一、背景与定义
什么是 CDMB?
CDMB(Configuration Data Management Base) 是企业或组织用于统一管理系统配置数据、软硬件资产信息、运行参数和版本基线等信息的数据管理平台,是 IT 基础设施配置与安全合规的核心组成部分。
它既可以是一个独立的数据库,也可以是嵌入 CMDB(配置管理数据库)中的一个“配置参数域”子系统,重点管理系统级配置、标准化配置项及其变更关系。
与传统 CMDB 更注重“设备、系统、组件之间的关系”不同,CDMB 关注具体系统和服务的配置参数与数据本体,例如:
服务端口号、密码策略、安全基线;
数据库参数、JVM配置、内核参数;
应用版本、接口地址、证书有效期。
二、CDMB 与 CMDB 的关系与区别
三、落地实现方式(技术架构)
1. 技术模型组成
+----------------------------+
| 配置采集层 |
| - 脚本/Agent/API采集 |
+----------------------------+
↓
+----------------------------+
| 配置数据存储层 |
| - 配置项(CI) |
| - 配置参数项(KV结构) |
| - 历史基线版本 |
+----------------------------+
↓
+----------------------------+
| 可视化与审计接口层 |
| - 配置变更记录 |
| - 审计报告输出 |
| - 异常检测告警 |
+----------------------------+
2. 落地方式(企业应用)
四、应用场景
1. 安全基线核查(等保/军工/国产化)
检查服务器是否启用强密码策略;
系统是否关闭了不必要端口;
证书是否即将过期;
配置是否符合军用或国密加固标准。
2. 应用上线配置审查
开发、测试、生产环境参数对比;
环境变量是否一致;
是否残留调试参数;
是否遗忘测试数据库连接配置。
3. 灾备/双活环境一致性验证
主备配置一致性校验;
分布式系统服务端口、IP、依赖版本是否一致;
关键参数(如 Kafka topic、超时时间)漂移提示。
4. DevSecOps 配置追踪
在 CI/CD 中自动快照配置;
每次部署自动提交配置摘要;
发现配置变更与系统异常的关联性。
五、CDMB 内容结构(核心字段设计)
一个标准的 CDMB 配置项结构通常包含以下字段:
可存储为 JSON / YAML / 表结构:
ci: "mysql-prod"
params:
max_connections: "1024"
sql_mode: "STRICT_ALL_TABLES"
innodb_buffer_pool_size: "4G"
last_updated: "2025-06-18"
六、CDMB 在企业中的建设建议
七、与其他系统的关系图(简化版)
+--------------------+
| CMDB | ←—— 设备/服务/主机关系建模
+--------------------+
↑
│
+--------------------+
| CDMB | ←—— 采集/登记的配置参数、版本基线
+--------------------+
↓
+--------------------+
| 合规系统 / 审计系统| ←—— 基线比对、审计报告、异常告警
+--------------------+
八、总结
CDMB 是对传统 CMDB 的有效补充,关注“数据内容本身的可控性与可审计性”,在国产化、等保合规、安全运维、系统上线前审查等方面具备极高的实用价值。
它不是一个产品,而是一个组织级配置数据管理体系,关键在于:
模型设计要统一;
数据采集要持续;
配置变更要可追;
合规接口要闭环。