配置管理（Configuration Management），是一個(gè)用于建立和維護(hù)產(chǎn)品性能、功能和物理屬性，并與其需求、設(shè)計(jì)和操作信息在整個(gè)生命周期內(nèi)保持一致的系統(tǒng)工程。

配置管理是 ITIL（Information Technology Infrastructure Library）定義的一種 IT 服務(wù)管理（IT Service Management, ITSM）形式，用于確保系統(tǒng)資源，計(jì)算機(jī)系統(tǒng)、服務(wù)器和其他資產(chǎn)配置是已知、良好和可信的。有時(shí)也被稱(chēng)為 IT 自動(dòng)化。

大部分配置管理通過(guò)高度自動(dòng)化來(lái)實(shí)現(xiàn)管理目的。通過(guò)使用自動(dòng)化，企業(yè)可以有效降低由于人為錯(cuò)誤導(dǎo)致遺漏的可能性，并提高資產(chǎn)保持在可用狀態(tài)的準(zhǔn)確性。如果沒(méi)有自動(dòng)化，當(dāng)工程師未能及時(shí)更新軟件時(shí)可能會(huì)讓系統(tǒng)留下 CVE 列出的已知漏洞，而惡意攻擊者將會(huì)利用此漏洞來(lái)安裝勒索軟件或其他惡意軟件等。

自動(dòng)化的價(jià)值在于極大提高管理效率，使大型系統(tǒng)的配置變得易于管理。配置管理適用于各種系統(tǒng)，大多數(shù)企業(yè)傾向于關(guān)注以下幾個(gè)方面：

• 服務(wù)器
• 數(shù)據(jù)庫(kù)和其他存儲(chǔ)系統(tǒng)
• 操作系統(tǒng)
• 網(wǎng)絡(luò)
• 應(yīng)用程序
• 軟件

為什么配置管理很重要？

在科技和信息高速發(fā)展的時(shí)代，技術(shù)驅(qū)動(dòng)著企業(yè)。如果企業(yè)經(jīng)營(yíng)銷(xiāo)售 SaaS（Software-as-a-Service），那技術(shù)就是產(chǎn)品。絕大部份公司都通過(guò)技術(shù)實(shí)現(xiàn)系統(tǒng)流程自動(dòng)化。因此，系統(tǒng)配置對(duì)于企業(yè)來(lái)說(shuō)至關(guān)重要。配置是系統(tǒng)（包括服務(wù)器、網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)中心、配置文件、IT資產(chǎn)和其他配置）正常運(yùn)行的關(guān)鍵。

打開(kāi)任意軟件的設(shè)置菜單，你便開(kāi)始進(jìn)行配置管理了。在進(jìn)行此項(xiàng)工作時(shí)，需要仔細(xì)管理并追蹤配置更改以確保更改的可追溯性，否則業(yè)務(wù)和最終用戶可能會(huì)受到系統(tǒng)中斷和數(shù)據(jù)泄露的困擾。

為降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)并改善運(yùn)營(yíng)，許多企業(yè)會(huì)采用配置管理數(shù)據(jù)庫(kù)（Configuration Management Database, CMDB）、配置管理計(jì)劃以及配置管理器來(lái)確保成功的配置管理。

準(zhǔn)確記錄系統(tǒng)狀態(tài)至關(guān)重要，同時(shí)設(shè)置屬性基線可以確保配置更改控制流程有效進(jìn)行，有助于項(xiàng)目管理、資產(chǎn)管理、審計(jì)流程管理以及軟件的開(kāi)發(fā)和調(diào)試。

配置管理為企業(yè)帶來(lái)的好處有：

• 通過(guò)對(duì)系統(tǒng)更改的可見(jiàn)和跟蹤，降低宕機(jī)和安全漏洞的風(fēng)險(xiǎn)。
• 通過(guò)詳細(xì)了解配置的所有內(nèi)容，避免技術(shù)資產(chǎn)的重復(fù)和浪費(fèi)。
• 通過(guò)快速檢測(cè)和糾正可能對(duì)性能產(chǎn)生負(fù)面影響的不當(dāng)配置，改善客戶和內(nèi)部員工體驗(yàn)。
• 通過(guò)定義和執(zhí)行管理資產(chǎn)識(shí)別、狀態(tài)監(jiān)控和審計(jì)的正式政策和程序來(lái)嚴(yán)格控制企業(yè)的流程。
• 更高的敏捷性和更快的問(wèn)題解決速度，使企業(yè)能夠提供更高質(zhì)量的服務(wù)并降低軟件工程成本。
• 通過(guò)了解企業(yè)的基線配置以及設(shè)計(jì)變更的可見(jiàn)性，從而進(jìn)行有效的變更管理。
• 更快地服務(wù)恢復(fù)。在中斷時(shí)，企業(yè)將能夠快速恢復(fù)，因?yàn)橄鄳?yīng)的配置已被記錄并自動(dòng)化。

如果不進(jìn)行配置管理會(huì)怎樣？

企業(yè)可以不進(jìn)行配置管理來(lái)減少或避免與之相關(guān)的成本，當(dāng)然，企業(yè)也需要面對(duì)以下問(wèn)題：

• 當(dāng)需求變化時(shí)，通過(guò)人工操作對(duì)系統(tǒng)組件進(jìn)行手動(dòng)調(diào)整（有時(shí)可能花費(fèi)數(shù)月時(shí)間！）
• 由于項(xiàng)目需求發(fā)生變化但未將更改傳達(dá)至各方，導(dǎo)致項(xiàng)目實(shí)施失敗。
• 使用有缺陷的新版本替換系統(tǒng)組件導(dǎo)致生產(chǎn)力下降，無(wú)法快速恢復(fù)到工作狀態(tài)。
• 由于無(wú)法準(zhǔn)確定位哪些組件受到更改的影響，錯(cuò)誤修改系統(tǒng)組件將會(huì)導(dǎo)致意外中斷。

配置管理案例淺析

1. 問(wèn)題概述

軟件“故障”導(dǎo)致紐約證券交易所（NYSE）在近90分鐘內(nèi)無(wú)法處理股票交易。

2. 影響

在紐約證券交易所交易大廳之外的金融市場(chǎng)也受到影響。由于投資者在沒(méi)有紐約證券交易所數(shù)據(jù)的情況下無(wú)法計(jì)算市場(chǎng)指數(shù)，因此美國(guó)證券交易所和一些期貨和期權(quán)市場(chǎng)也停止了交易。由于投資者不愿在沒(méi)有紐約證券交易所交易信息的情況下開(kāi)展業(yè)務(wù)，納斯達(dá)克股票市場(chǎng)的交易也有所放緩。

3. 原因

新的軟件安裝導(dǎo)致了該問(wèn)題。紐約證券交易所在其 20 個(gè)交易終端中的 8 個(gè)上安裝了該軟件，并且該系統(tǒng)在上線前一天晚上進(jìn)行了測(cè)試。在交易日當(dāng)天，軟件發(fā)生故障，紐約證券交易所未能在交易時(shí)段開(kāi)始前切換至舊軟件，共有 8 臺(tái)裝置未能正常運(yùn)行。

4. 事件總結(jié)

盡管問(wèn)題直到開(kāi)盤(pán)前才出現(xiàn)，但紐約證券交易所擁有強(qiáng)大的配置管理流程和工具，可以迅速發(fā)現(xiàn)問(wèn)題并進(jìn)行恢復(fù)。除了紐約證券交易所的交易中斷之外，影響和損失被降低到最小了。如果中斷持續(xù)超過(guò) 90 分鐘，后果將更加嚴(yán)重。

配置管理的成本

當(dāng)然，配置管理是有成本的。首先企業(yè)需要一個(gè)配置管理系統(tǒng)。微軟或 IBM 等公司都有現(xiàn)成的配置管理解決方案出售，通常這些配置管理工具按“節(jié)點(diǎn)”收費(fèi)，價(jià)格取決于節(jié)點(diǎn)的類(lèi)型（服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、移動(dòng)設(shè)備、存儲(chǔ)、虛擬實(shí)例等）。

配置管理的另一部分成本來(lái)自于人工，包括具有設(shè)置配置管理流程和工具的技能的員工（企業(yè)的內(nèi)部沒(méi)有相應(yīng)技術(shù)的員工，則需要雇傭外包員工）。此外，企業(yè)還需要對(duì)現(xiàn)有員工的培訓(xùn)，以便將持續(xù)的配置管理流程集成到業(yè)務(wù)中。

配置管理的投資回報(bào)率

在利用配置管理中發(fā)現(xiàn)的有助于獲得正面 ROI 結(jié)果的一些財(cái)務(wù)收益包括：

• IT 員工的生產(chǎn)力提高。通過(guò)自動(dòng)化，優(yōu)化 IT 員工活動(dòng)，從而為業(yè)務(wù)節(jié)省寶貴的員工資源。
• 用戶生產(chǎn)力提高。減少因系統(tǒng)中斷、網(wǎng)絡(luò)攻擊、安全入侵以及更改和配置活動(dòng)導(dǎo)致的宕機(jī)時(shí)間。
• IT 成本降低。IT 運(yùn)營(yíng)的優(yōu)化降低了多個(gè)領(lǐng)域的成本，包括基礎(chǔ)設(shè)施、外包服務(wù)和管理軟件。
• 持續(xù)交付 IT 服務(wù)。確保軟件可以隨時(shí)可靠發(fā)布。

企業(yè)也可以參考以下成本信息來(lái)計(jì)算配置管理的 ROI：

• 配置管理系統(tǒng)監(jiān)控的設(shè)備/節(jié)點(diǎn)的數(shù)量所產(chǎn)生的成本。
• 系統(tǒng)/網(wǎng)絡(luò)工程師手動(dòng)處理配置管理過(guò)程的人力成本（約35 美元/小時(shí)）。
• 在沒(méi)有備份配置的情況下發(fā)生系統(tǒng)中斷所產(chǎn)生的成本。
• 對(duì)系統(tǒng)應(yīng)用批量配置更新，或者進(jìn)行新的部署所產(chǎn)生的成本。
• 當(dāng)企業(yè)必須遵守配置審計(jì)要求或通過(guò)技術(shù)風(fēng)險(xiǎn)評(píng)估時(shí)所產(chǎn)生的成本。

配置管理的最佳實(shí)踐

配置管理、數(shù)據(jù)管理和控制領(lǐng)域充滿風(fēng)險(xiǎn)，包括系統(tǒng)中斷到應(yīng)用程序的低可用性，以及數(shù)據(jù)丟失或損壞。 為確保企業(yè)的資產(chǎn)高可用并以最佳方式配置，請(qǐng)參考以下最佳實(shí)踐：

1. 變更追蹤

?追蹤與系統(tǒng)配置和配置管理相關(guān)的更改，請(qǐng)考慮使用更改集而非單個(gè)文件提交。這允許管理員查看哪些相關(guān)文件隨著資產(chǎn)的重大更改而發(fā)生變更，以便撤銷(xiāo)不必要的更改或在需要時(shí)恢復(fù)到早期配置。

2. 盡早測(cè)試

通過(guò)盡早測(cè)試，在配置管理中發(fā)現(xiàn)錯(cuò)誤或潛在的風(fēng)險(xiǎn)。

?3. 性能測(cè)試

通過(guò)性能測(cè)試，讓 DevOps 團(tuán)隊(duì)深入了解他們的最新更改將如何影響性能和系統(tǒng)功能。?

4. 盡早且多次集成

除了性能測(cè)試之外，還應(yīng)盡早并經(jīng)常進(jìn)行集成，以確保新功能或更改與企業(yè)環(huán)境的其他部分良好配合。這將幫助企業(yè)在問(wèn)題發(fā)生之前發(fā)現(xiàn)問(wèn)題并避免相應(yīng)損失。

5. 避免修復(fù)代碼問(wèn)題

盡量避免修復(fù)代碼問(wèn)題（除了已經(jīng)在配置管理存儲(chǔ)庫(kù)中定義的代碼問(wèn)題）。如果沒(méi)有在存儲(chǔ)庫(kù)中定義問(wèn)題，未來(lái)的審閱者將不知道修復(fù)了什么，以及修復(fù)是否有效，從而導(dǎo)致代碼沖突或其他 bug。

配置監(jiān)控

配置監(jiān)控涵蓋了對(duì)系統(tǒng)設(shè)計(jì)、硬件、固件、軟件和文檔的修改過(guò)程的監(jiān)控，包括對(duì)所有變更請(qǐng)求和變更提議的評(píng)估，以及是否批準(zhǔn)。

建議企業(yè)根據(jù)自身情況來(lái)構(gòu)建一套最佳配置管理實(shí)踐。這將是一項(xiàng)持續(xù)進(jìn)行的工作，為了更好地貼合企業(yè)的需求，該實(shí)踐需要隨著時(shí)間的推移而進(jìn)行修改和改進(jìn)。