为了满足企业更高的运维安全需求,堡垒机提供通过私网进行Web运维(运维门户或控制台主机运维)的功能,您可以参考本文开启私网运维,实现纯内网环境访问堡垒机。
背景信息
堡垒机联合私网连接(PrivateLink)服务,在专有网络VPC与阿里云堡垒机间建立了安全稳定的私有连接,实现了通过私网进入运维门户以及通过私网进行Web运维,从而进一步提升了运维连接的安全性。
版本限制
开启影响
开启私网运维会对堡垒机实例产生如下变更:
开启私网运维后会变更堡垒机私网运维地址解析的IP,请您使用控制台提供的域名运维地址进行运维。
若您有访问控制策略基于私网运维地址解析的IP地址放行(例如防火墙等),开启私网运维后,请您使用更新后的地址进行配置。
操作步骤
登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。
在堡垒机实例列表,定位到目标实例,选择。
在开启私网运维面板,选择私网连接终端节点安全组,单击确定。
重要如果交换机发生变更,私网出口IP地址会变化,若您有访问控制策略基于私网出口IP地址放行(例如防火墙等),请您使用更新后的地址进行配置。
变更期间无法正常访问实例,堡垒机会处于变配中状态,预计变更时间为20分钟左右,建议您在业务低峰期操作。
后续步骤
放行客户端访问规则
通过私网进行Web运维时,除了确保客户端与堡垒机所在VPC内网网络连通,还需要在私网连接终端节点安全组中放行客户端的访问规则,否则客户端将无法访问堡垒机私网运维地址。常用的运维安全中心(堡垒机)业务及端口如下,您可以根据实际情况配置。
SSH运维:60022
RDP运维:63389
录像播放端口:9443
主机运维端口及运维门户:443
单点登录器端口:20045
安全组访问规则配置示例:假设您的客户端IP为192.168.0.1,SSH运维的安全组配置示例图如下所示,关于配置的具体操作,请参见添加安全组规则。
相关文档
运维员Web运维操作,请参见Web运维。