JumpServer 堡垒机企业版 JumpServer 案例研究（江苏农信、东⽅明珠、⼩红书） 4 JumpServer 堡垒机⼀体机及信创⽅案 3 5 为什么要使⽤堡垒机？ - 以更安全的⽅式管控和登录各种类型的资产 - 系统管理员 外包⼈员 普通⽤户 临时访客 运维资产集 服务器 ⽹络设备 数据库 安全设备 事前授权 事中监察 事后审计 管理者期望 堡垒机的 4A 能⼒ 堡垒机 制造业已经完成了从集中式制造向分布式制造的演进，⼤型制造企业往往在境内外拥有多个⽣产基地，需要借助堡垒机实现 分布式 IT 资产的统⼀运维安全审计。 政府及国有企业 政府机构及国有企业拥有⼤量机密信息，运维的安全等级要求很⾼，堡垒机是提⾼其安全合规⽔平的必备选择。 服务业 传统服务⾏业，以及包括了物流交通⾏业在内的、依托于信息技术发展演进的现代服务业，普遍具有分布式基础设施的安全 管控需求，同时需 医疗医药⾏业的信息化⽔平呈现⾼速发展的态势，IT 资产规模快速扩张，迫切需要通过堡垒机实现⼤规模 IT 资产的统⼀管 理与安全运维。 房地产及酒店 房地产和酒店⾏业的业务系统通常随业务经营场所分布式构建，IT 基础设施⾼度分散，需要通过堡垒机实现 IT 基础设施的 统⼀安全运维。 1 2 企业为什么需要堡垒机？ JumpServer 堡垒机的优势 JumpServer 堡垒机企业版 JumpServer

杭州飞致云信息科技有限公司 9 云账号 用于 Human 用户登录云平台 Web 控制台的账号，以及用于给应用通过 API 操作云平台需要的授权云平台 API 账号。 项目生命周期 指项目从开发测试、投产到系统运维、应用运维的整个过程。 应用系统 由多个应用组成的分布式系统。 应用 指独立部署运行的应用程序。 应用运行环境 支持应用系统运行的各类资源和环境，包括各类基础架构平台的虚拟机、 规范的运维安全审计系统。JumpServer 使用 Python / Django 为主进行开发，遵循 Web 2.0 规范，配备了业界领先的 Web Terminal 方案，交互界面美观、用户体验好。采纳分布式架构，支持多机 房跨区域部署，支持横向扩展，无资产数量及并发限制。 CMDB 全称为配置管理数据库，Configuration Management Database, 用于保 存构筑企业 IT 是普遍接受 IDC 的定义：中间件是一种独立的系统软件服务程序，分布式 应用软件借助这种软件在不同的技术之间共享资源，中间件位于客户机服 务器的操作系统之上，管理计算资源和网络通信。常见的中间件包括  Web 中间件: Tomcat、Weblogic、WebSphere  消息中间件: RabbitMQ、RocketMQ  分布式协调中间件: Zookeeper 数据库 包含几类数据库:

基础架构平台 指为业务系统开发测试、运行提供运行环境资源的各类虚拟化平 台、超融合平台、私有云平台以及公有云平台。 虚拟化平台 指以 VMware 为代表的基于虚拟化技术整合物理机以虚拟机方 式提供资源的平台，除 VMware 外，常见的虚拟化平台有 IBM 的 Power 虚拟化平台、华为的 FusionCompute、FusionSphere 虚拟化平台。 私有云平台 部署在企业 月才被深信服超越。 云账号 用于 Human 用户登录云平台 Web 控制台的账号，以及用于给 应用通过 API 操作云平台需要的授权云平台 API 账号。 项目生命周期 指项目从开发测试、投产到系统运维、应用运维的整个过程。 杭州飞致云信息科技有限公司 7 应用系统 由多个应用组成的分布式系统。 应用 指独立部署运行的应用程序。 应用运行环境 支持应用系统运行的各类资源和环境，包括各类基础架构平台的 规范的运维安全审计系统。JumpServer 使用 Python / Django 为主进行开发，遵循 Web 2.0 规范， 配备了业界领先的 Web Terminal 方案，交互界面美观、用户 体验好。采纳分布式架构，支持多机房跨区域部署，支持横向扩 展，无资产数量及并发限制。 资源池 资源池用于定义限制资源部署分配的范围，比如哪个云平台资源 池下、哪个网络子网、哪个集群、哪些宿主机、哪些存储器。比

来限制允许 Argo CD 用户访问这些应用程序的位置和方式。管理 AppProject 实例 通常仅限于 Argo CD 管理员。 Argo CD API 服 服务 务器 器 公开 Web UI、CLI、持续集成(CI)和持续部署(CD)系统使用的 API 的 gRPC/REST 服务器。 Argo CD 开源声明工具，可在集群和开发生命周期中自动部署基于 Kubernetes 的基础架构和应用程序。 描述给定 Argo CD 实例的预期状态的 CR。它允许您配置组成 Argo CD 实例的组件和设置。 Argo CD 服 服务 务器 器(Argo CD-server) 为 Argo CD 提供 API 和 UI 的服务器。 Argo Rollouts 一个控制器，可用于管理在 Kubernetes 和 OpenShift Container Platform 集群上托管的应用程序的进 度部署。此控制器具有一组 命名空间中，Argo CD 维护一组以下 Kubernetes 资源，这些资源定义源 Git 存储库 和目标集群之间的持续部署： Argo CD Application CR ConfigMap API 对象 代表部署目标的 GitOps 存储库凭证的 secret 对象 openshift-gitops 是默 是默认 认 Argo CD 实 实例的 例的 control

pushgateway 服务端 口 监控使用 9093 Prometheus alertmanager 服务端口 监控使用 6379 Redis 服务接口 缓存使用 8000/8001 Ansible api 服务端口 用于管理资产 9200/9300 ElasticSearch 服务端口 日志服务使用 8778/9779 Jumpserver connector 服务端口 对接 Jumpserver service 杭州飞致云信息科技有限公司 11 [root@local]# systemctl disable firewalld.service 2) 在生产环境中，如果需要开启防火墙，按照如下命令开启并放通即可（可根据需求增减）  放通端口： #!/bin/bash port=(80 443 8080 9090 9091 9093 3306 6379 4444 5900 7600 15672 cmp-master=1.7.7.7 cmp-backup=1.8.8.8 #cmp-package fit2cloud_package=/opt/fit2cloud-cmp-**.tar.gz  执行安装命令 usage： python Install-Tools.py -H [ ] -P -u -p -U

Fun Fun … … Serverless Computing BaaS CMQ 消息队列 AI 接口 IOT 平台 API 网关 Credis 云缓存 …. COS 对象存储 CDB 云数据库 终端用户 Ckafka COS … API GW HTTP Timer 调用 函数代码 依赖 本地 开发者 Serverless 介绍 Serverless 业务运维能力 运维能力 容器 虚拟机 ❑ 运维介入 ❑ 配置OS环境、业务配置 ❑ 自己实现蓝绿发布、回滚 功能 ❑ 运维介入 ❑ 编写 Yaml 文件，对运维人员 有更高的技能要求 ❑ 修改Yaml、执行命令，部署 业务 Serverless Serverless 上传代码 监控告警 Serverless vs. IaaS 运维能力 网络监控 系统监控 应用监控 业务监控 ❑调用次数

管理及应用开发运维人员，在云时代基础架构 日益多样、规模不断增长、不断变革，运维工具多样分散独立的环境下，给项目生命周期中 各角色在开发测试、投产以及系统运维环节提供应用运行环境服务、管理、运维、运营场景 的一站式的支持。如图 1 图所示。 通过建立整合 IT 基础架构、运维工具的在线服务化自动化门户，通过 IT 服务管理模式 转型，加速业务系统的开发、测试、投产、上线，同时减少人工操作以及人工操作风险、解 服务响应速度较慢的矛盾越来越大。 图 2: "柜台式" IT 服务管理模式 针对以上申请运行环境时排期比较久的问题，可以通过云管平台改变服务模式来解决， 即将现有的"柜台式"改变为"ATM 在线服务"式，即通过运行环境资源在线服务、自动化部 署、整合运维工具联动自动化，简化协作流程减少 IT 服务部门内部协作。如图 3 所示。 杭州飞致云信息科技有限公司 软件用起来才有价值，才有改进的机会 8 在线服务门户，可面向业务开发测试部门提供服务，前端以服务目录方式 提供，可在线申请、审批（与 ITSM/OA 系统进行对接），满足合规审批要求；审批后后端 自动化调用基础架构虚拟化云平台及运维工具平台 API 部署虚拟机、初始化操作系统环境、 部署配置中间件、数据库等运行环境软件并同步配置运维管理信息，给开发测试及生产运行 快速提供应用运行环境，大幅减少排期时间和部署操作时间，可由几天缩短到几小时，同时

服务编排 / 跨项目共享服务 • 开发者共享环境 - 自测子环境 扫码查看 TT 语音最佳实践 面向开发者的云原生环境 扫码查看飞书集成测试案例 • 无缝对接主流测试框架 / 平台 • API/E2E/UI 自动化测试管理 • 与开发协同自动化验收 • 自动化测试效益分析 高效协同的测试管理 • 一套 YAML/Chart 模板管理数百微服务 • 每个技术栈抽象一套构建模板 • 过程，打造出提升研发效能的一站式研发协作平台。 价值亮点： • 人均需求交付数提升 50% 以上 ( 需求均衡 / 人员不变 ) • 每年节省研发损耗 4479 人天（约 500 万 / 年） • 全球需求如期交付率从 65% 提升到 95% • 工程师体验满意度 NPS 从 65% 提升到 90%+ • 开发工程师自助式进行版本发布 • 平台团队可支撑 联 调 的 问 题 … 大 家 一 般 进 入 统 一 的 环 境 里 自 测 ， 但 通 常 只 会 测 试 能 想 到 的 点 ， K o d e R o v e r 用 自 动 化 的 方 式 让 大 家 测 得 更 全 面 ， 把 事 情 做 的 质 量 提 高 ， 提 升 了 测 试 的 覆 盖 度 。 可 以 说 ， 没 有 Z a d i g , 集 成 测 试 完 全 没

多环境/环境配置管理 • 服务编排/跨项目共享服务 • 开发者共享环境-自测子环境 扫码查看TT语音最佳实践 面向开发者的云原生环境 扫码查看飞书集成测试案例 • 无缝对接主流测试框架/平台 • API/E2E/UI 自动化测试管理 • 与开发协同自动化验收 • 自动化测试效益分析 高效协同的测试管理 • 一套YAML/Chart 模板管理数百微服务 • 每个技术栈抽象一套构建模板 • 通过整合业务、产品、研发、运维等角色端到端的协作过程，打造出提升研发效能的一站式研发协作平台。 价值亮点： • 人均需求交付数提升 50% 以上(需求均衡/人员不变) • 每年节省研发损耗 4479 人天（约500万/年） • 全球需求如期交付率从 65% 提升到 95% • 工程师体验满意度 NPS 从 65% 提升到 90%+ • 开发工程师自助式进行版本发布 • 平台团队可支撑 5 倍以上研发规模扩充 务 联 调 的 问 题 … 大 家 一 般 进 入 统 一 的 环 境 里 自 测 ， 但 通 常 只 会 测 试 能 想 到 的 点 ， K o d e R o v e r 用 自 动 化 的 方 式 让 大 家 测 得 更 全 面 ， 把 事 情 做 的 质 量 提 高 ， 提 升 了 测 试 的 覆 盖 度 。 可 以 说 ， 没 有 Z a d i g , 集 成 测 试 完 全 没 法

维与运营。 数据化 2015--2017 智能化 2017—现在 蓝鲸目前在腾讯应用情况及发展方向 4个转型的绊脚石 有重客户端游戏，网页游戏，各类官网，移动终端游戏， 大型游戏平台； 平铺式架构，拓扑关系复杂，模块数量上百，服务器数量 几千…… 腾讯游戏300多款业务中，大多数是由世界各地开发商开发 出来。 所使用的开发语言、开发框架、操作系统、数据库等技术， 是没有直观规律的。 屏蔽监控 告警 关闭游戏 入口 更新程序 包 更新数据 库 启动游戏 进程 版本 发布 停游戏进 程 测试验证 对外开放 蓝鲸作业平台 蓝鲸进化第2步：场景与原子的分离 API Gateway 服务组件A 服务组件B 服务组件C 服务组件D 故障机替换 新版本发布 基础监控系统 扩容管理系统 …… …… 原子A 原子B 原子C 原子D 原子E IaaS管理 配置平台 原子C 原子D 原子E 管控接入 配置平台 作业平台 容器平台 数据平台 故障机替换 新版本发布 基础监控系统 扩容管理系统 …… 服务组件A 服务组件B 服务组件C 服务组件D iPaaS：API Gateway（统一接入） aPaaS（集成平台）：开发框架（前后端）+工具流水线+运行环境托管 蓝鲸进化第3步：平台化开发模式让运维应用自生长 传统开发模式 应用需求 公共 组件 环境