Docker化JumpServer：从零到一的容器化堡垒机部署实战

1. 为什么选择Docker部署JumpServer？

想象一下你管理着几十台服务器，每天要处理不同团队的访问请求。每次有新同事加入，都要手动配置SSH密钥；每次出现安全问题，都要翻遍各种日志文件查操作记录。这种场景下，JumpServer就像你的运维瑞士军刀，而Docker则是让这把刀更锋利的磨刀石。

我三年前第一次接触JumpServer时，花了整整两天时间折腾源码安装。各种Python依赖冲突、配置文件路径错误，最后连MySQL连接池都报错。直到发现官方Docker镜像，原来20分钟就能完成全套部署。现在我的团队维护着三套JumpServer实例，全部运行在Docker上，最久的已经稳定运行400多天。

相比传统部署方式，容器化方案有三个杀手级优势：

• 隔离性：所有组件（Web、MySQL、Redis）跑在独立容器里，再也不用担心Python环境污染
• 可移植性：把整个服务打包成镜像，换个服务器5分钟就能重建
• 版本控制：像代码一样用tag管理版本，回滚只需一条docker命令

2. 部署前的准备工作

2.1 硬件与系统要求

虽然Docker能屏蔽很多环境差异，但基础配置不到位照样会翻车。根据我的踩坑经验，建议准备：

• 服务器：2核CPU/4GB内存是最低配，生产环境建议4核8G起步
• 磁盘空间：/var/lib/docker目录至少预留50GB，审计日志很吃存储
• 操作系统：CentOS 7.9或Ubuntu 20.04 LTS，内核版本≥3.10

去年有个客户用CentOS 7.4部署，结果Docker的overlay2驱动频繁报错。升级到7.9后问题消失，所以别在系统版本上省钱。

2.2 安装Docker引擎

官方文档说要用Docker 20.10+，但我实测18.06也能跑。不过为了能用compose v3特性，建议按这个步骤装最新版：

# Ubuntu示例 sudo apt-get update sudo apt-get install -y apt-transport-https ca-certificates curl software-properties-common curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add - sudo add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable" sudo apt-get update sudo apt-get install -y docker-ce docker-ce-cli containerd.io

装完后一定要做三件事：

1. sudo systemctl enable docker设置开机自启
2. sudo usermod -aG docker $USER避免每次sudo
3. docker run hello-world验证安装

3. 一键部署实战

3.1 获取安装脚本

官方提供了quick_start.sh，但直接wget可能遇到证书问题。我更喜欢先下载到本地再scp上传：

wget https://github.com/jumpserver/jumpserver/releases/download/v2.25.1/quick_start.sh chmod +x quick_start.sh

这个脚本会自动做三件事：

1. 创建/opt/jumpserver目录结构
2. 拉取MySQL、Redis等依赖镜像
3. 生成默认配置文件

3.2 启动安装过程

执行脚本时加-d参数可以让它在后台下载镜像，否则网络超时就得重来：

./quick_start.sh -d

第一次运行会看到这样的输出：

[1/3] Pulling mysql:5.7 [2/3] Pulling redis:6.2 [3/3] Pulling jumpserver/jms_all:v2.25.1

如果卡在某个镜像，可以手动docker pull。我有次在阿里云环境遇到redis拉取慢，换成国内镜像源就快了。

4. 初始配置与优化

4.1 服务管理命令

安装完成后会生成控制脚本，常用命令要记牢：

cd /opt/jumpserver-installer-v2.25.1 ./jmsctl.sh start # 启动 ./jmsctl.sh stop # 停止 ./jmsctl.sh restart # 重启 ./jmsctl.sh upgrade # 升级

有个容易忽略的细节：修改配置后必须restart才能生效，reload是没用的。

4.2 安全加固建议

首次登录用admin/admin后，立即做四件事：

1. 在"系统设置"里改密码
2. 开启MFA双因素认证
3. 配置邮件/SMTP告警
4. 限制管理员IP白名单

我见过没改密码的测试环境被爆破，攻击者创建了隐藏账号。现在团队规定所有JumpServer必须配证书登录+操作审计。

5. 常见问题排错指南

5.1 端口冲突处理

如果80端口被占用，修改nginx配置：

vim /opt/jumpserver/config/nginx/lb_http_server.conf

把listen 80;改成其他端口，比如8080。改完记得：

docker restart jms_nginx

5.2 磁盘空间监控

审计日志默认存放在/opt/jumpserver/core/data/audit_logs，建议用logrotate定期切割：

# 创建日志轮转配置 cat > /etc/logrotate.d/jumpserver <<EOF /opt/jumpserver/core/data/audit_logs/*.log { daily missingok rotate 30 compress delaycompress notifempty create 644 root root } EOF

去年我们有个项目日志暴涨把磁盘写满，导致MySQL容器崩溃。现在所有部署都默认加监控：

# 监控docker存储目录 df -h /var/lib/docker # 监控日志目录 du -sh /opt/jumpserver/core/data/*

6. 生产环境进阶配置

6.1 对接外部数据库

自带的MySQL容器适合测试，生产环境建议用独立RDS。修改配置文件的姿势：

vim /opt/jumpserver/config/config.txt

找到这些参数调整：

DB_HOST=your_rds_address DB_PORT=3306 DB_USER=jumpserver DB_PASSWORD=your_strong_pwd DB_NAME=jumpserver

改完别急着重启，先用mysql客户端测试连通性，否则服务会起不来。

6.2 性能调优参数

高并发场景下要调整两个关键参数：

1. Web并发数：修改jms_core容器的环境变量WORKERS=8
2. Redis连接池：在config.txt添加REDIS_MAX_CONNECTIONS=100

我们压测时发现默认配置在200并发时响应变慢，调整后稳定支持500+并发。监控方法：

watch -n 1 'docker stats --no-stream jms_core jms_redis'

7. 版本升级实战

小版本升级（如v2.24→v2.25）一般很平滑，但大版本（v1→v2）要特别注意：

1. 先看官方升级文档的Breaking Changes
2. 备份数据库和配置文件
3. 用jmsctl.sh stop停服务
4. 修改quick_start.sh中的版本号重新运行

上个月我们升级v2.24→v2.25时，发现新版本要求Redis 6.2+。幸好提前测试，否则直接升级会导致服务不可用。