阿里雲系統中,非vpc網路使用者無法對系統ip進行修改增加,因此堡壘機雙機模式無法應用在阿里雲非vpc使用者中。
本方案**使用dns負載均衡和阿里雲slb負載均衡二種方式實現麒麟堡壘機的雙機熱備,並且將運維使用者區分為公司內網使用者和移動(網際網路)使用者二種,二種使用者訪問堡壘機的方式不同,其中公司內網為可信任**位址,可以直接使用運維協議訪問堡壘機,而移動(網際網路)使用者必須使用ssl vpn接入內網後,才能訪問堡壘機,這樣主要是防止堡壘機的ssh、https、rdp等埠在公網上開放以造成的掃瞄攻擊事件。
使用者需要有阿里雲slb服務,並且在阿里雲安裝二台堡壘機。
阿里雲slb系統需要將如下埠進行對映:
阿里雲slb至少需要探測以上埠,當發現某乙個埠出現問題時,及時切斷出問題堡壘機的服務。
阿里雲slb方案拓樸圖如下:
其中紅色箭頭為移動(網際網路)使用者訪問流,綠色箭頭為公司內網(可信任源)使用者訪問流。
阿里雲系統將公司內網出網ip設定為信任位址,信任位址可以直接訪問到slb對映位址的tcp 22、443、3389、3390埠,可以直接使用堡壘機。
阿里雲系統將tcp 8443埠對映到整個internet,移動使用者需要安裝麒麟vpn客戶端,當移動使用者需要使用堡壘機時,先使用ssl vpn通過 slb連線到堡壘機,然後才能訪問堡壘機,這樣可以保證整個系統不對公網暴露以保證安全性。
使用者需要有自己的dns系統,並且dns需要支援負載均衡。
需要為二台堡壘機分配公網ip。
dns系統上設定乙個網域名稱,比如blj,將這個網域名稱解析到二個堡壘機的公網ip上,並且將dns的重新整理時間設定為10秒以內,以保證當某個堡壘機出現問題時dns cache不會影響到切換時間。
dns負載均衡方式需要手工切換,即如果某乙個堡壘機出現問題時,需要手工將出問題的堡壘機從網域名稱解析中禁用,這樣使用者就不會在訪問到出問題的堡壘機。
2.3 使用說明
使用者使用網域名稱訪問堡壘機(非ip),使用者訪問堡壘機的時候,通過dns解析到堡壘機的ip,因為二台堡壘機的ip都在dns a記錄中,因此實現了dns的負載均衡,即頭乙個使用者返回的是堡壘機1的ip,第二個使用者返回的是堡壘機2的ip…….
當某乙個堡壘機出現問題時,需要手工登入到dns系統,將出問題的dns a記錄禁用,這樣可以讓使用者不在解析訪問到出問題的堡壘機ip。
訪問規則仍然與slb負載均衡模式相同,移動使用者使用ssl vpn訪問堡壘機,公司內網使用者直接使用ip訪問堡壘機。
二個訪問比較表如下:
從上表可以看出,dns負載均衡主要的好處是設定簡單(不需要設定slb等),成本低(不需要使用slb),但是主要問題時,當出現故障時,需要手工進行切換。
麒麟開源堡壘機阿里雲雙機部署方案
麒麟開源 日 期 2016 6 22 目錄 1 概述 2 1.1 方案背景 2 1.2 方案內容 3 2.阿里雲 slb負載均衡方式 3 2.1 物理環境準備要求 3 2.2 阿里雲slb 設定 3 2.3 使用說明 3 3.dns 負載均衡方式 5 2.1 物理環境準備要求 5 2.2 dns 設...
麒麟開源堡壘機開發環境 部署說明
一 部署說明 開發環境主要使用開發人員的pc 或筆記本終端進行開發,開發完成後,將 交付相應的負責人,負責人編譯測試後,將 上傳到 cvs備份,將程式上傳到生產環境使用。這種管理模式主要存在如下問題 1.對於第三方開發團隊很難做到 防止複製,難以防止生產用的 被第三方開發人員複製出去 2.缺少審計,...
麒麟堡壘機開發環境部署說明
一 麒麟開源堡壘機設定部署說明 開發環境主要使用開發人員的pc或筆記本終端進行開發,開發完成後,將 交付相應的負責人,負責人編譯測試後,將 上傳到cvs備份,將程式上傳到生產環境使用。這種管理模式主要存在如下問題 對於第三方開發團隊很難做到 防止複製,難以防止生產用的 被第三方開發人員複製出去 缺少...