中國礦業大學是教育部直屬的全國重點高校,是教育部、應急管理部與江蘇省人民政府共建高校,先後進入國家“211工程”“985優勢學科創新平台項目”和國家“雙一流”建設高校行列,學校現坐落于素有“五省通衢”之稱的國家曆史文化名城——江蘇省徐州市,有文昌和南湖兩個校園,占地4200餘畝。
中國礦業大學自2019年起着手建構智慧校園 “十個一”核心任務,即一張網(一體化融合網)、一朵雲(超融合資料雲平台)、一張表(個人資訊管理表)、一個号(身份管理号)、一片湖(治理資料湖)、一空間(泛在化研學空間)、一園通(全覆寫智慧園)、一站式(一站通辦)、一周期(人才培養全周期)和一面牆(全方位安全防護牆),全面開展校園資訊化建設。
IT運維的痛點與難點
随着學校資訊化系統規模的不斷擴張,在日常的IT運維工作中,中國礦業大學也面臨着很多實際的運維管理問題:
■ IT資産碎片化,運維環境複雜
中國礦業大學目前在“兩校三地”資料中心的機房擁有虛拟機500餘台,實體伺服器幾十台,還有各類機關的伺服器分布在學校的其他機房和實驗室等不同位置,實體空間跨度大,IT資産類型多。
同時,學校本身有很多業務系統是由業務部門所建設,第三方廠商承建運維的。是以,第三方廠商的工程師和學校業務部門的老師都有遠端登入IT資産的需求。這也就導緻學校資訊化處日常運維和審計的工作十分繁重;
■ 存在密碼洩露、丢失等安全風險
學校配置設定虛拟機後,虛拟機的賬号密碼是交由業務部門老師和廠商工程師保管和維護的。保管的方式通常是記錄在Excel表格或者記事簿中,這種簡單的記錄方式會帶來密碼洩露的安全風險。同時,由于業務部門老師的職位變更和廠商工程師的更換,經常有密碼修改後又丢失的情況發生,系統存在很大安全隐患,不利于學校進行IT資産的安全運維和規範管理;
■ 缺乏統一的IT資産登入入口,審計困難
虛拟機配置設定到業務部門或第三方廠商後,運維人員沒有一個統一的通路入口,有通過校内網直接通路的,有使用向日葵等遠端工具通路的,還有通過VPN遠端通路的,系統缺乏統一的IT資産登入入口。
業務部門的老師不知道自己名下有多少個IT資産,資訊化處也不清楚學校的IT資産被何人在何時登入,資訊的不透明給IT資産的安全運維帶來了很大的隐患。
面對以上虛拟機和伺服器在日常運維過程中出現的問題,中國礦業大學的資訊化處決定改變原有的IT資産運維管理方式,建構一個更加安全、規範的堡壘機運維安全體系。
選擇JumpServer堡壘機的原因
針對學校IT資産運維的痛點與需求,中國礦業大學的資訊化部門對市場上多款堡壘機産品進行了調研和測試,認為JumpServer堡壘機在技術層面上能夠滿足學校的需求,并最終選擇JumpServer堡壘機企業版作為學校IT資産運維安全體系的重要元件。選擇JumpServer堡壘機的主要原因包括:
1. 無插件的Web終端通路方式
JumpServer堡壘機無插件、純浏覽器通路的設計思路非常契合中國礦業大學對于IT資産運維簡單化、便捷化的期望。運維人員無需在本地安裝專用的用戶端插件,直接通過浏覽器Web終端,即可實作多種作業系統下、多種IT資産類型的通路;
2. 開源開放
作為一款廣受歡迎的開源堡壘機,JumpServer擁有非常活躍的開源社群,并且提供了開放的API接口,友善使用者拓展更加豐富的功能。基于接口的開放能力,未來,中國礦業大學還計劃把堡壘機的能力上浮到學校辦事大廳,支援各院系自行申請資源通路權限。
同時,國家“十四五”規劃也重點突出了開源新生态的建設,作為教育部直屬的全國重點高校,中國礦業大學也希望通過自己的使用和意見回報,與JumpServer共同建設開源生态;
3. 疊代速度快
一直以來,JumpServer堅持按月疊代釋出新版本,産品疊代更新速度快。使用者可以通過GitHub、技術交流群等多種方式提出對JumpServer的需求和回報。JumpServer開源項目組也一直用心聆聽使用者的聲音,收集使用者的建議,在持續的更新疊代中增加新功能,優化使用場景,不斷優化使用者的使用體驗。
JumpServer的部署架構
JumpServer堡壘機企業版提供純軟體和軟硬體一體機兩種傳遞方式。基于學校現網環境的要求,學校選擇了軟硬體一體機的方式,并且通過部署兩台一體機,實作主備模式下的高可用架構。
同時,通過Keepalived實作VIP漂移,達到主備切換的效果。也就是說,在主節點和備節點上部署相同的JumpServer服務,使用一個 VIP位址對外提供服務。當主伺服器發生當機時,Keepalived元件會自動将VIP漂移到備用伺服器,確定服務的正常運作。
▲圖1 中國礦業大學JumpServer部署架構
JumpServer的使用價值
實際應用JumpServer堡壘機之後,為學校帶來了以下幾點價值收益,大幅提升了學校運維管理的能力:
■ 統一IT資産通路入口
通過JumpServer堡壘機,校内使用者可以對接統一的身份認證系統(基于CAS協定),校外工程師的賬号采用實名制。這樣一來,就實作了校内、校外IT資産運維“一人一号”的模式,有效避免了賬号密碼洩露的風險。使用者通過登入JumpServer可以通路已授權的伺服器,通過統一的門戶通路所有的IT資産,擁有統一的資産通路入口。
同時,資産的賬号密碼統一托管在JumpServer中,使用者無需輸入賬号密碼就可以直接登入通路,提高了運維管理效率,也避免了密碼丢失的情況發生;
■ 安全穩定運作的保障
在國家層面,對網絡安全的重視程度不斷提升,相關的法律法規日益完善。學校對IT資産的運維安全審計和專業化管理也提出了更高的要求。管理者通過開啟MFA多因子認證功能,加強了IT資産運維“一人一号”的可靠性和安全性。同時,JumpServer堡壘機符合4A規範,滿足了學校運維安全審計的要求。
▲圖2 中國礦業大學通過JumpServer實作安全登入通路
期待與展望
中國礦業大學通過JumpServer堡壘機實作了對學校IT資産的統一運維管理,滿足了學校關于“業務部門理的清,校外廠商管的了,資訊化處看的到”的基本需求。
如今,随着IT建設國産化的不斷深入,希望JumpServer未來能夠增加對高校常用的國産專有雲的支援,不斷擴大雲上資産的管理範圍。