本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
启用堡垒机实例后,如果您需要修改堡垒机网络基础相关配置,可以参考本文进行设置。具体内容包括修改堡垒机加入的安全组、限制访问堡垒机的来源IP、修改堡垒机默认运维端口号、切换交换机可用区,以及获取堡垒机出口IP等。
登录堡垒机控制台。
在左侧导航栏,单击实例。
在实例页面,定位到目标堡垒机实例,根据实际需求参考下图表进行相关配置。
功能项
场景
配置安全组
通过配置安全组,可允许堡垒机访问该安全组内的资产。
说明支持选择多个安全组。
配置白名单
通过配置白名单来限制访问堡垒机公网域名的IP。
配置端口号
堡垒机SSH协议运维的默认端口为60022,RDP协议运维的默认端口号为63389。如需自定义堡垒机的运维端口,请通过该功能进行设置。
说明1~1024端口为堡垒机的保留端口,建议您在配置端口号时,不要设置为此范围内的端口号。
获取出口IP及相关配置
堡垒机的出口IP是堡垒机访问资产的来源IP,分为公网出口IP和私网出口IP。建议您在ECS安全组、防火墙和数据库白名单中放开堡垒机的出口IP,以免出现网络不通的情况。关于数据库白名单,请参见设置IP白名单。
说明如果堡垒机加入了ECS的普通安全组,则ECS安全组中会自动添加规则放开堡垒机的出口IP;如果您的ECS加入的是企业安全组,由于堡垒机不支持加入企业安全组,您需要手动添加安全组规则放开堡垒机的出口IP,具体操作,请参见添加安全组规则。
配置公网私用
如果您的资产IP为公网私用IP,可以通过该功能配置公网私用,使堡垒机可以正常访问资产。公网私用格式为
IP地址/掩码,填写多个需以半角逗号(,)分开,最多支持50个。例如192.168.XX.XX/32,172.16.XX.XX/32。警告配置公网私用后,堡垒机会出现断开当前运维连接的情况,建议您在业务低峰期进行配置。
配置多可用区
如果您的堡垒机版本为企业双擎版或国密版,您可以通过该功能将您VPC下的交换机配置在不同可用区,保证网络的高可用性。
警告配置主备可用区后,堡垒机会出现断开当前运维连接的情况,建议您在业务低峰期进行配置。
切换网络会导致私网运维地址解析的IP发生变化,请您使用控制台提供的域名运维地址进行运维。
切换网络会导致私网出口IP发生变化,若您的安全组策略是基于IP放行,则可能会导致运维不通,请重新配置安全组。
若您有其他访问控制策略基于私网IP地址放行(例如防火墙等),切换网络后,请您使用更新后的地址进行配置。
若您将主备交换机配置到不同可用区,私网运维地址会解析出两个IP。
切换单可用区
如果您的堡垒机版本为基础版,您可以通过该功能将当前VPC下的可用区交换机切换到其他可用区,以避免当前可用区不可用时导致堡垒机无法使用。
警告切换可用区后,堡垒机会出现断开当前运维连接的情况,建议您在业务低峰期进行配置。
切换网络会导致私网运维地址解析的IP发生变化,请您使用控制台提供的域名运维地址进行运维。
切换网络会导致私网出口IP发生变化,若您的安全组策略是基于IP放行,则可能会导致运维不通,请重新配置安全组。
若您有其他访问控制策略基于私网IP地址放行(例如防火墙等),切换网络后,请您使用更新后的地址进行配置。
开启私网运维
开启私网运维,可实现纯内网环境访问堡垒机。具体操作,请参见开启私网运维。