精选堡垒机阿里云双机使用方案

1、堡垒机阿里云双机使用方案 实施方案麒麟开源堡垒机阿里云双机部署方案麒麟开源日 期： 2023-6-22目录 TOC o 1-3 h z u HYPERLINK l _Toc454360277 1 概述 PAGEREF _Toc454360277 h 2 HYPERLINK l _Toc454360278 1.1 方案背景 PAGEREF _Toc454360278 h 2 HYPERLINK l _Toc454360279 1.2 方案内容 PAGEREF _Toc454360279 h 3 HYPERLINK l _Toc454360280 2. 阿里云SLB负载均衡方式 PAGEREF _

2、Toc454360280 h 3 HYPERLINK l _Toc454360281 2.1 物理环境准备要求 PAGEREF _Toc454360281 h 3 HYPERLINK l _Toc454360282 2.2 阿里云SLB设置 PAGEREF _Toc454360282 h 3 HYPERLINK l _Toc454360283 2.3 使用说明 PAGEREF _Toc454360283 h 3 HYPERLINK l _Toc454360284 3. DNS负载均衡方式 PAGEREF _Toc454360284 h 5 HYPERLINK l _Toc454360285 2

3、.1 物理环境准备要求 PAGEREF _Toc454360285 h 5 HYPERLINK l _Toc454360286 2.2 DNS设置 PAGEREF _Toc454360286 h 5 HYPERLINK l _Toc454360287 2.3 使用说明 PAGEREF _Toc454360287 h 5 HYPERLINK l _Toc454360288 4 方案比拟 PAGEREF _Toc454360288 h 61 概述1.1 麒麟开源堡垒机方案背景阿里云系统中，非VPC网络用户无法对系统IP进行修改增加，因此堡垒机双机模式无法应用在阿里云非VPC用户中。1.2 麒麟开源

4、堡垒机方案内容本方案探讨使用DNS负载均衡和阿里云SLB负载均衡二种方式实现麒麟堡垒机的双机热备，并且将运维用户区分为公司内网用户和移动(互联网)用户二种，二种用户访问堡垒机的方式不同，其中公司内网为可信任来源地址，可以直接使用运维协议访问堡垒机，而移动互联网用户必须使用SSL VPN接入内网后，才能访问堡垒机，这样主要是防止堡垒机的ssh、https、rdp等端口在公网上开放以造成的扫描攻击事件。2. 麒麟开源堡垒机阿里云SLB负载均衡方式2.1 麒麟开源堡垒机物理环境准备要求用户需要有阿里云SLB效劳，并且在阿里云安装二台堡垒机。2.2 麒麟开源堡垒机阿里云SLB设置阿里云SLB系统需要将

5、如下端口进行映射：端口号映射位置效劳说明TCP 8443二台堡垒机移动用户互联网SSL VPN效劳TCP 443二台堡垒机堡垒机前台界面web 效劳TCP 22二台堡垒机堡垒机SSH代理效劳TCP 3389二台堡垒机堡垒机RDP/VNC/X11/应用发布代理效劳TCP 3390二台堡垒机堡垒机RDP/VNC/X11/应用发布回放端口阿里云SLB至少需要探测以上端口，当发现某一个端口出现问题时，及时切断出问题堡垒机的效劳。2.3 麒麟开源堡垒机使用说明阿里去SLB方案拓朴图如下：其中红色箭头为移动互联网用户访问流，绿色箭头为公司内网可信任源用户访问流。阿里云系统将公司内网出网IP设置为信任地址，

6、信任地址可以直接访问到SLB映射地址的TCP 22、443、3389、3390端口，可以直接使用堡垒机。阿里云系统将TCP 8443端口映射到整个Internet，移动用户需要安装麒麟VPN客户端，当移动用户需要使用堡垒机时，先使用SSL VPN通过 SLB连接到堡垒机，然后才能访问堡垒机，这样可以保证整个系统不对公网暴露以保证平安性。3. 麒麟开源堡垒机DNS负载均衡方式2.1 麒麟开源堡垒机物理环境准备要求用户需要有自己的DNS系统，并且DNS需要支持负载均衡。2.2 麒麟开源堡垒机DNS设置需要为二台堡垒机分配公网IP。DNS系统上设置一个域名，比方blj，将这个域名解析到二个堡垒机的公

7、网IP上，并且将DNS的刷新时间设置为10秒以内，以保证当某个堡垒机出现问题时DNS Cache不会影响到切换时间。DNS负载均衡方式需要手工切换，即如果某一个堡垒机出现问题时，需要手工将出问题的堡垒机从域名解析中禁用，这样用户就不会在访问到出问题的堡垒机。2.3 麒麟开源堡垒机使用说明用户使用域名访问堡垒机非IP，用户访问堡垒机的时候，通过DNS解析到堡垒机的IP，因为二台堡垒机的IP都在DNS A记录中，因此实现了DNS的负载均衡，即头一个用户返回的是堡垒机1的IP，第二个用户返回的是堡垒机2的IP.当某一个堡垒机出现问题时，需要手工登录到DNS系统，将出问题的DNS A记录禁用，这样可以让用户不在解析访问到出问题的堡垒机IP。访问规那么仍然与SLB负载均衡模式相同，移动用户使用SSL VPN访问堡垒机，公司内网用户直接使用IP访问堡垒机。4 方案比拟二个访问比拟表如下：比拟项SLB