专栏首页云计算云自动化:WinRM和SSH

云自动化:WinRM和SSH

[最初由Barak Merimovich撰写的文章]

Linux自动化方式

在Linux系统中,SSH(安全shell)是远程登录服务器进行工具安装以及命令运行的远程连接和自动化的事实标准。它几乎无处不在,运行在多个Linux版本和发行版上,每个Linux管理员都应该很熟悉SSH,也该知道如何配置它。此外,值得一提的是SSH的端口22是大多数云端的默认启用端口。

SSH的一个重要功能是支持安全复制协议(AKA SCP -Secure Copy Protocol)和安全文件传输协议(AKA SFTP -Secure file transfer protocol)进行文件传输。这重要的协议支持功能是协议的内置部分,或作为协议的附件存在,几乎总是可用的。因此,使用SSH进行文件传输和远程执行基本上都是在Linux提供,Linux甚至还支持几乎所有主流编程语言和操作系统的SSH客户端工具。

WinRM-Windows环境的SSH

似乎Linux的'开箱即用'对Windows而言没那么重要。显然,SSH也不是用Windows构建的; 但多年来,Windows尝试许多不同的协议试图实现Linux相同的功能,如安全Telnet协议,但迄今为止,并未成功。从Windows Server 2003开始,引入了一个名为Windows远程管理的新工具- WinRM(Windows Remote Management)。WinRM支持Web服务器上的SOAP协议,除此之外,它还提供一个可以用来远程登录的shell,这本质上提供了与SSH相似的功能。

WinRM是目前Windows里的SSH。

优点

WinRM的优点是你可以使用一个没有任何预配置的vanilla VM(Virtual Machine虚拟机),唯一前提是需要先运行WinRM服务。现今最大的云提供商(亚马逊)EC2(Elastic Compute Cloud弹性云计算平台)支持这种开箱即用的方式,如果你运行一个标准的亚马逊云windows镜像实例(AMI for windows),它会提供默认启用WinRM服务。WinRM使得快速开始使用云计算成为可能,只需要启动一个标准的Windows VM(Windows虚拟机),对其进行远程配置 ,然后就可以开始使用它。

这对于无法创建自定义Windows镜像或某些极少数希望限制资源使用情况镜像的云环境非常有用。

挑战

SSH已经成为Linux事实上的协议,WinRM虽然提供了与SSH相媲美的安全、远程登录、命令运行的功能,但WinRM在Windows环境中却并不是一个被人熟知的工具。

使用WinRM的标准工具通常是PowerShell,这个新开发的Windows shell旨在取代标准的命令提示符。但迄今为止,WinRM内置支持的编程语言仍然相对较少,这使得通过WinRM自动化和远程登录、运行变得更为复杂。

为了解决这些问题,Cloudify(gigaspaces公司推出的基于java的paas平台)使用PowerShell本身作为一个外部进程来充当访问WinRM的客户端库。这首先要解决是客户端需要运行Windows然而PowerShell不能在Linux上运行的问题。

WinRM和SSH的另一个不同之处在于WinRM没有真正的内置文件传输。WinRM的SSH安全拷贝没有直接的对等物。也就是说,可以通过PowerShell脚本实现文件传输。

目前有几个开源计划正在考虑为Linux或者专门针对某些编程语言(如Java)构建WinRM客户端,但是这些项目都还处于不成熟的开发阶段,都未具备完善功能。因此,PowerShell仍然是Cloudify的默认工具,它基本上提供了与在Linux上运行Windows的远程命令相同级别的功能。

WinRM安全性

WinRM另一个值得注意有意思的点是它支持加密。WinRM支持三种传输协议,HTTP(超文本传输协议HTTP,HyperText Transfer Protocol),HTTPS和加密的HTTP。

有线协议使用HTTP不可避免地是未加密的。这只对于确信没有人能够监控网络上的任何事情,在数据中心内部使用HTTP来说是一个好主意。

通常使用HTTPS而不是HTTP,但是这在WinRM中存在‘鸡和蛋‘’的问题。意思是说如果想使用HTTPS,则需要在远程计算机上设置SSL证书。但问题是,通常从一个没有安装证书的vanilla Windows虚拟机开始自动插入SSL证书是无法完成的,因为这前提又是需要WinRM运行。

加密的HTTP,这在EC2中是默认使用的,它基本上使用登录凭据作为加密密钥。从安全角度来看,这是推荐使用的安全传输协议。值得注意的是,大多数创建WinRM客户端库的项目一般都会在加密的HTTP协议上遇到问题,因为实施MS的加密HTTP系统credSSP具有挑战性。但是,有不同的项目正在努力实现这一目标,所以希望在不久的将来能够得到解决。

Cloudify混合运行方式

WinRM在Cloudify平台中主要是在云引导过程中会起作用。在Cloudify平台中能够通过WinRM远程连接到云平台提供的vanilla 虚拟机,并设置Cloudify管理器或代理在机器上运行。

除了传统的云环境外,WinRM还可以在非云环境和非虚拟化环境下工作,例如运行多个Windows服务器的标准数据中心。所有需要完成的工作都是为Cloudify提供证书,它将使用WinRM远程连接和设置机器。由于WinRM会由Windows预先打包,所以不需要安装任何东西。如上所述,整个远程连接及自动化过程的唯一要求是运行WinRM服务,注意不是所有的Windows镜像都会默认运行此服务。

结论

简而言之,WinRM是Windows的SSHD替代品,它允许远程登录并在Windows环境命令执行。从云自动化的角度来看,它提供了几乎所有必要的功能要求,因此建议在Windows环境中运行WinRM。

本文的版权归 威廉 所有,如需转载请联系作者。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 微服务的模式 - 同步与异步

    微服务是一种架构范例。在这种架构中,多个小型独立组件协同工作,从而构成一个系统。尽管它的操作复杂性较高,但这种范式已经被迅速采用。这是因为它有助于...

    Techeek
  • 为PHP站点开启自定义Apache服务器模块

    为了满足你对PHP应用程序的所有要求,有时你需要添加自定义模块。模块化架构是Apache服务器全球普及的主要原因之一。大多数网站都是通过这个服务器搭建的,我们的...

    Techeek
  • MySQL线程池问题个人整理

    见识了智能合约以及以太坊的工作方式,现在我们就尝试将它部署到两种测试网络里面。

    Techeek
  • 云自动化工具:WinRM vs SSH

    [文章最初由Barak Merimovich撰写]

    电工昌威
  • CVE-2019-0708:RDP终极EXP爆出

    CVE-2019-0708是微软于2019年05月14日发布的一个严重的RDP远程代码执行漏洞。该漏洞无需身份认证和用户交互,可能形成蠕虫爆发,影响堪比wann...

    用户1631416
  • 资源 | 基于Python的开源人脸识别库:离线识别率高达99.38%

    选自Github 机器之心编译 参与:路雪 仅用 Python 和命令行就可以实现人脸识别的库开源了。该库使用 dlib 顶尖的深度学习人脸识别技术构建,在户外...

    机器之心
  • [face_recognition中文文档] 第1节 人脸识别

    KangVcar
  • 全渠道零售时代的“道·术·器”

    欣欣向荣的5月,海鼎分别在杭州和深圳举办了主题为“全渠道 新零售 启未来”的2014全渠道战略研讨会,定邀部分零售企业负责人、行业协会、媒体朋友前来,共同探讨新...

    人称T客
  • 开源 | 基于Python的人脸识别:识别准确率高达99.38%!

    该库使用 dlib 顶尖的深度学习人脸识别技术构建,在户外脸部检测数据库基准(Labeled Faces in the Wild benchmark)上的准确率...

    IT派
  • Google AI:如何破解AI学术研究的赢者诅咒?

    AI 科技评论按:当我们为各种测评任务中取得的分数欢欣鼓舞时,可能我们已经受到了「赢者诅咒」。 赢者诅咒:赢得拍卖品的中标者出价高于其他竞标者,但他很可能对拍...

    AI科技评论

扫码关注云+社区

领取腾讯云代金券