堡垒机阿里云双机使用方案

《堡垒机阿里云双机使用方案》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、麒麟开源堡垒机阿里云双机部署方案麒麟开源日期：2016-6-22目录1概述21.1方案苗景21.2方案内容32.阿里云SLB负载均衡方式32.1物理环境准备要求32.2阿里云SLB设置32.3使用说明33.DNS负载均衡方式52.1物理环境准备要求52.2DNS设置52.3使用说明54方案比较61概述1.1麒麟开源堡垒机方案背景阿里云系统中，非VPC网络用户无法对系统IP进行修改增加，因此堡垒机双机模式无法应用在阿里云非VPC用户中。1.2麒麟开源堡垒机方案内容木方案探讨使用DNS负载均衡和阿里云SLB负载均衡二种方式实现麒麟堡垒机的双机热备，并且将运维用户区分为公

2、司内网用户和移动（互联网）用户二种，二种用户访问堡垒机的方式不同，其中公司内网为町信任来源地址，可以直接使用运维协议访问堡垒机，而移动（互联网）用户必须使SSLVPN接入内网后，才能访问堡垒机，这样主要是防止堡皋机的ssh、https、rdp等端口在公网上开放以造成的扫描攻击事件。2.麒麟开源堡垒机阿里云SLB负载均衡方式2,1麒麟开源堡垒机物理环境准备要求用户需要有阿里云SLB服务，并且在阿里云安装二台堡垒机。2.2麒麟开源堡垒机阿里云SLB设置阿里云SLB系统需要将如下端口进行映射:端口号映射位置服务说明TCP8443二台堡垒机移动用户（互联网）SSLVPN服务

3、TCP443二台堡垒机堡垒机前台界面web服务TCP22二台堡垒机堡垒机SSH代理服务TCP3389二台堡金机堡垒机RDP/VNC/X11/应用发布代理服务TCP3390二台堡垒机堡垒机RDP/VNC/X11/应用发布回放端口阿里云SLB至少需要探测以上端口，当发现某一个端口出现问题时，及时切断出问题堡垒机的服务。2.3麒麟开源堡垒机使用说明阿里去SLB方案拓朴图如K：公司内网移动用户运维终端开发终端阿里云网络I运维协议金erSSLVPNHttps/ss淤dp/应用发布阿里云SLB系统Idp/应用发布双机同步阿里云服务器IIgHttps/sshWdp/应用发布Htt

4、ps/ssh/rdgM^用发布、堡垒机01.Https/ssrVPN运维协U堡垒机02其中红色箭头为移动（互联网）用户访问流，绿色箭头为公司内网（对信任源）用户访问流O阿里云系统将公司内网出网IP设置为信任地址，信任地址可以肓接访问到SLB映射地址的TCP22、443、3389、3390端口，可以直接使用堡垒机。阿里云系统将TCP8443端口映射到整个Internet,移动用八需要安装麒麟VPN客八端,当移动用户需要使用堡垒机时，先使用SSLVPN通过SLB连接到堡垒机，然后才能访问堡垒机，这样町以保证整个系统不对公网暴露以保证安全性。3.麒麟开源堡垒机DNS负载均

5、衡方式2.1麒麟开源堡垒机物理环境准备要求用户需要有自己的DNS系统，并口DNS需要支持负载均衡。2.2麒麟开源堡垒机DNS设置需要为二台堡樂机分配公网IPoDNS系统上设置一个域名，比如blj,将这个域名解析到二个堡垒机的公网IP上，并且将DNS的刷新时间设置为10秒以内，以保证当某个堡垒机出现问题时DNSCache不会影响到切换时间。DNS负载均衡方式需要手工切换，即如果某一个堡垒机岀现问题时，需要手工将出问题的堡金机从域名解析屮禁用，这样用户就不会在访问到出问题的堡垒机。2.3麒麟开源堡垒机使用说明用户使用域名访问堡垒机（非IP）,用户访问堡垒机的吋候，通过D

6、NS解析到堡垒机的IP,因为二台堡垒机的IP都在DNSA记录中，因此实现了DNS的负载均衡，即头一个用户返回的是堡金•机1的IP,第二个用八返回的是堡金机2的IP.……当某一个堡垒机出现问题时，需要手工登录到DNS系统，将出问题的DNSA记录禁用,这样可以让用八不在解析访问到出问题的堡皋机IP。访问规则仍然与SLB负载均衡模式相同，移动用户使用SSLVPN访问堡垒机，公司内网用八直接使用IP访问堡垒机。4方案比较二个访问比较表如下:比较项SLB负载均衡模式DNS负载均衡模式二台主用是是切换方式自动切换手工切换复杂度复杂简单成本i«j低从上表可以看出，DNS负载均衡主

7、要的好处是设置简单（不需要设置SLB等），成木低（不需要使川SLB）,但是主要问题时，当出现故障时，需要手工进行切换。