JumpServer私有化部署教程

doctor 方式去部署这个 gem server， 如何来实现？那么在开始部署之前，有一些软件和版本的那么相关的一些需求。嗯，首先呢，就是买 circle 的版本啊，因为他这里边啊，这个 gem server 他要用到，买 circle 数据库还要用到 redis 啊， 那么对满色口，他的要求是满色口至少大于等于满色口五点七啊，所以你不要用五点五和五点六了，直接用五点七啊，或八点零都可以。然后 redis 也是一样啊，他要用的 redis， 那么 redis 的版本呢？他官方要求大于，是啊，是大于等于五点零这么一个版本。 那如果你要使用这个 mardb 的话呢，它要求大约等于十点二的版本，这是对数据库它这个版本的要求。那同样，如果你是物理剂来进行 安装的话，那建议什么呢？你的操作系统啊，这个 link 内核推荐大于等于四点零内核啊，那么四点零内核的话，好像是这个啊，比如说红帽系统，应该是八以上的系统啊，因为这个七的系统的话，应该是啊，三点幺零内核的。 那如果说我们使用这个 dock 局部署的话，就不存在这问题啊，因为他把所有的组件啊，都已经集成到镜像里边了啊，我们就不存在关于另一个内核的问题了。那如果你要是物理机装的话呢，他还需要操作系统里边装这些软件啊，这些软件是必须的。 那最后给大家一个建议，就是啊，生产环境下啊啊，我们建议啊，大家使用外置的数据库和 redit， 那这块 我是通过刀壳来部署的，但是呢，我这块使用的数据库，比如说使用的满色扣和 redis 呢，我都是通过物理机来部署的，那么生产环境建议呢，不要把这个这个满色扣和 redis 呢啊，这种做成容器的形式， 因为本身数据库只能做存储类的，他做成容器去管理启动的话呢，其实意义并不是很大啊，所以我建议呢，外置的这个数据库和 redis 啊，我们就在物理集成部署就行了啊，就不使用容器部署了。 所以一会我们的第一步呢，就是要先把这个数据库啊给部署起来。我们使用 macco 数据库啊，把数据库先部署起来，然后把这个 retice 先部署起来啊，这是在部署 dark 之啊，在部署这个 jampsover 之前，首先要完成的这个工作。 好，那接着下来呢，我就给大家来具体演示一下整个部署的过程吧。啊，因为这个过程的话，嗯，如果使用刀口来部署的话，还是比较简单的，所以呢，我就给大家来做一个，呃，具体的演示吧， 那我就使用二幺三点幺五幺这个机器啊来进行部署，那这个机器呢？嗯，刚才说了，这个 docker 引擎已经部署起来了，对吧？这是第一步。然后呢，这个 docker can post 这个命令呢？啊，这个我已经装过了啊， 这是啊，一个前提条件，对吧？那这个我已经装过了，那接下来我要做的就是第三步，就是把数据库装一下，我这会用的是啊，是这个 myself 数据库啊， 那水库其实我已经装起来，关于买色购数据库的安装过程，我就不再介绍了，对吧？那么把买色购部署起来之后，把它服务提起来啊，那我这个服务已经提起来了，那买色购服务提起来之后呢，我们还需要做一点工作，那就是进到数据库里边啊， 去提前创建好堡垒机需要的库和它的用户。那我现在进到数据库里边啊， mythical 刚刚又 read 我，我通过 read 进 好，那么我这块使用的 maccook 版本是五点七点三六的啊，那进来之后呢？接着下来我要执行几个操作啊？ 究竟哪些操作呢？那就是首先要创建一个啊，给这个堡垒机用的一个库，那我直接啊复制这个命令，就是创建一个数据库，叫江普斯儿确成的编码是 utf 八啊，先把这个库创建起来，然后呢？我创建啊，再创建一个用户啊，再创建个佳木 server 这个用户，那么这个是他的密码啊，这个密码稍微复杂一点啊，这就是创建了一个数据库，创建了一个用户，接着呢，我给这个 用户做一个授权啊，啊？做这么一个授权， 那其实就是啊，这个 jim sorry 这个用户呢？啊，他可以访问这个 jim sorry 这个库， 所有的这些表，等等这些数据啊，然后呢，在任何地方都可以去访问，那做这个授权非常重要啊，因为这个一会我们在这个保里集里面呢，嗯，可能要做一个，呃，连接授权，所以在这块我们把它做过之后呢， 我们后面连接啊，就不用再做了，然后就是刷新一下权限就可以了。好了，那么权限刷新完之后，在买 sco 数据库里边要做的东西呢？基本就这么多，这个比较简单。 那数据库这个操作完成之后呢？那接着下来就是，呃，关于这个什么了？关于这个 redis 了啊， 马 school 做完接着下来就是做这个 redis 啊，那么 redis 的话呢？嗯，要安装部署一下，嗯，由于它要求这个 redis 是 啊，五点零以上的版本，所以这块呢，我这个切到这个 data 三目录下，我都准备好了啊，我在这个江波 seven 的目录，大家看看，我这块用到的呢，就是这个 redis 啊，那么 redis 这一块 我只会通过原码去装码，那么装的方法就是先把这个解压开啊，把这个解压开 redis 解开之后呢，你到这个目录下啊，直接执行一个 mac 一次套就可以了啊，这就是关于这个 redis 一个编译安装这个非常简单啊，那关于这个编译安装这块呢？呃，其实我之前已经编译过了，所以啊，这为了节省时间，我也就不再编译这个 redis 了啊， 那编过之后呢，它会产生一个 ready to server 等等这些二进入文件，然后我们把这些文件拷贝到系统目录下，比如说拷贝到这个 user s b 下，对吧？大家看一下啊，我已经拷贝过来， 还有一个 clean 呢，对吧？这些是我们要用啊，要用到的。那这就是边页 安装 redis 啊，那么边安装完了之后呢，接着下来我把 redis 做一个简单的一个配置，让它启动起来啊， 那么 redis 它启动的话需要一个配置文件。呃，那这块是这样子，嗯，我拷贝一个配置文件过来啊，我这块有个 redis， 一个配置文件，考出来之后给大家来看一下这个 redis 点。 com 这个配置文件打开有几个需要注意的地方啊？哪个需要注意的地方呢？第一个， 那就是关于这个绑定，对吧？这个绑定的话他默认是幺二七，那这块呢，我们要把它改一下啊，改成这个，这个任何主义都可以啊， 不然的话一会儿这个江布 server 他某些组建可能要连这个 redis 啊，那如果你是幺二七的话，可能就连不上，这是一个，另外一个呢？ 就是啊，关于它启动的时候啊，它这个端口是六三七九，这个就默认就保持不变就可以了啊。还有一个就是关于它的一个密码啊，这个密码的话我们一定要去添加一下，就是它启动的时候有一个啊，有一个密码， 给 red 加上一个密码啊，我们看一下这个啊， 好，接着是这个，对吧？把这个参数呢，它默认这个值是 no， 对吧？我们把它改成 yes， 其实就是让 redis 放到后台去启动啊，这是一个，然后接着下来就是这个密码了啊，这个密码的话 给大家找一下这个啊，它默认有一个密码，这个参数是没有打开的，我们把这个密码参数打开啊，打开就可以了。嗯， 是，是哪个呢？我来找一下这个啊，这个其实啊，我已经配过了，找一下是哪个密码，对吧？就这个啊，叫 require pass， 对吧？ 然后后面这个就是我们的一个密码啊，当然这块你可以设置更复杂一点的，那么这个密码大家记住，一会我们要在这个配置文件啊，在这个 gime sover 配置文件里边呢，我们要去做一个添加啊，所以把这个密码还有刚才买 coco 的密码那么都记录一下啊，这样相当于给这个， 给这什么给这个 redis 呢？去设置了一个密码啊，给他设置一个密码。好，那么现在关于这个 redis 的啊，简单配置就配这么多就可以了啊，那么这个配好之后啊，我们就启动就可。 呃，那具体怎么启动呢？我们这样子吧。嗯啊，我就在这起吧，就是 user as being 一下的这个 redis server 对吧，后面跟上这个 reds 键康复就可以了 啊，我这样一执行，对吧，它就启动起来了，大家看一下对吧，这样 redis 就启动起来了啊，那么 redis 启动起来之后， 我们关于 redis 的一个配置，还有这个满色扣的配置就完成了啊，那么这两个是我们事先要做的，大家看一下，关于满色扣和 redis 的配置呢，我是放到了这个物理机上来做的， 那这块我为了节省服务器啊，把这个 redis 和买色口都装到了二幺三幺五幺上了。那如果你这生产环境不熟的话，哎，那我建议你把 这个 redis 和买色口呢，放到另外一个机器上去啊，专门做数据存储的，然后再找一个服务器呢，去部署这个 gentle server 的一个主程序 啊。那就说两台机器部署也可以，一台机器部署也行啊，这根据我们的伏击数量来定。好吧，那现在部署完了之后呢，接着我们要做的第三步呢啊，那就是去拉取一个刀客 feel 的一个代码啊， 那这块呢？嗯，其实也是官方给的一个代码库啊，给大家来看一下。是在这个啊， get hover 上啊，是这么一个地址， 大家看一下，是在这个 github gem sora， 对吧？然后 dog feel， 我们把这个代码库呢给它卸下来啊，因为这个里边它包含了很多英写好的， 包括 ctrls 文件啊，我们直接拿来调用就可以了啊，这是官方写好的，所以我们把这个代码库呢给他下下来啊，给他下下来怎么下载呢？第一种方式啊，给大家说一下，直接通过这么一个科隆的方法，对吧？执行这个命令 啊， get 克隆，对吧？直接就把这个带毛裤给它克隆下来了。那如果说你这个服务器连不上这个 get hurt 的话， 那你可以有第二种方式，哪种呢？就打开这个页面，对吧？然后点这块，点这个当烙的，对吧？ 然后就把这个代码呢以 vip 压缩包的形式把它下下来啊，这也是可以的，然后再把这个包呢放到服务器上去，对吧？这是两种下载方式啊，那么这个代码库下来之后，我们要用到里面很多东西的啊，比如说这个配置文件，我们要 用的到，然后这个里面有很多这个 ym 文件啊，一会我们都会用的到啊，所以这个代码库一定要卸下来，那具体该怎么去用呢？给大家来看一下啊， 那我其实已经下下来了，对吧？这个 doctor 啊，就是我已经啊从官方这个下下来了，我直接进到这个里边，大家看一下啊，这就是刚刚我们看到的代码库里边的这些文件。 那接着下来呢，我要做一个操作，就是做一个 cp 啊，做一个什么操作呢？就是拷贝这个 configure 啊，点 comfort 文件拷贝到哪呢 啊？其实就创建了一个隐藏文件，叫 e n v， 点儿 e n v 这么一个隐藏文件啊，那么这个隐藏文件是干嘛用的呢？我来解释一下啊，那么它主要是配合刀客 compose 来使 使用的，因为一会啊，我们在这个 doorcompose 里边会写很多很多的一些变量，那么变量的值从哪获取呢？我们说就是同啊，从这个点 in v 里啊，从这个里边来获取的， 那也就是说啊，我们这个点 env 里边写的都是变量和它对应的值，那一会我们执行这个，到时候看 pose 点外面文件，对吧？比如说这个里边，那么大家来看一下，它其实里边有很多，比如说这个 version， 对吧？这就是版本，对吧？还有这个 key， 然后非常多啊，那大家来看一下，比如说这个 redis host 是吧？ d b host， d b 什么端口啊？ d b user 等等啊，这些都是变量，对吧？这个变量值从哪获取？我们不是就是通过啊，从这个点 in v 里边来获取， 所以接下来一个非常中网的步骤，就是我们先把这个点 inv 这个文件给编辑修改一下啊，那么打开这个点 inv 文件给大家看一下啊， 那这个里边啊，这是官方给的一个模板啊，我们只用做简单的修改就可以了，大家来看一下，那在这里边第一个，那就是指定的一个版本，对吧？ version 这个版本呢，其实就是指定这个降服 sor 啊，他的一个组建的版本， 那目前最新的这个这个版本就是二点二，五点二这个版本啊，所以这个保持不变就可以了，那以后比如说有更新的版本，你可以把这个版本变一下， 那么这个版本改了之后呢，他就会去下载最新的刀客镜像啊，因为这个，嗯，大家看一下，对吧？他去下载这个刀客镜像的时候，指定了一个卧室，对吧？所以 这个相当于指定我们镜像的一个版本啊，非常重要。那这块就保持默认就可以了。 然后接着下来我们需要改动的不多啊，比如这些参数者都不需要改动，然后这个的话呢？嗯，一般也不需要动，他是指定我们这个啊，刀口在启动起来之后，他内部的一个网络的地址啊，保持默认就可以了啊，当你想改也没问题啊。 然后这个就是持久化存储的路径，大家注意啊，这个路径非常重要，这个路径干嘛用的呢？那就是说以后啊， 关于这个江普 sora 所有的一些啊，需要持久化保存的数据都会放到这个里边，当然还有一些日志啊，等等啊，我们要想查看日志，都会在这个目录里面去查看，他会有些日志信息，每个组件的日志等等，包括数据都会 放到这个目录下啊，在 o b t 江普 server 这个这个路径下。那接着下来就是关于两个数据库的一个配置的，第一个就是关于 mac 口，对吧？他要连 mac 口数据库吗？关于 mac 口的一个配置啊，就是 mac 口主机 ip， 对吧？端口 连接啊，这个麦色扣使用的用户名，这是麦色扣的密码，这是要连的那个库，对吧？因为麦色扣相关的这个属性我们都配置过了，比如说创建的用户啊，他的 ip 端口服务什么都启动起来了， 那 redis 也是一样，它也需要 redis 主机的 ip 端口，然后这是 redis 它有的一个密码啊，那么这一部分我们刚才也都设置密码，所以保持跟刚才一致就可以了，包括这个密码，对吧？这是 mac 口的密码啊， 然后接着下来呢，还有一部分，就是最后这个就靠，对吧？啊，关于靠这部分啊，那这部分有两个需要我们改的，那么第一个就是 secret key， 对吧？这个是保护这个数字签名的一个密。要啊，那么 我们在第一次安装的时候，一定要把这个 meal 呢给牢记，因为后面的升级和迁移啊，我们会用到，并且呢这个 meal 的话呢，后面是不啊，是不能修改的，所以一定要把这个给记下来啊，当然这个你可以改啊， 然后还有这个 token， 对吧？这个 token 呢，它是组建认证使用的一个名叫啊，仅仅是在这个组建注册的时候会使用到，那么关于这个代价啊，也需要把它记下来啊，这是关于 两个密药啊，一个保护术的签名的密药，一个是啊，关于这个 token， 这个啊，认证的一个密药， 那么下面这两个保持默认就可以了啊，这个就是关于这个 e n v 啊，这个啊，这个文件啊，其实它里边更多的是一些变量的值啊，那么比如说 d b house， 它 d b u 的，对吧？这都是些变量，这个变量一会儿呢，都会在这个 doctor can pose 这些文件里边儿存在。 那么现在我们在这个当前目录，大家注意啊，我就在什么路径，就在这个刀客 feel 当前目录下，我创建了一个 env 啊， 大家看一下这个路径，你一定是在这个 doctor feel 啊，这个当前目录下创建这个引尾，或者说在这个当前目录下啊，在 doctorcompose 点外面文件这个当前目录下，它有这个点， 因为文件它才能读到，你放到别的目录它是读不到的啊，这个就是传递变量给这个 doctor feel 的啊，给这个 doctor can post 的一个外面文件的一个方式啊，是通过点儿因为这个文件去传递的。 那现在呢？关于这个文件呢啊，我做个修改吧。呃，我之前修改好了，所以我先把它给啊，直接拿过来覆盖一下啊，大家看一下啊，那么关于这一块的话，嗯啊，打开这个是这个是我已经修改好的啊， 其实没有什么修改，我只是把这个这个 db house， 比如说 ip 给改了，对吧？这使用哪个 ip， 这使用端口，然后呢？这个使用哪个用户连接，对吧？这是连接哪个库？这是这个用户的密码呐，然后这是 release 的一个 ip 端口，默认啊，这是密码， 然后下面这个啊，这个 token 和这个 me 要啊，我也做了一个简单的修改。 好吧，这就是关于这个配置文件啊，这个配置文件非常重要，大家一定不要改错了啊。好吧，那么这个改完之后呢，我就退出了。那退出之后呢？关于啊，这个 doctor 步数将步 server 之前的工作啊，基本上已经准备好了，那么后面呢， 我们就可以直接去做相关的这个启动的工作了啊，就比较简单了。那接下来呢，我就开始去执行相关的这个 启动了啊，那如何来执行呢？第一步大家注意啊，首先看一下我们这个刀口啊，目前这个环境，我看看网络啊都没有，对吧？那， 那我现在就执行第一个命令啊，执行这个，这个还是非常重要的啊，然后 doorcompose 杠 f， 对吧？后面跟上这个 doorcompose 的一个外面文件， 那啊，这些关于网络的一个配置文件，后面是出数化数据库，这个啊，那么 up 杠 d 这个的意思就是让它启动起来，对吧？放到后台启动， ok， 这个很快启动起来了啊，那我这个启动比较快的主要原因是什么呢？就是关于这个镜像啊，我已经提前拉好了啊，那么说到镜像呢，给大家来看一下，其实呢，这个呃，姜布 solo 他需要的镜像有五个啊，哪五个呢？大家来看一下。这五个镜像啊， 一二三四五，对，这五个金，那么还是比较大的啊，特别这个号，这还是比较大的，有啊，这个一点八四 g b， 所以如果你是第一次 去执行这个命令的话呢，他啊可能会比较慢啊，因为他要下载这个镜像，而我是提前把镜像先卸下来了啊，所以他直接就启动起来，对吧？这是第一个啊，那么接着下来我再执行第二个啊， 大家注意啊，第二个是比较重要的，他是做一个初始化的工作啊，那么执行这个指令其实是进到这个什么 进到这个 g m s 靠啊，这么一个容器里边，然后呢去执行了一个 upgrade d b 啊，其实就创建在这个 jim server 这个库里边呢，去创建一些表啊，那这个必须要执行，那我来执行一下， 那么这个执行过程的话呢，应该啊，需要一段时间，大家看一下啊，如果说他执行报错的话，他会有提示的啊，如果没有报错，他都会有 ok 的一个显示啊，那这块大家注意在部署的 的时候啊，你一定要看他有没有错误啊，万一有错误的话，你还要继续往下执行，那肯定是有问题的，你要保证他执行每个步骤都是没有错误的啊，那这块他主要就是去啊导入一些库， 那么里边对那些表啊，其实这些都是初始化，对那些表 看一下，这个应该还是比较快的啊，因为我这个机器的不是虚拟机啊，我这个是二幺三零幺五幺，是一个物理机啊，配置还是可以的，所以这个导入这个表虽然很多，但是我估计不到一分钟吧啊，不到一分钟应该就可以导入完成， 这个导入过程大家一定要看清啊，看他有没有错误，如果有错误你要看他的报错 信息啊。是啊，是什么地方报错啊？那在这块最容易出错的地方呢？主要有两个，第一个就是他连不上数据库啊，这个是最容易报错的啊，还有一个就是关于这个配置文件 那么写的有问题啊，这两个要特别注意好了，那么现在的话啊，这个已经全部导入成功，并且呢没有任何错误啊，那接着还有最后一个步骤啊， 执行这个啊，还是 doctor compose 杠 f 对吧？第一个是网络，第二个呢就是 doctor compose。 那，那其实就是把这个 jimbo server 那么里边对应的五个组件呢，全部给启动起来，我们来执行一下啊， 那现在的话呢，大家来看一下这个启动过程啊。嗯，这个启动过程的话应该会比较快， 因为镜像已经卸下来了啊，那么下完了啊，那那下完之后呢，他在启动会做相关的一些探测啊，如果说没有问题的话呢，那么整个啊这个詹姆 sover 呢就构建起来了，大家看一下， ok 啊，看这个提示啊，如果说每个 这个容器都启动成功，他会有个档的提示，然后我们直接个刀壳 ps 看一下，那么现在他启动了有几个容器？一个，两个，三个，四个，五个，对吧？啊？六个，他启动了有六个容器啊， 然后我们看一下健康的状态啊，就看状态这一列啊，你起完之后不要啊，这个着急去访问，先看一下这一列，然后你可以看到在这一列里边呢啊，他会有一个啊 up， 对吧？这么一个标识，如果说他启动正常会有一个 up 的提示， 如果有错误，他会告诉你这个容器在不停的重启，或者说启动失败会有提示。那么提起来之后呢，我们重点看最后一列啊，最后列他其实是展示了一些相关的端口啊，那这一块呢，有一些端口需要我们特别注意。 哪些端口呢？第一个就是八零端口啊，那就是说这个 jambercover 呢，它默认呢会占用八零端口，所以我们这个服务器，比如说二幺三零幺五幺这个机器啊，你不要啊，让别的应用把八零给占用，如果占用的话呢，这个它启动会有问题啊，这是一个 另外一个端口，就是二二二，对吧？四个二这个端口，这个端口呢，他也是非常有用的，那么这个端口是干嘛的呢？哎，我们说这个端口，就是这个将木 sever 命令行的一种使用方式啊，那这块 说到了这个酵母 soft 两种使用方式，一种呢就是通过这个八零端口，对吧？在浏览器打开 word 界面，我们去使用这是一种，那另外一种那就相当于什么呢？就是我们啊，通过这个什么，通过这个，这个 start 这个工具，对吧？然后连接 这个二二二这个端口啊？那么连上去之后呢？他就是命令行终端模式啊？这是江姆斯尔法使用的两种方式。

hello， 大家好，我是西门交易。 yes sir， 那本期视频呢？我们来给大家分享一个堡垒机的技术，那我们再给大家讲这个堡垒机之前呢，我们先给大家介绍介绍这个堡垒机的功能吧。 呃，堡垒机的功能呢？他和我们这个经常用到的一个技术非常的类似，那么这个技术呢？就是微拼技术。 呃，对，微拼呢，它主要的功能就是能够实现从互联网连到我们公司内部的服气，从而进行一个远程的管理啊。不知道大家有没有用过这个微拼啊？他首先呢他的这个 特点，我们刚刚描绘的，比如说我们这个公司内部有很多的这个服务器主机，呃，或者说一些 pc 机电脑，我们想要去连接这些主机啊，那这些主机的话呢？ 我们假设他们在一个内网的环境下边，或者说局域网内网环境 好，那这些主机在内网环境的时候，如果我们想要去连接这些主机的话呢？你要是在内网环境里边的话，你想去连其实也是可以正常连接的。那如果我们要是没有在这个，我们并没有跟这个主机在同一个环境下面，我们怎么办呢？啊？那这个时候，比如我们就在自己的家里边， 呃，或者说我们在这个外地出差了，但是我们还仍然需要连到我们公司的这些内帮主机。好，那这个时候呢，我们就可以通过这个微拼技术，那这个时候呢，他的功能就体现出来了， 它可以干嘛呢？呃，它可以让我们借助这个 v 拼的这个主机，然后呢连到我们公司的这些 内网主机上面，或者说连到公司的内网环境下面都行，所以这就是我们所说的这个微拼它的功能啊。但是微拼呢，我们想用的时候，你必须这不是说谁想连谁就能连的哈。我们作为一个客户端来讲，我们呢得需要一个客户端的证书， 这个证书的话呢是服务端给我们下发的，我们有了证书之后呢，我们要去拿着我们的这证书呢，跟着这这个服务端的证书 去做一个认证，如果这两个证书呢，能够认证成功的话，那么我们就可以借助这个 vp 服务器连到我们公司的这些内网主机了， 这就是 vp 的特点。但是这个 vp 呢，它有一个什么缺陷？这个缺陷是什么呢？就是它不能记录我们用户在这个内网服务器里边做了哪 些操作。你比如说如果我们在企业里边，我们这个借助这个微拼服气连到了我们公司的这台 linus 主机，那么我们在这个主机里边，比如我们执行的所有的这个命令， 那么对于这个微拼服起来讲啊，他根本就不会记录的，就说白了他本身不具备这种监控的能力， 那如果不具备监控能力，假设有人借助微拼连到这个福气之后，导致这个福气出现了一些故障的话，那这个我们后续如果想去追责的话，可能也不太好追责，所以这就是微拼的一个缺陷。 所以 vp 的连接呢，他只要拥有对应的证书，就可以直接连到公司的内网，那么从某种角度上来讲，确实是有一些安全隐患存在。呃，所以呢就有了这个堡垒级技术了，而这个堡垒级 的话呢，他也可以让我们用户从互联网连接到我们公司的内部网络，比如说啊，我们可以看一下下面这个图哈。呃，这是我们的公司的内网主机，比如说有三台，然后呢 那公司里面的运维、开发、测试等相关的工作人员，他们想连到这些主机的时候，那么如果是借助堡垒机的话，你看比如运维他想连到这个我们的这台服务器的话，那他就可以从 internet 互联网，然后呢连到这个堡垒机上边。 连到堡垒机之后呢，这个堡垒机也可以让他什么呢？连到这台服务器，但是堡垒机他具备的功能是微拼所不具备的，比如说像这个用户的权限管理，权限管理，就比如说你在这个服务器里边你可以执行哪些操作，或者说我真 对你这个用户我做一些全新的控制，或者说我对你要这个监控你的行为，然后用于这个后续做一些审计等，这些堡垒机呢，他也都具备。所以这个堡垒机的功能呢，他比这个 vp 功能要要什么呢？要 更加的符合现在企业里面的远程管理的一些需求，所以这就是我们所说的这个堡垒机的功能。那么对于这个堡垒机来讲呢，在这个现在啊，在我们这个行业里边，目前一款比较不错的这个堡垒机技术叫做这个詹姆 sower 詹姆斯罗呢，他是全球首款完全开源的一个堡垒机，是使用这个葛怒的 gpl 开源许可协议，因为这个 gpl 本身就是一个呃开源软件所遵循的一个协议，证明 我这个产品是一个开源产品，然后也是一个符合这种四 a 标准的一个专业的运维安全神经系统。那么这四 a 的话呢？都有哪四 a 呢？我们给大家介绍一下。第一个呢叫做 ostication， 这个 ostication 呢它主要提供的是一个身份认证的功能， 身份认证他就是用于防止身份冒用或复用。就说直白点，你比如说我们公司里面的一个运维叫张三 啊，张三所维护的服务器呢，比如是这台服务器，那么我就在我的保底上面给张三去创建一个账号，那么这个账号只由张三这一个人使用， 如果别的人想要去使用堡垒区域连接不同的服务器的话，我们再去在这个堡垒街上边再给他去创建一些对应的账号就可以了，所以这就是每人一个账号啊。那第二个呢，就是这个权限控制 角色，叫做这个奥斯 rization， 这个是防止内部误操作和权限滥用，就说白了不同的用户赋予不同的权限，比如说这个运维，张三如果他就是一个普通的这个运维的话，那么我们就给他设置普通的运维权限 就可以了，比如有有些一些这个高危的一些操作，我们就不让他去使用，就限制他， 所以这就是不同的用户呢赋予不同的权限。账号管理，账号管理在这里面其实是一个权限绑定的一个操作，就是后续呢，我们想让张三管理这个主机的话，我就给张三和这个主机呢做一个绑定 啊。然后还有一个是 outdating， outdating 叫做安全审计，安全审计的话呢，就是最终呢这个张三，比如说借助我这个堡垒机连到了这个服期之后啊，那张三在这个服 器上面的所有的操作，那么我们这个堡垒机呢，都会去对他做监控，他所有的行为都给记录下来，所以这个用于后续，比如出现问题呢，我们方便追责啊，就这个操作是谁做的？所以这就是我们所说的这个 叫做四 a 标准的一个专业运维审计系统，咱们， sorry， 当然我们这个前面只简单给大家通俗的介绍了一下，但如果我们想去详细的了解这四 a 的这个具体的这个实现的功能，那这个表格还是非常多的，但是在这里边呢，我们就不详细给大家去介绍了， 好哎，因为这个太多了哈。然后我们呢对于这个詹姆斯欧来讲呢，我们可以给大家介绍介绍他的特色，他本身呢就是，当然我们可以去他的官方网站，我们先去他的这个 github 吧， github 是它的原代码的仓库， 在 github 里面呢也是有它的一些介绍的，这是它的地址 啊，这有些慢哈 啊，这有些慢呃，如果返不了的话，我们可以直接去他的官方，在这 这是他官方地址，然后也是官方呢，也是对他有所介绍。下边呢是他的一些特色优势，比如说本身做一个完全开源的一个产品，支持分布式的功能，也无需任何的额外插件， 然后多云支持，还有云端存储，多租户、多应用支持等这些功能的话呢，我们得随着不断的学习，我们才能去更好的去了解每个功能，那开源就没有 有什么太多可介绍的了，比如说这个东西呢，如果我需要对他做二次开发的话，那你可以去下载他的原码，然后分布式的话呢，支持这种翼，呃，这种翼步的 大规模方式访问就是你一个堡垒机，你比如说我想管理不同区域的主机也是可以的啊，都没有问题啊，无需插件 啊。我们在访问这个詹姆斯录的时候，我们只需要浏览器就可以去访问他，然后所有的操作呢，可以在他的这个叫外边 terminal， 这个叫外部终端，上面可以去这个管理我们的资产主机多云支持，多云支持就是你这一个保底机，他可以帮你管理不同云上的资产。比如说我们公司有阿里云的主机，有华为云的主机，那么用詹姆斯 over 就可以实现 混合云的去进行一个资产管理啊，云端审计就是你的最终呢，他的审计是带有录像功能的， 这个录像的话呢，你可以存储在云端，这样的话呢避免丢失。然后还有这个多租户，多租户就是这一套系统呢，你如果公司里面有，比如说不同的部门啊啊想要使用的话也是没有问题的，子公司之间也都可以共用这一个系统， 然后多应用知识，就他可以针对于比如说数据库应用，还有 windows 的一些远程应用，还有 cover 耐地斯这种，这个集群也可以去什么呢？去进行管理，所以这是他的一个特色优势。然后他的这个 功能列表的话呢，这里边，呃，这个我们有时间再给大家介绍，然后下边呢是他的一些案例研究，就是哪些企业 在使用詹姆 server， 然后这些一些成功的案例，比如像腾讯公司的海外游戏，就使用詹姆 server 去管理他的一些游戏的服务器，还有一些像雪花啤酒啊，还有包 或什么携程啊，小红书之类的中通快递这些都在使用这个詹姆 server。 但是这个他们这些企业在使用詹姆 server 的时候，他们用的是他们的商业产品，也就是他的企业版， 所以这个詹姆斯呢，他是分为开源版本和他的企业版本这两种类型的，那开源的那个就是免费的，而这个企业版本呢，他是一个收费的，但是他这个收费呢也是有一些特殊的需求，你才会用到他的这个企业版本。比如我们可以看一下，你看他这里边说这个企业版本本身， 呃是给你提供面向企业级的应用场景，里面那些叫 x 拍立个，就是一些增强包，就是有些功能在我的开源版本里面不具备的话，那在我的企业版本里面具备，或者说我再给你提供这种原厂的技术支持，原厂的技术支持比如你遇到问题的话，你可以直接 找他的厂商，找厂家帮你解决问题，然后下面是针对于这是他的一个架构图，然后下面是他的一些增强包，这个增强包的话呢，如果企业有需要的话呢，你比如说哪些功能是你们企业所需要的，这里面你可以去什么呢？就选择他的企业版本， 然后对于他的这个原厂支持呢，这里边他也也是有所介绍啊，但是这些大家有需要的时候再去了解吧。对于我们来讲，我们学肯定不会去学他的企业版本， 我们学肯定是学他的这个开源版本的，所以我们这个接下来呢要给大家介绍的就是他的这个开源版本，我们怎么去部署啊？我们下期给大家介绍。

啊，大家好啊，现在的话给大家分享一下加普斯我的安装啊，那么我这边是用虚拟机啊，我这边提供一台虚拟机， 然后用户名密码默认的是路程，直接输进去， 录他登录进去，然后输入 ipa 去查看他的 ip 是幺九幺六八，三点幺幺二，然后我是用翻了下去进行连接，那么这里我连接过的，然后这里直接改一下就行了。 三点幺幺二，那这里改成幺幺二啊，这个是名称，没有关系啊，就是主机 ip 一要改成幺幺二，然后用户名录成，录成，这里都是一样的，然后双击进入， 进入进去之后，然后加盟社会的话，有官方的，官方的，然后这里有个文档，有个安装文档，那么安装方式呢？他有在线安装和立线安装 两个，那么在卸完妆的话，能上网的话，只要敲一条命令就可以了，很方便。就这条命令直接复制，然后这里连贴， 然后等他下载，那么他对硬件是有要求的啊，他的硬件要求呢？反正反正虚拟机默认的是一个 cpu， 我们看一下啊，默认的这个是不够的，我刚才装了一次，就是因为硬件之间不够，安装失败，然后 虚拟机这里不用关机，直接可以进行设置，那么 cpu 的话，一个 cpu 肯定不够，那么我们就把它设置成四个 cpu， 然后内存呢？一个机也不够，我们可以把它设置为三个机，那应该就够了， 然后点击，那这样子的话，他自动就会更新的啊，就新年级的配置自动就会更新的啊，然后继续等他下载安装可能时间会有点长， 那当然你如果说这些安装 觉得太太慢的话啊，觉得太慢的话也可以用离线安装，这边离线安装也有对应的 命令啊，就直接拷贝过去复制就行了。 那么等他安装完了之后哦， 按照完了之后，这个配置文件配也是不用配的，就是进入到这个路径，然后敲一下这个魅力，把它起来就行了，端口默认是八零，然后 ip 的话，你的服务器 ip 是多少啊？就敲这个 ip 就行了，幺九幺六八三零幺幺二。这个这个下载可能有点慢啊。 嗯啊，这里好像有个 有个地方要配置一下，就是这里会报错的啊，就是去下载这个脚本的时候会报错，他这里是做了一个脚本，然后脚本里面去自动去下载的 啊，我们百度一下，看看他这个是什么错，怎么解决啊？这个是我刚才已经打开过了， 看一下啊，出现这个错误，然后这边去解决。那就是这这几条命令敲一下， 开启防火墙看一下，然后这个是添加端口防温四十三，端口要开放，他才能去进行下载， 然后配置三下 好，然后再通过这条命令去查一下，通过这条命令查一下，如果是 yes， 那就 ok， 然后再去 下载这个脚本，下载这个脚本应该是比较快的。嗯， nah 下载安装脚本到这个目录下，然后他自己会去执行 这脚本内容，我们也可以看一下啊，就是这里可以打开 opt。 嗯，加载失败再下载一下 啊，下载成功了，然后他是检查配置文件，检查完成，然后再安装刀客。安装刀客的话，他要先下载刀客 看一下啊，那然后在这个路径下有个 啊，这个可以看一下，然后这里下载完成配置打卡启动， 然后再加载镜下，这里，对，这里是雷迪斯，这个加分可以看一下，打开就行， 这些脚本内容就是让他去执行他现在在做的这些操作。 这里是已经装好了，然后这里是装了 majb， 我这个网速是还是比较快的啊， 然后再撞他的尾巴， 放点音乐， 也挺贴心。 好，然后已经安装完成了，安装完成之后就是还是看这个文档要 好，进入到这个路径下复制过来粘贴啊，然后进去之后呢就是执行这个脚，执行这个脚本啊，啊，跑起来， 跑起来之后我这边是已经打开了啊，就是这个刚才是没有装完，没有跑起来，那么现在我再去刷新一下， 然后已经登进去了，然后这里呢默认的用户名密码是 sme， 然后这里点击登录 保存一下，然后密码会简单要修改，那么我随便写写一个啊，确认 设置更新，然后再用新的密码去进行登录。 好，这个已经登录进来了，那已经安装成功了，然后然后就是具体的怎么用了，那这个就后面再讲了。

二零二六年三月五日， jump server 开源，堡垒机迎来了新的里程碑。二零一四年六月， jump server 开源项目写下第一行代码，改变世界，从几点开始？ 八月， v 零点一点零版本发布。二零一六年四月， v 零点三点二版本发布。二零一七年十一月， jump server 加入飞智云大家庭。二零一八年三月， v 一 点零里程碑版本发布。 二零二零年六月， jump server v 二点零版本发布，用户交互体验全面升级。十一月，发布多数据库审计功能。二零二三年二月， v 三点零版本发布，全面重构账号体系，用户体验再次升级。八月，推出国产化适配解决方案。 二零二四年七月， v 四点零版本发布，开启国际化进程。二零二五年五月， v 四点一零 lts 版本发布，推出 pm 特权账号管理功能，构建堡垒基加 pm 的 运维安全管理一体两亿。 十一月， jump server 发布全新客户端。二零二六年三月五日， jump server 开源项目 get up star 数突破三万个，累计安装部署次数超过五十万次。 jump server 从二零一四年到二零二六年十二载风雨见证，从云计算时代到 ai 时代，拥抱每一个时代， jump server 用心做好一款堡垒机。

今天给大家介绍一下 jump server 开源堡垒机的远程应用发布功能。一些传统的远程控制工具，例如 team viewer、 向日葵在权限管控方面的能力相对薄弱，容易遭到暴力破解和数据泄露等问题。 jump server 的 远程应用发布功能支持多种角色的用户在任意终端快速访问位于本地或者云端环境中的应用，让企业核心业务系统的访问更安全和高效。 jump server 的 管理控制于审计中心，通过 luna、 lion、 razor core 等组建构建， 通过 tinker、 panda 等应用发布连接管理，组建对接 windows 发布机资源池和国产操作系统主机资源池，实现资源弹性调度，支撑交易系统、 erp 系统、 c r m 系统、生产管理办公 o a 财务系统等企业业务系统的安全访问， 严格把控数据安全和操作审计，有效防止核心数据泄露。同时，针对游戏开发三维仿真、视频渲染等软件维护成本高、应用交付成本高的问题，也可以借助 jump server 的 远程应用发布功能，实现应用的集中部署和资源共享， 切实降低成本，避免浪费。 jump server 开源堡垒机让远程应用发布更安全、更高效。

今天来看看 jump server 是 如何帮助银石网络解决安全运维难题的吧！杭州银石网络股份有限公司是安全智能生活主流品牌，核心产品包括智能家居摄像头、智能门锁、智能服务机器人等， 迎使网络快速发展的业务状态，为其 it 系统的日常运维管理带来了很多挑战。一、传统运维审计平台无法满足鲁棒性需求。之前使用的传统运维审计平台没有针对风险情况进行鲁棒性设计，系统运行不稳定，难以抵抗系统风险。 二、现存传统运维审计平台版本老旧，升级需额外资金投入，传统的运维审计平台升级操作较为复杂和困难，升级成本较高。 三、传统堡垒机和 jara 对 接存在挑战。新员工堡垒机访问权限授权流程、日常资产授权申请流程复杂，运维工作效率低下。 四、统一管理以及权限隔离的需求营使网络拥有多个项目和多个组织，希望通过堡垒机对不同授权权限进行隔离，同时还要保持在公司层面对资产、用户以及访问权限的统一管理。 银时网络在经过一系列的市场调研和选型之后，选择了 jump server 堡垒机，它能有效满足公司对堡垒机的核心诉求。 jump server 堡垒机能够很好地支持负债均衡和鲁棒性架构，通过对代理层节点的高可用化处理，提升了系统的稳定性。 jump server 开源堡垒机拥有非常活跃的开源社区，社区用户可以随时在 github 上提交对项目的建议和想法。同时， jump server 坚持产品每月迭代企业版用户的版本升级有专业服务支持。 jump server 堡垒机提供了标准的 rest api 接口，可以正常对接 java， 实现自动化的工单管理，提升了系统的自动化程度，有效提高运维效率。 jump server 堡垒基企业版支持组织管理功能，能够实现多租户管理和权限隔离，满足了公司层面 it 资产统一管理的需求。 基于企业的自身需求，银使网络最终选用了强鲁棒性负债均衡架构的 jump server 部署方式。 jump server 前端为最终用户提供了两个域名入口， 分别用于日常工作访问、上传、下载和批量调用。 job server 的 部署架构分为四层，并可进行分层结偶，异于扩展代理层的负债均衡节点采用高可用方案。在架构实施完成后的多次栽培演练中，在最少有一个负债均衡节点存活的前提下， 堡垒机服务可正常访问。节点层的 jump server 节点可随资产和访问并发的增加进行合理的横向拓展。在多次栽背演练中，堡垒机服务均可正常访问 数据库节点采用高可用方案。在多次栽背演练中，堡垒机服务均可正常访问。数据存储层采用远端数据盘方案，一机留存历史数据、备份数据等。 实际使用下来， jump server 的 两个功能给影史网络的运维团队留下了深刻的印象。 jump server 堡垒机企业版支持远程应用，可用于运行 web 页面资产，也可以用于拉起安装在远程发布机上的自定义应用。 jump server 堡垒机企业版支持对资产账户的定期备份功能，自动定期一机保存全量资产的登录账号及密码，可以很好的满足公司安全运维的需求，提高公司应对系统故障的能力。 想要了解更多行业的案例应用，可以到飞智云技术博克里查看哦！

大家好，今天跟大家分享一下 jump server 开源堡垒机的国产化适配情况。针对企业的国产化应用需求， jump server 推出了信创堡垒机解决方案，该方案能够实现从入口访问到安装部署再到数据落盘的全链路国产化。 目前， jump server 已经在 cpu 芯片、操作系统、数据库、浏览器和加密认证等方面实现了对国产技术战的适配。 cpu 芯片方面， jump server 可以 兼容 arm 架构的鲲鹏、飞腾等芯片、龙芯架构的 lunarch 六十四芯片以及 x 八六架构的兆芯、海光等芯片。操作系统方面， jump server 支持银河、麒麟、统信、 uos、 中标、麒麟、优、麒麟、欧拉等国产操作系统。 数据库方面， jump server 支持腾讯 td cycle、 t i d b、 action d b、 万里、 great cycle、 人大、金仓等数据库方案。 数据存储支持采用 s m 四国密算法进行加密，以确保数据传输和存储的安全性。浏览器方面， jump server 兼容三六零安全浏览器，其安信可信浏览器、红莲花等国密浏览器。 加密认证方面， jump server 支持国密 s s l 证书和国密 radios 双因子认证。 目前， jump server 信创堡垒机解决方案已经被银行、证券、期货、能源、医疗、交通运输、政府等行业用户在实际应用场景中验证并采纳。 未来， jump server 将持续完善和优化国产化技术战的适配能力，为更多企业和机构提供满足行业规范要求的运维安全审计解决方案。

jump server 开源堡垒机的日常运行会产生大量的审计记录和文件，比如绘画操作录像、绘画命令记录、文件传输记录、用户登录、用户操作资产改密和任务记录等日制。 为此， jump server 在 审计文件存储方面提供了灵活、可扩展、安全的全链路审计解决方案。 jump server 支持管理员将绘画操作录像存储在公有云或者本地自建存储资源池，比如将文件存储在阿里云 o s s、 腾讯云 c o s s 三 edge、 华为云 o b s 等公有云存储服务，也可以将文件保存在 saf、 swift s 三类型对象存储 n f s 等本地存储系统中。针对海量的字符级命令审计记录，比如用户操作日记和绘画命令记录 可以保存在 elastic search 系统中，通过其强大的权威检测和分析引擎能力进行自幅及审计，支持自动创建锁引和复杂查询，提升解锁效率。 关于本地的日制审计记录，比如资产改密、日制、用户登录、日制文件传输记录，以及之前提到的用户操作日制和绘画命令记录，都可以保存在数据库中，并与 csl 日制系统进行对接。通过本地存储与多种远程存储方案的结合， jump server 开源堡垒机的审计文件存储能力能够满足从中小企业到大型企业的不同部署需求，符合等饱和规要求，有效确保运维操作的可追溯性。