堡垒机阿里云双机使用方案.docx
《堡垒机阿里云双机使用方案.docx》由会员分享,可在线阅读,更多相关《堡垒机阿里云双机使用方案.docx(5页珍藏版)》请在冰豆网上搜索。
堡垒机阿里云双机使用方案
堡垒机阿里云双机使用方案
LT
1概述
1.1麒麟开源堡垒机方案背景
阿里云系统中,非VPC网络用户无法对系统IP进行修改增加,因此堡垒机双机模式无法应用在阿里云非VPC用户中。
1.2麒麟开源堡垒机方案内容
本方案探讨使用DNS负载均衡和阿里云SLB负载均衡二种方式实现麒麟堡垒机的双机热备,并且将运维用户区分为公司内网用户和移动(互联网)用户二种,二种用户访问堡垒机的方式不同,其中公司内网为可信任来源地址,可以直接使用运维协议访问堡垒机,而移动(互联网)用户必须使用SSLVPN接入内网后,才能访问堡垒机,这样主要是防止堡垒机的ssh、https、rdp等端口在公网上开放以造成的扫描攻击事件。
2.麒麟开源堡垒机阿里云SLB负载均衡方式
2.1麒麟开源堡垒机物理环境准备要求
用户需要有阿里云SLB服务,并且在阿里云安装二台堡垒机。
2.2麒麟开源堡垒机阿里云SLB设置
阿里云SLB系统需要将如下端口进行映射:
端口号
映射位置
服务说明
TCP8443
二台堡垒机
移动用户(互联网)SSLVPN服务
TCP443
二台堡垒机
堡垒机前台界面web服务
TCP22
二台堡垒机
堡垒机SSH代理服务
TCP3389
二台堡垒机
堡垒机RDP/VNC/X11/应用发布代理服务
TCP3390
二台堡垒机
堡垒机RDP/VNC/X11/应用发布回放端口
阿里云SLB至少需要探测以上端口,当发现某一个端口出现问题时,及时切断出问题堡垒机的服务。
2.3麒麟开源堡垒机使用说明
阿里去SLB方案拓朴图如下:
其中红色箭头为移动(互联网)用户访问流,绿色箭头为公司内网(可信任源)用户访问流。
阿里云系统将公司内网出网IP设置为信任地址,信任地址可以直接访问到SLB映射地址的TCP22、443、3389、3390端口,可以直接使用堡垒机。
阿里云系统将TCP8443端口映射到整个Internet,移动用户需要安装麒麟VPN客户端,当移动用户需要使用堡垒机时,先使用SSLVPN通过SLB连接到堡垒机,然后才能访问堡垒机,这样可以保证整个系统不对公网暴露以保证安全性。
3.麒麟开源堡垒机DNS负载均衡方式
2.1麒麟开源堡垒机物理环境准备要求
用户需要有自己的DNS系统,并且DNS需要支持负载均衡。
2.2麒麟开源堡垒机DNS设置
需要为二台堡垒机分配公网IP。
DNS系统上设置一个域名,比如blj,将这个域名解析到二个堡垒机的公网IP上,并且将DNS的刷新时间设置为10秒以内,以保证当某个堡垒机出现问题时DNSCache不会影响到切换时间。
DNS负载均衡方式需要手工切换,即如果某一个堡垒机出现问题时,需要手工将出问题的堡垒机从域名解析中禁用,这样用户就不会在访问到出问题的堡垒机。
2.3麒麟开源堡垒机使用说明
用户使用域名访问堡垒机(非IP),用户访问堡垒机的时候,通过DNS解析到堡垒机的IP,因为二台堡垒机的IP都在DNSA记录中,因此实现了DNS的负载均衡,即头一个用户返回的是堡垒机1的IP,第二个用户返回的是堡垒机2的IP…….
当某一个堡垒机出现问题时,需要手工登录到DNS系统,将出问题的DNSA记录禁用,这样可以让用户不在解析访问到出问题的堡垒机IP。
访问规则仍然与SLB负载均衡模式相同,移动用户使用SSLVPN访问堡垒机,公司内网用户直接使用IP访问堡垒机。
4方案比较
二个访问比较表如下:
比较项
SLB负载均衡模式
DNS负载均衡模式
二台主用
是
是
切换方式
自动切换
手工切换
复杂度
复杂
简单
成本
高
低
从上表可以看出,DNS负载均衡主要的好处是设置简单(不需要设置SLB等),成本低(不需要使用SLB),但是主要问题时,当出现故障时,需要手工进行切换。
升级会员 