一种匹配堡垒机调用的服务器脚本自动执行方法及系统与流程

本发明涉及数据指令处理及软件系统运维，尤其涉及一种匹配堡垒机调用的服务器脚本自动执行方法及系统。

背景技术：

1、ansible是一款开源it自动化工具，能够自动执行编排好的备份、配置修改、应用部署等服务器操作；ansible tower是ansible的图形化管理系统，并额外集成了日志、审计、版本控制、登录认证等功能。通过应用ansible tower既可以实现ansible自动化工具原有的较强执行能力，又可以简便的实现按角色进行控制，同时可以根据需要能将事后报表和审计功能融入，满足传统数据中心的运维规范。

2、在企业高级别安全环境的特定应用场景下，所有服务器账号通常都使用堡垒机托管，服务器密码均为不同的随机值，且定期自动更改。在这种操作方式下不能依靠记忆静态密码登录服务器，只能通过堡垒机来登录，以达到高安全保障的密码管控目的。

3、现有技术下，ansible的原生功能不支持对接堡垒机动态获取密码，因此无法在服务器账号密码托管堡垒机环境下(高级别安全环境下)，直接使用ansible登录服务器实现批量作业执行。

4、对于ansbile tower或awx(ansbile tower开源版本)虽然集成了堡垒机功能，但是其仅对应支持少数特定种类的堡垒机，如aws、insights、redhat cloudforms等，使用过程中存在很大限制，仍然无法对于由企业自研或不在其官方支持清单的堡垒机产品直接对接使用。对于特定高安全级别要求应用领域，例如金融服务领域下，需要使用特定自研堡垒机确保必要安全保障时，则仍然无法实现直接使用ansible tower或awx登录服务器实现自动化运维。

5、针对上述问题，现有技术提出了一些应对方法。例如，申请号201910122413.x的发明专利申请公开了一种基于堡垒机的自动化配置管理方法及装置，由thrift服务接收前端发来的任务请求并进行解析，调用ansible接口并通过ansible接收thrift服务的调用，并通过ssh登录目标主机执行运维任务，能实现对大量主机的账户集中管理，自动收集账号、免密登录sshkey，运维人员能通过本发明得到最终解析的结果，实现对合法账号一键录入，对非法账号一键删除等管理操作，避免账户安全风险。但是其技术方案本质是对所有服务器配置ssh免密基础上进行命令下发，实质已经绕过堡垒机托管下的动态密码登录验证，在金融科技等特殊高级别安全要求应用领域中存在安全风险和使用合规风险。

6、由此可知，现有技术缺少在正常使用堡垒机同时应用ansible实现指令批量下发的解决方案。

技术实现思路

1、为解决现有技术的不足，本发明提出一种匹配堡垒机调用的服务器脚本自动执行方法及系统，使用独立的调用端请求过滤操作实现ansible调用端与堡垒机之间的查询请求反馈连接，最大化利用ansible生态的原生功能，实现企业高安全级别环境下通过堡垒机获取账号密码进行的自动化批量作业。

2、为实现以上目的，本发明所采用的技术方案包括：

3、一种匹配堡垒机调用的服务器脚本自动执行方法，其特征在于，包括：

4、s1、对应集群中的任一服务器建立服务器访问请求，使用服务器访问请求生成第一请求参数，所述第一请求参数包括服务器ip地址；

5、s2、将第一请求参数传入目标堡垒机，获取并保存目标堡垒机反馈的第一登录参数，绑定第一登录参数与对应的服务器，所述第一登录参数包括服务器账号和服务器密码；

6、s3、判断集群中是否存在未绑定第一登录参数的服务器，当判断集群中存在未绑定第一登录参数的服务器时，重复执行步骤s1；

7、s4、当判断集群中不存在未绑定第一登录参数的服务器时，使用过滤器插件读取保存的第一登录参数，并依据第一登录参数对ansible的环境变量进行赋值；

8、s5、使用赋值后的环境变量登录集群中对应服务器执行作业。

9、进一步地，所述将第一请求参数传入目标堡垒机还包括对第一请求参数执行校验操作，所述校验操作包括第一请求参数格式校验。

10、进一步地，所述将第一请求参数传入目标堡垒机，获取并保存目标堡垒机反馈的第一登录参数包括：

11、创建匹配目标堡垒机的加密token；

12、判断目标堡垒机是否部署在独立隔离网络，当判断目标堡垒机部署在独立隔离网络时，依据独立隔离网络生成对应目标堡垒机的访问ip地址；

13、使用加密token和访问ip地址依据目标堡垒机的预设连接方式连接目标堡垒机，将第一请求参数传入目标堡垒机；

14、目标堡垒机依据第一请求参数反馈第一登录参数；

15、对第一登录参数执行编码转换处理后保存。

16、进一步地，所述使用过滤器插件读取保存的第一登录参数包括使用pipe类型的lookup过滤器插件读取编码转换处理后的第一登录参数。

17、进一步地，所述步骤s2还包括：

18、当目标堡垒机没有反馈第一登录参数时，对服务器添加独立标签，使用独立标签作为第一登录参数绑定服务器。

19、进一步地，所述步骤s4还包括：

20、识别独立标签；

21、环境变量赋值过程中排除添加有独立标签的服务器。

22、本发明还涉及一种匹配堡垒机调用的服务器脚本自动执行系统，其特征在于，包括：

23、请求处理模块，用于对应集群中的任一服务器建立服务器访问请求，使用服务器访问请求生成第一请求参数；

24、查询模块，用于将第一请求参数传入目标堡垒机，获取并保存目标堡垒机反馈的第一登录参数，绑定第一登录参数与对应的服务器；

25、第一判断模块，用于判断集群中是否存在未绑定第一登录参数的服务器；

26、变量赋值模块，用于使用过滤器插件读取保存的第一登录参数，并依据第一登录参数对ansible的环境变量进行赋值；

27、执行模块，用于使用赋值后的环境变量登录集群中对应服务器执行作业。

28、本发明还涉及一种计算机可读存储介质，其特征在于，所述存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述的方法。

29、本发明还涉及一种电子设备，其特征在于，包括处理器和存储器；

30、所述存储器，用于存储第一请求参数和第一登录参数；

31、所述处理器，用于通过调用第一请求参数和第一登录参数，执行上述的方法。

32、本发明还涉及一种计算机程序产品，包括计算机程序和/或指令，其特征在于，该计算机程序和/或指令被处理器执行时实现上述方法的步骤。

33、本发明的有益效果为：

34、采用本发明所述匹配堡垒机调用的服务器脚本自动执行方法及系统，使用独立的调用端请求过滤操作实现ansible调用端与堡垒机之间的查询请求反馈连接，最大化利用ansible生态的原生功能，实现企业高安全级别环境下通过堡垒机获取账号密码进行的自动化批量作业。通过应用本发明方法能够实现对各类自定义堡垒机通用对接ansible机制，帮助企业高安全环境下实现批量自动化作业，由此极大扩展了ansible生态的原生功能应用范围，有效节省不必要的二次开发成本，并提高了用户操作及自动化作业管理的简便性。