全部产品
Search

搜索本产品

    运维安全中心(堡垒机):网络域

    文档中心

    运维安全中心(堡垒机):网络域

    更新时间:Oct 08, 2024

    如果您想统一运维分布在不同网络环境中或与堡垒机所在专有网络(VPC)网络不互通的资产,推荐使用堡垒机的网络域功能。您可以为这些资产配置一台代理服务器,然后在堡垒机中创建网络域并添加代理服务器,将资产加入该网络域后即可通过堡垒机运维资产。本文介绍如何使用网络域功能。

    背景信息

    堡垒机的网络域功能为IDC、异构云、跨VPC等多混合云场景提供了最佳运维方案。通常情况下,企业资产分布在不同的区域且可能与堡垒机的网络不互通。在使用公网IP直接连接资产所在网络会有安全风险,而使用专线连接资产所在网络导致成本过高的场景下,可选用阿里云堡垒机企业双擎版支持的网络域代理方式,通过代理模式对线下IDC、异构云、跨VPC等不同网络环境下的资产进行运维。有关堡垒机网络域代理模式运维方案的最佳实践,请参见混合运维场景最佳实践

    限制条件

    • 仅堡垒机的企业双擎版实例支持使用网络域代理方式。

    • 网络域代理方式仅支持SSH代理、HTTP代理、SOCKS5代理。

    前提条件

    如果网络域选择代理连接方式。需确保已拥有代理服务器,且代理服务器与堡垒机处于同于网络环境。代理服务器推荐配置说明,请参见代理服务器推荐配置

    代理服务器推荐配置

    您可以通过SSH、HTTP或者SOCKS5服务器作为主代理服务器和备用代理服务器,然后通过代理服务器进行资产的运维。下表介绍代理服务器的推荐配置。

    SSH代理服务器

    配置项

    说明

    操作系统

    任意已开启SSH服务的Linux服务器。

    配置步骤

    可以直接使用SSH代理,无需安装其他组件及配置。

    CPU与内存

    双核CPU,4 GB内存

    带宽

    10 Mbit/s。

    说明

    实际带宽使用与运维并发数量有关。当多个会话使用远程桌面进行复杂图形操作等行为时,可能会导致远程会话卡顿。如果有此类情况发生,请及时购买带宽扩展包。并发数限制说明,请参见使用限制。升级代码扩展包指导,请参见升配实例规格

    HTTP和SOCKS5代理服务器

    配置项

    说明

    操作系统

    CentOS 6.9及以上版本。

    配置步骤

    具体步骤,请参见如何将服务器配置为HTTP和SOCKS5代理服务器?

    CPU与内存

    双核CPU,4 GB内存

    带宽

    10 Mbit/s。

    说明

    实际带宽使用与运维并发数量有关。当多个会话使用远程桌面进行复杂图形操作等行为时,可能会导致远程会话卡顿。如果有此类情况发生,请及时购买带宽扩展包。并发数限制说明,请参见使用限制。升级代码扩展包指导,请参见升配实例规格

    新建网络域

    在使用堡垒机运维网络域内的资产时,首先需要在堡垒机中新建网络域并连接到代理服务器。具体操作步骤如下所示。

    1. 登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。

    2. 在堡垒机实例列表,定位到目标实例,单击管理

    3. 在左侧导航栏中,选择资产管理 > 网络域。

    4. 网络域页面,单击新建网络域。然后在新建网络域面板,设置网络域的名称、备注信息和连接方式。

      • 直连:堡垒机直接和资产网络连通,不经过中间代理服务器。堡垒机首次导入的资产默认自动加入直连网络域Direct Network

      • 代理:资产所在网络与堡垒机网络不通的情况下,可以通过代理服务器转发网络请求,实现对不同网络环境下的资产进行运维。

        说明

        • 基础版仅支持直连。

        • 企业双擎版支持直连和代理。

        连接方式选择为代理时,您还需要配置代理服务器。下文以配置主代理服务器为例,介绍配置代理服务器的具体操作。

        1. 单击主代理服务器下方的添加代理服务器,在弹出的对话框中配置主代理服务器的参数。

          配置项

          描述

          代理方式

          选择代理方式。可选择的代理方式:

          • SSH代理

          • HTTP代理

          • SOCKS5代理

          服务器地址

          填写主代理服务器的地址。

          服务器端口

          填写主代理服务器的端口。

          主机账户

          填写主代理服务器的账户。

          认证类型

          • 选择密码:需填写主代理服务器账户的密码。

          • 选择私钥:仅SSH代理支持。需填写主代理服务器账户的私钥,可选填加密口令。

          说明

          备代理服务器配置的操作与主代理服务器配置相同。当主代理服务器异常时,会自动切换使用备代理服务器。为了确保网络域使用更加稳定,建议您配置备代理服务器。

        2. 单击测试连接,测试成功后,单击确定

          说明

          如果提示连接失败,请检查配置项信息是否填写正确。

    5. 单击新建网络域,进入新建网络域成功的页面。您可以单击移入主机移入数据库,将运维的主机或数据库移入网络域。

      若尚未确定要移入的主机或数据库,可在确认后再进行移入。具体操作,请参见移入主机或数据库

    相关操作

    移入主机或数据库

    新建网络域后,您可以将主机或数据库移入网络域。

    1. 登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。

    2. 在堡垒机实例列表,定位到目标实例,单击管理

    3. 在左侧导航栏中,选择资产管理 > 网络域。

    4. 网络域页面的网络域列表中,定位到目标网络域,在操作列,单击移入主机移入数据库

    5. 在弹出的对话框中,定位到目标主机或数据库,在操作列,单击移入

      您也可以在对应的资产列表中,批量选中目标资产,并单击下方的移入,将资产批量移入网络域。

    编辑网络域

    网络域新建成功后,如需修改网络域名称、连接方式、配置备代理服务器或者移除资产,请参考以下步骤:

    1. 登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。

    2. 在堡垒机实例列表,定位到目标实例,单击管理

    3. 在左侧导航栏中,选择资产管理 > 网络域。

    4. 网络域页面的网络域列表中,定位到要编辑的网络域,在操作列,单击编辑

      您可以直接单击对应的网络域名称进入网络域详情页面。

    5. 网络域详情页面,单击对应的页签,修改网络域信息。

      • 基本信息:支持修改网络域名称、备注和连接方式,并且可以添加备用代理服务器,同时支持测试代理服务器的连通性等。

      • 主机:支持移入主机或移除主机。

      • 数据库:支持移入数据库或移除数据库。

    相关文档