編集者注: この記事は、『新世代の Bastion ホストの構築ガイドライン』(JumpServer v3.0 リリース記念版) の序文に掲載されており、記事の著者は JumpServer オープンソース Bastion の創設者 Guang Honwei です。ホストプロジェクト。記事の下部にある「原文を読む」リンクをクリックして、ホワイトペーパー「新世代の要塞マシンの構築のためのガイドライン」の新版をダウンロードしてください。
「9年かけて、心を込めて要塞マシンを造る」
2014 年 6 月から 2023 年 6 月まで、JumpServer オープンソース要塞ホスト プロジェクトは 9 年間経過しました。以前私たちが掲げていたスローガンは「世界を変える、少しから始めよう。」であり、過去 9 年間で要塞マシンのアプリケーション市場を変えるための私たちの取り組みは、一般の人々に見て、感じてもらえるはずです。単純な運用およびメンテナンス スクリプトから、少なくとも 250,000 の累積インストールと展開を伴うオープン ソース プロジェクトに至るまで、JumpServer は独自の価値を実現し、ユーザーからの期待がますます高まり、多くの現実的な課題に直面してきました。
JumpServer の V2 バージョンは、プロジェクトの 6 年目 (2020 年) にリリースされました。このメジャー バージョンでは、毎月新しいバージョンをリリースするというリズムを遵守し、V2 のメジャー バージョンでは 28 のバージョンを繰り返しました。2 年以上にわたり、JumpServer の研究開発チームは攻撃的で妥協しており、機能反復プロセス中に不合理で冗長な製品設計がいくつか見つかりました。また、このような長時間の高速反復により、JumpServer の一部の機能設計が十分に考慮されておらず、開発が非常に複雑になり、システム全体が肥大化します。
プロジェクト開発が 9 年目になるので、JumpServer を「減算」する必要があります。同時に、コミュニティのユーザーからのフィードバックにより、JumpServer に対するさまざまな規模の企業ユーザーの実際のニーズも認識できるようになりました。一部の大規模企業ユーザーの一部の機能要件は、JumpServer V2 バージョンの技術アーキテクチャでは満たすことが困難ですが、その主な理由は、JumpServer の基礎となるアーキテクチャ設計の制限によるものです。
製品アーキテクチャとユーザーのニーズの再構築に後押しされ、JumpServer オープンソース プロジェクト チームは、2022 年 3 月に JumpServer v3.0 の研究開発を開始し、この新しいバージョン番号の旗印の下で JumpServer の技術アーキテクチャを再構築することを決定しました。
リファクタリング全体には 1 年近くかかり、2023 年 2 月 27 日に JumpServer はバージョン v3.0 を正式にリリースしました。その後、JumpServer は、ユーザーの実環境で遭遇するバージョンアップや資産移行の問題を解決するために、毎月小さなバージョンを繰り返し、現在では比較的成熟した安定した新しいバージョンの JumpServer が形成されています。
JumpServer v3.0 では、管理モデルを変更することで、さまざまなサイズやタイプのユーザーの実際の使用シナリオを考慮し、ユーザー、システム ユーザー、資産、認可の 4 つの側面に基づいて、基礎となる技術アーキテクチャを再構築しました。ほとんどの使用シナリオが再設計されました。
製品設計の過程では、「内部と外部の両方」の原則を遵守し、ユーザーエクスペリエンスをさらに向上させ、オープンソースの要塞マシンを真に心を込めて作りたいと考えています。製品の内部面では、コア機能の徹底した最適化設計を実施しました。詳細は次のとおりです。
■ システム ユーザーはアカウントにリファクタリングされ、システム ユーザーの中間層は放棄されます。
JumpServer の過去のバージョンでは、システム ユーザーが負う責任が多すぎて、システム ユーザーの機能が非常に肥大化しているように見えました。JumpServer がシステム ユーザーを設計する本来の目的は、アカウントとして存在し、特権アカウントを通じてシステム ユーザーを作成することです。これは、資産規模が比較的小さく、ほとんどのユーザーが同じアカウント パスワードを持っている場合に使用すると非常に便利です。しかし、JumpServerのユーザー規模や利用範囲は拡大の一途をたどっており、多数のIT資産や、異なる資産パスワードを必要とするセキュリティ要件を抱える大企業や中堅企業にとって、これは多くの困難をもたらしています。
この問題を解決するために、システム ユーザーとアカウントを分離します。システム ユーザーが資産を関連付ける場合、アカウントが生成され、システム ユーザーは異なる資産に対して異なるアカウントを生成することができ、ジョイント テーブル計算の後にアカウント リストが形成されます。これは、大規模なIT資産シナリオを扱うユーザーのニーズに応えますが、計算量が多いビジネスシナリオに直面すると、アカウントリストに問題が発生したり崩壊したりする可能性が高いため、システムユーザーを再設計することにしました。JumpServer v3.0 では、システム ユーザーはアカウントに再構築され、システム ユーザーの中間層は放棄されます。これは、JumpServer v3.0 以降のバージョンには、「システム ユーザー」という概念が存在しないことを意味します。
■ アセットとアプリケーションの統合
当初、JumpServer 設計にはアセットのみが含まれていましたが、その後、データベース接続をサポートするアプリケーションが追加されました。各アプリケーションにはいくつかの個別のフィールドがある可能性があるため、アセットと区別するためにアプリケーション テーブルを追加する必要があります。これにより、データベースと API の両方のアセットと同様に、多数のバックエンド データ リレーションシップ テーブルが複数のコピーに存在することになります。 。JumpServer v3.0 バージョンでは、複雑さを簡素化し、アセットとアプリケーション (総称してアセットと呼ばれます) を結合し、アセット プラットフォームの責任を強化しました。
■ プラットフォームは資産の抽象化と制約です
アセットとアプリケーションの統合後はアセットプラットフォームの役割が強化されるため、アセットプラットフォームの再設計やアセットの制約も必要になります。元のアセット プラットフォームは基本的にマーキングの役割のみを果たしますが、JumpServer v3.0 バージョンでは、新しいプラットフォームはアセット タイプの区別に加えて機能をカスタマイズすることもできます。
さらに、新しいプラットフォームでは自動化構成を柔軟に定義することもでき、すべての自動化機能は Ansible 自動化運用および保守ツールに依存しているため、追加の Python コードを入力する必要がなく、構成するアセットとアカウントを直接選択できます。このようにして、システムの自動化の程度と構成効率が向上するだけでなく、作業負荷がある程度軽減され、より重要な機能の最適化により多くのエネルギーを集中できるようになります。
■ リモート アプリケーションは将来の拡張の中心となる
オリジナルの RemoteApp リモート アプリケーションは、JumpServer の機能としてのみ存在するアプリケーション カテゴリです。JumpServer v3.0 では、リモート アプリケーションを再設計しました。リモート アプリケーションは、JumpServer の将来の拡張の中核であり、JumpServer v3.0 のリファクタリングの非常に重要な部分でもあります。当社の研究開発チームは、リモート アプリケーションの再設計を非常に重視しており、コミュニティにオープンソース化されている JumpServer v3.0 でメジャー アップデートを行いました。未来。
さらに、企業の IT 部門が頻繁に使用するツール ソフトウェアである JumpServer のユーザー エクスペリエンスも非常に重要です。そこで、JumpServer v3 では、内部構造や機能を再設計するとともに、操作インターフェースもプロのデザイナーが新たな UI デザインを実施し、白を基調としたデザインとなり、ユーザーエクスペリエンスが大幅に向上しました。
JumpServer にとって 6 月は特別な意味を持ちます。JumpServer プロジェクトのコードの最初の行は 2014 年 6 月に書かれ、JumpServer v2.0 のリリース日は 2020 年 6 月です。2021 年 6 月、JumpServer オープンソース プロジェクト チームはホワイト ペーパー「新世代の要塞ホストの構築に関するガイドライン」の初版を作成し、これをキャリアとして使用して IT 製品としての要塞ホストの開発履歴をレビューしました。このカテゴリと、クラウド コンピューティングの時代に直面する課題、問題、および新世代の要塞マシンを構築するためのアイデアと実践。過去 2 年間で、4,000 人を超えるコミュニティ ユーザーが電子版の「新世代の要塞ホストの構築ガイド」をダウンロードし、6,000 部を超える紙版の「新世代の要塞ホストの構築ガイド」をダウンロードしました。ユーザーに配信されました。
2023 年 7 月に、「新世代の Bastion サーバーを構築するためのガイドライン」により、JumpServer v3.0 リリースの記念版が特別に開始されました。過去 2 年間のコミュニティのユーザーからのフィードバックを組み合わせて、このバージョンでは、新世代の要塞ホストの意味合いの解釈をさらにアップグレードし、最新バージョンの JumpServer の機能アーキテクチャと主要な利点について詳しく説明し、共有しました。 JumpServer v3 with you.0 バージョンの研究開発による設計思想と機能の進化。さらに、テンセント海外ゲーム、Huolala、万華化学などの最新のエンタープライズ アプリケーション ケースも同時に更新し、ユーザーが企業での JumpServer オープン ソース要塞マシンの導入をより効果的に促進できるようにしました。
JumpServer オープンソース プロジェクトの開発プロセス、製品機能、ユーザー ケースを定期的に書籍にまとめることは、コミュニティ ユーザーと対話するための重要な方法となっています。「新世代の Bastion サーバー構築のためのガイドライン」 (JumpServer v3.0 リリース記念版) は、私たちを新たな出発点に立たせてくれます。すべてが栄えるこの季節に、私たちは多くのユーザー・お客様とともに「心を込めた要塞マシンづくり」を目指して不断の努力を続けてまいります。
Guang Honwei 氏、JumpServer オープンソース プロジェクトの創設者
2023年6月
