关于我国的股民来说，“大智慧”是一个广为人知的证券出资服务品牌。作为我国抢先的互联网金融信息服务供给商，大智慧股份有限公司（以下简称为大智慧）的前身是树立于2000年12月的上海大智慧网络技术有限公司。2009年12月，公司全体变更为股份有限公司，并于2011年成功在上交所上市。

从树立之日起，大智慧就致力于以软件终端为载体，以互联网为渠道，向出资者供给及时、专业的金融数据和数据分析。伴跟着事务的不断开展，大智慧的IT基础设施规划也在快速扩张。尤其是跟着公有云在企业内部的继续运用，大智慧的IT基础设施现已构成包括公有云和本地数据中心在内的混合IT架构。

为了处理混合IT架构中服务器一致拜访鉴权及安全审计问题，并合作企业完结等保2.0安全合规的评定作业，经过对多家堡垒机的调研，大智慧终究挑选了Jumpserver堡垒机作为运维审计办理处理计划。根据Jumpserver堡垒机软件订阅服务供给的施行服务支撑，大智慧于2019年3月完结两套Jumpserver堡垒机的上线布置，并安全运转至今。

应战

主机运维审计与多公有云环境的适配

证券信息服务职业的客户关于证券信息获取的及时性、高效性和权威性是非常垂青的。为了更好地满意用户的要求，大智慧很早就测验运用公有云，期望充沛运用公有云广布局、高弹性等特色满意客户在信息获取及时性等方面的需求。

考虑到不同公有云的特色以及防止供货商确定的问题，大智慧在2017年完结公有云试点运用后，在2018年引入了四家国内干流的公有云供货商，并构成首要事务在多家公有云合理散布式布置的格式。

与此同时，因为部分合规办理及子公司事务要求，大智慧还保留了部分本地数据中心来运转敏感性和特殊性事务。这样一来，大智慧的IT架构就构成了充沛的混合性，完结企业在基础设施层面功用、功率、本钱和安全合规的再平衡。

跟着混合IT基础设施的树立完结，大智慧原有的运维审计办理系统呈现了与事务开展相脱节、办理本钱高、运用体会差以及和公有云适配才能弱等问题。详细来说包括以下几个方面：

跟着越来越多事务运转在公有云之上，主机运维审计办理系统需求能更好地适配公有云，包括更好地在公有云上布置运转、跨不同公有云供货商的一致办理，以及完结系统与公有云主机服务API的对接等；跟着企业主机财物规划的快速扩张，主机运维审计办理系统需求能够协助运维人员完结财物办理，让财物的归属与其拜访授权办理进行相关；跟着浏览器才能继续提高，大智慧期望，主机运维审计办理系统能够扔掉原有的浏览器插件形式，完结“浏览器原生”的拜访形式。这在下降办理本钱、提高用户运用体会方面有非常大的协助和含义。

完结

量身打造的散布式布置计划

经过充沛的计划选型和验证测验后，大智慧终究挑选经过Jumpserver堡垒机处理计划完结树立面向混合IT环境的运维审计办理系统。在详细的计划内容包括：

Jumpserver堡垒机软件订阅服务及X-Pack增强包：Jumpserver堡垒机软件订阅服务供给了面向多云环境的运维安全审计服务才能，并附含搭载了面向企业运用场景的商业功用软件包——X-Pack增强包。凭借X-Pack增强包中的多云财物纳管、改密计划等功用，大智慧完结了运维审计办理系统与干流公有云API的无缝对接、专业MFA支撑、批量主动改密等，实在提高了系统的运维办理功率和安全性；面向混合IT环境的专有散布式布置计划：Jumpserver中心工程师依照大智慧的IT基础设施架构，规划出一套完善的散布式布置计划。该计划很好地统筹了大智慧在会集鉴权和就近拜访两方面的需求，让散布在多个公有云和本地数据中心的主机资源都能够一致纳管鉴权，用户又能就近拜访主机资源；订阅服务期的专业支撑服务：Jumpserver软件订阅服务包括了专业的原厂商业支撑服务，包括专属的技术支撑司理、继续晋级的软件安装包、线上问题及时回答，以及线下的现场救援和运用训练。

在计划落地的过程中，专有的散布式布置计划无疑是最大的亮点。这一布置计划充沛考虑到了大智慧IT基础设施的涣散性、一致办理的必要性，以及主机就近拜访的需求。散布式布置计划的架构图如下：

（大智慧Jumpserver堡垒机散布式布置计划）

注：大智慧运用了多个公有云，且绝大部分基础设施现已在公有云上，但图中仅以一个公有云区域作为暗示。

如附图所示，客户的基础设施散布在本地两个数据中心以及线上的多个公有云。整个Jumpserver散布式布置计划包括以下几个部分：

首要，挑选在企业内部主数据中心布置完好的“主Jumpserver堡垒机”，包括Jumpserver堡垒机的Web端（Luna）、接入端（Coco / Guacamole）和鉴权数据库；其次，在别的一个本地数据中心和每个公有云的VPC中布置一套“接入Jumpserver堡垒机”，包括Web端（Luna）、接入端（Coco / Guacamole），可是不包括鉴权数据库。然后，将“接入Jumpserver堡垒机”的鉴权恳求接口装备到“主Jumpserver堡垒机”，然后完结一致的财物办理和鉴权；最终，为“主Jumpserver堡垒机”和每个“接入Jumpserver堡垒机”装备好独立的域名，而且运用外部的智能DNS完结多Jumpserver堡垒机的域名智能解析。

这一散布式布置计划给大智慧带来的价值包括：

因为一切的鉴权数据库以及鉴权API恳求都会回到“主Jumpserver堡垒机”，涣散的主机财物和鉴权办理都得以一致，用户不需求为涣散的财物独自布置多套系统并独立进行办理；因为每个区域都有本地的接入端（Coco / Guacamole），并确保每个区域的本地资源都经过本地接入端进行衔接，这样就完结了接入端和方针财物之间的就近拜访。再结合外部的智能DNS，终究用户会按其地点的地理位置和网络状况挑选一个最佳的Jumpserver接入端，这样便完结了从用户到Jumpserver接入端、再到方针财物整个链路上的最优拜访计划，即“主机就近拜访”。

收益

一致办理、高效拜访和专业服务

经过Jumpserver堡垒机，大智慧构建了完好、先进的运维审计办理系统，详细的收益包括：

混合IT环境下涣散财物的一致运维办理。凭借Jumpserver堡垒机散布式布置计划，大智慧在本地IDC和多个公有云的涣散财物完结了一致办理、一致授权和一致拜访进口；简略、高效的主机财物拜访体会。结合Jumpserver堡垒机散布式布置计划中的“就近拜访”才能和Jumpserver堡垒机本身的零插件拜访才能，用户能够在任何地方仅运用干流浏览器就能够简略、高效地拜访主机财物；继续演进的堡垒机功用与服务支撑保证。Jumpserver软件订阅服务赋予了大智慧运维审计办理系统可继续的渠道演进才能，大智慧能够及时取得包括X-Pack增强包在内的软件版别和软件补丁晋级服务，而且在第一时间取得原厂的毛病排查、紧迫救助等专业服务，系统的稳定性和安全性得到有用保证。

作者：大智慧 吴守畅

内容来历：JumpServer开源堡垒机

关于作者

本文作者吴守畅先生结业于武汉理工大学计算机专业，具有十年以上证券信息技术职业经历，拿手运维系统架构规划和运维归纳办理。吴守畅曾任大智慧运维总监，先后担任大智慧Internet版、大智慧手机版、大智慧数据中心等渠道建造与办理作业。2018年开端担任大智慧集团内外部信息系统安全规划与建造作业。

＋“CH050791”后 回“jump”，可入qun沟通~