文档章节

麒麟开源堡垒机阿里云双机部署方案

网安1476
 网安1476
发布于 2016/06/24 22:46
字数 1267
阅读 92
收藏 0

 

麒麟开源堡垒机

阿里云双机部署方案 

 

 

麒麟开源

日  期: 2016-6-22

 

目录

1 概述 2

1.1 方案背景 2

1.2 方案内容 3

2. 阿里云SLB负载均衡方式 3

2.1 物理环境准备要求 3

2.2 阿里云SLB设置 3

2.3 使用说明 3

3. DNS负载均衡方式 5

2.1 物理环境准备要求 5

2.2 DNS设置 5

2.3 使用说明 5

4  方案比较 6

  

1 概述

1.1 方案背景

阿里云系统中,非VPC网络用户无法对系统IP进行修改增加,因此堡垒机双机模式无法应用在阿里云非VPC用户中。

1.2 方案内容

本方案探讨使用DNS负载均衡和阿里云SLB负载均衡二种方式实现麒麟堡垒机的双机热备,并且将运维用户区分为公司内网用户和移动(互联网)用户二种,二种用户访问堡垒机的方式不同,其中公司内网为可信任来源地址,可以直接使用运维协议访问堡垒机,而移动(互联网)用户必须使用SSL VPN接入内网后,才能访问堡垒机,这样主要是防止堡垒机的ssh、https、rdp等端口在公网上开放以造成的扫描攻击事件。

2. 阿里云SLB负载均衡方式

2.1 物理环境准备要求

用户需要有阿里云SLB服务,并且在阿里云安装二台堡垒机。

2.2 阿里云SLB设置

阿里云SLB系统需要将如下端口进行映射:

端口号

映射位置

服务说明

TCP 8443

二台堡垒机

移动用户(互联网)SSL VPN服务

TCP 443

二台堡垒机

堡垒机前台界面web 服务

TCP 22

二台堡垒机

堡垒机SSH代理服务

TCP 3389

二台堡垒机

堡垒机RDP/VNC/X11/应用发布代理服务

TCP 3390

二台堡垒机

堡垒机RDP/VNC/X11/应用发布回放端口

阿里云SLB至少需要探测以上端口,当发现某一个端口出现问题时,及时切断出问题堡垒机的服务。

2.3 使用说明

阿里去SLB方案拓朴图如下:

 

其中红色箭头为移动(互联网)用户访问流,绿色箭头为公司内网(可信任源)用户访问流。

阿里云系统将公司内网出网IP设置为信任地址,信任地址可以直接访问到SLB映射地址的TCP 22、443、3389、3390端口,可以直接使用堡垒机。

阿里云系统将TCP 8443端口映射到整个Internet,移动用户需要安装麒麟VPN客户端,当移动用户需要使用堡垒机时,先使用SSL VPN通过 SLB连接到堡垒机,然后才能访问堡垒机,这样可以保证整个系统不对公网暴露以保证安全性。

 

3. DNS负载均衡方式

2.1 物理环境准备要求

用户需要有自己的DNS系统,并且DNS需要支持负载均衡。

2.2 DNS设置

需要为二台堡垒机分配公网IP。

DNS系统上设置一个域名,比如blj,将这个域名解析到二个堡垒机的公网IP上,并且将DNS的刷新时间设置为10秒以内,以保证当某个堡垒机出现问题时DNS Cache不会影响到切换时间。

DNS负载均衡方式需要手工切换,即如果某一个堡垒机出现问题时,需要手工将出问题的堡垒机从域名解析中禁用,这样用户就不会在访问到出问题的堡垒机。

2.3 使用说明

用户使用域名访问堡垒机(非IP),用户访问堡垒机的时候,通过DNS解析到堡垒机的IP,因为二台堡垒机的IP都在DNS A记录中,因此实现了DNS的负载均衡,即头一个用户返回的是堡垒机1的IP,第二个用户返回的是堡垒机2的IP…….

当某一个堡垒机出现问题时,需要手工登录到DNS系统,将出问题的DNS A记录禁用,这样可以让用户不在解析访问到出问题的堡垒机IP。

访问规则仍然与SLB负载均衡模式相同,移动用户使用SSL VPN访问堡垒机,公司内网用户直接使用IP访问堡垒机。

 

4  方案比较

二个访问比较表如下:

比较项

SLB 负载均衡模式

DNS负载均衡模式

二台主用

切换方式

自动切换

手工切换

复杂度

复杂

简单

成本

从上表可以看出,DNS负载均衡主要的好处是设置简单(不需要设置SLB等),成本低(不需要使用SLB),但是主要问题时,当出现故障时,需要手工进行切换。

 

© 著作权归作者所有

共有 人打赏支持
网安1476

网安1476

粉丝 19
博文 34
码字总数 38654
作品 1
朝阳
技术主管
私信 提问
堡垒机-开源堡垒机-麒麟开源堡垒机-阿里云手工安装软件包V1.0 发布

为了适应云用户使用,麒麟开源团队在一键安装光盘的基础上,制作了软件安装包版本,目前已经在阿里云服务器、openstack平台等云平台进行了测试,可以为广大云用户提供云安装版本。 麒麟开源堡...

keeplifer
2016/05/07
0
0
麒麟开源堡垒主机在等保上的合规性分析

信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。 我国的信息安全等级保护共分为五级,级别越高,要求越严格。 我国的信息安全等级保护主要标...

网安1476
2016/05/14
2.6K
1
开源堡垒机麒麟开源堡垒机阿里云安装版本发布

为了适应云平台堡垒机安装,麒麟团队近期制作了堡垒机云安装版本,系统基于CentOS7.1,可适合各种云环境进行堡垒机的安装,安装过程非常简单。 一.阿里云或其它云平台建立Centos7.x系统 在阿...

网安1476
2016/05/08
2.5K
8
麒麟开源堡垒机 V 1.3 正式发布

麒麟开源堡垒机团队经过1个月的努力,发布V 1.3版本,本版本主要收集了5月开发的小功能,并且增加了大用户量、大设备量,纵深目录层级的优化支持,产品 V1.3 光盘主要新增功能如下(相对 V1...

网安1476
2016/05/30
1K
2
麒麟开源堡垒机双因素认证功能(动态口令、CA证书)发布

堡垒机经常成为企业内部安全的薄弱环节,堡垒机内部保存所有的设备资产和权限关系,一旦堡垒机被入侵,则意味很多时候黑客得到了登录服务器、网络设备的权限。 堡垒机口令是堡垒机安全的第一...

网安1476
2016/05/24
2.2K
0

没有更多内容

加载失败,请刷新页面

加载更多

JS 调用Angularjs 的方法

// 1. 获取 Controllerlet appElement = document.querySelector('[data-ng-controller=MessagesCtrl]');let scope = angular.element(appElement).scope();// 2. 调用方法scope.l......

Moks角木
19分钟前
0
0
dubbo+zookeeper与 eureka的区别

CAP CAP 原则指的是在一个分布式系统中,Consistency(一致性)、 Availability(可用性)、Partition tolerance(分区容错性),三者不可兼得 在分布式架构里, P必须有 Zookeeper保证C P 当...

群星纪元
29分钟前
0
0
云计算之边缘计算大势所趋

如果说边缘计算是公同认定的目标,那么我们看到,不同类型的厂商基于自身的特点,会从不同的起点、沿着不同的路径,向这个目标奔跑。上次参加阿里云的一次活动,看到他们将边缘计算的厂商分成...

linuxCool
33分钟前
0
0
前端通过后端传过来的'\n' ,''等字符串换行失败问题

后台推送换行符 '\n' 或 '<br/>' 等字符串到前台不会换行 详细描述 后台逻辑处理返回String字符串,其中包含\n或<br/>等换行符号,但是前端渲染时候却并没有真正的换行 也尝试了大佬的各种 ...

下次用oschina
40分钟前
2
0
volatile能保证有序性吗?

在前面提到volatile关键字能禁止指令重排序,所以volatile能在一定程度上保证有序性。   volatile关键字禁止指令重排序有两层意思:   1)当程序执行到volatile变量的读操作或者写操作时...

无精疯
今天
2
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部