NAT Gateway(NAT Gateway)是使用者業務中常見的網路部署方式,使用者在實際使用時可能會存在資產部署NAT Gateway之後再通過Bastionhost對資產的營運行為進行安全管控。本文介紹在NAT Gateway情境下如何通過Bastionhost實現資產的安全營運。
背景資訊
為避免公網IP過分暴露遭受外部網路攻擊或解決IP地址不足問題,部分使用者會部署NAT Gateway進行地址轉換來隱藏和保護內部資產。基於該情境,Bastionhost提供實現NAT Gateway情境下對資產營運的行為管控及審計的解決方案。
解決方案
Bastionhost在NAT Gateway情境下的營運安全管控提供以下兩種解決方案:
方案一:網路域方式
Bastionhost企業雙擎版支援網路域功能。管理員可以將公網NAT Gateway的Elastic IP Address作為Proxy 伺服器地址,然後在Bastionhost內添加Proxy 伺服器,並通過Bastionhost匯入資產,以實現Bastionhost在NAT Gateway情境下對資產營運的行為管控及審計。
方案二:直連方式
Bastionhost支援建立多個相同IP的資產,並通過設定不同目標連接埠區分目標資產。在NAT Gateway情境下,被營運資產的地址是通過NAT Gateway的Elastic IP Address+不同連接埠進行區分,管理員可以在Bastionhost建立資產時,將每個資產地址配置為NAT Gateway的Elastic IP Address+對應連接埠,並通過備忘區分目標資產,以實現Bastionhost在NAT Gateway情境下對資產營運的行為管控及審計。
相比較直連方式,通過網路域方式,可在配置網路域後直接匯入原主機的真實IP資訊且無需更改,在資產管理及營運上更加便捷。
網路域方式
前提條件
已建立公網NAT Gateway並綁定Elastic IP Address。具體操作,請參見建立和管理公網NAT Gateway執行個體。
已為公網NAT Gateway建立DNAT條目。具體操作,請參見建立和管理DNAT條目。
建立DNAT條目是將公網NAT Gateway上的Elastic IP Address映射給伺服器,後續會將該伺服器作為Proxy 伺服器。
操作步驟
登入Bastionhost控制台,在頂部功能表列,選擇Bastionhost所在的地區。
在Bastionhost執行個體列表,定位到目標執行個體,單擊管理。
為Bastionhost添加資產。具體操作,請參見建立主機。
配置網路域。
在左側導覽列,選擇資產管理 > 網路域。
在網路域頁面,單擊建立網路域。
在建立網路域面板,配置網路網域名稱稱,選擇串連方式為代理。
單擊主Proxy 伺服器下方的添加Proxy 伺服器,在彈出的對話方塊中,配置主Proxy 伺服器的參數。
配置項
描述
代理方式
選擇代理方式,推薦使用SSH代理。
伺服器位址
填寫Proxy 伺服器的IP地址。
服務器連接埠
填寫Proxy 伺服器的連接埠。
主機賬戶
填寫登入Proxy 伺服器的賬戶。
密碼
填寫Proxy 伺服器賬戶的密碼。
移入資產至網路域。
在網路域頁面的網路域列表中,定位到目標網路域。在操作列,單擊移入主機。
在移入主機對話方塊,選中目標主機,單擊移入。
在彈出的提示框,單擊移入。
配置完成後,即可通過Bastionhost營運資產。具體操作,請參見營運概述。
直連方式
前提條件
已通過公網NAT Gateway的DNAT功能實現資產對外提供服務。具體操作,請參見通過公網NAT GatewayDNAT功能實現ECS對外提供服務。
操作步驟
登入Bastionhost控制台,在頂部功能表列,選擇Bastionhost所在的地區。
在Bastionhost執行個體列表,定位到目標執行個體,單擊管理。
在左側導覽列,選擇資產管理 > 主機
在主機頁面,選擇匯入其他來源主機 > 建立主機。
在建立主機面板,參考下表配置主要參數,單擊建立。
配置項
描述
作業系統
選擇linux。
主機IP
填寫NAT Gateway綁定的Elastic IP Address。
備忘
輸入資產的備忘資訊,便於後續識別。
在主機列表,定位到您的建立的主機,單擊主機名稱。
在服務連接埠頁簽,輸入您資產在NAT Gateway映射的連接埠,單擊更新。
配置完成後,即可通過Bastionhost營運資產。具體操作,請參見營運概述。