You need to enable JavaScript to run this app.
导航
通过多网域实现跨网络主机运维
最近更新时间:2024.07.05 10:37:10首次发布时间:2024.05.14 19:37:33

云堡垒机提供网络域代理方式连通跨地域、跨 VPC、异构云等不同网络环境下的资源,实现多网域运维。本文以跨 VPC 为例,介绍如何创建多网域实现不同网络环境中的主机运维。

场景介绍

云堡垒机新增提供的多网域管理功能,支持通过网络域代理方式连通多个 VPC、异构云等不同网络环境中的服务器资产,实现多网域运维。解决网络连接的前提下,能最大程度节省使用成本,可谓是多混合云场景中提供的最佳运维方案。

说明

本文以公网连通为例进行介绍,若云堡垒机已经停用公网,请确保云堡垒机与代理服务器之间的网络连通性。

alt

背景信息

通常情况下,服务器资产分布在不同 VPC 且可能与云堡垒机的网络不互通。使用公网 IP 直接连接服务器所在的网络可能存在公网暴露风险,而使用专线连接云服务器所在的网络将导致成本过高,更不推荐在每个 VPC 中部署多套云堡垒机来解决网络连接问题。

每个 VPC 中部署多套云堡垒机的多堡垒机实例方案与多网域方案对比如下:

对比项多堡垒机实例方案多网域方案
资源占用N 台云堡垒机实例单台堡垒机实例,N 个网域代理服务器
主机管理分别在每个云堡垒机实例中导入主机,存在配置重复、配置不一致风险将所有主机手动导入到同一台云堡垒机
人员管理需要在每个云堡垒机下导入用户、授权,管理成本高统一用户导入、授权管理
运维多个云堡垒机入口单个云堡垒机入口
隔离性云堡垒机实例可以将多个环境隔离,通过 ACL 控制访问隔离性差,资源控制依赖云堡垒机授权

前提条件

  • 合理规划网络域和代理服务器,并获取代理服务器的公网 IP 地址和账户信息。要求服务器资源和代理服务器处于同一网络环境下,且代理服务器能够通过公网连接到云堡垒机。本场景使用的组网配置如下:
资源地域及 VPC公网访问
云堡垒机华北 2(上海)地域的 VPC-1开启
代理服务器华东 2(上海)地域的 VPC-2开启
主机 A华北 2(上海)地域的 VPC-1,与云堡垒机相同关闭
主机 B华东 2(上海)地域的 VPC-2,与代理服务器相同关闭
  • 已经根据上述配置创建云堡垒机,并参考管理员使用指引中的人员管理配置指引,完成云堡垒机基础环境配置。详细介绍参见:创建云堡垒机管理员使用指引

使用限制

  • 目前,网域内仅支持添加 Linux 操作系统的主机。
  • 同一个网域内不允许添加相同 IP 地址的主机;同一台主机不允许同时添加到多个网域内。

操作步骤

本场景为您详细介绍创建多网域实现不同网络环境中的主机运维的操作步骤,可参考如下步骤依次执行。

步骤一:配置代理服务器

  1. 登录 云服务器控制台
  2. 在左侧导航树中选择 实例与镜像 > 实例
  3. 在顶部导航栏选择地域和项目,本场景选择 华东 2(上海) 地域。
  4. 单击 创建实例 > 自定义购买 按钮,根据使用指引配置服务器相关参数,完成后单击 立即购买

alt

alt

本场景涉及的关键配置说明如下,其他按需配置即可,详细操作步骤和配置项说明参见:通过向导购买实例

配置项说明
计算规格2C4G 及以上配置的计算规格。
镜像任意已经开启 SSH 服务的 Linux 镜像。可以直接使用 SSH 代理,无需安装其他组件及配置。
弹性公网 IP开启分配弹性公网 IP,并配置公网带宽与云堡垒机实例的带宽一致。
登录方式登录凭证选择 密码 方式,并配置 root 用户的登录密码。

步骤二:导入 ECS 主机

通过导入 ECS 主机方式,将前提条件中准备的主机导入云堡垒机,并完成主机账号配置、主机授权等操作。

  1. 登录 云堡垒机控制台
  2. 在左侧导航栏选择 云堡垒机
  3. 单击目标云堡垒机实例名称,进入云堡垒机管理页面。
  4. 在左侧导航栏,选择 资源管理 > 主机
  5. 在主机管理页面,单击 导入 ECS 主机
  6. 选择前提条件中已经准备的主机,并配置新建主机账号信息。将已经准备的主机导入云堡垒机,并完成主机账号配置、主机授权等操作。

alt

配置项说明
主机选择云堡垒机所属地域下的主机,导入当前云堡垒机。本场景导入前提条件中准备的主机,需要注意的是:因主机 B 的 VPC 与云堡垒机不同,允许导入但网络不通,后续需要通过多网域方式连通网络。
主机名称云堡垒机主机列表中的显示名称,此方式可自动获取所选主机的主机名称。
登录名云堡垒机登录主机时使用的主机名,需确保与原 ECS 中配置的登录名一致。

认证方式

云堡垒机登录主机的认证方式,需确保与原 ECS 中配置的认证方式一致。

  • 密码:云堡垒机使用密码登录 Windows 或 Linux 操作系统的主机。
  • 密钥:云堡垒机使用密钥对登录 Linux 操作系统的主机,密钥认证仅支持 ssh-keygen 生成的 RSA 密钥。
密码密码认证方式时需要配置。登录名对应的登录密码,需确保与原 ECS 中配置的密码一致。
私钥密钥认证方式时需要配置。登录名对应的登录密钥,需确保与原 ECS 中配置的密钥一致。
加密口令密钥认证方式时需要配置。SSH 登录的加密口令,需确保与原配置的加密口令一致;若主机设置密钥时免密登录,则在加密口令中留空。

验证密码

仅单个导入 ECS 主机时可用。验证主机登录名和密码/密钥的连通性,以保证云堡垒机可以访问到主机。

注意

务必保证验证密码通过,否则可以成功导入 ECS 主机但云堡垒机无法正常登录该主机。

步骤三:创建网域并添加主机

  1. 登录 云堡垒机控制台
  2. 在左侧导航栏选择 云堡垒机
  3. 单击目标云堡垒机实例名称,进入云堡垒机管理页面。
  4. 在左侧导航栏,选择 资源管理 > 多网域
  5. 在网域管理页面,单击 创建网域,配置网域相关信息,完成后单击 确定,开始网络域的创建。

alt

配置项说明
名称自定义网域名称,命名规则:长度限制 2-60 个字符,支持英文字母、汉字、数字和中划线(-)。
代理方式云堡垒机与代理服务器之间的连接方式,目前仅提供 SSH 代理

配置代理

配置代理服务器相关信息,保证云堡垒机与代理服务器能够正常连通。

  • 服务器地址:代理服务器的公网 IP 地址。

  • 端口:代理服务器对外提供服务的端口,例如: SSH 代理的默认端口是 22。

  • 主机账户:代理服务器的账户名称,配合密码,用于连接认证。

  • 密码:代理服务器账户对应的密码。

说明

单击 测试连接 验证代理服务器的连通性,代理服务器连接成功即可保障网域的正常连接。

描述当前网域的描述或备注信息。
添加主机在规划的网域范围内,选择需要添加到当前网域中的主机。本场景将前提条件中准备的 主机 B 添加到网域中。

结果验证

可通过云堡垒机与主机 B 之间的网络连通性来验证多网域配置是否成功。

  • 未创建多网域前,由于网络不通,导致主机 B 无法成功连接云堡垒机,验证密码失败并报错。

alt

  • 创建多网域后,将通过代理服务器连通主机 B 与云堡垒机,预期结果是验证密码成功,表示多网域配置成功。

说明

若两次验证密码均失败,可能是主机账号配置错误所致,请检查配置后重新验证。