配置管理（Configuration Management），是一個(gè)用于建立和維護(hù)產(chǎn)品性能、功能和物理屬性，并與其需求、設(shè)計(jì)和操作信息在整個(gè)生命周期內(nèi)保持一致的系統(tǒng)工程。

配置管理是 ITIL（Information Technology Infrastructure Library）定義的一種 IT 服務(wù)管理（IT Service Management, ITSM）形式，用于確保系統(tǒng)資源，計(jì)算機(jī)系統(tǒng)、服務(wù)器和其他資產(chǎn)配置是已知、良好和可信的。有時(shí)也被稱為 IT 自動化。

大部分配置管理通過高度自動化來實(shí)現(xiàn)管理目的。通過使用自動化，企業(yè)可以有效降低由于人為錯(cuò)誤導(dǎo)致遺漏的可能性，并提高資產(chǎn)保持在可用狀態(tài)的準(zhǔn)確性。如果沒有自動化，當(dāng)工程師未能及時(shí)更新軟件時(shí)可能會讓系統(tǒng)留下 CVE 列出的已知漏洞，而惡意攻擊者將會利用此漏洞來安裝勒索軟件或其他惡意軟件等。

自動化的價(jià)值在于極大提高管理效率，使大型系統(tǒng)的配置變得易于管理。配置管理適用于各種系統(tǒng)，大多數(shù)企業(yè)傾向于關(guān)注以下幾個(gè)方面：

• 服務(wù)器
• 數(shù)據(jù)庫和其他存儲系統(tǒng)
• 操作系統(tǒng)
• 網(wǎng)絡(luò)
• 應(yīng)用程序
• 軟件

為什么配置管理很重要？

在科技和信息高速發(fā)展的時(shí)代，技術(shù)驅(qū)動著企業(yè)。如果企業(yè)經(jīng)營銷售 SaaS（Software-as-a-Service），那技術(shù)就是產(chǎn)品。絕大部份公司都通過技術(shù)實(shí)現(xiàn)系統(tǒng)流程自動化。因此，系統(tǒng)配置對于企業(yè)來說至關(guān)重要。配置是系統(tǒng)（包括服務(wù)器、網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)中心、配置文件、IT資產(chǎn)和其他配置）正常運(yùn)行的關(guān)鍵。

打開任意軟件的設(shè)置菜單，你便開始進(jìn)行配置管理了。在進(jìn)行此項(xiàng)工作時(shí)，需要仔細(xì)管理并追蹤配置更改以確保更改的可追溯性，否則業(yè)務(wù)和最終用戶可能會受到系統(tǒng)中斷和數(shù)據(jù)泄露的困擾。

為降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)并改善運(yùn)營，許多企業(yè)會采用配置管理數(shù)據(jù)庫（Configuration Management Database, CMDB）、配置管理計(jì)劃以及配置管理器來確保成功的配置管理。

準(zhǔn)確記錄系統(tǒng)狀態(tài)至關(guān)重要，同時(shí)設(shè)置屬性基線可以確保配置更改控制流程有效進(jìn)行，有助于項(xiàng)目管理、資產(chǎn)管理、審計(jì)流程管理以及軟件的開發(fā)和調(diào)試。

配置管理為企業(yè)帶來的好處有：

• 通過對系統(tǒng)更改的可見和跟蹤，降低宕機(jī)和安全漏洞的風(fēng)險(xiǎn)。
• 通過詳細(xì)了解配置的所有內(nèi)容，避免技術(shù)資產(chǎn)的重復(fù)和浪費(fèi)。
• 通過快速檢測和糾正可能對性能產(chǎn)生負(fù)面影響的不當(dāng)配置，改善客戶和內(nèi)部員工體驗(yàn)。
• 通過定義和執(zhí)行管理資產(chǎn)識別、狀態(tài)監(jiān)控和審計(jì)的正式政策和程序來嚴(yán)格控制企業(yè)的流程。
• 更高的敏捷性和更快的問題解決速度，使企業(yè)能夠提供更高質(zhì)量的服務(wù)并降低軟件工程成本。
• 通過了解企業(yè)的基線配置以及設(shè)計(jì)變更的可見性，從而進(jìn)行有效的變更管理。
• 更快地服務(wù)恢復(fù)。在中斷時(shí)，企業(yè)將能夠快速恢復(fù)，因?yàn)橄鄳?yīng)的配置已被記錄并自動化。

如果不進(jìn)行配置管理會怎樣？

企業(yè)可以不進(jìn)行配置管理來減少或避免與之相關(guān)的成本，當(dāng)然，企業(yè)也需要面對以下問題：

• 當(dāng)需求變化時(shí)，通過人工操作對系統(tǒng)組件進(jìn)行手動調(diào)整（有時(shí)可能花費(fèi)數(shù)月時(shí)間?。?/span>
• 由于項(xiàng)目需求發(fā)生變化但未將更改傳達(dá)至各方，導(dǎo)致項(xiàng)目實(shí)施失敗。
• 使用有缺陷的新版本替換系統(tǒng)組件導(dǎo)致生產(chǎn)力下降，無法快速恢復(fù)到工作狀態(tài)。
• 由于無法準(zhǔn)確定位哪些組件受到更改的影響，錯(cuò)誤修改系統(tǒng)組件將會導(dǎo)致意外中斷。

配置管理案例淺析

1. 問題概述

軟件“故障”導(dǎo)致紐約證券交易所（NYSE）在近90分鐘內(nèi)無法處理股票交易。

2. 影響

在紐約證券交易所交易大廳之外的金融市場也受到影響。由于投資者在沒有紐約證券交易所數(shù)據(jù)的情況下無法計(jì)算市場指數(shù)，因此美國證券交易所和一些期貨和期權(quán)市場也停止了交易。由于投資者不愿在沒有紐約證券交易所交易信息的情況下開展業(yè)務(wù)，納斯達(dá)克股票市場的交易也有所放緩。

3. 原因

新的軟件安裝導(dǎo)致了該問題。紐約證券交易所在其 20 個(gè)交易終端中的 8 個(gè)上安裝了該軟件，并且該系統(tǒng)在上線前一天晚上進(jìn)行了測試。在交易日當(dāng)天，軟件發(fā)生故障，紐約證券交易所未能在交易時(shí)段開始前切換至舊軟件，共有 8 臺裝置未能正常運(yùn)行。

4. 事件總結(jié)

盡管問題直到開盤前才出現(xiàn)，但紐約證券交易所擁有強(qiáng)大的配置管理流程和工具，可以迅速發(fā)現(xiàn)問題并進(jìn)行恢復(fù)。除了紐約證券交易所的交易中斷之外，影響和損失被降低到最小了。如果中斷持續(xù)超過 90 分鐘，后果將更加嚴(yán)重。

配置管理的成本

當(dāng)然，配置管理是有成本的。首先企業(yè)需要一個(gè)配置管理系統(tǒng)。微軟或 IBM 等公司都有現(xiàn)成的配置管理解決方案出售，通常這些配置管理工具按“節(jié)點(diǎn)”收費(fèi)，價(jià)格取決于節(jié)點(diǎn)的類型（服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、移動設(shè)備、存儲、虛擬實(shí)例等）。

配置管理的另一部分成本來自于人工，包括具有設(shè)置配置管理流程和工具的技能的員工（企業(yè)的內(nèi)部沒有相應(yīng)技術(shù)的員工，則需要雇傭外包員工）。此外，企業(yè)還需要對現(xiàn)有員工的培訓(xùn)，以便將持續(xù)的配置管理流程集成到業(yè)務(wù)中。

配置管理的投資回報(bào)率

在利用配置管理中發(fā)現(xiàn)的有助于獲得正面 ROI 結(jié)果的一些財(cái)務(wù)收益包括：

• IT 員工的生產(chǎn)力提高。通過自動化，優(yōu)化 IT 員工活動，從而為業(yè)務(wù)節(jié)省寶貴的員工資源。
• 用戶生產(chǎn)力提高。減少因系統(tǒng)中斷、網(wǎng)絡(luò)攻擊、安全入侵以及更改和配置活動導(dǎo)致的宕機(jī)時(shí)間。
• IT 成本降低。IT 運(yùn)營的優(yōu)化降低了多個(gè)領(lǐng)域的成本，包括基礎(chǔ)設(shè)施、外包服務(wù)和管理軟件。
• 持續(xù)交付 IT 服務(wù)。確保軟件可以隨時(shí)可靠發(fā)布。

企業(yè)也可以參考以下成本信息來計(jì)算配置管理的 ROI：

• 配置管理系統(tǒng)監(jiān)控的設(shè)備/節(jié)點(diǎn)的數(shù)量所產(chǎn)生的成本。
• 系統(tǒng)/網(wǎng)絡(luò)工程師手動處理配置管理過程的人力成本（約35 美元/小時(shí)）。
• 在沒有備份配置的情況下發(fā)生系統(tǒng)中斷所產(chǎn)生的成本。
• 對系統(tǒng)應(yīng)用批量配置更新，或者進(jìn)行新的部署所產(chǎn)生的成本。
• 當(dāng)企業(yè)必須遵守配置審計(jì)要求或通過技術(shù)風(fēng)險(xiǎn)評估時(shí)所產(chǎn)生的成本。

配置管理的最佳實(shí)踐

配置管理、數(shù)據(jù)管理和控制領(lǐng)域充滿風(fēng)險(xiǎn)，包括系統(tǒng)中斷到應(yīng)用程序的低可用性，以及數(shù)據(jù)丟失或損壞。 為確保企業(yè)的資產(chǎn)高可用并以最佳方式配置，請參考以下最佳實(shí)踐：

1. 變更追蹤

?追蹤與系統(tǒng)配置和配置管理相關(guān)的更改，請考慮使用更改集而非單個(gè)文件提交。這允許管理員查看哪些相關(guān)文件隨著資產(chǎn)的重大更改而發(fā)生變更，以便撤銷不必要的更改或在需要時(shí)恢復(fù)到早期配置。

2. 盡早測試

通過盡早測試，在配置管理中發(fā)現(xiàn)錯(cuò)誤或潛在的風(fēng)險(xiǎn)。

?3. 性能測試

通過性能測試，讓 DevOps 團(tuán)隊(duì)深入了解他們的最新更改將如何影響性能和系統(tǒng)功能。?

4. 盡早且多次集成

除了性能測試之外，還應(yīng)盡早并經(jīng)常進(jìn)行集成，以確保新功能或更改與企業(yè)環(huán)境的其他部分良好配合。這將幫助企業(yè)在問題發(fā)生之前發(fā)現(xiàn)問題并避免相應(yīng)損失。

5. 避免修復(fù)代碼問題

盡量避免修復(fù)代碼問題（除了已經(jīng)在配置管理存儲庫中定義的代碼問題）。如果沒有在存儲庫中定義問題，未來的審閱者將不知道修復(fù)了什么，以及修復(fù)是否有效，從而導(dǎo)致代碼沖突或其他 bug。

配置監(jiān)控

配置監(jiān)控涵蓋了對系統(tǒng)設(shè)計(jì)、硬件、固件、軟件和文檔的修改過程的監(jiān)控，包括對所有變更請求和變更提議的評估，以及是否批準(zhǔn)。

建議企業(yè)根據(jù)自身情況來構(gòu)建一套最佳配置管理實(shí)踐。這將是一項(xiàng)持續(xù)進(jìn)行的工作，為了更好地貼合企業(yè)的需求，該實(shí)踐需要隨著時(shí)間的推移而進(jìn)行修改和改進(jìn)。