麒麟开源堡垒机 阿里云双机部署方案
麒麟开源 日 期: 2016-6-22
目录
1 概述1.1 方案背景阿里云系统中,非VPC网络用户无法对系统IP进行修改增加,因此堡垒机双机模式无法应用在阿里云非VPC用户中。
1.2 方案内容本方案探讨使用DNS负载均衡和阿里云SLB负载均衡二种方式实现麒麟堡垒机的双机热备,并且将运维用户区分为公司内网用户和移动(互联网)用户二种,二种用户访问堡垒机的方式不同,其中公司内网为可信任来源地址,可以直接使用运维协议访问堡垒机,而移动(互联网)用户必须使用SSL VPN接入内网后,才能访问堡垒机,这样主要是防止堡垒机的ssh、https、rdp等端口在公网上开放以造成的扫描攻击事件。
2. 阿里云SLB负载均衡方式2.1 物理环境准备要求用户需要有阿里云SLB服务,并且在阿里云安装二台堡垒机。
2.2阿里云SLB设置阿里云SLB系统需要将如下端口进行映射: 阿里云SLB至少需要探测以上端口,当发现某一个端口出现问题时,及时切断出问题堡垒机的服务。
2.3 使用说明阿里去SLB方案拓朴图如下: 其中红色箭头为移动(互联网)用户访问流,绿色箭头为公司内网(可信任源)用户访问流。 阿里云系统将公司内网出网IP设置为信任地址,信任地址可以直接访问到SLB映射地址的TCP 22、443、3389、3390端口,可以直接使用堡垒机。 阿里云系统将TCP 8443端口映射到整个Internet,移动用户需要安装麒麟VPN客户端,当移动用户需要使用堡垒机时,先使用SSL VPN通过 SLB连接到堡垒机,然后才能访问堡垒机,这样可以保证整个系统不对公网暴露以保证安全性。
3. DNS负载均衡方式2.1 物理环境准备要求用户需要有自己的DNS系统,并且DNS需要支持负载均衡。
2.2 DNS设置需要为二台堡垒机分配公网IP。 DNS系统上设置一个域名,比如blj,将这个域名解析到二个堡垒机的公网IP上,并且将DNS的刷新时间设置为10秒以内,以保证当某个堡垒机出现问题时DNS Cache不会影响到切换时间。 DNS负载均衡方式需要手工切换,即如果某一个堡垒机出现问题时,需要手工将出问题的堡垒机从域名解析中禁用,这样用户就不会在访问到出问题的堡垒机。
2.3 使用说明用户使用域名访问堡垒机(非IP),用户访问堡垒机的时候,通过DNS解析到堡垒机的IP,因为二台堡垒机的IP都在DNS A记录中,因此实现了DNS的负载均衡,即头一个用户返回的是堡垒机1的IP,第二个用户返回的是堡垒机2的IP……. 当某一个堡垒机出现问题时,需要手工登录到DNS系统,将出问题的DNS A记录禁用,这样可以让用户不在解析访问到出问题的堡垒机IP。 访问规则仍然与SLB负载均衡模式相同,移动用户使用SSL VPN访问堡垒机,公司内网用户直接使用IP访问堡垒机。
4 方案比较二个访问比较表如下:
从上表可以看出,DNS负载均衡主要的好处是设置简单(不需要设置SLB等),成本低(不需要使用SLB),但是主要问题时,当出现故障时,需要手工进行切换。
| 
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2016-6-25 16:48:30
置顶卡
喧嚣卡
变色卡
千斤顶
