文档介绍:麒麟开源堡垒机阿里云双机部署方案麒麟开源日期:2016-6-22目录1概述 54方案比较 ,非VPC网络用户无法对系统IP进行修改增加,因此堡垒机双机模式无法应用在阿里云非VPC用户中。,并且将运维用户区分为公司内网用户和移动(互联网)用户二种,二种用户访问堡垒机的方式不同,其中公司内网为可信任来源地址,可以直接使用运维协议访问堡垒机,而移动(互联网)用户必须使用SSLVPN接入内网后,才能访问堡垒机,这样主要是防止堡垒机的ssh、https、rdp等端口在公网上开放以造成的扫描攻击事件。,并且在阿里云安装二台堡垒机。:端口号映射位置服务说明TCP8443二台堡垒机移动用户(互联网)SSLVPN服务TCP443二台堡垒机堡垒机前台界面web服务TCP22二台堡垒机堡垒机SSH代理服务TCP3389二台堡垒机堡垒机RDP/VNC/X11/应用发布代理服务TCP3390二台堡垒机堡垒机RDP/VNC/X11/应用发布回放端口阿里云SLB至少需要探测以上端口,当发现某一个端口出现问题时,及时切断出问题堡垒机的服务。:其中红色箭头为移动(互联网)用户访问流,绿色箭头为公司内网(可信任源)用户访问流。阿里云系统将公司内网出网IP设置为信任地址,信任地址可以直接访问到SLB映射地址的TCP22、443、3389、3390端口,可以直接使用堡垒机。,移动用户需要安装麒麟VPN客户端,当移动用户需要使用堡垒机时,先使用SSLVPN通过SLB连接到堡垒机,然后才能访问堡垒机,这样可以保证整个系统不对公网暴露以保证安全性。,并且DNS需要支持负载均衡。。DNS系统上设置一个域名,比如blj,将这个域名解析到二个堡垒机的公网IP上,并且将DNS的刷新时间设置为10秒以内,以保证当某个