堡垒机拓扑图_fanzhenlong/堡垒机部署方案总结.md at master · leadsino/fanzhenlong · GitHub...
一、单活部署(热备HA)
对于中小型企业客户,内部资产数量相对较少,单台堡垒机的性能就可以满足时(图形200,字符1000),就可以在客户网络中接入一台堡垒机进行审计。但是对于运维的连续性又有要求,不期望由于堡垒机的异常故障导致正常运维任务中断太长,可以部署热备保证系统的高可用性,避免单机故障引起的正常运维中断。
设备数量:至少2台。
部署拓扑图:
部署方式:物理旁路,逻辑网关。保证高可用,采用双机热备。
部署条件:保证两个运维审计系统网络与访问服务器可达,协议开放,两台使用一个虚IP,访问虚IP即可。
正在使用的运维审计系统在正常情况下的所有配置信息都会同步到热备机上面。当活动的运维审计系统突然发生故障,导致无法正常运维的时候,能够在很短的时间内立即切换到热备机,保证正常的运维工作。
二、双活部署
对于部分使用运维审计系统的客户,他们有两台运维审计系统,想让两台运维审计系统都来做运维审计。不用做热备部署,因为热备同时只有一台在工作。所以我们就可以使用集群的方式来实现,但光是两台运维审计系统使用集群会有一个问题,中心与节点无法实现负载均衡,需要手动访问这两台运维审计系统。那我们就在原有的集群上再加上一套第三方负载均衡服务器对访问运维审计系统的流量进行负载。可以使用开源的LVS负载或者商用的F5、A10等产品。
设备数量:至少2台。
部署拓扑图:
部署方式:物理旁路,逻辑网关。通过负载均衡分流访问管理中心或是审计节点。
部署条件:运维审计系统、服务器和负载均衡网络可达,协议开放。
我们为客户实现了两台运维审计系统双活部署。但是存在一点,管理中心如果故障,会导致审计节点5分钟不能使用,这样导致整套运维审计体系就不能使用。我们可以对管理中心做HA,保证管理中心故障能够及时切换正常,保证整个系统正常运行。
三、本地+自带负载集群部署
客户本地机房比较大,单台或少量的运维审计系统难以维持正常的运维工作。我们就可以采用集群的部署方式对客户的资产进行管控。集群中心对审计节点进行负载,审计节点做运维,集群中心对用户身份、设备账号、密码、权限及审计的统一管控。但是集群中心如果出现故障,会导致审计节点也无法工作。所以也需要在集群中心做HA,保证中心的高可用,避免出现异常导致整个系统无法正常工作。
设备数量:至少4台。
部署拓扑图:
部署方式:物理旁路,逻辑网关。通过集群部署,能够对资产进行统一管理,实现集中授权、集中认证、集中审计,方便用户统一管理和便捷使用,且自身负载分摊运维流量,提高系统整体性能。
部署条件:运维审计系统与服务器网络可达,协议开放。
四、异地地+第三方负载集群部署
客户如果体量比较大,在全国各地有多个数据中心机房。当各地的网络通信比较良好的话,可以在总部的管理中心做集群和负载。这样部署就会带来一个问题,所有审计的流量都需要先到总部进行负载,然后在分流到审计节点,当网络通信比较差的时候,会导致访问特别慢或是丢包,影响体验甚至无法正常服务。对于这个问题,我们在各地数据中心使用第三方负载均衡设备对审计节点进行负载,管理中心在总部只对所有的运维审计系统的资产、配置信息等进行管理,实际的运维直接在本地进行负载后访问。同时中心的管理节点还是一样需要做HA,避免中心的单点故障。
设备数量:至少6台(两地)
部署拓扑图:
关于第三方负载均衡,可通过以下两种模式进行支持:
可配备单独的负载均衡产品(F5,A10)进行并发负载,将运维并发自动负载到节点设备,提供高性能支持。
通过DNS智能解析的方式进行负载,将审计系统中心和节点的IP绑定到一个域名,通过域名智能解析实现负载效果,访问系统时通过域名进行访问即可进行自动负载。
部署方式:物理旁路,逻辑网关,中心与节点网络可达。通过集群中对所有审计节点的资产及配置进行统一管理。本地负载避免网络问题干扰,分摊运维流量,提高系统性能。
部署条件:运维审计系统与服务器网络可达,协议开放。
五、ACL策略涉及的端口
运维终端开放端口
端口号
协议
用途
20,21
FTP
提供FTP代理服务
22
SSH
提供字符终端代理服务
443
HTTPS
提供web页面访问服务
3389
RDP
提供图形终端代理服务
3390
RDP
提供KVM应用发布服务
3391
RDP
提供应用发布服务
1984,1985
-
提供图形类审计录像回放服务
80
HTTP
提供字符类审计录像回放服务
资产开发端口
端口号
协议
用途
22,21
FTP
支持FTP运维
22
SSH/SFTP
支持SSH、SFTP运维
23
TELNET
支持TELNET运维
3389
RDP
支持RDP运维
5900
VNC
支持VNC运维
177
X11
支持X11运维
80
HTTP
支持HTTP运维及windows账号改密
443
HTTPS
支持HTTPS运维
自定义
-
支持其他数据库、第三方运维工具以及费默认端口
堡垒机拓扑图_fanzhenlong/堡垒机部署方案总结.md at master · leadsino/fanzhenlong · GitHub...相关推荐
- Centos下堡垒机Jumpserver V3.0环境部署
Centos下堡垒机Jumpserver V3.0环境部署1)关闭jumpserver部署机的iptables和selinux [root@test-vm001 ~]# cd /opt [root@t ...
- Centos下堡垒机Jumpserver V3.0环境部署完整记录(1)-安装篇
Centos下堡垒机Jumpserver V3.0环境部署完整记录(1)-安装篇 由于来源身份不明.越权操作.密码泄露.数据被窃.违规操作等因素都可能会使运营的业务系统面临严重威胁,一旦发生事故,如果 ...
- 堡垒机拓扑图_通过堡垒机连接内网服务器
堡垒机简要说明: * 真正的服务器不允许 ssh 直接连接,需要通过堡垒机进行连接 * 堡垒机只允许建立隧道,不能登录系统 * 连接真实服务器的网络拓扑: 1. SSH Client -> Ca ...
- 云堡垒机和传统堡垒机对比
新钛云服已为您服务1469天 什么是堡垒机? 堡垒机,也叫做运维安全审计系统,它的核心功能是: • 帐号管理 • 身份验证 • 安全审计 • 授权控制 简单总结一句话:堡垒机是用来控制哪些人可以登录哪 ...
- 堡垒机、运维堡垒机、开源堡垒机、云堡垒机全面解析
一.概述 1.0.数据丢失危机1.1.面临的挑战 复制代码 二.堡垒机的概念和种类 2.0.网关型堡垒机2.1.运维审计型堡垒机2.1.1.主要功能 复制代码 三.主流堡垒机解决方案 3.0.使用开源 ...
- 云堡垒机和软件堡垒机哪个好?区别是什么?
你知道云堡垒机和软件堡垒机哪个好吗?你知道云堡垒机和软件堡垒机有什么区别吗?相信还有很多人不了解,今天我们小编就给大家简单介绍一下,希望可以帮到大家. 云堡垒机和软件堡垒机哪个好?区别是什么? 云堡垒 ...
- 硬件堡垒机、软件堡垒机、云堡垒机品牌怎么选?
硬件堡垒机.软件堡垒机.云堡垒机品牌怎么选? 作为一个运维leader,硬件堡垒机.软件堡垒机.云堡垒机我都用过,现在市面上的堡垒机品牌有很多,价格相差比较大,但选购堡垒机并非越贵的就越好,而是要综合 ...
- 运维老鸟总结_硬件堡垒机、软件堡垒机、云堡垒机品牌怎么选?
作为一个运维leader,硬件堡垒机.软件堡垒机.云堡垒机我都用过,现在市面上的堡垒机品牌有很多,价格相差比较大,但选购堡垒机并非越贵的就越好,而是要综合考量各项指标与运维团队本身的契合度,以及在实际 ...
- 云堡垒机的作用_传统运维堡垒机和云堡垒机,哪个更好?
企业使用运维堡垒机是为了保障数据安全,但是现在市面上的运维堡垒机品牌实在太多,就连堡垒机形态,也由最传统的跳板机.硬件堡垒机.软件堡垒机,过渡到如今的云堡垒机.那么传统运维堡垒机和云堡垒机相比哪个更好 ...
最新文章
- 关于CSS中的下拉表单和文本域元素
- 一文读懂Data Lake的概念、特征、架构与案例
- 分享下我的博客园CSS
- 自己面试大厂iOS开发的心得以及一些面试题
- 20135337朱荟潼 Linux第八周学习总结——进程的切换和系统的一般执行过程
- python列表内数字排序_如何在Python中手动排序数字列表?
- python3 三角函数
- spring 的jar包解释
- eclipse运行报java.lang.OutOfMemoryError: PermGen space解决方法
- mysql 函数定义常量_php如何定义一个自定义常量
- 一线互联网架构师筑基必备技能之Java篇,工作感悟
- xftp6无法使用处理
- zend studio【快捷键】
- dnf助手服务器内部出错,地下城与勇士TGP的DNF助手异常解决办法 TGP-DNF助手补丁不适配怎么办...
- 软件开发生命周期及文档
- 南开计算机等级,南开100题分类-全国计算机等级考试上机考试习题集(二级C)(南开大学出版社)...
- excel等额本息计算房贷公式
- Python批量扫描服务器指定端口状态
- mysql的strict_linux关闭mysql strict mode的方法介绍
- ICPC Greater New York Region 2020 L Evenly Separated Strings
热门文章
- nn.KLDivLoss
- 系统升级: PHP(5.1.6-5.4.7) CI(1.7.2-2.1.2)调查记录
- 如何利用OA优化企业的采购招投标流程
- [SRS+docker]实现直播服务器 2 SRS单机直播能力验证
- Linux内核4.14版本——alsa框架分析(8)-ASoC(Codec)
- 中石油中石化的数字化变革:中国石油数字化油田迈入物联网与云计算时代!
- 【点击链接,自动下载安装APP,小米公司的坑】在浏览器中, 我们以为回退就能解决误点击。其实是不管用的。
- matlab建模DNA双链,PPT绘制科研图形—DNA双链、分子细胞模型
- 吉利新CP申请新商标,野心远远不止汽车
- Android音视频——基础介绍