中國礦業(yè)大學(xué)是教育部直屬的全國重點高校，是教育部、應(yīng)急管理部與江蘇省人民政府共建高校，先后進入國家“211工程”“985優(yōu)勢學(xué)科創(chuàng)新平臺項目”和國家“雙一流”建設(shè)高校行列，學(xué)?，F(xiàn)坐落于素有“五省通衢”之稱的國家歷史文化名城——江蘇省徐州市，有文昌和南湖兩個校園，占地4200余畝。

中國礦業(yè)大學(xué)自2019年起著手構(gòu)建智慧校園 “十個一”核心任務(wù)，即一張網(wǎng)（一體化融合網(wǎng)）、一朵云（超融合數(shù)據(jù)云平臺）、一張表（個人信息管理表）、一個號（身份管理號）、一片湖（治理數(shù)據(jù)湖）、一空間（泛在化研學(xué)空間）、一園通（全覆蓋智慧園）、一站式（一站通辦）、一周期（人才培養(yǎng)全周期）和一面墻（全方位安全防護墻），全面開展校園信息化建設(shè)。

IT運維的痛點與難點

隨著學(xué)校信息化系統(tǒng)規(guī)模的不斷擴張，在日常的IT運維工作中，中國礦業(yè)大學(xué)也面臨著很多實際的運維管理問題：

■ IT資產(chǎn)碎片化，運維環(huán)境復(fù)雜

中國礦業(yè)大學(xué)目前在“兩校三地”數(shù)據(jù)中心的機房擁有虛擬機500余臺，物理服務(wù)器幾十臺，還有各類單位的服務(wù)器分布在學(xué)校的其他機房和實驗室等不同位置，物理空間跨度大，IT資產(chǎn)類型多。

同時，學(xué)校本身有很多業(yè)務(wù)系統(tǒng)是由業(yè)務(wù)部門所建設(shè)，第三方廠商承建運維的。因此，第三方廠商的工程師和學(xué)校業(yè)務(wù)部門的老師都有遠程登錄IT資產(chǎn)的需求。這也就導(dǎo)致學(xué)校信息化處日常運維和審計的工作十分繁重；

■ 存在密碼泄露、丟失等安全風(fēng)險

學(xué)校分配虛擬機后，虛擬機的賬號密碼是交由業(yè)務(wù)部門老師和廠商工程師保管和維護的。保管的方式通常是記錄在Excel表格或者記事簿中，這種簡單的記錄方式會帶來密碼泄露的安全風(fēng)險。同時，由于業(yè)務(wù)部門老師的職位變更和廠商工程師的更換，經(jīng)常有密碼修改后又丟失的情況發(fā)生，系統(tǒng)存在很大安全隱患，不利于學(xué)校進行IT資產(chǎn)的安全運維和規(guī)范管理；

■ 缺乏統(tǒng)一的IT資產(chǎn)登錄入口，審計困難

虛擬機分配到業(yè)務(wù)部門或第三方廠商后，運維人員沒有一個統(tǒng)一的訪問入口，有通過校內(nèi)網(wǎng)直接訪問的，有使用向日葵等遠程工具訪問的，還有通過VPN遠程訪問的，系統(tǒng)缺乏統(tǒng)一的IT資產(chǎn)登錄入口。

業(yè)務(wù)部門的老師不知道自己名下有多少個IT資產(chǎn)，信息化處也不清楚學(xué)校的IT資產(chǎn)被何人在何時登錄，信息的不透明給IT資產(chǎn)的安全運維帶來了很大的隱患。

面對以上虛擬機和服務(wù)器在日常運維過程中出現(xiàn)的問題，中國礦業(yè)大學(xué)的信息化處決定改變原有的IT資產(chǎn)運維管理方式，構(gòu)建一個更加安全、規(guī)范的堡壘機運維安全體系。

選擇JumpServer堡壘機的原因

針對學(xué)校IT資產(chǎn)運維的痛點與需求，中國礦業(yè)大學(xué)的信息化部門對市場上多款堡壘機產(chǎn)品進行了調(diào)研和測試，認為JumpServer堡壘機在技術(shù)層面上能夠滿足學(xué)校的需求，并最終選擇JumpServer堡壘機企業(yè)版作為學(xué)校IT資產(chǎn)運維安全體系的重要組件。選擇JumpServer堡壘機的主要原因包括：

1. 無插件的Web終端訪問方式

JumpServer堡壘機無插件、純?yōu)g覽器訪問的設(shè)計思路非常契合中國礦業(yè)大學(xué)對于IT資產(chǎn)運維簡單化、便捷化的期望。運維人員無需在本地安裝專用的客戶端插件，直接通過瀏覽器Web終端，即可實現(xiàn)多種操作系統(tǒng)下、多種IT資產(chǎn)類型的訪問；

2. 開源開放

作為一款廣受歡迎的開源堡壘機，JumpServer擁有非?；钴S的開源社區(qū)，并且提供了開放的API接口，方便用戶拓展更加豐富的功能?；诮涌诘拈_放能力，未來，中國礦業(yè)大學(xué)還計劃把堡壘機的能力上浮到學(xué)校辦事大廳，支持各院系自行申請資源訪問權(quán)限。

同時，國家“十四五”規(guī)劃也重點突出了開源新生態(tài)的建設(shè)，作為教育部直屬的全國重點高校，中國礦業(yè)大學(xué)也希望通過自己的使用和意見反饋，與JumpServer共同建設(shè)開源生態(tài)；

3. 迭代速度快

一直以來，JumpServer堅持按月迭代發(fā)布新版本，產(chǎn)品迭代更新速度快。用戶可以通過GitHub、技術(shù)交流群等多種方式提出對JumpServer的需求和反饋。JumpServer開源項目組也一直用心聆聽用戶的聲音，收集用戶的建議，在持續(xù)的更新迭代中增加新功能，優(yōu)化使用場景，不斷優(yōu)化用戶的使用體驗。

JumpServer的部署架構(gòu)

JumpServer堡壘機企業(yè)版提供純軟件和軟硬件一體機兩種交付方式。基于學(xué)?，F(xiàn)網(wǎng)環(huán)境的要求，學(xué)校選擇了軟硬件一體機的方式，并且通過部署兩臺一體機，實現(xiàn)主備模式下的高可用架構(gòu)。

同時，通過Keepalived實現(xiàn)VIP漂移，達到主備切換的效果。也就是說，在主節(jié)點和備節(jié)點上部署相同的JumpServer服務(wù)，使用一個 VIP地址對外提供服務(wù)。當主服務(wù)器發(fā)生宕機時，Keepalived組件會自動將VIP漂移到備用服務(wù)器，確保服務(wù)的正常運行。

JumpServer的使用價值

實際應(yīng)用JumpServer堡壘機之后，為學(xué)校帶來了以下幾點價值收益，大幅提升了學(xué)校運維管理的能力：

■?統(tǒng)一IT資產(chǎn)訪問入口

通過JumpServer堡壘機，校內(nèi)用戶可以對接統(tǒng)一的身份認證系統(tǒng)（基于CAS協(xié)議），校外工程師的賬號采用實名制。這樣一來，就實現(xiàn)了校內(nèi)、校外IT資產(chǎn)運維“一人一號”的模式，有效避免了賬號密碼泄露的風(fēng)險。用戶通過登錄JumpServer可以訪問已授權(quán)的服務(wù)器，通過統(tǒng)一的門戶訪問所有的IT資產(chǎn)，擁有統(tǒng)一的資產(chǎn)訪問入口。

同時，資產(chǎn)的賬號密碼統(tǒng)一托管在JumpServer中，用戶無需輸入賬號密碼就可以直接登錄訪問，提高了運維管理效率，也避免了密碼丟失的情況發(fā)生；

■?安全穩(wěn)定運行的保障

在國家層面，對網(wǎng)絡(luò)安全的重視程度不斷提升，相關(guān)的法律法規(guī)日益完善。學(xué)校對IT資產(chǎn)的運維安全審計和專業(yè)化管理也提出了更高的要求。管理員通過開啟MFA多因子認證功能，加強了IT資產(chǎn)運維“一人一號”的可靠性和安全性。同時，JumpServer堡壘機符合4A規(guī)范，滿足了學(xué)校運維安全審計的要求。

期待與展望

中國礦業(yè)大學(xué)通過JumpServer堡壘機實現(xiàn)了對學(xué)校IT資產(chǎn)的統(tǒng)一運維管理，滿足了學(xué)校關(guān)于“業(yè)務(wù)部門理的清，校外廠商管的了，信息化處看的到”的基本需求。

如今，隨著IT建設(shè)國產(chǎn)化的不斷深入，希望JumpServer未來能夠增加對高校常用的國產(chǎn)專有云的支持，不斷擴大云上資產(chǎn)的管理范圍。