麒麟开源堡垒机阿里云双机部署方案麒麟开源日期:2016-6-22实施方案目录1概述...............................................................................................................................................21.1方案背景............................................................................................................................21.2方案内容............................................................................................................................32.阿里云SLB负载均衡方式...................................................................................................32.1物理环境准备要求............................................................................................................32.2阿里云SLB设置.................................................................................................................32.3使用说明............................................................................................................................33.DNS负载均衡方式...............................................................................................................52.1物理环境准备要求............................................................................................................52.2DNS设置.............................................................................................................................52.3使用说明............................................................................................................................54方案比较......................................................................................................................................61概述1.1麒麟开源堡垒机方案背景阿里云系统中,非VPC网络用户无法对系统IP进行修改增加,因此堡垒机双机模式无法应用在阿里云非VPC用户中。2实施方案1.2麒麟开源堡垒机方案内容本方案探讨使用DNS负载均衡和阿里云SLB负载均衡二种方式实现麒麟堡垒机的双机热备,并且将运维用户区分为公司内网用户和移动(互联网)用户二种,二种用户访问堡垒机的方式不同,其中公司内网为可信任来源地址,可以直接使用运维协议访问堡垒机,而移动(互联网)用户必须使用SSLVPN接入内网后,才能访问堡垒机,这样主要是防止堡垒机的ssh、https、rdp等端口在公网上开放以造成的扫描攻击事件。2.麒麟开源堡垒机阿里云SLB负载均衡方式2.1麒麟开源堡垒机物理环境准备要求用户需要有阿里云SLB服务,并且在阿里云安装二台堡垒机。2.2麒麟开源堡垒机阿里云SLB设置阿里云SLB系统需要将如下端口进行映射:端口号映射位置服务说明TCP8443二台堡垒机移动用户(互联网)SSLVPN服务TCP443二台堡垒机堡垒机前台界面web服务TCP22二台堡垒机堡垒机SSH代理服务TCP3389二台堡垒机堡垒机RDP/VNC/X11/应用发布代理服务TCP3390二台堡垒机堡垒机RDP/VNC/X11/应用发布回放端口阿里云SLB至少需要探测以上端口,当发现某一个端口出现问题时,及时切断出问题堡垒机的服务。2.3麒麟开源堡垒机使用说明阿里去SLB方案拓朴图如下:3实施方案其中红色箭头为移动(互联网)用户访问流,绿色箭头为公司内网(可信任源)用户访问流。阿里云系统将公司内网出网IP设置为信任地址,信任地址可以直接访问到SLB映射地址的TCP22、443、3389、3390端口,可以直接使用堡垒机。阿里云系统将TCP8443端口映射到整个Internet,移动用户需要安装麒麟VPN客户端,当移动用户需要使用堡垒机时,先使用SSLVPN通过SLB连接到堡垒机,然后才能访问堡垒4实施方案机,这样可以保证整个系统不对公网暴露以保证安全性。3.麒麟开源堡垒机DNS负载均衡方式2.1麒麟开源堡垒机物理环境准备要求用户需要有自己的DNS系统,并且DNS需要支持负载均衡。2.2麒麟开源堡垒机D...
