社区分享|JumpServer助力容联七陌纳管大规模混合云资产
社区分享|JumpServer助力容联七陌纳管大规模混合云资产
容联七陌运维专家 张大炜
安全运维面临的痛点和需求
和所有业务飞速发展,且IT资产快速增加的企业一样,容联七陌在IT运维管理的日常工作中也面临着许多的挑战:
首先是大规模资产运维审计的需求。从七年前的创业公司到成为美股上市企业,容联七陌的业务规模不断扩大,随之而来的是IT资产规模的快速扩张。从早期的几十台资产迅速扩展到目前的1500台资产,未来这个数字还会持续增加。因此,如何做到大规模IT资产的高效管理就成为了容联七陌IT运维管理的重中之重;
其次是混合云管理。容联七陌目前在阿里云、华为云以及腾讯云等主流的云平台上都部署了IT资产,除此之外还有一些混合云资产,包括部署在IDC机房和客户本地的资产。这样一来,混合云资产的纳管就是一个比较头疼的问题。我们需要一个能够更好地适配混合云,并且能够做到多云资产纳管,跨不同公有云平台统一管理的堡垒机。同时,我们也希望能够通过堡垒机来实现管理系统与公有云主机服务API的对接,从而形成企业内部的IT运维平台;
最后是安全审计。作为一家上市公司,我们在每年的各个时期都有内外部数据和资产审计的需求。国家在政策层面也对互联网安全管理提出了越来越严格和细致的要求,安全审计成为了我们日常运维管理工作中的一项重要工作内容。除此之外,随着IT系统运维对堡垒机依赖程度的不断加强,系统稳定运行的重要性不断攀升,这也就催生出审计资料的有效存储以及支持随时进行审计操作的要求。
综合上述选型背景,我们需要的是一款能够有效管理大规模资产、支持多云应用环境,并且符合运维安全审计要求的堡垒机。
基于这样的痛点和需求,经过一系列选型之后,我们认为JumpServer堡垒机更加符合我们的实际需求,能够帮我们解决实际工作中的痛点问题:
1. 开源:JumpServer堡垒机提供了一个开放、兼容的平台,让更多的用户可以相互沟通进步,共筑安全生态;
2. 安全:JumpServer符合4A规范,保障企业运维安全审计的要求;
3. 多云支持:JumpServer支持多云和API对接,能够实现多云资产的统一管理;
4. 用户体验优异:终端用户在访问JumpServer时,可以享受到简洁的使用界面,容易上手,没有很复杂的客户端流程,很大程度提升了用户的使用体验。
JumpServer的部署架构
目前,容联七陌主要使用JumpServer管理云上资产,因此我们最终采用了主从架构的部署方式。依托云上一些比较稳定的组件,用户可以通过Web页面和SSH客户端访问JumpServer,同时兼容了WAF防火墙(Web Application Firewall)、ELB(Elastic Load Balance),还单独拆分了Redis和RDS(Relational Database Service),再加上对接LDAP统一管理门户网站,以及通过MAIL进行邮件推送。
现在更加方便的是,JumpServer也支持通过飞书、企业微信、钉钉进行扫码登录。另外,对于细分场景,我们将生产环境和测试环境进行资源的分组隔离,这样就可以将私有云、公有云以及IDC机房或者客户本地物理机上的资产统一纳管到JumpServer堡垒机上。