AI 助理
备案控制台
文档
输入文档关键字查找
首页 运维安全中心(堡垒机) 基础版、企业双擎版 服务支持 常见问题 售卖相关问题 使用场景相关问题

使用场景相关问题

更新时间:
产品详情
我的收藏

本文介绍堡垒机使用场景的相关问题。

堡垒机如何跨云管理其他来源的主机?

  • 非阿里云或者线下IDC资产,在主机和堡垒机网络能连通的情况下(例如公网运维),可以通过在堡垒机新建主机导入主机资产。具体操作,请参见新建主机

  • 如果资产跨VPC或跨账号场景,且之间没有专线打通,可以使用堡垒机的网络域功能。具体操作,请参见混合运维场景最佳实践

堡垒机支持跨账号、跨VPC运维资产吗?

支持。堡垒机和服务器如果不在同一个账号或者VPC下,您可以通过公网运维资产,也可以使用专线等方式打通网络,通过内网运维资产。

说明

如果您需要通过内网运维资产且网络无法打通的情况下,可以配置和使用堡垒机的网络域功能。具体操作,请参见混合运维场景最佳实践

经典网络中的资产如何运维?

若阿里云ECS服务器是在经典网络,则需要通过ClassicLink打通堡垒机VPC与该经典网络。ClassicLink功能更多信息,请参见ClassicLink概述

如何将服务器配置为HTTPSOCKS5代理服务器?

下文以阿里云服务器(操作系统为CentOS 8.3)为例,介绍如何将服务器配置为HTTPSOCKS5代理服务器。

  1. 登录阿里云服务器。

  2. 执行yum install 3proxy命令,安装3proxy代理工具。

  3. 执行vim /etc/3proxy.cfg命令,修改以下配置文件。

    • 配置代理服务器的主机账户和密码。设置用户名和密码

    • 配置权限控制参数。权限控制参数

    • 启用HTTPSOCKS5代理,指定监听端口和访问代理服务器的来源IP。IP脱敏

  4. 执行systemctl start 3proxy.service命令,启用代理服务。

  5. 执行iptables -F命令,关闭服务器的防火墙,确保服务器可以被访问。

  6. 为该服务器添加安全组规则。具体操作,请参见添加安全组规则

    重要

    在配置安全组规则时,端口范围请设置为步骤3中配置的监听端口,授权对象请设置为堡垒机实例的出口IP(堡垒机实例的出口IP,可在堡垒机控制台的实例页面获取)。

    为服务器添加安全组规则后,代理服务器配置完成。

如何将服务器配置为HTTPS代理服务器?

下面以GOST工具为例,为您介绍如何将云服务器ECS(操作系统为CentOS 8.3)配置为HTTPS代理服务器。

  1. 准备服务器证书(server.crt)、服务器证书私钥(server.key)和CA根证书(ca.crt)。以下为您推荐获取证书的两种方式。

    • 使用OpenSSL等工具生成自签名证书。

    • 使用阿里云免费个人测试证书或购买正式证书。具体操作,请参见SSL证书选购指引

  2. 在您的ECS实例中安装GOST。具体操作,请参见安装GOST

  3. 将证书文件上传至GOST安装目录,配置并启动GOST代理服务器。

    • 命令行方式:请在修改参数后启动GOST。

      gost -L="https://admin:123456@:8843?cert=./server.crt&key=./server.key"

      • admin:123456:自定义GOST用户名和密码(对应堡垒机网络域HTTPS代理中的主机账户密码)。

      • 8443:自定义代理端口(对应堡垒机网络域HTTPS代理中的服务器端口)。

        该端口需要在ECS实例中配置入方向安全组规则,端口范围8443,授权对象为堡垒机实例的出口IP(堡垒机控制台的实例页面获取)。为ECS添加安全组规则,请参见添加安全组规则

      • ./server.crt:服务器证书。

      • ./server.key:服务器证书私钥。

    • JSON文件方式:请在修改参数后启动GOST。

      • JSON配置文件(该文件请自行创建,本文示例为gost.json)

        {
  "ServeNodes": [
    "https://admin:123456@:8843?cert=./server.crt&key=./server.key"
  ]
}

        • admin:123456:自定义GOST用户名和密码(对应堡垒机网络域HTTPS代理中的主机账户密码)。

        • 8443:自定义代理端口(对应堡垒机网络域HTTPS代理中的服务器端口)。

          该端口需要在ECS实例中配置入方向安全组规则,端口范围8443,授权对象为堡垒机实例的出口IP(堡垒机控制台的实例页面获取)。为ECS添加安全组规则,请参见添加安全组规则

        • ./server.crt:服务器证书。

        • ./server.key:服务器证书私钥。

      • 启动GOST

        gost -C gost.json

堡垒机支持数据库运维吗?

堡垒机企业双擎版提供针对MySQL、SQL Server、PostgreSQL类型的RDS和自建数据库等资产的运维安全管控能力。更多信息,请参见数据库运维最佳实践

重要

仅堡垒机V3.2版本支持企业双擎版。堡垒机版本升级说明,请参见版本升级指导

堡垒机支持运维哪些资产?

目前堡垒机支持运维Linux、Windows上的主机资产和MySQL、SQL Server、PostgreSQL类型的数据库资产,对于阿里云ECSRDS数据库资产支持一键导入,对于线下IDC资产或异构云资产支持批量导入。更多信息,请参见运维概述

堡垒机数据传输及存储是否加密?

堡垒机的数据传输和存储都经过加密处理。数据传输依托多种主流加密协议,包括HTTPS(TLS)、RDP、SSH等协议,确保了数据在传输以及存储过程中的安全性。

堡垒机支持公网私用的服务器吗?

支持,如果您的网络环境已经部署公网私用,可以在堡垒机控制台进行设置。具体操作,请参见配置公网私用

上一篇:续费、升降配、退款和释放相关问题下一篇:基础配置相关问题