**作者:**大智慧 吳守暢
關於作者
吳守暢先生畢業於武漢理工大學計算機專業,具有十年以上證券信息技術行業經驗,擅長運維體系架構設計和運維綜合管理。吳守暢曾任大智慧運維總監,先後負責大智慧Internet版、大智慧手機版、大智慧數據中心等平臺建設與管理工作。2018年開始負責大智慧集團內外部信息系統安全規劃與建設工作。
前言
對於中國的股民來說,“大智慧”是一個廣爲人知的證券投資服務品牌。作爲中國領先的互聯網金融信息服務提供商,大智慧股份有限公司(以下簡稱爲大智慧)的前身是成立於2000年12月的上海大智慧網絡技術有限公司。2009年12月,公司整體變更爲股份有限公司,並於2011年成功在上交所上市。
從成立之日起,大智慧就致力於以軟件終端爲載體,以互聯網爲平臺,向投資者提供及時、專業的金融數據和數據分析。伴隨着業務的不斷髮展,大智慧的IT基礎設施規模也在快速擴張。尤其是隨着公有云在企業內部的持續使用,大智慧的IT基礎設施已經形成包括公有云和本地數據中心在內的混合IT架構。
爲了解決混合IT架構中服務器統一訪問鑑權及安全審計問題,並配合企業完成等保2.0安全合規的評審工作,經過對多家堡壘機的調研,大智慧最終選擇了Jumpserver堡壘機作爲運維審計管理解決方案。基於Jumpserver堡壘機軟件訂閱服務提供的實施服務支持,大智慧於2019年3月完成兩套Jumpserver堡壘機的上線部署,並安全運行至今。
挑戰:主機運維審計與多公有云環境的適配
證券信息服務行業的客戶對於證券信息獲取的及時性、高效性和權威性是十分看重的。爲了更好地滿足用戶的要求,大智慧很早就嘗試使用公有云,希望充分利用公有云廣佈局、高彈性等特點滿足客戶在信息獲取及時性等方面的需求。
考慮到不同公有云的特點以及避免供應商鎖定的問題,大智慧在2017年完成公有云試點使用後,在2018年引入了四家國內主流的公有云供應商,並形成主要業務在多家公有云合理分佈式部署的格局。與此同時,因爲部分合規管理及子公司業務要求,大智慧還保留了部分本地數據中心來運行敏感性和特殊性業務。這樣一來,大智慧的IT架構就形成了充分的混合性,實現企業在基礎設施層面性能、效率、成本和安全合規的再平衡。
隨着混合IT基礎設施的搭建完成,大智慧原有的運維審計管理體系出現了與業務發展相脫節、管理成本高、使用體驗差以及和公有云適配能力弱等問題。具體來說包括以下幾個方面:
■ 隨着越來越多業務運行在公有云之上,主機運維審計管理系統需要能更好地適配公有云,包括更好地在公有云上部署運行、跨不同公有云供應商的統一管理,以及實現系統與公有云主機服務API的對接等;
■ 隨着企業主機資產規模的快速擴張,主機運維審計管理系統需要能夠幫助運維人員實現資產管理,讓資產的歸屬與其訪問授權管理進行關聯;
■ 隨着瀏覽器能力持續提升,大智慧希望,主機運維審計管理系統能夠拋棄原有的瀏覽器插件模式,實現“瀏覽器原生”的訪問模式。這在降低管理成本、提升用戶使用體驗方面有非常大的幫助和意義。
實現:量身打造的分佈式部署方案
經過充分的方案選型和驗證測試後,大智慧最終選擇通過Jumpserver堡壘機解決方案實現建立面向混合IT環境的運維審計管理系統。在具體的方案內容包括:
■ Jumpserver堡壘機軟件訂閱服務及X-Pack增強包:Jumpserver堡壘機軟件訂閱服務提供了面向多雲環境的運維安全審計服務能力,並附含搭載了面向企業應用場景的商業功能軟件包——X-Pack增強包。藉助X-Pack增強包中的多雲資產納管、改密計劃等功能,大智慧實現了運維審計管理系統與主流公有云API的無縫對接、專業MFA支持、批量自動改密等,切實提升了系統的運維管理效率和安全性;
■ 面向混合IT環境的專有分佈式部署方案:Jumpserver核心工程師按照大智慧的IT基礎設施架構,設計出一套完善的分佈式部署方案。該方案很好地兼顧了大智慧在集中鑑權和就近訪問兩方面的需求,讓分佈在多個公有云和本地數據中心的主機資源都能夠統一納管鑑權,用戶又能就近訪問主機資源;
■ 訂閱服務期的專業支持服務:Jumpserver軟件訂閱服務包含了專業的原廠商業支持服務,包括專屬的技術支持經理、持續升級的軟件安裝包、線上問題及時解答,以及線下的現場救援和使用培訓。
在方案落地的過程中,專有的分佈式部署方案無疑是最大的亮點。這一部署方案充分考慮到了大智慧IT基礎設施的分散性、統一管理的必要性,以及主機就近訪問的需求。分佈式部署方案的架構圖如下:
附圖 大智慧Jumpserver堡壘機分佈式部署方案
注:大智慧使用了多個公有云,且絕大部分基礎設施已經在公有云上,但圖中僅以一個公有云區域作爲示意。
如附圖所示,客戶的基礎設施分佈在本地兩個數據中心以及線上的多個公有云。整個Jumpserver分佈式部署方案包括以下幾個部分:
1、首先,選擇在企業內部主數據中心部署完整的“主Jumpserver堡壘機”,包括Jumpserver堡壘機的Web端(Luna)、接入端(Coco / Guacamole)和鑑權數據庫;
2、其次,在另外一個本地數據中心和每個公有云的VPC中部署一套“接入Jumpserver堡壘機”,包括Web端(Luna)、接入端(Coco / Guacamole),但是不包括鑑權數據庫。然後,將“接入Jumpserver堡壘機”的鑑權請求接口配置到“主Jumpserver堡壘機”,從而實現統一的資產管理和鑑權;
3、最後,爲“主Jumpserver堡壘機”和每個“接入Jumpserver堡壘機”配置好獨立的域名,並且利用智能DNS實現多Jumpserver堡壘機的域名智能解析。
這一分佈式部署方案給大智慧帶來的價值包括:
■ 由於所有的鑑權數據庫以及鑑權API請求都會回到“主Jumpserver堡壘機”,分散的主機資產和鑑權管理都得以統一,用戶不需要爲分散的資產單獨部署多套系統並獨立進行管理;
■ 由於每個區域都有本地的接入端(Coco / Guacamole),並保證每個區域的本地資源都通過本地接入端進行連接,這樣就實現了接入端和目標資產之間的就近訪問。再結合智能DNS,最終用戶會按其所在的地理位置和網絡情況選擇一個最佳的Jumpserver接入端,這樣便實現了從用戶到Jumpserver接入端、再到目標資產整個鏈路上的最優訪問方案,即“主機就近訪問”。
收益:統一管理、高效訪問和專業服務
通過Jumpserver堡壘機,大智慧構建了完整、先進的運維審計管理體系,具體的收益包括:
■ 混合IT環境下分散資產的統一運維管理。藉助Jumpserver堡壘機分佈式部署方案,大智慧在本地IDC和多個公有云的分散資產實現了統一管理、統一授權和統一訪問入口;
■ 簡單、高效的主機資產訪問體驗。結合Jumpserver堡壘機分佈式部署方案中的“就近訪問”能力和Jumpserver堡壘機自身的零插件訪問能力,用戶可以在任何地方僅使用主流瀏覽器就能夠簡單、高效地訪問主機資產;
■ 持續演進的堡壘機功能與服務支持保障。Jumpserver軟件訂閱服務賦予了大智慧運維審計管理系統可持續的平臺演進能力,大智慧可以及時獲得包含X-Pack增強包在內的軟件版本和軟件補丁升級服務,並且在第一時間獲得原廠的故障排查、緊急救助等專業服務,系統的穩定性和安全性得到有效保障。