4nderungen nur f\u00fcr die spezifische Sicherheitsgruppe automatisch zu planen, zu genehmigen und anzuwenden. Alle anderen \u00c4nderungen w\u00fcrden ignoriert werden (z. B. alle \u00c4nderungen, die durch ein neues Basis-Image verursacht werden k\u00f6nnten, oder jede unvollst\u00e4ndig gepr\u00fcfte \u00c4nderung, die im Repo vorgenommen werden w\u00fcrde).<\/p>\n
Terraform bietet eine elegante L\u00f6sung f\u00fcr diese Herausforderung, da es uns erlaubt, nur eine bestimmte Terraform-Datei auszuf\u00fchren und die \u00dcbernahme von \u00c4nderungen automatisch zu genehmigen.<\/p>\n
Dies kann folgenderma\u00dfen umgesetzt werden:<\/p>\n[\/et_pb_text][et_pb_text _builder_version=“4.7.7″ text_font=“|300|||||||“ text_font_size=“1em“ text_line_height=“1.3em“ quote_font=“|700|||||||“ quote_text_align=“left“ quote_font_size=“1em“ header_2_text_color=“#ff6317″ header_2_font_size=“1.5em“ header_2_line_height=“0.9em“ header_3_font_size=“23px“ header_4_font=“||||||||“ header_4_font_size=“16px“ header_4_line_height=“1.5em“ header_5_font_size=“14px“ background_color=“#f8f8f8″ custom_margin=“|5vw||5vw|false|false“ custom_padding=“||||false|false“ hover_enabled=“0″ border_width_left=“1px“ border_color_left=“#bbbbbb“ locked=“off“ sticky_enabled=“0″]
.\/ci\/app\/terraform plan -target=opentelekomcloud_compute_secgroup_v2.secgrp_everithyng_dynip -out=project-plan02.dat |& tee -a .\/logs\/plan-dyn-$today.log\n\n.\/ci\/app\/terraform apply -var-file=\".\/ci\/secrets\/secret.tfvars\" -auto-approve -target=opentelekomcloud_compute_secgroup_v2.secgrp_everithyng_dynip |& tee -a .\/logs\/planautopply-dyn-$today.log<\/pre>[\/et_pb_text][et_pb_text _builder_version=“4.7.7″ text_font=“||||||||“ text_font_size=“1.1em“ text_line_height=“1.6em“ quote_font=“|700|||||||“ quote_text_align=“left“ quote_font_size=“16px“ header_2_text_color=“#ff6317″ header_2_font_size=“1.5em“ header_2_line_height=“0.9em“ header_3_font_size=“23px“ header_4_font=“||||||||“ header_4_font_size=“16px“ header_4_line_height=“1.5em“ header_5_font_size=“14px“ custom_margin=“||||false|false“ custom_padding=“||||false|false“ hover_enabled=“0″ border_color_left=“#ff6317″ sticky_enabled=“0″]Nachdem die Terraform-\u00c4nderungen auf die Infrastruktur angewendet wurden, m\u00fcssen wir auch daf\u00fcr sorgen, dass der terraform.tfstate automatisch an Git \u00fcbermittelt wird. Auf diese Weise erkennt Terraform beim n\u00e4chsten Mal, wenn es ausgef\u00fchrt wird, den korrekten Status.[\/et_pb_text][\/et_pb_column][\/et_pb_row][et_pb_row use_custom_gutter=“on“ _builder_version=“4.7.7″ custom_margin=“||||false|false“ custom_padding=“6vh||0px||false|false“ hover_enabled=“0″ border_color_left=“rgba(0,0,0,0)“ sticky_enabled=“0″][et_pb_column type=“4_4″ _builder_version=“4.4.1″][et_pb_text _builder_version=“4.7.7″ text_font=“||||||||“ text_font_size=“1.1em“ text_line_height=“1.6em“ quote_font=“|700|||||||“ quote_text_align=“left“ quote_font_size=“16px“ header_2_text_color=“#ff6317″ header_2_font_size=“1.5em“ header_2_line_height=“0.9em“ header_3_font_size=“23px“ header_4_font=“||||||||“ header_4_font_size=“16px“ header_4_line_height=“1.5em“ header_5_font_size=“14px“ custom_margin=“||||false|false“ custom_padding=“||||false|false“ hover_enabled=“0″ border_color_left=“#ff6317″ sticky_enabled=“0″]GitLab CI\/CD<\/h2>\n
Wir verwenden GitLab.com zur Versionskontrolle und zum Ausf\u00fchren der CI\/CD-Pipelines unseres Projekts. Daher mussten wir das gitlabci<\/em>-Skript erweitern, um einen neuen Schritt hinzuzuf\u00fcgen, der basierend auf einer Bedingung ausgef\u00fchrt werden kann. Dieser Schritt sollte der Einzige sein, der ausgef\u00fchrt wird, wenn wir die Pipeline vom Scheduler aus starten.<\/p>\nDetails zu diesem Schritt:<\/p>\n[\/et_pb_text][et_pb_text _builder_version=“4.7.7″ text_font=“|300|||||||“ text_font_size=“1em“ text_line_height=“1.3em“ quote_font=“|700|||||||“ quote_text_align=“left“ quote_font_size=“1em“ header_2_text_color=“#ff6317″ header_2_font_size=“1.5em“ header_2_line_height=“0.9em“ header_3_font_size=“23px“ header_4_font=“||||||||“ header_4_font_size=“16px“ header_4_line_height=“1.5em“ header_5_font_size=“14px“ background_color=“#f8f8f8″ custom_margin=“|5vw||5vw|false|false“ custom_padding=“||||false|false“ hover_enabled=“0″ border_width_left=“1px“ border_color_left=“#bbbbbb“ locked=“off“ sticky_enabled=“0″]
dynip-otc:\n stage: dynip\n before_script:\n - apk --no-cache add bash git openssl py-pip\n script:\n - .\/ci\/bin\/x_dynsecurity.sh\n tags:\n - project\n artifacts:\n paths:\n - .terraform\/\n - project-plan02.dat\n - logs\/\n expire_in: 1 week\n only:\n refs:\n - master\n variables:\n - $SCHEDULED_DYNIP =~ \/^true*\/<\/pre>[\/et_pb_text][et_pb_text _builder_version=“4.7.7″ text_font=“||||||||“ text_font_size=“1.1em“ text_line_height=“1.6em“ quote_font=“|700|||||||“ quote_text_align=“left“ quote_font_size=“16px“ header_2_text_color=“#ff6317″ header_2_font_size=“1.5em“ header_2_line_height=“0.9em“ header_3_font_size=“23px“ header_4_font=“||||||||“ header_4_font_size=“16px“ header_4_line_height=“1.5em“ header_5_font_size=“14px“ custom_margin=“||||false|false“ custom_padding=“||||false|false“ hover_enabled=“0″ border_color_left=“#ff6317″ sticky_enabled=“0″]Wir mussten auch einen neuen Scheduler in GitLab erstellen, um diesen Schritt auszuf\u00fchren. Dies kann \u00fcber die GitLab-Benutzeroberfl\u00e4che durchgef\u00fchrt werden:[\/et_pb_text][et_pb_image src=“https:\/\/berg-software.com\/wp-content\/uploads\/DynamicIP-remote-access-GitLab-01.jpg“ alt=“DynamicIP remote access GitLab 01″ title_text=“DynamicIP remote access GitLab 01″ _builder_version=“4.7.7″ max_width=“60vw“ custom_padding=“2vh||2vh|2vw|false|false“ hover_enabled=“0″ locked=“off“ sticky_enabled=“0″][\/et_pb_image][et_pb_text _builder_version=“4.7.7″ text_font=“||||||||“ text_font_size=“1.1em“ text_line_height=“1.6em“ quote_font=“|700|||||||“ quote_text_align=“left“ quote_font_size=“16px“ header_2_text_color=“#ff6317″ header_2_font_size=“1.5em“ header_2_line_height=“0.9em“ header_3_font_size=“23px“ header_4_font=“||||||||“ header_4_font_size=“16px“ header_4_line_height=“1.5em“ header_5_font_size=“14px“ custom_margin=“||||false|false“ custom_padding=“||||false|false“ hover_enabled=“0″ border_color_left=“#ff6317″ sticky_enabled=“0″]Schlie\u00dflich mussten wir einen neuen Scheduler mit folgenden Details hinzuf\u00fcgen:[\/et_pb_text][et_pb_image src=“https:\/\/berg-software.com\/wp-content\/uploads\/DynamicIP-remote-access-GitLab-02.jpg“ alt=“DynamicIP remote access GitLab 02″ title_text=“DynamicIP remote access GitLab 02″ _builder_version=“4.7.7″ max_width=“60vw“ custom_padding=“2vh||2vh|2vw|false|false“ hover_enabled=“0″ locked=“off“ sticky_enabled=“0″][\/et_pb_image][\/et_pb_column][\/et_pb_row][et_pb_row use_custom_gutter=“on“ _builder_version=“4.7.7″ custom_margin=“||||false|false“ custom_padding=“6vh||0px||false|false“ hover_enabled=“0″ border_color_left=“rgba(0,0,0,0)“ sticky_enabled=“0″][et_pb_column type=“4_4″ _builder_version=“4.4.1″][et_pb_text _builder_version=“4.7.7″ text_font=“||||||||“ text_font_size=“1.1em“ text_line_height=“1.6em“ quote_font=“|700|||||||“ quote_text_align=“left“ quote_font_size=“16px“ header_2_text_color=“#ff6317″ header_2_font_size=“1.5em“ header_2_line_height=“0.9em“ header_3_font_size=“23px“ header_4_font=“||||||||“ header_4_font_size=“16px“ header_4_line_height=“1.5em“ header_5_font_size=“14px“ custom_margin=“||||false|false“ custom_padding=“||||false|false“ hover_enabled=“0″ border_color_left=“#ff6317″ sticky_enabled=“0″]Fazit<\/h2>\n
Durch die Verwendung von lediglich drei einfachen und leicht zug\u00e4nglichen Tools (Python, Terraform, GitLab) waren wir in der Lage<\/p>\n