华润集团 Jumpserver 实施方案

一、部署方案

目前华润部署了两套堡垒机环境，其中包括主要的集团环境和用来纳管华润云中资产的华润云环境；

由于华润云的机器与办公网是隔离的，集团环境的堡垒机访问华润云环境的机器较为麻烦，所以在华润云环境中部署了一套堡垒机环境，只需将该堡垒机的 IP 暴露出来，就可以纳管华润云中所有的资产；

其中两个环境连同一个数据库，Redis的因为可能涉及到包括邮件任务、连通性测试等一些任务的调度，所以两个环境单独部署了Redis，并且挂载同一个NAS存储，将两个环境的监控录像一并管理。

二、数据迁移

针对华润的实际情况，我们将华润的业务单位对应组织，同时也方便了组织管理员的权限下放；

将华润的一个应用实例作为一个最小的授权单位，根据实例名称，分别创建用户组、资产节点，将该实例下的机器添加到该资产节点，将拥有该实例访问权限的用户添加到该用户组，并且建立同名的授权规则，并绑定对应的用户组和资产节点；

由于华润在旧堡垒机中并没有规范命名和授权规则，目前为了将旧堡垒机中的数据，平滑迁移到 Jumpserver ，保证第一阶段上线，目前依然保持原来的授权规则，后续完成 CMDB 和 ITSM 对接后将规范创建规则。

根据第一阶段的上线目标，首先是将数据从友商的堡垒机中迁移到 Jumpserver ，原堡垒机可以导出策略组以及用户信息，策略组即授权规则，其中包含设备列表，以及拥护此设备列表权限的用户列表，如下图所示；

通过解析导出的策略组信息，编写代码，生成初始化的 sql ，进行数据的初始化，当然直接写 sql 对于复杂的逻辑实际不是很好的方式，如果条件允许的情况下，还是建议通过接口进行初始化；

关于用户的初始化，原本是通过 LDAP 导入的方式，但是由于原先堡垒机的用户并不都是 LDAP 的用户，所以用户采用本地用户的方式初始化；

由于用户没办法整理出所有的管理用户和系统用户，如果不需要自动登入，管理用户用处不大，所以可以随意先绑定一个管理用户；

系统用户全部采用手动登入的方式，可以新建常用的系统用户和一个可以手动输入用户名的系统用户，就可以满足所有的用户登入，如果需要使用 vnc 访问 Linux 资产，还要建个 vnc 协议的用户。

管理用户和系统用户初始化：新建两个管理用户，供 Linux 和 Window 资产绑定；分别新建一个 rpd 和 ssh 协议的手动登入的常用的系统用户以及一个 vnc 和ssh 协议且用户名代填的系统用户，供授权规则绑定。
资产初始化：根据策略组建立同名的资产节点，通过 CVS 导入资产，并添加到该资产节点。
用户信息初始化：根据策略组建立同名的用户组，将该策略组数据中的用户添加到该用户组。
授权规则初始化：根据策略组建立同名的授权规则，将同名的资产节点和用户组进行一一对应的绑定，并绑定上述所有初始化的系统用户。

三、CMDB对接