2021 年早些时候,我们推出了 NGINX Instance Manager,以帮助企业发现、跟踪、保护和配置 NGINX 开源版和 NGINX Plus 实例。我们很高兴推出 NGINX Instance Manager 1.0 版,它引入了以下功能:
- 标记 NGINX 实例和用户角色 — 将资产分组,从而简化大规模管理。只需点击几下,便可将 NGINX 配置以及基于角色的访问控制 (RBAC) 的相关设置一次性应用于一个组中的所有 NGINX 实例。
- 证书管理 — 检测即将过期的证书并且及时更换证书,从而保证服务的安全性和连续性。
标记以简化大规模管理
NGINX 实例越多,管理难度就越大。您现在可以将标记应用于 NGINX 实例和 RBAC 角色,同时对一个组的所有成员进行操作。您可以根据任何特性将 NGINX 实例或角色进行分组,例如按照管理团队(DevOps、NetOps)、目的(测试、沙盒、生产)、操作系统(CentOS、Ubuntu)、NGINX 模型(NGINX 开源版、NGINX Plus)和环境(AWS、本地、私有云)对实例进行分类。
借助标记,您可以更快更轻松地执行以下任务:
-
大规模配置管理 — 您可以一次将配置应用于一个组中所有标记的 NGINX 实例,确保一致性。在下面的屏幕截图中,实例是按照操作系统和 NGINX 模型标记的。
-
上下文监控 — Grafana 仪表盘包括一个带有逗号分隔值的标记字段。您可以构建 PromQL 查询,以显示按标记分组的指标。
-
访问控制 — 通过使用 OpenID Connect 和 JWT 的 NGINX Plus 授权实现,您可以基于标记的角色来限制用户的访问权限。例如,您可以允许 QA 团队成员仅管理带有“测试”标记的 NGINX 实例。
注意:此功能作为技术预览提供。我们不建议在生产环境中使用,只能尽力提供支持。
在屏幕截图中,具有“财务”角色的用户被授予对标记为“财务”的 NGINX 实例的读写访问权限,且不能访问其他实例。同样,具有 Finance_RO 角色的用户仅对带有“财务”标记的实例具有只读访问权。
在此屏幕截图中,user1 被分配了“财务”角色(见其显示名称 Finance Read Write)。
灵活的证书管理以实现不间断的服务
NGINX 现在是网络上排名第一的 web 服务器。由于有如此多的站点依赖于它,如果 NGINX 实例上的 SSL/TLS 证书过期,则可能会导致服务中断。NGINX Instance Manager 的证书管理界面支持您检测即将到期的证书并及时更换,以确保安全且不间断的服务。
证书扫描报告标明了过期前剩余的天数。您可以利用 API 查询和跟踪需要更新证书的 web 服务器,无需单独的代理。一旦您确定证书已过期,就可以进行更换。事实上,您可以利用 Instance Manager 来更新和替换 NGINX 配置中引用的任何文件,包括密钥文件、JavaScript 文件以及证书。
该屏幕截图显示了 IP 地址在 10.1.1.0/24 范围内(在端口 443 上侦听)的 NGINX 实例的证书扫描结果。
在此屏幕截图中,配置编辑器用于将证书上传到托管的 NGINX 实例。