JumpServer 堡壘機讓“大智慧”的混合 IT 運維更智慧
對于中國的股民來說,“大智慧”是一個廣為人知的證券投資服務(wù)品牌。作為中國領(lǐng)先的互聯(lián)網(wǎng)金融信息服務(wù)提供商,大智慧股份有限公司(以下簡稱為大智慧)的前身是成立于2000年12月的上海大智慧網(wǎng)絡(luò)技術(shù)有限公司。2009年12月,公司整體變更為股份有限公司,并于2011年成功在上交所上市。
從成立之日起,大智慧就致力于以軟件終端為載體,以互聯(lián)網(wǎng)為平臺,向投資者提供及時、專業(yè)的金融數(shù)據(jù)和數(shù)據(jù)分析。伴隨著業(yè)務(wù)的不斷發(fā)展,大智慧的IT基礎(chǔ)設(shè)施規(guī)模也在快速擴張。尤其是隨著公有云在企業(yè)內(nèi)部的持續(xù)使用,大智慧的IT基礎(chǔ)設(shè)施已經(jīng)形成包括公有云和本地數(shù)據(jù)中心在內(nèi)的混合IT架構(gòu)。
為了解決混合IT架構(gòu)中服務(wù)器統(tǒng)一訪問鑒權(quán)及安全審計問題,并配合企業(yè)完成等保2.0安全合規(guī)的評審工作,經(jīng)過對多家堡壘機的調(diào)研,大智慧最終選擇了Jumpserver堡壘機作為運維審計管理解決方案。基于Jumpserver堡壘機軟件訂閱服務(wù)提供的實施服務(wù)支持,大智慧于2019年3月完成兩套Jumpserver堡壘機的上線部署,并安全運行至今。
證券信息服務(wù)行業(yè)的客戶對于證券信息獲取的及時性、高效性和權(quán)威性是十分看重的。為了更好地滿足用戶的要求,大智慧很早就嘗試使用公有云,希望充分利用公有云廣布局、高彈性等特點滿足客戶在信息獲取及時性等方面的需求。
考慮到不同公有云的特點以及避免供應(yīng)商鎖定的問題,大智慧在2017年完成公有云試點使用后,在2018年引入了四家國內(nèi)主流的公有云供應(yīng)商,并形成主要業(yè)務(wù)在多家公有云合理分布式部署的格局。與此同時,因為部分合規(guī)管理及子公司業(yè)務(wù)要求,大智慧還保留了部分本地數(shù)據(jù)中心來運行敏感性和特殊性業(yè)務(wù)。這樣一來,大智慧的IT架構(gòu)就形成了充分的混合性,實現(xiàn)企業(yè)在基礎(chǔ)設(shè)施層面性能、效率、成本和安全合規(guī)的再平衡。
隨著混合IT基礎(chǔ)設(shè)施的搭建完成,大智慧原有的運維審計管理體系出現(xiàn)了與業(yè)務(wù)發(fā)展相脫節(jié)、管理成本高、使用體驗差以及和公有云適配能力弱等問題。具體來說包括以下幾個方面:
■ 隨著越來越多業(yè)務(wù)運行在公有云之上,主機運維審計管理系統(tǒng)需要能更好地適配公有云,包括更好地在公有云上部署運行、跨不同公有云供應(yīng)商的統(tǒng)一管理,以及實現(xiàn)系統(tǒng)與公有云主機服務(wù)API的對接等;
■ 隨著企業(yè)主機資產(chǎn)規(guī)模的快速擴張,主機運維審計管理系統(tǒng)需要能夠幫助運維人員實現(xiàn)資產(chǎn)管理,讓資產(chǎn)的歸屬與其訪問授權(quán)管理進行關(guān)聯(lián);
■ 隨著瀏覽器能力持續(xù)提升,大智慧希望,主機運維審計管理系統(tǒng)能夠拋棄原有的瀏覽器插件模式,實現(xiàn)“瀏覽器原生”的訪問模式。這在降低管理成本、提升用戶使用體驗方面有非常大的幫助和意義。
經(jīng)過充分的方案選型和驗證測試后,大智慧最終選擇通過Jumpserver堡壘機解決方案實現(xiàn)建立面向混合IT環(huán)境的運維審計管理系統(tǒng)。在具體的方案內(nèi)容包括:
■ Jumpserver堡壘機軟件訂閱服務(wù)及X-Pack增強包:Jumpserver堡壘機軟件訂閱服務(wù)提供了面向多云環(huán)境的運維安全審計服務(wù)能力,并附含搭載了面向企業(yè)應(yīng)用場景的商業(yè)功能軟件包——X-Pack增強包。借助X-Pack增強包中的多云資產(chǎn)納管、改密計劃等功能,大智慧實現(xiàn)了運維審計管理系統(tǒng)與主流公有云API的無縫對接、專業(yè)MFA支持、批量自動改密等,切實提升了系統(tǒng)的運維管理效率和安全性;
■ 面向混合IT環(huán)境的專有分布式部署方案:Jumpserver核心工程師按照大智慧的IT基礎(chǔ)設(shè)施架構(gòu),設(shè)計出一套完善的分布式部署方案。該方案很好地兼顧了大智慧在集中鑒權(quán)和就近訪問兩方面的需求,讓分布在多個公有云和本地數(shù)據(jù)中心的主機資源都能夠統(tǒng)一納管鑒權(quán),用戶又能就近訪問主機資源;
■ 訂閱服務(wù)期的專業(yè)支持服務(wù):Jumpserver軟件訂閱服務(wù)包含了專業(yè)的原廠商業(yè)支持服務(wù),包括專屬的技術(shù)支持經(jīng)理、持續(xù)升級的軟件安裝包、線上問題及時解答,以及線下的現(xiàn)場救援和使用培訓(xùn)。
在方案落地的過程中,專有的分布式部署方案無疑是最大的亮點。這一部署方案充分考慮到了大智慧IT基礎(chǔ)設(shè)施的分散性、統(tǒng)一管理的必要性,以及主機就近訪問的需求。分布式部署方案的架構(gòu)圖如下:
如附圖所示,客戶的基礎(chǔ)設(shè)施分布在本地兩個數(shù)據(jù)中心以及線上的多個公有云。整個Jumpserver分布式部署方案包括以下幾個部分:
- 首先,選擇在企業(yè)內(nèi)部主數(shù)據(jù)中心部署完整的“主Jumpserver堡壘機”,包括Jumpserver堡壘機的Web端(Luna)、接入端(Coco / Guacamole)和鑒權(quán)數(shù)據(jù)庫;
- 其次,在另外一個本地數(shù)據(jù)中心和每個公有云的VPC中部署一套“接入Jumpserver堡壘機”,包括Web端(Luna)、接入端(Coco / Guacamole),但是不包括鑒權(quán)數(shù)據(jù)庫。然后,將“接入Jumpserver堡壘機”的鑒權(quán)請求接口配置到“主Jumpserver堡壘機”,從而實現(xiàn)統(tǒng)一的資產(chǎn)管理和鑒權(quán);
- 最后,為“主Jumpserver堡壘機”和每個“接入Jumpserver堡壘機”配置好獨立的域名,并且利用智能DNS實現(xiàn)多Jumpserver堡壘機的域名智能解析。
這一分布式部署方案給大智慧帶來的價值包括:
■ 由于所有的鑒權(quán)數(shù)據(jù)庫以及鑒權(quán)API請求都會回到“主Jumpserver堡壘機”,分散的主機資產(chǎn)和鑒權(quán)管理都得以統(tǒng)一,用戶不需要為分散的資產(chǎn)單獨部署多套系統(tǒng)并獨立進行管理;
■ 由于每個區(qū)域都有本地的接入端(Coco / Guacamole),并保證每個區(qū)域的本地資源都通過本地接入端進行連接,這樣就實現(xiàn)了接入端和目標(biāo)資產(chǎn)之間的就近訪問。再結(jié)合智能DNS,最終用戶會按其所在的地理位置和網(wǎng)絡(luò)情況選擇一個最佳的Jumpserver接入端,這樣便實現(xiàn)了從用戶到Jumpserver接入端、再到目標(biāo)資產(chǎn)整個鏈路上的最優(yōu)訪問方案,即“主機就近訪問”。
■ 混合IT環(huán)境下分散資產(chǎn)的統(tǒng)一運維管理。借助Jumpserver堡壘機分布式部署方案,大智慧在本地IDC和多個公有云的分散資產(chǎn)實現(xiàn)了統(tǒng)一管理、統(tǒng)一授權(quán)和統(tǒng)一訪問入口;
■ 簡單、高效的主機資產(chǎn)訪問體驗。結(jié)合Jumpserver堡壘機分布式部署方案中的“就近訪問”能力和Jumpserver堡壘機自身的零插件訪問能力,用戶可以在任何地方僅使用主流瀏覽器就能夠簡單、高效地訪問主機資產(chǎn);
■ 持續(xù)演進的堡壘機功能與服務(wù)支持保障。Jumpserver軟件訂閱服務(wù)賦予了大智慧運維審計管理系統(tǒng)可持續(xù)的平臺演進能力,大智慧可以及時獲得包含X-Pack增強包在內(nèi)的軟件版本和軟件補丁升級服務(wù),并且在第一時間獲得原廠的故障排查、緊急救助等專業(yè)服務(wù),系統(tǒng)的穩(wěn)定性和安全性得到有效保障。
