麒麟開源堡壘機阿里雲雙機部署方案
麒麟開源
日 期: 2016-6-22
目錄
1 概述
1.1 方案背景
阿里雲系統中,非VPC網路使用者無法對系統IP進行修改增加,因此堡壘機雙機模式無法應用在阿里雲非VPC使用者中。
1.2 方案內容
本方案探討使用DNS負載均衡和阿里雲SLB負載均衡二種方式實現麒麟堡壘機的雙機熱備,並且將運維使用者區分為公司內網使用者和移動(網際網路)使用者二種,二種使用者訪問堡壘機的方式不同,其中公司內網為可信任來源地址,可以直接使用運維協議訪問堡壘機,而移動(網際網路)使用者必須使用SSL VPN接入內網後,才能訪問堡壘機,這樣主要是防止堡壘機的ssh、https、rdp等埠在公網上開放以造成的掃描攻擊事件。
2. 阿里雲SLB負載均衡方式
使用者需要有阿里雲SLB服務,並且在阿里雲安裝二臺堡壘機。
2.2 阿里雲SLB設定
阿里雲SLB系統需要將如下埠進行對映:
埠號 |
對映位置 |
服務說明 |
TCP 8443 |
二臺堡壘機 |
移動使用者(網際網路)SSL VPN服務 |
TCP 443 |
二臺堡壘機 |
堡壘機前臺介面web 服務 |
TCP 22 |
二臺堡壘機 |
堡壘機SSH代理服務 |
TCP 3389 |
二臺堡壘機 |
堡壘機RDP/VNC/X11/應用釋出代理服務 |
TCP 3390 |
二臺堡壘機 |
堡壘機RDP/VNC/X11/應用釋出回放埠 |
阿里雲SLB至少需要探測以上埠,當發現某一個端口出現問題時,及時切斷出問題堡壘機的服務。
2.3 使用說明
阿里去SLB方案拓樸圖如下:
其中紅色箭頭為移動(網際網路)使用者訪問流,綠色箭頭為公司內網(可信任源)使用者訪問流。
阿里雲系統將公司內網出網IP設定為信任地址,信任地址可以直接訪問到SLB對映地址的TCP 22、443、3389、3390埠,可以直接使用堡壘機。
阿里雲系統將TCP 8443埠對映到整個Internet,移動使用者需要安裝麒麟VPN客戶端,當移動使用者需要使用堡壘機時,先使用SSL VPN通過 SLB連線到堡壘機,然後才能訪問堡壘機,這樣可以保證整個系統不對公網暴露以保證安全性。
3. DNS負載均衡方式
2.1 物理環境準備要求
使用者需要有自己的DNS
2.2 DNS設定
需要為二臺堡壘機分配公網IP。
DNS系統上設定一個域名,比如blj,將這個域名解析到二個堡壘機的公網IP上,並且將DNS的重新整理時間設定為10秒以內,以保證當某個堡壘機出現問題時DNS Cache不會影響到切換時間。
DNS負載均衡方式需要手工切換,即如果某一個堡壘機出現問題時,需要手工將出問題的堡壘機從域名解析中禁用,這樣使用者就不會在訪問到出問題的堡壘機。
2.3 使用說明
使用者使用域名訪問堡壘機(非IP),使用者訪問堡壘機的時候,通過DNS解析到堡壘機的IP,因為二臺堡壘機的IP都在DNS A記錄中,因此實現了DNS的負載均衡,即頭一個使用者返回的是堡壘機1的IP,第二個使用者返回的是堡壘機2的IP…….
當某一個堡壘機出現問題時,需要手工登入到DNS系統,將出問題的DNS A記錄禁用,這樣可以讓使用者不在解析訪問到出問題的堡壘機IP。
訪問規則仍然與SLB負載均衡模式相同,移動使用者使用SSL VPN訪問堡壘機,公司內網使用者直接使用IP訪問堡壘機。
4 方案比較
二個訪問比較表如下:
比較項 |
SLB 負載均衡模式 |
DNS負載均衡模式 |
二臺主用 |
是 |
是 |
切換方式 |
自動切換 |
手工切換 |
複雜度 |
複雜 |
簡單 |
成本 |
高 |
低 |
從上表可以看出,DNS負載均衡主要的好處是設定簡單(不需要設定SLB等),成本低(不需要使用SLB),但是主要問題時,當出現故障時,需要手工進行切換。