🪴 X·Eden

博客

    2023.03-至今-九州通-运维开发工程师

    2026年1月19日18分钟阅读

    河南九州通医药有限公司 | 系统工程师(基础设施)

    任职时间: 2023 年 3 月 - 至今(2025 年 12 月,约 2 年 9 个月) 所属部门: IT 基础设施组(4 人团队) 汇报关系: 向 IT 部门经理汇报

    职位概述

    作为 IT 基础设施团队的核心技术成员,在集团统一架构框架下,负责省公司及 6 个地市分公司的基础设施本地化落地与运维保障。工作涵盖异构虚拟化平台(KVM/Hyper-V)运维与优化、网络安全等级保护(二级)技术实施、身份与访问管理体系本地对接,以及集团五统一治理策略的技术落地。通过跨团队协作与技术执行,确保基础设施的稳定性、安全性与合规性。

    核心技术栈: KVM · Hyper-V · Active Directory · Ansible · Zabbix · ELK · 等保 2.0 · 网络高可用

    核心职责

    1. 异构虚拟化平台运维与优化

    • 负责 KVM(Linux 负载)与 Hyper-V(Windows 负载)混合虚拟化集群的日常运维与性能优化
    • 参与 Windows Server Core 轻量化部署,协助实施资源优化与安全加固策略
    • 配合集团网络团队,维护基于 OSPF 动态路由与 Keepalived 的网络高可用架构

    2. 身份治理与零信任体系本地实施

    • 在集团 AD 森林架构基础上,维护本地 AD 域与集团的信任关系,确保身份数据同步准确性
    • 负责 JumpServer 零信任访问平台的本地部署与运维,配合集团统一 SSH CA 体系的落地使用
    • 利用 Ansible 自动化工具维护主机配置一致性,实现批量管理与配置变更

    3. 全栈可观测性与监控体系维护

    • 维护 Zabbix(基础设施监控)、Prometheus(中间件监控)与 ELK(日志分析)监控体系
    • 配置告警规则与分级策略,协助实现故障快速发现与响应
    • 负责监控数据的本地采集与上报,确保集团层面的统一监控视图完整性

    4. 网络安全等级保护技术实施

    • 参与等保 2.0 二级合规建设,负责安全计算环境、日志审计等技术控制点的实施与维护
    • 执行终端操作系统升级、密码策略加固、USB 管控等安全基线配置
    • 配合外部测评机构完成技术测试与整改验证

    关键项目经历

    项目 1: 网络安全等级保护(二级 2.0)技术实施与终端治理

    时间: 2023 年 5 月 - 2023 年 10 月(6 个月) 角色: 技术执行团队成员(4 人团队协作,外部供应商提供方案)

    项目背景 依据《网络安全法》与 GB/T 22239-2019(等保 2.0)标准要求,需构建 ” 一个中心,三重防护 ” 的安全防护体系。测评预检发现 50+ 项不符合项,其中 ” 安全计算环境 ” 存在重大风险:1000+ 台终端运行已停保的 Windows 7 系统,CVE 漏洞无法修复,且密码策略缺失,构成合规一票否决项。

    核心任务

    • 在 6 个月内完成技术整改,确保测评得分达到良好级(80 分以上)
    • 彻底解决终端操作系统停保问题,实现安全基线标准化
    • 落地日志审计、边界防护等技术控制点,不影响业务连续性

    关键行动

    1. 终端安全计算环境改造(Win7→Win10): 作为技术执行团队成员,参与制定 ” 试点→职能→业务→仓库 ” 的分批升级策略。针对 1000+ 台老旧 PC,执行 ” 内存/SSD 硬件升级 +Win10 LTSC 镜像重装 ” 方案。利用 Sysprep 封装标准镜像,集成防病毒与准入客户端,实现并行高效交付
    2. 安全基线配置标准化: 利用 AD 组策略 (GPO) 强制下发密码复杂度、屏保锁定、USB 管控等 20+ 项安全基线策略,确保终端持续合规
    3. 日志审计系统对接: 配合外部供应商完成日志审计平台部署,负责 Windows/Linux 主机日志采集配置,实现全量日志汇聚与 6 个月留存要求
    4. 边界防护设备调试: 协助完成下一代防火墙 (NGFW) 与 SSL VPN 的配置调试,参与 ACL 访问控制规则的测试验证

    量化成果

    • 顺利通过等保二级测评(得分 80+),建立长效合规机制
    • 终端操作系统合规率达到 100%,彻底消除底层 OS 漏洞风险
    • 升级后终端性能显著提升,系统稳定性明显改善,蓝屏故障大幅减少

    项目 2: 周口分公司信息化基础设施建设项目协调与交付

    时间: 2023 年 7 月 - 2023 年 10 月(4 个月) 角色: 甲方技术代表(协调、跟踪、验收,突出项目管理能力)

    项目背景 新设分公司需从零开始建设机房、网络及办公环境,工期严格锁定开业日。分公司无专职 IT 人员,交付后的系统必须具备极简运维属性,且必须继承省公司的安全标准,避免成为信息孤岛。

    核心任务

    • 确保机房、网络、弱电、终端在开业前 100% 就绪
    • 将省公司的等保能力(VPN、准入、审计)无缝延伸至分公司
    • 协调多方供应商,控制项目进度与质量

    关键行动

    1. 项目全流程协调管理:
      • 拆解项目为 5 大阶段 50+ 细分任务,跟踪各方进度,识别 ” 运营商光纤接入 ” 与 ” 强电施工 ” 为关键路径,优先协调资源
      • 定期组织供应商协调会,解决施工冲突与接口问题
      • 驻场监督隐蔽工程(综合布线)验收,确保测通率 100%
    2. 安全架构无缝延伸:
      • 通过 Site-to-Site VPN 打通省公司内网,实现数据加密传输
      • 利用省公司安全网关实现流量牵引,统一审计与行为管控,避免新增独立安全设备
    3. 交付验收与转维:
      • 编制《基础设施验收清单》,逐项测试验证功能与性能指标
      • 部署远程管理(动环监控、带外管理卡),实现故障远程诊断
      • 编写 ” 傻瓜式 ” 应急手册,培训本地行政人员掌握 L1 级基础操作

    量化成果

    • 项目按期上线,开业首日无系统故障
    • 建设验收清单被后续其他地市分公司采纳为标准模版
    • 成功实现 ” 建设期项目化管理,运维期极简化运维 ” 的目标

    项目 3: 虚拟化基础设施重构与授权合规改造

    时间: 2024 年 3 月 - 2024 年 10 月(8 个月) 角色: 技术方案设计者与实施核心成员(跨团队协作:网络/存储/数据库)

    项目背景 受 Broadcom 收购 VMware 影响,许可模式变更导致授权成本激增。公司收到法务函件,现有环境存在严重授权合规风险。同时,存量虚拟化环境(50+ VM)存在资源利用率低、僵尸应用多等问题。在 ” 零新增软件预算 ” 前提下,需解决合规问题并确保核心业务(AD/ERP)连续性。

    核心任务

    • 100% 移除 VMware 商业组件,彻底解决授权合规风险
    • 执行应用合理化清洗,优化资源利用率
    • 构建 “KVM+Hyper-V” 异构虚拟化架构,实现成本与性能平衡

    关键行动

    1. 资产审计与应用清洗:
      • 通过流量分析与业务访谈,识别并下线 30% 的无价值/僵尸应用,直接回收计算资源
      • 整理现有业务系统清单,明确各系统的技术栈与迁移路径
    2. 异构虚拟化架构设计与选型:
      • Windows 栈(Hyper-V): 参考业界最佳实践,设计基于 Windows Server Datacenter 的虚拟化方案。利用 AVMA (Automatic Virtual Machine Activation) 机制,实现宿主机与所有 Windows 虚拟机的合法激活,解决微软授权合规问题,零额外软件成本。将 AD/DNS 重构为 Server Core 模式,减少系统攻击面
      • Linux 栈(KVM): 选用开源 KVM 承载高并发 Web/数据库业务,利用 Virtio 驱动实现接近物理机性能,零许可成本
    3. 稳健迁移实施:
      • 与网络团队协作完成网络拓扑重构,实现新旧环境的逻辑隔离
      • 与存储团队协作完成存储空间规划与数据迁移
      • 与数据库团队协作完成数据库实例的迁移与性能验证
      • 构建 ” 驱动注入→离线转换→在线同步 ” 的迁移流程,解决 V2V 蓝屏问题
    4. 测试验证与切换:
      • 在测试环境完成业务系统功能与性能验证
      • 制定详细的切换方案与回退预案,分批次完成生产环境迁移

    量化成果

    • 100% 移除 VMware 商业组件,成功化解授权合规风险
    • 通过 AVMA 与开源方案,显著降低年度软件授权成本
    • 通过应用清洗,虚拟化平台资源利用率明显提升
    • 完成 50+ 虚拟机平滑迁移,核心业务系统零中断

    项目 4: 集团 ” 五统一 ” 治理体系本地化落地实施

    时间: 2025 年 3 月 - 2025 年 6 月(4 个月) 角色: 本地技术执行负责人(集团统一架构,省公司落地对接)

    项目背景 集团发起计算资源 ” 五统一 “(统一认证、监控、告警、日志、审计)治理项目。本地环境存在身份孤岛问题:计算资源使用孤立账号(Local Admin/Root),未与集团 HR 系统联动,人员离职后账号清理滞后。监控、告警、日志分散在本地,集团无法穿透监管。需以 AD 域为枢纽,打通 HR 系统,实现 ” 一个账号走天下 “(One ID)。

    核心任务

    • 实现 AD 账号与 HR 状态 100% 实时同步
    • 完成全省计算资源的统一监控、告警、日志、审计接入
    • 纳管率 100%,覆盖 Windows/Linux 全栈

    关键行动

    1. 统一认证体系落地:
      • 配合集团 HR 系统团队部署同步连接器,实现人员入转调离信息自动驱动 AD 账号生命周期管理
      • Windows 主机全量加域;Linux 主机通过 SSSD/Realmd 对接 AD,实现统一身份认证
      • 强制废除本地共享账号,实现运维人员实名制登录
    2. 统一监控与告警接入:
      • 统一下发 Zabbix Agent/Node Exporter,清洗监控指标口径
      • 配置告警规则,利用 AD 中的资产归属属性,将告警精准路由至责任人
    3. 统一日志审计体系对接:
      • 部署 Filebeat/Winlogbeat,将所有系统日志与操作日志投递至集团 ELK 集群
      • 结合统一认证,确保每条 sudo 提权或配置变更都能追溯到具体 AD 账号(自然人)
    4. 自动化配置管理:
      • 利用 Ansible 编写自动化脚本,批量完成 Agent 部署与配置标准化
      • 建立配置变更审核流程,通过代码化管理确保配置一致性

    量化成果

    • 实现账号自动化生命周期管理,消除离职人员权限残留风险
    • 打破数据孤岛,集团可实时穿透监管本地资源状态
    • 构建 “HR 身份源→AD 认证→资源授权→实名审计 ” 的完整治理闭环,满足集团内控审计要求
    • 全省计算资源纳管率 100%,为后续自动化运维奠定基础

    技能矩阵

    领域核心技能栈
    虚拟化平台KVM, Hyper-V, Windows Server Core, 虚拟机迁移 (V2V)
    身份与访问Active Directory (域管理), LDAP, GPO, SSSD/Realmd, JumpServer
    自动化工具Ansible (Playbook 编写), PowerShell, Shell Scripting
    监控与日志Zabbix, ELK Stack, Prometheus, Filebeat/Winlogbeat
    网络基础OSPF/BGP (协作), Keepalived/LVS, VPN (Site-to-Site)
    安全合规等保 2.0 二级, 系统加固, 日志审计, 安全基线配置

    核心竞争力

    1. 跨技术栈执行能力: 具备在 Windows (AD/Hyper-V) 与 Linux (KVM) 异构环境中的实战运维经验,能够在集团统一架构框架下快速落地技术方案

    2. 项目协调与交付: 周口分公司项目展现了跨部门、跨供应商的协调能力,具备从需求分析到验收交付的全流程项目管理经验

    3. 架构设计与优化: 虚拟化重构项目体现了从业务需求出发,结合业界最佳实践,设计技术方案并组织跨团队落地的能力

    4. 合规与安全意识: 等保 2.0 项目培养了对安全合规的深刻理解,能够将抽象的合规要求转化为具体的技术实施

    5. 自动化思维: 熟练使用 Ansible 等自动化工具,具备将重复性工作标准化、代码化的意识与能力

    从应用运维到基础设施的职业转型

    转型动因 在 ERP 应用运维后期,深刻感受到应用层故障往往源于底层基础设施的不稳定。希望从根源解决问题,掌握基础设施的核心技术,构建更稳定的 IT 服务底座。

    转型价值

    • 业务理解: 带着对 ERP 业务逻辑与数据流的深度理解,在做基础设施架构时能更精准评估业务需求
    • 数据驱动: 应用运维期间培养的 SQL 数据分析能力,转化为基础设施的容量规划与性能分析思维
    • 流程化思维: BPM 流程治理经验转化为自动化运维与变更管理的流程设计能力
    • 全栈视角: 理解从应用到基础设施的完整技术栈,能够在故障排查时快速定位根因

    关系图谱