精选堡垒机阿里云双机使用方案.docx

堡垒机阿里云双机使用方案麒麟开源堡垒机阿里云双机部署方案麒麟开源实施方案日期：2023-6-2233444目录1.1 方案背景L2方案内容2.阿里云SLB负载均衡方式2.2阿里云SLB设置2.2阿里云SLB设置2.1 物理环境准备要求使用说明43.DNS负载均衡方式.2. 1物理环境准备要求2. 2 DNS设型2.3使用说明74方案比拟7实施方案1概述1.1 麒麟开源堡垒机方案背景阿里云系统中，非VPC网络用户无法对系统IP进行修改增加，因此堡垒机双机模式无法应用在阿里云非VPC用户中。1.2 麒麟开源堡垒机方案内容本方案探讨使用DNS负载均衡和阿里云SLB负 载均衡二种方式实现麒麟堡垒机的双机热备，并 且将运维用户区分为公司内网用户和移动（互联 网）用户二种，二种用户访问堡垒机的方式不同, 其中公司内网为可信任来源地址，可以直接使用 运维协议访问堡垒机，而移动（互联网）用户必 须使用SSL VPN接入内网后，才能访问堡垒机,实施方案这样主要是防止堡垒机的ssh> https> rdp等端 口在公网上开放以造成的扫描攻击事件。2,麒麟开源堡垒机阿里云SLB负载均衡方式2.1 麒麟开源堡垒机物理环境准备要求用户需要有阿里云SLB效劳，并且在阿里云安装二台堡垒机。2.2 麒麟开源堡垒机阿里云SLB设置阿里云SLB系统需要将如下端口进行映射：端口号映射位置效劳说明TCP 8443二台堡垒机移动用户（互联网）SSL VPN效劳TCP 443二台堡垒机堡垒机前台界面web效劳TCP 22二台堡垒机堡垒机SSH代理效劳TCP 3389 二台堡垒机堡垒机RDP/VNC/X11/应用发布代理效劳TCP 3390 二台堡垒机堡垒机RDP/VNC/X11/应用发布回放端口阿里云SLB至少需要探测以上端口，当发现某一个端口出现问题时，及时切 断出问题堡垒机的效劳。2.3 麒麟开源堡垒机使用说明阿里去SLB方案拓朴图如下：实施方案移动用户运维协议d公司内网运维终端开发终端阿里云网络阿里云SLB系统er SSL VPNHttps/ssidp/应用发布，Https/ss*dp/应用发布 运维协斗，SSL VPN V、堡垒机01、堡垒机01双机同步U 堡垒机02Https/ss，Https/ssldp/应用发布h/rdjj桃Z用发布A阿里云服务器其中红色箭头为移动（互联网）用户访问流,绿色箭头为公司内网（可信任源）用户访问流。阿里云系统将公司内网出网IP设置为信任地址，信任地址可以直接访问到SLB映射地址的实施方案TCP 22、443、3389、3390端口，可以直接使用 堡垒机。阿里云系统将TCP 8443端口映射到整个 Internet,移动用户需要安装麒麟VPN客户端， 当移动用户需要使用堡垒机时，先使用SSL VPN 通过SLB连接到堡垒机，然后才能访问堡垒机, 这样可以保证整个系统不对公网暴露以保证平 安性。3.麒麟开源堡垒机DNS负载均衡方式麒麟开源堡垒机物理环境准备要求用户需要有自己的DNS系统，并且DNS需要支持负载均衡。2.1 麒麟开源堡垒机DNS设需要为二台堡垒机分配公网IP。DNS系统上设置一个域名，比方blj,将这个域名解析到二个堡垒机的公网IP上，并且将DNS的刷新时间设置为10秒以内，以保证当某个堡垒机出现问题时DNS Cache不会影响到切换时间。DNS负载均衡方式需要手工切换，即如果某一个堡垒机出现问题时，需要手 工将出问题的堡垒机从域名解析中禁用，这样用户就不会在访问到出问题的堡 垒机。实施方案麒麟开源堡垒机使用说明用户使用域名访问堡垒机（非IP），用户访问 堡垒机的时候，通过DNS解析到堡垒机的IP, 因为二台堡垒机的IP都在DNS A记录中，因此 实现了 DNS的负载均衡，即头一个用户返回的是 堡垒机1的IP,第二个用户返回的是堡垒机2 的IP.当某一个堡垒机出现问题时，需要手工登录到DNS系统，将出问题的DNS A记录禁用，这样可以让用户不在解析访问到出问题的堡垒机IPo访问规那么仍然与SLB负载均衡模式相同，移 动用户使用SSLVPN访问堡垒机，公司内网用户 直接使用IP访问堡垒机。4方案比拟二个访问比拟表如下:比拟项SLB负载均衡模 式DNS负载均衡模式二台主 用是是7实施方案切换方 式自动切换手工切换复杂度复杂简单本钱高低从上表可以看出，DNS负载均衡主要的好处是设置简单（不需要设置SLB等），本钱低（不需要使用SLB）,但是主要问题时，当出现故障时, 需要手工进行切换。