You need to enable JavaScript to run this app.
导航
通过多网域实现私网环境主机运维
最近更新时间:2024.11.11 19:36:44首次发布时间:2024.10.31 11:11:25

云堡垒机提供网络域代理方式连通跨地域、跨 VPC、异构云等不同网络环境下的资源,实现多网域运维。本文使用私网连接作为代理,以跨 VPC 为例,介绍如何创建多网域实现不同网络环境中的主机运维。

场景介绍

云堡垒机新增提供的多网域管理功能,支持通过网络域代理方式连通多个 VPC、异构云等不同网络环境中的服务器资产,实现多网域运维。解决网络连接的前提下,能最大程度节省使用成本,可谓是多混合云场景中提供的最佳运维方案。

说明

本文使用私网连接(PrivateLink)作为代理,以私网连通为例进行介绍。通过代理服务器构建多网域环境的最佳实践,参见:通过多网域实现跨网络主机运维

alt

背景信息

通常情况下,服务器资产分布在不同 VPC 且可能与云堡垒机的网络不互通。使用公网 IP 直接连接服务器所在的网络可能存在公网暴露风险,而使用专线连接云服务器所在的网络将导致成本过高,更不推荐在每个 VPC 中部署多套云堡垒机来解决网络连接问题。

每个 VPC 中部署多套云堡垒机的多堡垒机实例方案与多网域方案对比如下:

对比项多堡垒机实例方案多网域方案
资源占用N 台云堡垒机实例单台堡垒机实例,N 个网域代理服务器
主机管理分别在每个云堡垒机实例中导入主机,存在配置重复、配置不一致风险将所有主机手动导入到同一台云堡垒机
人员管理需要在每个云堡垒机下导入用户、授权,管理成本高统一用户导入、授权管理
运维多个云堡垒机入口单个云堡垒机入口
隔离性云堡垒机实例可以将多个环境隔离,通过 ACL 控制访问隔离性差,资源控制依赖云堡垒机授权

前提条件

  • 合理规划网络域和服务器资源,并获取服务器资源的私网 IP 地址和账户信息,本场景使用的组网配置如下:
资源配置详情
云堡垒机已关闭公网访问,无公网 IP 地址。所属华北2(北京)地域的 VCP-1(例如:vpc-vbh-mlt)。
主机 A(例如:ECS-A8Iw)已关闭公网访问,无公网 IP 地址。所属华北2(北京)地域的 VCP-1(例如:vpc-vbh-mlt),与云堡垒机使用相同 VPC。
主机 B(例如:ECS-yBpq)已关闭公网访问,无公网 IP 地址。所属华北2(北京)地域的 VCP-2(例如:lctest)。
主机 C(例如:ECS-bsj)已关闭公网访问,无公网 IP 地址。所属华北2(北京)地域的 VCP-2(例如:lctest),与主机 B 使用相同 VPC。用于负载均衡的后端服务器。
  • 已经根据上述配置创建云堡垒机,并参考管理员使用指引中的人员管理配置指引,完成云堡垒机基础环境配置。详细介绍参见:创建云堡垒机管理员使用指引

使用限制

  • 目前,网域内仅支持添加 Linux 操作系统的主机。
  • 同一个网域内不允许添加相同 IP 地址的主机;同一台主机不允许同时添加到多个网域内。

操作步骤

本场景为您详细介绍创建多网域实现私网环境中主机运维的配置步骤,可参考如下步骤依次执行。

步骤一:导入 ECS 主机

通过导入 ECS 主机方式,将前提条件中准备的主机 A 和 主机 B 导入云堡垒机,并完成主机账号配置、主机授权等操作。

说明

若多台主机的登录名和认证密码完全相同,推荐批量导入;若多台主机的登录名和认证密码存在差异,推荐逐个导入或逐个配置账号信息,否则将因账号/密码错误导致主机无法登录。

  1. 登录 云堡垒机控制台
  2. 在左侧导航栏选择 云堡垒机
  3. 单击目标云堡垒机实例名称,进入云堡垒机管理页面。
  4. 在左侧导航栏,选择 资源管理 > 主机
  5. 在主机管理页面,单击 导入 ECS 主机
  6. 选择前提条件中已经准备的主机,并配置新建主机账号信息。将已经准备的主机导入云堡垒机,并完成主机账号配置、主机授权等操作。

alt

配置项说明
主机选择云堡垒机所属地域下的主机,导入当前云堡垒机。本场景导入前提条件中准备的主机,需要注意的是:因主机 B 的 VPC 与云堡垒机不同,允许导入但网络不通,后续需要通过多网域方式连通网络。
主机名称云堡垒机主机列表中的显示名称,此方式可自动获取所选主机的主机名称。
登录名云堡垒机登录主机时使用的主机名,需确保与原 ECS 中配置的登录名一致。

认证方式

云堡垒机登录主机的认证方式,需确保与原 ECS 中配置的认证方式一致。

  • 密码:云堡垒机使用密码登录 Windows 或 Linux 操作系统的主机。
  • 密钥:云堡垒机使用密钥对登录 Linux 操作系统的主机,密钥认证仅支持 ssh-keygen 生成的 RSA 密钥。
密码密码认证方式时需要配置。登录名对应的登录密码,需确保与原 ECS 中配置的密码一致。
私钥密钥认证方式时需要配置。登录名对应的登录密钥,需确保与原 ECS 中配置的密钥一致。
加密口令密钥认证方式时需要配置。SSH 登录的加密口令,需确保与原配置的加密口令一致;若主机设置密钥时免密登录,则在加密口令中留空。

验证密码

仅单个导入 ECS 主机时可用。验证主机登录名和密码/密钥的连通性,以保证云堡垒机可以访问到主机。

注意

务必保证验证密码通过,否则可以成功导入 ECS 主机但云堡垒机无法正常登录该主机。

步骤二:创建负载均衡器并添加监听器

  1. 登录 负载均衡控制台
  2. 在负载均衡管理页面,单击 创建负载均衡,配置负载均衡相关信息,完成后单击 立即购买

alt

本场景涉及的关键配置说明如下,其他按需配置即可,详细操作步骤和配置项说明参见:创建负载均衡实例

配置项说明
网络类型负载均衡实例的网络类型,本场景选择 私网,仅提供私网 IP 地址,互联网用户无法访问。
私有网络负载均衡实例所属的私有网络,本场景选择前提条件规划中提到的 VPC-2,与云堡垒机使用不同的私有网络。
  1. 返回负载均衡管理页面,单击创建成功的负载均衡名称,进入负载均衡详情页面。
  2. 单击 监听器 页签中的 添加监听器,根据引导依次配置监听器和后端服务器组等信息,完成后单击 确定

alt

本场景涉及的关键配置说明如下,其他按需配置即可,详细操作步骤和配置项说明参见:创建 TCP 协议监听器

配置项说明
负载均衡协议负载均衡实例监听的协议类型,云堡垒机的多网域功能目前还不支持 HTTP/HTTPS 等协议,因此,本场景选择 TCP
监听端口目标监听端口,后续创建云堡垒机网域时的代理端口。根据实际场景配置即可,本场景配置为 3068
后端服务器组自定义名称,新创建监听器的后端服务器组。

添加后端服务器

添加相同 VPC 内的服务器,作为后端服务器组。本场景将前提条件中规划的 主机 C 添加到后端服务器组。

  • 端口:后端服务器提供服务的端口,要求服务器关联的安全组已开放对应端口。本场景配置为 主机 C 的 ssh 协议连接端口,例如:22。

  • 权重:后端服务器收到请求的概率,若同时添加多台后端服务器,按需配置即可。

说明

  • ssh 协议默认端口为 22,若进行过修改,填写修改后的端口即可。

  • 若添加多个后端服务器,要求多台后端服务器的登录名和密码完全一致,以保证后续网域轮询检查时,多个代理服务器能够正常连接。

步骤三:创建终端节点服务

  1. 登录 终端节点服务控制台
  2. 在终端节点服务管理页面,单击 创建终端节点服务,配置终端节点服务相关信息,完成后单击 确定

alt

本场景涉及的关键配置说明如下,其他按需配置即可,详细操作步骤和配置项说明参见:创建终端节点服务

配置项说明
服务资源终端节点服务的服务资源,本场景选择步骤二中创建的负载均衡作为服务资源。

步骤四:创建终端节点并接受连接

  1. 登录 终端节点控制台
  2. 在终端节点管理页面,单击 创建终端节点,配置终端节点相关信息,完成后单击 确定订单。此时,终端节点的连接状态为 等待连接

alt

本场景涉及的关键配置说明如下,其他按需配置即可,详细操作步骤和配置项说明参见:创建接口终端节点

配置项说明
类型本场景选择 接口 类型的终端节点。接口终端节点是一个弹性网络接口,具有来自子网的私网IP地址,可以将访问流量转发到所关联的终端节点服务。
终端节点服务终端节点绑定的终端节点服务。本场景在 选择可选服务 添加方式中,通过名称/ID 搜索并选择步骤三中创建的终端节点服务。
私有网络终端节点所属的私有网络,本场景选择前提条件中规划的 VPC-1,与云堡垒机使用相同的私有网络。
  1. 终端节点创建完成后,返回 终端节点服务 管理页面,单击目标终端节点服务名称,进入详情页。
  2. 终端节点连接 页签,开启自动接受连接或手动连接上述创建的终端节点。本场景采用手动连接方式,单击操作列 接受,选择步骤二中创建的服务资源,完成后单击 确定

alt

步骤五:创建网域并添加主机

  1. 登录 云堡垒机控制台
  2. 在左侧导航栏选择 云堡垒机
  3. 单击目标云堡垒机实例名称,进入云堡垒机管理页面。
  4. 在左侧导航栏,选择 资源管理 > 多网域
  5. 在网域管理页面,单击 创建网域,配置网域相关信息,完成后单击 确定,开始网络域的创建。

alt

配置项说明
名称自定义网域名称,命名规则:长度限制 2-60 个字符,支持英文字母、汉字、数字和中划线(-)。
代理方式云堡垒机与代理服务器之间的连接方式,目前仅提供 SSH 代理

配置代理

配置代理(私网连接)相关信息,保证云堡垒机与代理服务器能够正常连通。

  • 服务器地址:代理的 IP 地址。本场景为步骤四中创建的终端节点 IP 地址。

  • 端口:代理对外提供服务的端口。本场景为步骤二中自定义配置的监听端口,例如:3068。

  • 主机账户:代理的账户名称,配合密码,用于连接认证。本场景为后端服务器组中主机的账户名称,即 主机 C 的账户名。

  • 密码:账户对应的密码,本场景为 主机 C 的密码。

说明

单击 测试连接 验证代理服务器的连通性,代理服务器连接成功即可保障网域的正常连接。

描述当前网域的描述或备注信息。
添加主机在规划的网域范围内,选择需要添加到当前网域中的主机。本场景将前提条件中准备的 主机 B 添加到网域中。

结果验证

可通过云堡垒机与主机 B 之间的网络连通性来验证多网域配置是否成功。

  • 未创建多网域前,由于网络不通,导致主机 B 无法成功连接云堡垒机,验证密码失败并报错。

alt

  • 创建多网域后,将通过代理服务器连通主机 B 与云堡垒机,预期结果是验证密码成功,表示多网域配置成功。

alt

说明

若两次验证密码均失败,可能是主机账号配置错误所致,请检查配置后重新验证。