1. 数据库纳管流程(基于 JumpServer 标准功能)
1.1 前提条件
已部署 JumpServer 企业版(建议 v4+)
- sqlserver 版本 2008 2017 2019 2022
可连接的 SQL Server 实例网络
1.2 纳管步骤
添加资产
登录 JumpServer 控制台,导航至 资产列表 > 创建
平台类型选择:数据库 > SQL Server
填写基本信息:
名称:建议使用 "业务名 - SQLServer - 环境" 格式
地址:SQL Server 实例 IP 或域名
平台:默认是SQLServer
节点: 选择属于自己的节点
默认数据库:填写自己要使用的数据库(如 master)
协议组:默认sqlserver 1433
2. 创建资产账号
在账号栏中 点击 "新增"
填写信息:
名称: 自定义名称
用户名:SQL Server 登录账号(如 sa 或专用管理账号)
特权用户:根据实际需求勾选(建议用于管理场景)
密码:对应账号密码
点击 "确认"
3. 资产授权
导航至: 资产授权 > 创建
填写该资产授权名称
选择:
资产/节点:已添加的 SQL Server 资产
用户 / 用户组:需要授权访问的 JumpServer 用户
账号: 所有账号/ 指定账号 /虚拟账号
协议组: 全部协议 / 指定协议
动作: 全部 / 连接 / 文件传输 / 剪贴板 / 分享
设置有效期
点击 "提交"
2. 托管信息查询方法
2.1 基本连接信息查询
在 JumpServer 控制台查询
资产基本信息:
路径:资产列表 > 点击对应 SQL Server 资产名称
可获取:IP 地址、端口、资产编号、所属节点等
2. 账号密码查询
资产账号密码:
路径:资产列表 > 点击对应 SQL Server 资产名称 > 账号
可查看:该资产的所有被纳管的系统账号用户名, 单击 “查看” 可以查看密码
注意:密码默认隐藏,需具有管理员权限且开启MFA才能查看 / 重置
3. 连接方式及特点对比
3.1 Web 控制台 CLI 连接
- 操作路径:控制台 > 资产 > 选择 SQL Server 资产 > 点击 "连接" > "Web" > "Web CLI"
- 核心特点:浏览器命令行界面,支持 T-SQL 命令执行,提供基础语法高亮
- 优点:零客户端部署,适合批量命令执行,审计记录完整
- 缺点:无图形化展示,不支持文件操作,对技术能力有要求
- 适用场景:紧急故障排查、自动化脚本执行、安全审计验证、无客户端安装权限环境
- 安全性:网络连接完全隔离, 危险命令拦截,操作日志记录不可篡改,支持会话录像
3.2 Web 控制台 GUI 连接
- 操作路径:控制台 > 资产 > 选择 SQL Server 资产 > 点击 "连接" > "Web" > "Web GUI"
- 核心特点:浏览器图形化界面,表格展示结果,提供数据库对象导航
- 优点:零客户端安装,可视化操作,支持简单 CSV 导入导出,操作可审计
- 缺点:高级功能有限,大结果集性能差
- 适用场景:业务人员日常查询、产品经理查看数据、简单数据维护、临时异地办公
- 安全性:网络连接完全隔离, 危险命令拦截,操作日志记录不可篡改,支持会话录像
3.3 客户端工具连接(通过 JumpServer 代理)
- 操作方式:
- 在 JumpServer 资产详情页点击 "连接" > "客户端" > "数据库客户端"
- 下载并导入连接配置
- 使用 SQL Server Management Studio (SSMS) 或 DataGrip 等工具导入配置
- 优点:支持完整客户端功能,适合复杂操作和开发工作,本地缓存减轻网络压力,提升操作效率
- 缺点:需要安装对应客户端工具,配置步骤稍复杂
- 适用场景:开发调试、复杂报表生成、数据迁移
- 支持客户端: DBeaver Community, SQL Server Management Studio 17
- 安全性: 不能限制sql文件的导入导出, 存在数据落地风险
3.4 远程应用连接(以 DBeaver 为例)
- 操作方式:
- 给对应发布机部署远程应用(步骤可参考 远程应用 - JumpServer 文档)
- 在 JumpServer 资产详情页点击 "连接" > "远程应用" > "DBeaver"
- 优点:
- 功能全面:包含高级 SQL 编辑、数据导入导出、ER 图生成、数据对比等
- 支持自定义脚本和插件扩展,满足复杂业务需求
- 保持本地客户端操作体验的同时,通过 JumpServer 实现权限管控和审计
- 缺点:
- 需同时维护客户端和 JumpServer 插件版本兼容性
- 首次配置较复杂,需要安装相关插件
- 适用场景:多数据库统一管理、复杂数据建模、团队标准化作业、高安全要求场景
- 安全性: 用户会话隔离,数据不落地,防止信息泄露,兼顾web端的安全性和客户端的灵活性
3.5 连接方式对比表
| 连接方式 | 操作方式简单说明 | 主要优势 | 适用场景 | 注意事项 |
|---|---|---|---|---|
| Web 控制台 CLI 连接 | 浏览器访问,命令行操作 | 无需安装软件,快速接入 | 紧急查询、简单脚本执行 | 需要了解基础 SQL 命令,安全性最高 |
| Web 控制台 GUI 连接 | 浏览器访问,图形化界面操作 | 无需安装软件,操作直观 | 日常数据查询、简单数据查看 | 不支持复杂数据处理,安全性最高 |
| 客户端工具连接 | 用专业工具(如 SSMS)通过代理连接 | 功能完整,适合复杂操作 | 开发调试、生成报表、数据迁移 | 需要安装专用工具并简单配置,灵活性强但安全程度较低 |
| 远程应用连接(DBeaver) | 通过远程应用入口访问专业工具 | 功能全面,支持多数据库管理 | 复杂数据处理、跨库操作 | 需管理员提前配置,对网络有要求,安全性很高 |
4. 常见报错处理与排查思路
4.1 连接超时(Timeout)
现象:连接尝试后长时间无响应,最终提示超时
排查步骤:
检查网络连通性:
telnet <sqlserver-ip> <port>确认 SQL Server 服务是否正常运行
检查防火墙规则:确保 JumpServer 与 SQL Server 之间端口开放
查看 SQL Server 配置:是否允许远程连接
sql
-- 检查远程连接配置
sp_configure 'remote access', 1; RECONFIGURE;
4.2 认证失败(Login failed)
现象:提示 "登录失败" 或 "认证失败"
排查步骤:
验证账号密码正确性:在 JumpServer 资产账号中重置密码重试
检查 SQL Server 认证模式:
4.3 权限不足(Permission denied)
现象:连接成功但执行操作时提示权限不足
排查步骤:
检查 JumpServer 授权的资产账号权限范围
在 SQL Server 中检查账号实际权限,确认是否需要提升权限或创建专用角色
5. 最佳实践建议
账号管理:
为不同角色创建专用 SQL Server 账号(管理员、开发、只读)
定期通过 JumpServer 轮换数据库密码(建议 90 天一次)
安全配置:
禁用 SQL Server sa 账号直接通过 JumpServer 访问
V4.10.8 版本支持 koko 通过TLS连接SQLSERVER, 可通过配置证书提高安全性
限制 JumpServer 访问源 IP,仅允许特定服务器连接
性能优化:
为频繁访问的 SQL Server 资产配置连接池
大查询操作建议在非业务高峰期执行,并通过客户端工具连接
灾备方案:
定期备份 JumpServer 中的资产配置和授权信息
建立连接失败的应急处理流程,确保关键操作不受影响
通过以上流程和规范,可以实现 SQL Server 数据库在 JumpServer 中的安全、高效纳管与连接,满足企业级运维的安全性和可审计性要求。