BLOG | NGINX

使用 NGINX Instance Manager 大规模更新配置和管理证书

NGINX-Part-of-F5-horiz-black-type-RGB
Tom Gamull 缩略图
Tom Gamull
Published June 30, 2021

2021 年早些时候,我们推出了 NGINX Instance Manager,以帮助企业发现、跟踪、保护和配置 NGINX 开源版和 NGINX Plus 实例。我们很高兴推出 NGINX Instance Manager 1.0 版,它引入了以下功能:

  • 标记 NGINX 实例和用户角色 — 将资产分组,从而简化大规模管理。只需点击几下,便可将 NGINX 配置以及基于角色的访问控制 (RBAC) 的相关设置一次性应用于一个组中的所有 NGINX 实例。
  • 证书管理 — 检测即将过期的证书并且及时更换证书,从而保证服务的安全性和连续性。

 

标记以简化大规模管理

NGINX 实例越多,管理难度就越大。您现在可以将标记应用于 NGINX 实例和 RBAC 角色,同时对一个组的所有成员进行操作。您可以根据任何特性将 NGINX 实例或角色进行分组,例如按照管理团队(DevOps、NetOps)、目的(测试、沙盒、生产)、操作系统(CentOS、Ubuntu)、NGINX 模型(NGINX 开源版、NGINX Plus)和环境(AWS、本地、私有云)对实例进行分类。

借助标记,您可以更快更轻松地执行以下任务:

  • 大规模配置管理 — 您可以一次将配置应用于一个组中所有标记的 NGINX 实例,确保一致性。在下面的屏幕截图中,实例是按照操作系统和 NGINX 模型标记的。

  • 上下文监控 — Grafana 仪表盘包括一个带有逗号分隔值的标记字段。您可以构建 PromQL 查询,以显示按标记分组的指标。

  • 访问控制 — 通过使用 OpenID Connect 和 JWT 的 NGINX Plus 授权实现,您可以基于标记的角色来限制用户的访问权限。例如,您可以允许 QA 团队成员仅管理带有“测试”标记的 NGINX 实例。

    注意:此功能作为技术预览提供。我们不建议在生产环境中使用,只能尽力提供支持。

    在屏幕截图中,具有“财务”角色的用户被授予对标记为“财务”的 NGINX 实例的读写访问权限,且不能访问其他实例。同样,具有 Finance_RO 角色的用户仅对带有“财务”标记的实例具有只读访问权。

    在此屏幕截图中,user1 被分配了“财务”角色(见其显示名称 Finance Read Write)。

 

灵活的证书管理以实现不间断的服务

NGINX 现在是网络上排名第一的 web 服务器。由于有如此多的站点依赖于它,如果 NGINX 实例上的 SSL/TLS 证书过期,则可能会导致服务中断。NGINX Instance Manager 的证书管理界面支持您检测即将到期的证书并及时更换,以确保安全且不间断的服务。

证书扫描报告标明了过期前剩余的天数。您可以利用 API 查询和跟踪需要更新证书的 web 服务器,无需单独的代理。一旦您确定证书已过期,就可以进行更换。事实上,您可以利用 Instance Manager 来更新和替换 NGINX 配置中引用的任何文件,包括密钥文件、JavaScript 文件以及证书。

该屏幕截图显示了 IP 地址在 10.1.1.0/24 范围内(在端口 443 上侦听)的 NGINX 实例的证书扫描结果。

在此屏幕截图中,配置编辑器用于将证书上传到托管的 NGINX 实例。

 

想试用一下 NGINX Instance Manager 吗?

立即下载 30 天免费试用版,或与我们联系以讨论您的用例


"This blog post may reference products that are no longer available and/or no longer supported. For the most current information about available F5 NGINX products and solutions, explore our NGINX product family. NGINX is now part of F5. All previous NGINX.com links will redirect to similar NGINX content on F5.com."