麒麟開源
日 期: 2016-6-22
目錄
1 概述 2
1.1
方案背景 2
1.2
方案內容 3
2. 阿里雲
slb負載均衡方式 3
2.1
物理環境準備要求 3
2.2
阿里雲slb
設定 3
2.3
使用說明 3
3. dns
負載均衡方式 5
2.1
物理環境準備要求 5
2.2 dns
設定 5
2.3
使用說明 5
4 方案比較
6阿里雲系統中,非vpc網路使用者無法對系統ip進行修改增加,因此堡壘機雙機模式無法應用在阿里雲非vpc使用者中。
本方案**使用dns負載均衡和阿里雲slb負載均衡二種方式實現麒麟堡壘機的雙機熱備,並且將運維使用者區分為公司內網使用者和移動(網際網路)使用者二種,二種使用者訪問堡壘機的方式不同,其中公司內網為可信任**位址,可以直接使用運維協議訪問堡壘機,而移動(網際網路)使用者必須使用ssl vpn接入內網後,才能訪問堡壘機,這樣主要是防止堡壘機的ssh、https、rdp等埠在公網上開放以造成的掃瞄攻擊事件。
使用者需要有阿里雲slb
服務,並且在阿里雲安裝二台堡壘機。
阿里雲slb
系統需要將如下埠進行對映:
埠號對映位置
服務說明
tcp 8443
二台堡壘機
移動使用者(網際網路)ssl vpn服務
tcp 443
二台堡壘機
堡壘機前台介面web 服務
tcp 22
二台堡壘機
堡壘機ssh
**服務
tcp 3389
二台堡壘機
堡壘機rdp/vnc/x11/
應用發布**服務
tcp 3390
二台堡壘機
堡壘機rdp/vnc/x11/
應用發布回放埠
阿里雲slb
至少需要探測以上埠,當發現某乙個埠出現問題時,及時切斷出問題堡壘機的服務。
阿里去slb
方案拓樸圖如下:
其中紅色箭頭為移動(網際網路)使用者訪問流,綠色箭頭為公司內網(可信任源)使用者訪問流。
阿里雲系統將公司內網出網ip
設定為信任位址,信任位址可以直接訪問到
slb對映位址的
tcp 22
、443
、3389
、3390
埠,可以直接使用堡壘機。
阿里雲系統將tcp 8443
埠對映到整個
internet
,移動使用者需要安裝麒麟
vpn客戶端,當移動使用者需要使用堡壘機時,先使用
ssl vpn
通過 slb
連線到堡壘機,然後才能訪問堡壘機,這樣可以保證整個系統不對公網暴露以保證安全性。
使用者需要有自己的dns
系統,並且
dns需要支援負載均衡。
需要為二台堡壘機分配公網ip。
dns系統上設定乙個網域名稱,比如
blj,將這個網域名稱解析到二個堡壘機的公網
ip上,並且將
dns的重新整理時間設定為
10秒以內,以保證當某個堡壘機出現問題時
dns cache
不會影響到切換時間。
dns負載均衡方式需要手工切換,即如果某乙個堡壘機出現問題時,需要手工將出問題的堡壘機從網域名稱解析中禁用,這樣使用者就不會在訪問到出問題的堡壘機。
使用者使用網域名稱訪問堡壘機(非ip
),使用者訪問堡壘機的時候,通過
dns解析到堡壘機的
ip,因為二台堡壘機的
ip都在
dns a
記錄中,因此實現了
dns的負載均衡,即頭乙個使用者返回的是堡壘機1的
ip,第二個使用者返回的是堡壘機2的
ip…….
當某乙個堡壘機出現問題時,需要手工登入到dns
系統,將出問題的
dns a
記錄禁用,這樣可以讓使用者不在解析訪問到出問題的堡壘機ip。
訪問規則仍然與slb
負載均衡模式相同,移動使用者使用
ssl vpn
訪問堡壘機,公司內網使用者直接使用
ip訪問堡壘機。
二個訪問比較表如下:
比較項
slb 負載均衡模式
dns負載均衡模式
二台主用是是
切換方式
自動切換
手工切換
複雜度複雜
簡單成本高低
從上表可以看出,dns
負載均衡主要的好處是設定簡單(不需要設定
slb等),成本低(不需要使用
slb),但是主要問題時,當出現故障時,需要手工進行切換。
麒麟開源堡壘機阿里雲雙機部署文件
阿里雲系統中,非vpc網路使用者無法對系統ip進行修改增加,因此堡壘機雙機模式無法應用在阿里雲非vpc使用者中。本方案 使用dns負載均衡和阿里雲slb負載均衡二種方式實現麒麟堡壘機的雙機熱備,並且將運維使用者區分為公司內網使用者和移動 網際網路 使用者二種,二種使用者訪問堡壘機的方式不同,其中公司...
麒麟開源堡壘機開發環境 部署說明
一 部署說明 開發環境主要使用開發人員的pc 或筆記本終端進行開發,開發完成後,將 交付相應的負責人,負責人編譯測試後,將 上傳到 cvs備份,將程式上傳到生產環境使用。這種管理模式主要存在如下問題 1.對於第三方開發團隊很難做到 防止複製,難以防止生產用的 被第三方開發人員複製出去 2.缺少審計,...
麒麟堡壘機開發環境部署說明
一 麒麟開源堡壘機設定部署說明 開發環境主要使用開發人員的pc或筆記本終端進行開發,開發完成後,將 交付相應的負責人,負責人編譯測試後,將 上傳到cvs備份,將程式上傳到生產環境使用。這種管理模式主要存在如下問題 對於第三方開發團隊很難做到 防止複製,難以防止生產用的 被第三方開發人員複製出去 缺少...