⼴受欢迎的开源堡垒机 2023 年 10 ⽉ 1 2 企业为什么需要堡垒机？ JumpServer 堡垒机的优势 JumpServer 堡垒机企业版 JumpServer 案例研究（江苏农信、东⽅明珠、⼩红书） 4 JumpServer 堡垒机⼀体机及信创⽅案 3 5 为什么要使⽤堡垒机？ - 以更安全的⽅式管控和登录各种类型的资产 - 系统管理员 外包⼈员 普通⽤户 临时访客 案例研究（江苏农信、东⽅明珠、⼩红书） 4 JumpServer 堡垒机⼀体机及信创⽅案 3 5 JumpServer 堡垒机是谁？ • 中国明星开源项⽬； • 2017 年 11 ⽉正式加⼊ FIT2CLOUD ⻜致云； • 荣获 2018 OSCAR 尖峰开源技术创新奖； • 《计算机信息系统安全专⽤产品销售许可证》 （公安部颁发） • IT 产品信息安全认证证书（中国⽹络安全审查技 术与认证中⼼颁发） ⽀持 SFTP ⽂件上传 / 下载；实现 Web SFTP ⽂件管理； ⼯单管理（X-Pack） ⽀持对⽤户登录⾏为进⾏控制；⽀持资产授权⼯单申请；⽀持⼆级审批流程； 组织管理（X-Pack） 实现多租户管理与权限隔离；全局组织功能； 访问控制（X-Pack） ⽀持⽤户登录资产时访问控制，包括接受、拒绝和复核； 账号管理 Accounting 账号列表 ⽀持查看所有账号信息； 账号模版

数据分析可视化、内容管理，其旗舰产品包括：MeterSphere 开源持续测试平台、 KubeOperator 开源容器平台、CloudExplorer 多云管理平台、JumpServer 开源堡垒机、 DataEase 开源数据可视化分析平台、Halo 开源博客/CMS 系统。FIT2CLOUD 旗下的开 源项目在开源社区表现出了卓越的成长性，在代码托管平台 GitHub 上所获得的 Star 部门又耗费大量 IT 人力在重复操作工作上，并且难以精细有效管 理 IT 资源，造成大量的资源浪费和不必要的成本投入。 同时随着市场竞争的加剧，对企业 IT 的依赖程度及要求越来越高，IT 规模以及 IT 组织 规模增大分工越来越细化，以及云时代的来临云基础架构带来的多样化，使得 IT 部门越来 越不堪重负，形成了两个日趋激化的矛盾。  一方面，业务快速发展要求 IT 响应时间越来越短，迭代开发测试速度越来越快， 响应时间越来越短，迭代开发测试速度越来越快， 形成 IT 响应时间越来越短的要求与现有僵化基础设施、低效 IT 供给服务模式的矛 盾。  另一方面，资源池规模越来越大、种类越来越多，运维工具独立多样化，IT 组织 规模不断变大，分工越来越细化，形成日益增长的服务管理压力与现有低效匮乏协 作管理工具、模式的矛盾。 因此，大家都希望迫切希望能破解上面的矛盾，一方面提升 IT 服务响应能力，满足业 务快速发展的要求，另一方面能够根本上解决问题，让

工程师不再花时间在开发写代码之外的脏活累活，比如服务部署、找环境，服务编排等 Infra 的事情。 1 0 0 % 开 源 基 本 能 力 开 源 1.5 个月核心重构 65% 功能实现开源 支撑开源社区开发者环境 易 用 性 增 强 接入：安装 10 分钟以内，成功率达 90% 集成环境：支持开发者 Remote debug 工作流：效率和性能、开发者体验提升 贡献者流程建立 贡献者流程建立 开 放 社 区 搭 建 2021 年 5 月 2021 年 7 月 2021 年 9 月 2021 年 11 月 2021 年 12 月 1 个月功能改造 90% 功能实现开源 技术社区雏形搭建 2022 年 3 月 生态伙伴工具 + Zadig Zadig 企业交付案例场景深化 开 发 者 场 景 挖 掘 3-5 个领域敏感型场景 建立产品发展委员会 通用工作流广泛链接生态赋能开发者 企业解决方案和最佳实践内置 发布 AI 增强解决方案 企 业 开 放 性 、 A I 能 力 增 强 产品发展历程 高频极速迭代： Zadig 开源 29 个月共迭代 21 个版本 “ ” 开发者常处于 今天发版、明早升级 嗷嗷待哺状态 Zadig 优势、使用场景、解决问题域 Zadig 解决问题域 Zadig 云原生开放性：极简、

65% 功能实现开源 支撑开源社区开发者环境 易 用 性 增 强 接入：安装10分钟以内，成功率达 90% 集成环境：支持开发者 Remote debug 工作流：效率和性能、开发者体验提升 贡献者流程建立 开 放 社 区 搭 建 2021年5月 2021年7 月 2021年9 月 2021年11 月 2021年12 月 1 个月功能改造 90% 功能实现开源 技术社区雏形搭建 高频极速迭代：Zadig 开源 29 个月共迭代 21 个版本 开发者常处于“今天发版、明早升级”嗷嗷待哺状态 Zadig 优势、使用场景、解决问题域 Zadig 解决问题域 Zadig 云原生开放性：极简、0 负担接入 Zadig 业务架构 Zadig 系统架构 Zadig 行业方案 对比分析 职能 传统 DevOps 方案 ZadigX 云原生 DevOps方案 降本提效 组织能力提升 业务负责人 3-5 倍 全流程安全建设 更多价值体现 组织 靠流程和个人，效率越来越低 • 低人效/低质量/低效率/高成本 • 人淹没在系统的海洋里 • 无数平台手工切换 靠系统和技术，能力长在平台上 • 高人效/高质量/高效率/低成本 • 人在系统之上/高效交互 • 复杂性下沉到单一平台 整体人效提升 1-5 倍 解除组织/流程/系统孤 岛，打造成长型组织 企业收益分析 现存方案 典型代表 方案特点分析

.............................................................................................53 4 组织用户角色权限管理........................................................................................... .......................................................................63 杭州飞致云信息科技有限公司 3 4.3.1 组织管理................................................................................................. 3.5 以某标签维度查看管理虚拟机..................................................................... 111 6.3.6 按组织工作空间查看虚拟机......................................................................... 111 6.3.7 按云平台云账号地域网络逐级查看虚拟机

平台 虚拟化平台市场中占有率最大的平台，多数大中型企业 IT 都采用 了 VMware 虚拟化平台。 OpenStack 是主流的私有云平台，目前私有云平台市场中占多数，业内存在 很多厂商基于开源 OpenStack 平台封装商业化版本为企业客户 提供产品及服务。包括华为、华三、EasyStack、UnitedStack、 海云捷讯等。 青云 一个国产商业化私有云平台，公有云平台。 云管理平台 这样的划分在某些情况下 显得并不十分灵活。为此 IP 网络还允许划分成更小的网络，称为 子网（Subnet）。 JumpServer JumpServer 是全球首款开源的堡垒机，使用 GNU GPL v2.0 开源协议，是符合 4A 规范的运维安全审计系统。JumpServer 使用 Python / Django 为主进行开发，遵循 Web 2.0 规范， 配备了业界领先的 Web 区域划分一般按项目、按组织部门、 按人。这个区域在本系统中就是工作空间。 工作空间 在 IT 的日常使用场景中，应用开发测试、运维人员、以及系统运 维人员中一组特定的人需要隔离查看和管理其需要可见、使用管 理的一组特定资源，避免其他无关无权限的用户看到和操作以免 影响工作和生产运行。为这组特定的人和特定的资源创建的区域 就是工作空间，一般会根据权限按项目、按组织部门、按人创建。 比

v O p s 平 台 。 领先企业抢先实践 Zadig Zadig 研发数字化转型方案正成为产业数字化战略的核心环节 Zadig 设计思路：通过「平台工程」解决流程挑战，通过「技术升级」提升组织效能 01 04 02 03 工程化协同：“人、技术、流 程、工具” 四维协同基线，沉 淀全流程数据，从感知到赋 能，服务于工程师 释放云基建能力：链接任何云 及自建资源（容器、主机、车 产品经理 —— 项目整体运行状 况 项目负责人——分析项目各个环境的变化过程及效能短板 3 、 更多产品特性 Zadig 产品特性：开源 Zadig 的一切 云原生 CI/CD 、产研高效工程化协作、快速应对业务迭代 Zadig 产品特性：发布中心 编排组织、流程、内外部系统，管理代码、配置、数据变更流程，支持灰度组合策略 Zadig 产品特性：客户交付 面向大客户全天候响应、全地域升

v O p s 平 台 。 领先企业抢先实践 Zadig Zadig 研发数字化转型方案正成为产业数字化战略的核心环节 Zadig 设计思路：通过「平台工程」解决流程挑战，通过「技术升级」提升组织效能 01 04 02 03 工程化协同：“人、技术、流 程、工具” 四维协同基线， 沉淀全流程数据，从感知到赋 能，服务于工程师 释放云基建能力：链接任何云 及自建资源（容器、主机、车 业务负责人/产品经理 —— 项目整体运行状况 项目负责人——分析项目各个环境的变化过程及效能短板 3、 更多产品特性 Zadig 产品特性：开源 Zadig 的一切 云原生 CI/CD、产研高效工程化协作、快速应对业务迭代 Zadig 产品特性：发布中心 编排组织、流程、内外部系统，管理代码、配置、数据变更流程，支持灰度组合策略 Zadig 产品特性：客户交付 面向大客户全天候响应、全地域升级

CloudExplorer 平台采用 docker-compose 的方式维护整体平台的运行与服务之间的 依赖关系。 2.1.1 依赖组件 CloudExplorer 云管平台依赖于如下第三方开源中间件及数据库服务： 名称 描述 MySQL 提供数据库服务，可配置使用外部数据库服务，例：RDS Ansible CloudExplorer 基于 Ansible 实现自动化操作功能 Prometheus Gateway（gateway） 平台微服务网关 首页（dashboard） 自定义的信息门户 管理中心（management-center） 用户和租户管理、权限管理、系统配置 账单中心（billing-center） 按组织及工作空间的计 工单中心（ticket-center） 工单系统量计费 虚拟机服务（vm-service） 虚机自服务及运营 容器云集群服务（container-service） 容器云集群服务 数据库、Ansible、InfluxDB；  用户认证模块依赖 MYSQL 数据库；  微服务网关依赖管理中心模块与用户认证模块；  其他应用模块都依赖管理中心；  Ansible、Prometheus 等开源组件模块不依赖其他模块； 可通过 yml 文件查看全部依赖，例： 杭州飞致云信息科技有限公司 8 三、部署架构 3.1 高可用部署架构 杭州飞致云信息科技有限公司 9 3.2 端口说明

重复造轮子，每个部门一套轮子 ⚫ 缺乏统一规范，包括开源代码在内 Bug 多 ⚫ 开源文化落后，共享精神差，很多基础框架没有内部开源 ⚫ 技术支持不足，文档陈旧 ⚫ 数据技术不互通，部门间代码相互封闭，跟业界缺乏交流 ⚫ 缺乏维护，越来越多的历史遗留组件 ⚫ 没有技术图谱 2018年930变革 开源协同 自研上云 代码开源 相互协同 基于公有云模式研发 组件框架上云，成为云服务 • 公共组件产品化 • 丰富的公有云海外资源 • 使用业界标准化的云原生服 务，离开封闭的开发环境和组 件 • 工程师输出优秀的组件到云上 成为标准服务，孵化成更好的 云服务 • 服务开源生态 • 为行业输出公有云迁移经验 • 更丰富的云服务和工具提供给 客户 业务价值 工程师价值 客户价值 如何上云？ --提升上云效率，降低迁移风险 业务上云策略 CLB 接入服务 开发 构建 测试 部署 搭建 监控 计划 运营 业务上云总结 ⚫ 拥抱云原生 ⚫ 借上云革新研发模式，全面DevOps（CI/CD/CO） ⚫ 组件&工具上云，服务化，培育工程师文化 ⚫ 开源生态，合作共享 ⚫ 云基础设施经受海量业务的锤炼 THANKS 关注云加社区公众号