如果您想统一运维分布在不同网络环境中或与堡垒机所在专有网络(VPC)网络不互通的服务器,推荐使用堡垒机的网络域功能。您可以为这些服务器配置一台代理服务器,然后在堡垒机中创建网络域并成功连接到代理服务器,通过代理服务器运维其他服务器。本文介绍如何使用网络域功能。

背景信息

堡垒机的网络域功能为IDC、异构云、跨VPC等多混合云场景提供了最佳运维方案。通常情况下,企业的服务器资产分布在不同的区域且可能与堡垒机的网络不互通。在使用公网IP直接连接服务器所在网络会有安全风险,而使用专线连接服务器所在网络导致成本过高的场景下,可选用阿里云堡垒机企业双擎版支持的网络域代理方式,通过代理模式对线下IDC、异构云、跨VPC等不同网络环境下的服务器进行运维。

有关堡垒机网络域代理模式运维方案的最佳实践,请参见堡垒机混合运维场景最佳实践

前提条件

已完成为处于同一网络环境下的服务器配置代理服务器。有关代理服务器推荐配置的详细信息,请参见代理服务器推荐配置

限制条件

  • 仅堡垒机的企业双擎版实例支持使用网络域代理方式。
  • 网络域代理方式支持SSH代理、HTTP代理、SOCKS5代理。

代理服务器推荐配置

您可以通过配置,使用SSH、HTTP或者SOCKS5服务器作为主、备代理服务器,然后通过代理服务器运维其他服务器。下表介绍代理服务器的推荐配置。

SSH代理服务器

配置项 说明
操作系统 任意已开启SSH服务的Linux服务器。
配置步骤 可以直接使用SSH代理,无需安装其他组件及配置。
CPU与内存 2核CPU,4G内存
带宽 10 Mbit/s。
说明 实际带宽使用与运维并发数量有关。当多个会话使用远程桌面进行复杂图形操作等行为时,可能会导致远程会话卡顿。如果有此类情况发生,请及时购买带宽扩展包。

HTTP和SOCKS5代理服务器

配置项 说明
操作系统 CentOS 6.9及以上版本。
配置步骤 具体步骤,请参见如何将服务器配置为HTTP和SOCKS5代理服务器?
CPU与内存 2核CPU,4G内存
带宽 10 Mbit/s。
说明 实际带宽使用与运维并发数量有关。当多个会话使用远程桌面进行复杂图形操作等行为时,可能会导致远程会话卡顿。如果有此类情况发生,请及时购买带宽扩展包。

新建网络域

要使用堡垒机运维网络域内的多台服务器,需要先在堡垒机中新建网络域并连接到代理服务器。具体操作步骤如下。

  1. 登录云盾堡垒机控制台
  2. 在左侧导航栏中,选择资产管理 > 网络域。
  3. 网络域页面,单击新建网络域。然后在新建网络域面板,设置网络域的名称、备注信息,选择连接方式。
    连接方式支持直连代理这两种方式。
    说明 堡垒机基础版企业双擎版支持的连接方式不同。
    • 基础版仅支持直连。
    • 企业双擎版支持直连、代理。
    当您连接方式选择为代理时,您还需要配置代理服务器。备代理服务器配置的操作与主代理服务器配置相同。下文以配置主代理服务器为例,介绍配置代理服务器的具体操作。
    1. 单击主代理服务器下方的添加代理服务器,在弹出的对话框中配置主代理服务器的参数。
      配置项 描述
      代理方式 选择代理方式。可选择的代理方式:
      • SSH代理
      • HTTP代理
      • SOCKS5代理
      服务器地址 填写主代理服务器的地址。
      服务器端口 填写主代理服务器的端口。
      主机账户 填写主代理服务器的账户。
      密码 填写主代理服务器账户的密码。
    2. (可选)按照配置主代理服务器的方式,配置备代理服务器。
      说明 网络域功能支持配置主代理服务器备代理服务器两个代理服务器。当主代理服务器异常时,会自动切换使用备代理服务器。为了确保网络域使用更加稳定,建议您配置备代理服务器。
    3. 单击测试连接,测试成功后,单击确定
      说明 如果提示连接失败,请检查配置项信息是否填写正确。
  4. 单击新建网络域,进入新建网络域成功的页面。
    您可单击下方关联主机,将要运维的主机移入网络域。具体操作,请参见移入主机

移入主机

新建网络域后,您可以将主机移入网络域。具体操作步骤如下。

  1. 登录云盾堡垒机控制台
  2. 在左侧导航栏中,选择资产管理 > 网络域。
  3. 网络域页面的网络域列表中,定位到要编辑的网络域。
  4. 在目标网络域的操作列,单击移入主机。然后,在移入主机对话框的主机列表中,定位到需要移入的主机,并单击操作列的移入主机
    您也可以在主机列表中,批量选中要移入网络域的主机,单击下方的移入,将主机批量移入网络域。

编辑网络域

您可以使用编辑功能修改网络域的基本信息,或者移入、删除主机。具体操作步骤如下。

  1. 登录云盾堡垒机控制台
  2. 在左侧导航栏中,选择资产管理 > 网络域。
  3. 网络域页面的网络域列表中,定位到要编辑的网络域。
  4. 在目标网络域的操作列,单击编辑。然后,在网络域详情页面,单击基本信息主机页签,编辑基本信息或主机信息。
    • 基本信息:支持修改网络域名称备注连接方式、对主、备代理服务器进行测试连接编辑
    • 主机:支持移入主机删除主机

后续步骤

通过网络域功能,成功连接堡垒机与网络域中的服务器后,您还需要完成授权主机,才可以使用堡垒机运维网络域中的服务器。

网络域功能视频演示