内网环境不求人保姆级教程搞定Jumpserver 3.10.9离线部署附配置详解与常见问题排查在数字化转型浪潮中企业内网安全管理面临前所未有的挑战。想象这样一个场景某金融机构因合规要求必须将核心业务系统部署在隔离网络运维团队却因无法连接外网而难以部署安全审计工具。这正是Jumpserver离线部署方案要解决的核心痛点——在物理隔离环境中构建完整的4A级运维安全体系。与传统在线安装相比离线部署面临三大独特难题依赖包完整性验证、内网资源冲突规避、组件间通信调试。本文将基于3.10.9版本通过实战案例拆解从离线包解构到资产纳管的全流程特别针对军工、金融等特殊行业场景提供定制化解决方案。1. 离线环境深度准备1.1 硬件与网络规划在内网部署前需要建立精确的资源映射表资源类型规格要求隔离网络注意事项服务器4核CPU/8GB内存/100GB存储避免使用虚拟化嵌套技术网络配置千兆网卡/固定IP预留Docker子网段(建议172.22.0.0/16)存储独立LVM卷组录像文件建议单独挂载NAS关键提示使用ipcalc工具验证Docker子网与现有内网无冲突ipcalc 172.22.0.0/161.2 离线包解构与验证官方离线包(jumpserver-offline-installer-v3.10.9-amd64.tar.gz)包含以下关键组件核心镜像jms_core、jms_koko、jms_lion的Docker镜像依赖数据库MySQL 5.7、Redis 6.2的定制化版本安装脚本jmsctl.sh全生命周期管理工具验证完整性的实操步骤# 校验SHA256摘要 echo a1b2c3d4... jumpserver-offline-installer-v3.10.9-amd64.tar.gz | sha256sum -c # 解压后目录结构检查 tree -L 2 jumpserver-offline-installer-v3.10.9-amd64常见踩坑点企业防病毒软件误删组件文件需提前设置白名单内网DNS解析异常建议在/etc/hosts强制绑定主机名2. 配置工程化实践2.1 网络拓扑适配典型的内网部署存在三种网络模式单节点全组件部署适用于中小规模环境需调整config.txt关键参数DOCKER_SUBNET172.22.0.0/16 CORE_HOSThttp://jumpserver-internal:8080多节点分布式部署核心组件分离时需特别注意DB_HOSTmysql-cluster.internal REDIS_HOSTredis-sentinel.internal双网卡隔离部署管理口与业务口物理隔离场景nmcli conn add type bridge ifname br-mgmt ipv4.method manual ipv4.addresses 192.168.100.2/242.2 安全加固配置针对等保2.0三级要求的必改项会话审计增强SESSION_COOKIE_AGE14400 # 4小时闲置超时 PERIOD_TASK_ENABLEDTrue # 启用定期任务清理数据库加密# 生成加密密钥 openssl rand -base64 32 | tee -a config.txt3. 安装后调优实战3.1 组件连通性测试通过容器化诊断工具验证各组件通信# 测试Core服务状态 docker exec jms_core curl -s http://localhost:8080/api/health/ # 验证数据库连接 docker run --rm mysql:5.7 mysql -hmysql.internal -ujumpserver -p$DB_PWD -e SHOW DATABASES;典型故障排查表现象诊断命令解决方案Koko组件注册失败docker logs jms_koko检查BOOTSTRAP_TOKEN一致性录像文件无法播放ffprobe session_record.mp4重启jms_video容器WebSocket连接中断tcpdump -i any port 8080调整Nginx的proxy_read_timeout3.2 资产纳管技巧在内网环境中批量导入资产的三种方法CSV模板导入# 生成资产清单脚本示例 import csv with open(assets.csv, w) as f: writer csv.DictWriter(f, fieldnames[name, ip, platform]) writer.writerow({name: db01, ip: 192.168.100.101, platform: Linux})API自动化接入curl -X POST http://jumpserver/api/assets/ \ -H Authorization: Token $ADMIN_TOKEN \ -d {name: web01, ip: 10.0.0.1}Ansible动态同步# playbook片段 - hosts: all tasks: - name: Register assets uri: url: http://jumpserver/api/assets/ method: POST body: {{ item }} headers: Authorization: Token {{ vault.jms_token }} loop: {{ discovered_assets }}4. 高可用架构设计4.1 容器编排方案针对大规模内网环境的Kubernetes部署示例# jumpserver-core的StatefulSet配置片段 apiVersion: apps/v1 kind: StatefulSet metadata: name: jms-core spec: serviceName: jms-core replicas: 2 template: spec: containers: - name: core image: jumpserver/jms_core:v3.10.9 envFrom: - configMapRef: name: jms-config --- # 对应的Service配置 apiVersion: v1 kind: Service metadata: name: jms-core spec: clusterIP: None selector: app: jms-core4.2 备份恢复策略军工级全量备份方案数据库热备# MySQL每日全备 docker exec jms_mysql mysqldump -uroot -p$DB_PWD jumpserver | gzip /backup/jumpserver-$(date %F).sql.gz配置版本化# 使用etckeeper管理配置变更 yum install -y etckeeper etckeeper init etckeeper commit Initial Jumpserver config录像文件同步# 通过rsync增量同步 rsync -avz --delete /opt/jumpserver/replays/ backup01:/jumpserver_backup/在某能源企业的实际案例中通过本文方案成功在隔离网络部署集群化Jumpserver日均管理2000节点。特别值得注意的是当Docker子网设置为172.22.0.0/16时需同步调整内网路由器的ARP表老化时间避免容器间通信异常。