目錄
1 概述 2
1.1 方案背景 2
1.2 方案內容 3
2. 阿里雲SLB負載均衡方式 3
2.1 物理環境準備要求 3
2.2 阿里雲SLB設置 3
2.3 使用說明 3
3. DNS負載均衡方式 5
2.1 物理環境準備要求 5
2.2 DNS設置 5
2.3 使用說明 5
4 方案比較 6
1 概述
1.1 方案背景
阿里雲系統中,非VPC網絡用戶無法對系統IP進行修改增加,因此堡壘機雙機模式無法應用在阿里雲非VPC用戶中。
1.2 方案內容
本方案探討使用DNS負載均衡和阿里雲SLB負載均衡二種方式實現麒麟堡壘機的雙機熱備,並且將運維用戶區分爲公司內網用戶和移動(互聯網)用戶二種,二種用戶訪問堡壘機的方式不同,其中公司內網爲可信任來源地址,可以直接使用運維協議訪問堡壘機,而移動(互聯網)用戶必須使用SSL ***接入內網後,才能訪問堡壘機,這樣主要是防止堡壘機的ssh、https、rdp等端口在公網上開放以造成的掃描***事件。
2. 阿里雲SLB負載均衡方式
2.1 物理環境準備要求
用戶需要有阿里雲SLB服務,並且在阿里雲安裝二臺堡壘機。
2.2 阿里雲SLB設置
阿里雲SLB系統需要將如下端口進行映射:
端口號 映射位置 服務說明
TCP 8443 二臺堡壘機 移動用戶(互聯網)SSL ***服務
TCP 443 二臺堡壘機 堡壘機前臺界面web 服務
TCP 22 二臺堡壘機 堡壘機SSH代理服務
TCP 3389 二臺堡壘機 堡壘機RDP/VNC/X11/應用發佈代理服務
TCP 3390 二臺堡壘機 堡壘機RDP/VNC/X11/應用發佈回放端口
阿里雲SLB至少需要探測以上端口,當發現某一個端口出現問題時,及時切斷出問題堡壘機的服務。
2.3 使用說明
阿里去SLB方案拓樸圖如下:
其中紅色箭頭爲移動(互聯網)用戶訪問流,綠色箭頭爲公司內網(可信任源)用戶訪問流。
阿里雲系統將公司內網出網IP設置爲信任地址,信任地址可以直接訪問到SLB映射地址的TCP 22、443、3389、3390端口,可以直接使用堡壘機。
阿里雲系統將TCP 8443端口映射到整個Internet,移動用戶需要安裝麒麟***客戶端,當移動用戶需要使用堡壘機時,先使用SSL ***通過 SLB連接到堡壘機,然後才能訪問堡壘機,這樣可以保證整個系統不對公網暴露以保證安全性。
3. DNS負載均衡方式
2.1 物理環境準備要求
用戶需要有自己的DNS系統,並且DNS需要支持負載均衡。
2.2 DNS設置
需要爲二臺堡壘機分配公網IP。
DNS系統上設置一個域名,比如blj,將這個域名解析到二個堡壘機的公網IP上,並且將DNS的刷新時間設置爲10秒以內,以保證當某個堡壘機出現問題時DNS Cache不會影響到切換時間。
DNS負載均衡方式需要手工切換,即如果某一個堡壘機出現問題時,需要手工將出問題的堡壘機從域名解析中禁用,這樣用戶就不會在訪問到出問題的堡壘機。
2.3 使用說明
用戶使用域名訪問堡壘機(非IP),用戶訪問堡壘機的時候,通過DNS解析到堡壘機的IP,因爲二臺堡壘機的IP都在DNS A記錄中,因此實現了DNS的負載均衡,即頭一個用戶返回的是堡壘機1的IP,第二個用戶返回的是堡壘機2的IP…….
當某一個堡壘機出現問題時,需要手工登錄到DNS系統,將出問題的DNS A記錄禁用,這樣可以讓用戶不在解析訪問到出問題的堡壘機IP。
訪問規則仍然與SLB負載均衡模式相同,移動用戶使用SSL ***訪問堡壘機,公司內網用戶直接使用IP訪問堡壘機。
4 方案比較
二個訪問比較表如下:
比較項 SLB 負載均衡模式 DNS負載均衡模式
二臺主用 是 是
切換方式 自動切換 手工切換
複雜度 複雜 簡單
成本 高 低
從上表可以看出,DNS負載均衡主要的好處是設置簡單(不需要設置SLB等),成本低(不需要使用SLB),但是主要問題時,當出現故障時,需要手工進行切換。