云堡垒机提供网络域代理方式连通跨地域、跨 VPC、异构云等不同网络环境下的资源,实现多网域运维。本文使用私网连接作为代理,以跨 VPC 为例,介绍如何创建多网域实现不同网络环境中的主机运维。
云堡垒机新增提供的多网域管理功能,支持通过网络域代理方式连通多个 VPC、异构云等不同网络环境中的服务器资产,实现多网域运维。解决网络连接的前提下,能最大程度节省使用成本,可谓是多混合云场景中提供的最佳运维方案。
说明
本文使用私网连接(PrivateLink)作为代理,以私网连通为例进行介绍。通过代理服务器构建多网域环境的最佳实践,参见:通过多网域实现跨网络主机运维。
通常情况下,服务器资产分布在不同 VPC 且可能与云堡垒机的网络不互通。使用公网 IP 直接连接服务器所在的网络可能存在公网暴露风险,而使用专线连接云服务器所在的网络将导致成本过高,更不推荐在每个 VPC 中部署多套云堡垒机来解决网络连接问题。
每个 VPC 中部署多套云堡垒机的多堡垒机实例方案与多网域方案对比如下:
对比项 | 多堡垒机实例方案 | 多网域方案 |
---|---|---|
资源占用 | N 台云堡垒机实例 | 单台堡垒机实例,N 个网域代理服务器 |
主机管理 | 分别在每个云堡垒机实例中导入主机,存在配置重复、配置不一致风险 | 将所有主机手动导入到同一台云堡垒机 |
人员管理 | 需要在每个云堡垒机下导入用户、授权,管理成本高 | 统一用户导入、授权管理 |
运维 | 多个云堡垒机入口 | 单个云堡垒机入口 |
隔离性 | 云堡垒机实例可以将多个环境隔离,通过 ACL 控制访问 | 隔离性差,资源控制依赖云堡垒机授权 |
资源 | 配置详情 |
---|---|
云堡垒机 | 已关闭公网访问,无公网 IP 地址。所属华北2(北京)地域的 VCP-1(例如:vpc-vbh-mlt)。 |
主机 A(例如:ECS-A8Iw) | 已关闭公网访问,无公网 IP 地址。所属华北2(北京)地域的 VCP-1(例如:vpc-vbh-mlt),与云堡垒机使用相同 VPC。 |
主机 B(例如:ECS-yBpq) | 已关闭公网访问,无公网 IP 地址。所属华北2(北京)地域的 VCP-2(例如:lctest)。 |
主机 C(例如:ECS-bsj) | 已关闭公网访问,无公网 IP 地址。所属华北2(北京)地域的 VCP-2(例如:lctest),与主机 B 使用相同 VPC。用于负载均衡的后端服务器。 |
本场景为您详细介绍创建多网域实现私网环境中主机运维的配置步骤,可参考如下步骤依次执行。
通过导入 ECS 主机方式,将前提条件中准备的主机 A 和 主机 B 导入云堡垒机,并完成主机账号配置、主机授权等操作。
说明
若多台主机的登录名和认证密码完全相同,推荐批量导入;若多台主机的登录名和认证密码存在差异,推荐逐个导入或逐个配置账号信息,否则将因账号/密码错误导致主机无法登录。
配置项 | 说明 |
---|---|
主机 | 选择云堡垒机所属地域下的主机,导入当前云堡垒机。本场景导入前提条件中准备的主机,需要注意的是:因主机 B 的 VPC 与云堡垒机不同,允许导入但网络不通,后续需要通过多网域方式连通网络。 |
主机名称 | 云堡垒机主机列表中的显示名称,此方式可自动获取所选主机的主机名称。 |
登录名 | 云堡垒机登录主机时使用的主机名,需确保与原 ECS 中配置的登录名一致。 |
认证方式 | 云堡垒机登录主机的认证方式,需确保与原 ECS 中配置的认证方式一致。
|
密码 | 密码认证方式时需要配置。登录名对应的登录密码,需确保与原 ECS 中配置的密码一致。 |
私钥 | 密钥认证方式时需要配置。登录名对应的登录密钥,需确保与原 ECS 中配置的密钥一致。 |
加密口令 | 密钥认证方式时需要配置。SSH 登录的加密口令,需确保与原配置的加密口令一致;若主机设置密钥时免密登录,则在加密口令中留空。 |
验证密码 | 仅单个导入 ECS 主机时可用。验证主机登录名和密码/密钥的连通性,以保证云堡垒机可以访问到主机。 注意 务必保证验证密码通过,否则可以成功导入 ECS 主机但云堡垒机无法正常登录该主机。 |
本场景涉及的关键配置说明如下,其他按需配置即可,详细操作步骤和配置项说明参见:创建负载均衡实例。
配置项 | 说明 |
---|---|
网络类型 | 负载均衡实例的网络类型,本场景选择 私网,仅提供私网 IP 地址,互联网用户无法访问。 |
私有网络 | 负载均衡实例所属的私有网络,本场景选择前提条件规划中提到的 VPC-2,与云堡垒机使用不同的私有网络。 |
本场景涉及的关键配置说明如下,其他按需配置即可,详细操作步骤和配置项说明参见:创建 TCP 协议监听器。
配置项 | 说明 |
---|---|
负载均衡协议 | 负载均衡实例监听的协议类型,云堡垒机的多网域功能目前还不支持 HTTP/HTTPS 等协议,因此,本场景选择 TCP。 |
监听端口 | 目标监听端口,后续创建云堡垒机网域时的代理端口。根据实际场景配置即可,本场景配置为 3068。 |
后端服务器组 | 自定义名称,新创建监听器的后端服务器组。 |
添加后端服务器 | 添加相同 VPC 内的服务器,作为后端服务器组。本场景将前提条件中规划的 主机 C 添加到后端服务器组。
说明
|
本场景涉及的关键配置说明如下,其他按需配置即可,详细操作步骤和配置项说明参见:创建终端节点服务。
配置项 | 说明 |
---|---|
服务资源 | 终端节点服务的服务资源,本场景选择步骤二中创建的负载均衡作为服务资源。 |
本场景涉及的关键配置说明如下,其他按需配置即可,详细操作步骤和配置项说明参见:创建接口终端节点。
配置项 | 说明 |
---|---|
类型 | 本场景选择 接口 类型的终端节点。接口终端节点是一个弹性网络接口,具有来自子网的私网IP地址,可以将访问流量转发到所关联的终端节点服务。 |
终端节点服务 | 终端节点绑定的终端节点服务。本场景在 选择可选服务 添加方式中,通过名称/ID 搜索并选择步骤三中创建的终端节点服务。 |
私有网络 | 终端节点所属的私有网络,本场景选择前提条件中规划的 VPC-1,与云堡垒机使用相同的私有网络。 |
配置项 | 说明 |
---|---|
名称 | 自定义网域名称,命名规则:长度限制 2-60 个字符,支持英文字母、汉字、数字和中划线(-)。 |
代理方式 | 云堡垒机与代理服务器之间的连接方式,目前仅提供 SSH 代理。 |
配置代理 | 配置代理(私网连接)相关信息,保证云堡垒机与代理服务器能够正常连通。
说明 单击 测试连接 验证代理服务器的连通性,代理服务器连接成功即可保障网域的正常连接。 |
描述 | 当前网域的描述或备注信息。 |
添加主机 | 在规划的网域范围内,选择需要添加到当前网域中的主机。本场景将前提条件中准备的 主机 B 添加到网域中。 |
可通过云堡垒机与主机 B 之间的网络连通性来验证多网域配置是否成功。
说明
若两次验证密码均失败,可能是主机账号配置错误所致,请检查配置后重新验证。