云堡垒机提供网络域代理方式连通跨地域、跨 VPC、异构云等不同网络环境下的资源,实现多网域运维。本文使用代理服务器,以跨 VPC 为例,介绍如何创建多网域实现不同网络环境中的主机运维。
场景介绍
云堡垒机新增提供的多网域管理功能,支持通过网络域代理方式连通多个 VPC、异构云等不同网络环境中的服务器资产,实现多网域运维。解决网络连接的前提下,能最大程度节省使用成本,可谓是多混合云场景中提供的最佳运维方案。
说明
本文使用代理服务器,以公网连通为例进行介绍。若云堡垒机已经停用公网,请确保云堡垒机与代理服务器之间的网络连通性,或参考私网连接最佳实践,详细介绍参见:通过多网域实现私网环境主机运维。
背景信息
通常情况下,服务器资产分布在不同 VPC 且可能与云堡垒机的网络不互通。使用公网 IP 直接连接服务器所在的网络可能存在公网暴露风险,而使用专线连接云服务器所在的网络将导致成本过高,更不推荐在每个 VPC 中部署多套云堡垒机来解决网络连接问题。
每个 VPC 中部署多套云堡垒机的多堡垒机实例方案与多网域方案对比如下:
| 对比项 | 多堡垒机实例方案 | 多网域方案 |
|---|---|---|
| 资源占用 | N 台云堡垒机实例 | 单台堡垒机实例,N 个网域代理服务器 |
| 主机管理 | 分别在每个云堡垒机实例中导入主机,存在配置重复、配置不一致风险 | 将所有主机手动导入到同一台云堡垒机 |
| 人员管理 | 需要在每个云堡垒机下导入用户、授权,管理成本高 | 统一用户导入、授权管理 |
| 运维 | 多个云堡垒机入口 | 单个云堡垒机入口 |
| 隔离性 | 云堡垒机实例可以将多个环境隔离,通过 ACL 控制访问 | 隔离性差,资源控制依赖云堡垒机授权 |
前提条件
- 合理规划网络域和代理服务器,并获取代理服务器的公网 IP 地址和账户信息。要求服务器资源和代理服务器处于同一网络环境下,且代理服务器能够通过公网连接到云堡垒机。本场景使用的组网配置如下:
| 资源 | 地域及 VPC | 公网访问 |
|---|---|---|
| 云堡垒机 | 华东 2(上海)地域的 VPC-1 | 开启 |
| 代理服务器 | 华东 2(上海)地域的 VPC-2 | 开启 |
| 主机 A | 华东 2(上海)地域的 VPC-1,与云堡垒机相同 | 关闭 |
| 主机 B | 华东 2(上海)地域的 VPC-2,与代理服务器相同 | 关闭 |
使用限制
- 目前,网域内仅支持添加 Linux 操作系统的主机。
- 同一个网域内不允许添加相同 IP 地址的主机;同一台主机不允许同时添加到多个网域内。
操作步骤
本场景为您详细介绍创建多网域实现不同网络环境中的主机运维的操作步骤,可参考如下步骤依次执行。
步骤一:配置代理服务器
- 登录 云服务器控制台。
- 在左侧导航树中选择 实例与镜像 > 实例。
- 在顶部导航栏选择地域和项目,本场景选择 华东 2(上海) 地域。
- 单击 创建实例 > 自定义购买 按钮,根据使用指引配置服务器相关参数,完成后单击 立即购买。
本场景涉及的关键配置说明如下,其他按需配置即可,详细操作步骤和配置项说明参见:通过向导购买实例。
| 配置项 | 说明 |
|---|---|
| 计算规格 | 2C4G 及以上配置的计算规格。 |
| 镜像 | 任意已经开启 SSH 服务的 Linux 镜像。可以直接使用 SSH 代理,无需安装其他组件及配置。 |
| 弹性公网 IP | 开启分配弹性公网 IP,并配置公网带宽与云堡垒机实例的带宽一致。 |
| 登录方式 | 登录凭证选择 密码 方式,并配置 root 用户的登录密码。 |
步骤二:导入 ECS 主机
通过导入 ECS 主机方式,将前提条件中准备的主机导入云堡垒机,并完成主机账号配置、主机授权等操作。
说明
若多台主机的登录名和认证密码完全相同,推荐批量导入;若多台主机的登录名和认证密码存在差异,推荐逐个导入或逐个配置账号信息,否则将因账号/密码错误导致主机无法登录。
- 登录 云堡垒机控制台。
- 在左侧导航栏选择 云堡垒机。
- 单击目标云堡垒机实例名称,进入云堡垒机管理页面。
- 在左侧导航栏,选择 资源管理 > 主机。
- 在主机管理页面,单击 导入 ECS 主机。
- 选择前提条件中已经准备的主机,并配置新建主机账号信息。将已经准备的主机导入云堡垒机,并完成主机账号配置、主机授权等操作。
| 配置项 | 说明 |
|---|---|
| 主机 | 选择云堡垒机所属地域下的主机,导入当前云堡垒机。本场景导入前提条件中准备的主机,需要注意的是:因主机 B 的 VPC 与云堡垒机不同,允许导入但网络不通,后续需要通过多网域方式连通网络。 |
| 主机名称 | 云堡垒机主机列表中的显示名称,此方式可自动获取所选主机的主机名称。 |
| 登录名 | 云堡垒机登录主机时使用的主机名,需确保与原 ECS 中配置的登录名一致。 |
认证方式 | 云堡垒机登录主机的认证方式,需确保与原 ECS 中配置的认证方式一致。
|
| 密码 | 密码认证方式时需要配置。登录名对应的登录密码,需确保与原 ECS 中配置的密码一致。 |
| 私钥 | 密钥认证方式时需要配置。登录名对应的登录密钥,需确保与原 ECS 中配置的密钥一致。 |
| 加密口令 | 密钥认证方式时需要配置。SSH 登录的加密口令,需确保与原配置的加密口令一致;若主机设置密钥时免密登录,则在加密口令中留空。 |
验证密码 | 仅单个导入 ECS 主机时可用。验证主机登录名和密码/密钥的连通性,以保证云堡垒机可以访问到主机。 注意 务必保证验证密码通过,否则可以成功导入 ECS 主机但云堡垒机无法正常登录该主机。 |
步骤三:创建网域并添加主机
- 登录 云堡垒机控制台。
- 在左侧导航栏选择 云堡垒机。
- 单击目标云堡垒机实例名称,进入云堡垒机管理页面。
- 在左侧导航栏,选择 资源管理 > 多网域。
- 在网域管理页面,单击 创建网域,配置网域相关信息,完成后单击 确定,开始网络域的创建。
| 配置项 | 说明 |
|---|---|
| 名称 | 自定义网域名称,命名规则:长度限制 2-60 个字符,支持英文字母、汉字、数字和中划线(-)。 |
| 代理方式 | 云堡垒机与代理服务器之间的连接方式,目前仅提供 SSH 代理。 |
配置代理 | 配置代理服务器相关信息,保证云堡垒机与代理服务器能够正常连通。
说明 单击 测试连接 验证代理服务器的连通性,代理服务器连接成功即可保障网域的正常连接。 |
| 描述 | 当前网域的描述或备注信息。 |
| 添加主机 | 在规划的网域范围内,选择需要添加到当前网域中的主机。本场景将前提条件中准备的 主机 B 添加到网域中。 |
结果验证
可通过云堡垒机与主机 B 之间的网络连通性来验证多网域配置是否成功。
- 未创建多网域前,由于网络不通,导致主机 B 无法成功连接云堡垒机,验证密码失败并报错。
- 创建多网域后,将通过代理服务器连通主机 B 与云堡垒机,预期结果是验证密码成功,表示多网域配置成功。
说明
若两次验证密码均失败,可能是主机账号配置错误所致,请检查配置后重新验证。