大智慧吳壽昌

對于中國投資者而言，“大智慧”是知名的證券投資服務品牌。作為中國領先的互聯網金融信息服務商，湖北IT公司（以下簡稱大智慧）是湖北IT公司的前身，成立于2000年12月。2009年12月，公司整體變更為股份有限公司，并于2011年在上海證券交易所成功上市。

廣告金蝶金融軟件_金蝶官方正版_即刻免費體驗

×

自成立以來，大智慧一直致力于以軟件終端為載體it運維，以互聯網為平臺，為投資者提供及時、專業(yè)的金融數據和數據分析。隨著業(yè)務的不斷發(fā)展，大智慧的IT基礎設施規(guī)模也在迅速擴大。尤其是隨著企業(yè)對公有云的不斷使用，大智慧IT基礎設施已經形成了公有云和本地數據中心的混合IT架構。

為了解決混合IT架構下服務器統(tǒng)一訪問認證和安全審計的問題，配合企業(yè)完成安全合規(guī)性審核，安全性2.0，研究了幾臺堡壘機，Great智慧最終選擇了堡壘。機器作為運維審計管理解決方案?；诒緳C軟件訂閱服務提供的實施服務支持it運維，大智慧于2019年3月完成了兩套堡壘機的上線部署，并一直安全運行至今。

挑戰(zhàn)：主機運維審計對多種公有云環(huán)境的適配

證券信息服務行業(yè)的客戶非常重視證券信息獲取的及時性、效率和權威性。為了更好地滿足用戶的需求，大智慧很早就嘗試使用公有云，希望充分利用公有云的廣闊布局和高彈性，滿足客戶在信息獲取及時性方面的需求。

考慮到不同公有云的特點和避免廠商鎖定的問題，大智慧在2017年完成公有云試點使用后，于2018年引進了4家國內主流公有云提供商，并在多家公有云提供商中形成了主營業(yè)務. 云的合理分布式部署模式。同時，由于一些合規(guī)管理和附屬業(yè)務需求，大智慧還保留了一些本地數據中心來運行敏感和特殊業(yè)務。通過這種方式，大智能的 IT 架構是完全混合的，使企業(yè)能夠在基礎設施層面重新平衡性能、效率、成本和安全合規(guī)性。

隨著混合IT基礎設施建設的完成，大智慧原有的運維審計管理系統(tǒng)存在與業(yè)務發(fā)展脫節(jié)、管理成本高、用戶體驗差、對公有云適應性差等問題。具體包括以下幾個方面：

■ 隨著越來越多的業(yè)務運行在公有云上，主機運維審計管理系統(tǒng)需要更好地適應公有云，包括更好地在公有云上部署和運行以及跨不同公有云提供商的統(tǒng)一管理，以及系統(tǒng)與公有云主機服務API等的連接；

■ 隨著企業(yè)主機資產規(guī)模的快速擴張，主機運維審計管理系統(tǒng)需要能夠幫助運維人員實現資產管理，做到資產歸屬與訪問權限管理相關聯;

■ 隨著瀏覽器能力的不斷提升，大智慧希望主機運維審計管理系統(tǒng)能夠摒棄原有的瀏覽器插件模式，實現“原生瀏覽器”訪問模式。這對于降低管理成本、提升用戶體驗有很大的幫助和意義。

實施：量身定制的分布式部署解決方案

經過充分的方案選型和驗證測試，大智最終選擇通過堡壘機解決方案建立面向混合IT環(huán)境的運維審計管理系統(tǒng)。具體節(jié)目內容包括：

■ 堡壘機軟件訂閱服務和X-Pack增強包：堡壘機軟件訂閱服務提供多云環(huán)境的運維安全審計服務能力，包括面向企業(yè)應用場景的商業(yè)功能包——X-Pack增強包。借助X-Pack增強包中的多云資產管理、加密計劃等功能，大智慧實現了運維審計管理系統(tǒng)與主流公有云API的無縫對接，專業(yè)的MFA支持，批量自動加密等，有效提高系統(tǒng)運維管理的效率和安全性；

■ 專有的混合IT環(huán)境分布式部署解決方案：核心工程師根據智能IT基礎架構設計了完整的分布式部署解決方案。該方案兼顧了大智慧在集中認證和就近訪問的需求，使得分布在多個公有云和本地數據中心的主機資源可以統(tǒng)一管理和認證，用戶可以就近訪問主機資源。;

■ 訂閱服務期內的專業(yè)支持服務：軟件訂閱服務包括專業(yè)的原廠商業(yè)支持服務，包括專職技術支持經理、持續(xù)升級的軟件安裝包、及時解答線上問題、線下現場救援和使用培訓。

在實施方案的過程中，專有的分布式部署方案無疑是最大的亮點。該部署方案充分考慮了大型智能IT基礎設施的去中心化、統(tǒng)一管理的必要性以及附近主機接入的需要。分布式部署方案架構圖如下：

廣告三國志策略游戲，2022戰(zhàn)略戰(zhàn)爭三國志游戲，點擊進入

×

附圖為大智能堡壘機分布式部署方案

注：大智慧使用多個公有云，大部分基礎設施已經在公有云上，但圖中僅使用一個公有云區(qū)域作為說明。

如附圖所示，客戶的基礎設施分布在兩個本地數據中心和多個在線公共云中。整個分布式部署方案包括以下幾個部分：

1. 首先，選擇在企業(yè)主數據中心部署一個完整的“主堡壘機”，包括堡壘機的Web終端（Luna）、接入終端（Coco/）和鑒權數據庫；

2. 其次，在另一個本地數據中心和每個公有云的VPC中部署一套“接入堡壘機”，包括Web終端（Luna）和接入終端（Coco/），但不包括認證權限數據庫。然后，配置“接入堡壘機”對“主堡壘機”的鑒權請求接口，實現統(tǒng)一資產管理和鑒權；

3. 最后為“主堡壘機”和每臺“接入堡壘機”配置獨立域名，使用外部智能DNS實現多臺堡壘機智能域名解析。

這種分布式部署方案給大智慧帶來的價值包括：

■ 由于所有鑒權數據庫和鑒權API請求都會返回到“主堡壘主機”，去中心化主機資產和鑒權管理統(tǒng)一，用戶無需為去中心化資產部署多個系統(tǒng)并獨立管理；

■ 由于每個區(qū)域都有一個本地訪問終端（Coco / ），并保證每個區(qū)域的本地資源通過本地訪問終端連接，實現了訪問終端與目標資產的就近訪問。結合外部智能DNS，終端用戶將根據其地理位置和網絡狀況選擇最優(yōu)接入終端，從而實現用戶到接入終端再到目標資產的最優(yōu)鏈路。接入方案，即“主機就近接入”。

優(yōu)勢：統(tǒng)一管理、高效接入、專業(yè)服務

通過堡壘機，大智慧構建了完整、先進的運維審計管理體系。具體好處包括：

■ 混合IT環(huán)境中分散資產的統(tǒng)一運維管理。大智慧通過堡壘機分布式部署方案，實現對本地IDC和多個公有云的去中心化資產的統(tǒng)一管理、統(tǒng)一授權和統(tǒng)一訪問；

■ 簡單高效的托管資產訪問體驗。結合堡壘機分布式部署方案中的“最近訪問”能力和堡壘機本身的零插件訪問能力，用戶只需使用主流瀏覽器即可隨時隨地簡單高效地訪問主機資產；

■ 不斷發(fā)展的堡壘機功能和服務支持保證。軟件訂閱服務賦予了大智慧運維審計管理系統(tǒng)可持續(xù)的平臺演進能力。大智慧可以及時獲得包括X-Pack增強包在內的軟件版本和軟件補丁升級服務，盡快獲得原廠。故障排除、應急救援等專業(yè)服務，系統(tǒng)的穩(wěn)定性和安全性得到有效保障。