前提条件

  1. 已完成阿里云账号注册实名认证金融云认证

  2. 已完成安全组创建ECS实例创建
  3. 已完成配置VPN且VPN正常登录。

背景信息

配置规划

根据金融云在经典网络下的金融云推荐架构(经典网络)安全策略,您需要在华东1地域购置两台堡垒机,分别用于两个区域的VPN接入。详细规划如下。

地域 数量 堡垒机名称 所属安全域 关联安全组 凭据
华东1 2
  • Bastion_01
  • Bastion_02
 G1 sg_g1_02

ecs_web_01

ecs_web_02

操作步骤

  1. 登录阿里云官网并单击右上方的控制台进入控制台页面。
  2. 在左侧导航栏中选择安全(云盾) > 堡垒机(安全管理),进入堡垒机页面。
  3. 购买堡垒机。
    1. 左侧导航栏中选择实例列表,单击购买堡垒机,进入购买页面。
    2. 配置堡垒机基本参数:地域:华东1;网络:经典网络;数量:2;其他参数根据实际需求配置。
    3. 单击立即购买,根据界面提示完成支付、购买。
  4. 启用堡垒机。
    1. 在实例列表中找到购买的堡垒机,修改堡垒机名称,并单击启用
    2. 弹出的窗口中配置堡垒机的网络参数。


      • 安全组:选择用于堡垒机接入ECS的安全组sg_g1。

        此处选择完成安全组后,系统自动在ECS的此安全组中创建一条安全规则,允许堡垒机接入此安全组中的ECS。

      • 内网访问控制:将VPN所有客户端IP地址添加进来;
      • 公网访问控制:经典网络的金融云场景下,禁止公网直接接入堡垒机管理ECS,所以这里请选择不对公网开放
    3. 单击确定
    4. 堡垒机启动需要约10分钟,请10分钟后刷新页面,堡垒机正常启动后进行管理配置。
  5. 添加待管理ECS。
    1. 在实例列表中找到购买的堡垒机,单击管理
    2. 在弹出的页面中单击内网接入
    3. 在弹出的页面左侧导航栏中选择资产 > 服务器,并单击同步阿里云ECS
    4. 在弹出的页面中搜索用于堡垒机访问的ECS,勾选后单击加入云堡垒机
    5. 关闭同步阿里云ECS页面,在堡垒机的服务器页面出现上述步骤勾选的ECS服务器。
  6. 添加管理凭据。
    1. 在堡垒机页面的左侧导航栏中选择资产 > 凭据,单击新建凭据
    2. 在弹出的页面中配置凭据参数。


      • 登录名为root。
      • 凭据类型选择密码,密码为ECS操作系统root用户登录的密码。
    3. 单击确定
    4. 重复上述步骤,完成另一个用于Web接入的ECS的管理凭据。
  7. 新建用户。
    1. 在堡垒机页面的左侧导航栏中选择用户 > 用户管理,单击新建本地用户
    2. 在弹出的页面中填写运维人员的用户信息。后续SSH运维等操作可由此用户操作。
    3. 单击确定
  8. 配置管理授权。
    1. 在堡垒机页面的左侧导航栏中选择授权 > 授权组,单击新建授权组
    2. 在弹出的窗口中自定义授权组名称。
    3. 在授权组页面单击服务器列、用户列、凭据列,将上述步骤添加的服务器、用户、凭据添加至此授权组中。

执行结果

经典网络下,用户通过拨入VPN接入堡垒机管理ECS。完成上述安全组配置、ECS配置、VPN配置、堡垒机配置后,您可通过连接ECS服务器、上传下载文件等操作验证上述配置是否正确。

通过堡垒机远程登录ECS请参考SSH协议运维RDP协议运维章节。