堡垒机阿里云双机使用方案.docVIP

麒麟开源堡垒机 阿里云双机部署方案 麒麟开源 日 期： 2016-6-22 目录 1 概述 2 1.1 方案背景 2 1.2 方案内容 3 2. 阿里云SLB负载均衡方式 3 2.1 物理环境准备要求 3 2.2 阿里云SLB设置 3 2.3 使用说明 3 3. DNS负载均衡方式 5 2.1 物理环境准备要求 5 2.2 DNS设置 5 2.3 使用说明 5 4 方案比较 6 1 概述 1.1 麒麟开源堡垒机方案背景 阿里云系统中，非VPC网络用户无法对系统IP进行修改增加，因此堡垒机双机模式无法应用在阿里云非VPC用户中。 1.2 麒麟开源堡垒机方案内容 本方案探讨使用DNS负载均衡和阿里云SLB负载均衡二种方式实现麒麟堡垒机的双机热备，并且将运维用户区分为公司内网用户和移动(互联网)用户二种，二种用户访问堡垒机的方式不同，其中公司内网为可信任来源地址，可以直接使用运维协议访问堡垒机，而移动（互联网）用户必须使用SSL VPN接入内网后，才能访问堡垒机，这样主要是防止堡垒机的ssh、https、rdp等端口在公网上开放以造成的扫描攻击事件。 2. 麒麟开源堡垒机阿里云SLB负载均衡方式 2.1 麒麟开源堡垒机物理环境准备要求 用户需要有阿里云SLB服务，并且在阿里云安装二台堡垒机。 2.2 麒麟开源堡垒机阿里云SLB设置 阿里云SLB系统需要将如下端口进行映射： 端口号 映射位置 服务说明 TCP 8443 二台堡垒机 移动用户（互联网）SSL VPN服务 TCP 443 二台堡垒机 堡垒机前台界面web 服务 TCP 22 二台堡垒机 堡垒机SSH代理服务 TCP 3389 二台堡垒机 堡垒机RDP/VNC/X11/应用发布代理服务 TCP 3390 二台堡垒机 堡垒机RDP/VNC/X11/应用发布回放端口 阿里云SLB至少需要探测以上端口，当发现某一个端口出现问题时，及时切断出问题堡垒机的服务。 2.3 麒麟开源堡垒机使用说明 阿里去SLB方案拓朴图如下： 其中红色箭头为移动（互联网）用户访问流，绿色箭头为公司内网（可信任源）用户访问流。 阿里云系统将公司内网出网IP设置为信任地址，信任地址可以直接访问到SLB映射地址的TCP 22、443、3389、3390端口，可以直接使用堡垒机。 阿里云系统将TCP 8443端口映射到整个Internet，移动用户需要安装麒麟VPN客户端，当移动用户需要使用堡垒机时，先使用SSL VPN通过 SLB连接到堡垒机，然后才能访问堡垒机，这样可以保证整个系统不对公网暴露以保证安全性。 3. 麒麟开源堡垒机DNS负载均衡方式 2.1 麒麟开源堡垒机物理环境准备要求 用户需要有自己的DNS系统，并且DNS需要支持负载均衡。 2.2 麒麟开源堡垒机DNS设置 需要为二台堡垒机分配公网IP。 DNS系统上设置一个域名，比如blj，将这个域名解析到二个堡垒机的公网IP上，并且将DNS的刷新时间设置为10秒以内，以保证当某个堡垒机出现问题时DNS Cache不会影响到切换时间。 DNS负载均衡方式需要手工切换，即如果某一个堡垒机出现问题时，需要手工将出问题的堡垒机从域名解析中禁用，这样用户就不会在访问到出问题的堡垒机。 2.3 麒麟开源堡垒机使用说明 用户使用域名访问堡垒机（非IP），用户访问堡垒机的时候，通过DNS解析到堡垒机的IP，因为二台堡垒机的IP都在DNS A记录中，因此实现了DNS的负载均衡，即头一个用户返回的是堡垒机1的IP，第二个用户返回的是堡垒机2的IP……. 当某一个堡垒机出现问题时，需要手工登录到DNS系统，将出问题的DNS A记录禁用，这样可以让用户不在解析访问到出问题的堡垒机IP。 访问规则仍然与SLB负载均衡模式相同，移动用户使用SSL VPN访问堡垒机，公司内网用户直接使用IP访问堡垒机。 4 方案比较 二个访问比较表如下： 比较项 SLB 负载均衡模式 DNS负载均衡模式 二台主用 是 是 切换方式 自动切换 手工切换 复杂度 复杂 简单 成本 高 低 从上表可以看出，DNS负载均衡主要的好处是设置简单（不需要设置SLB等），成本低（不需要使用SLB），但是主要问题时，当出现故障时，需要手工进行切换。 实施方案 6