堡垒机拓扑图_fanzhenlong/堡垒机部署方案总结.md at master · leadsino/fanzhenlong · GitHub...
一、单活部署(热备HA)
对于中小型企业客户,内部资产数量相对较少,单台堡垒机的性能就可以满足时(图形200,字符1000),就可以在客户网络中接入一台堡垒机进行审计。但是对于运维的连续性又有要求,不期望由于堡垒机的异常故障导致正常运维任务中断太长,可以部署热备保证系统的高可用性,避免单机故障引起的正常运维中断。
设备数量:至少2台。
部署拓扑图:
部署方式:物理旁路,逻辑网关。保证高可用,采用双机热备。
部署条件:保证两个运维审计系统网络与访问服务器可达,协议开放,两台使用一个虚IP,访问虚IP即可。
正在使用的运维审计系统在正常情况下的所有配置信息都会同步到热备机上面。当活动的运维审计系统突然发生故障,导致无法正常运维的时候,能够在很短的时间内立即切换到热备机,保证正常的运维工作。
二、双活部署
对于部分使用运维审计系统的客户,他们有两台运维审计系统,想让两台运维审计系统都来做运维审计。不用做热备部署,因为热备同时只有一台在工作。所以我们就可以使用集群的方式来实现,但光是两台运维审计系统使用集群会有一个问题,中心与节点无法实现负载均衡,需要手动访问这两台运维审计系统。那我们就在原有的集群上再加上一套第三方负载均衡服务器对访问运维审计系统的流量进行负载。可以使用开源的LVS负载或者商用的F5、A10等产品。
设备数量:至少2台。
部署拓扑图:
部署方式:物理旁路,逻辑网关。通过负载均衡分流访问管理中心或是审计节点。
部署条件:运维审计系统、服务器和负载均衡网络可达,协议开放。
我们为客户实现了两台运维审计系统双活部署。但是存在一点,管理中心如果故障,会导致审计节点5分钟不能使用,这样导致整套运维审计体系就不能使用。我们可以对管理中心做HA,保证管理中心故障能够及时切换正常,保证整个系统正常运行。
三、本地+自带负载集群部署
客户本地机房比较大,单台或少量的运维审计系统难以维持正常的运维工作。我们就可以采用集群的部署方式对客户的资产进行管控。集群中心对审计节点进行负载,审计节点做运维,集群中心对用户身份、设备账号、密码、权限及审计的统一管控。但是集群中心如果出现故障,会导致审计节点也无法工作。所以也需要在集群中心做HA,保证中心的高可用,避免出现异常导致整个系统无法正常工作。
设备数量:至少4台。
部署拓扑图:
部署方式:物理旁路,逻辑网关。通过集群部署,能够对资产进行统一管理,实现集中授权、集中认证、集中审计,方便用户统一管理和便捷使用,且自身负载分摊运维流量,提高系统整体性能。
部署条件:运维审计系统与服务器网络可达,协议开放。
四、异地地+第三方负载集群部署
客户如果体量比较大,在全国各地有多个数据中心机房。当各地的网络通信比较良好的话,可以在总部的管理中心做集群和负载。这样部署就会带来一个问题,所有审计的流量都需要先到总部进行负载,然后在分流到审计节点,当网络通信比较差的时候,会导致访问特别慢或是丢包,影响体验甚至无法正常服务。对于这个问题,我们在各地数据中心使用第三方负载均衡设备对审计节点进行负载,管理中心在总部只对所有的运维审计系统的资产、配置信息等进行管理,实际的运维直接在本地进行负载后访问。同时中心的管理节点还是一样需要做HA,避免中心的单点故障。
设备数量:至少6台(两地)
部署拓扑图:
关于第三方负载均衡,可通过以下两种模式进行支持:
可配备单独的负载均衡产品(F5,A10)进行并发负载,将运维并发自动负载到节点设备,提供高性能支持。
通过DNS智能解析的方式进行负载,将审计系统中心和节点的IP绑定到一个域名,通过域名智能解析实现负载效果,访问系统时通过域名进行访问即可进行自动负载。
部署方式:物理旁路,逻辑网关,中心与节点网络可达。通过集群中对所有审计节点的资产及配置进行统一管理。本地负载避免网络问题干扰,分摊运维流量,提高系统性能。
部署条件:运维审计系统与服务器网络可达,协议开放。
五、ACL策略涉及的端口
运维终端开放端口
端口号
协议
用途
20,21
FTP
提供FTP代理服务
22
SSH
提供字符终端代理服务
443
HTTPS
提供web页面访问服务
3389
RDP
提供图形终端代理服务
3390
RDP
提供KVM应用发布服务
3391
RDP
提供应用发布服务
1984,1985
-
提供图形类审计录像回放服务
80
HTTP
提供字符类审计录像回放服务
资产开发端口
端口号
协议
用途
22,21
FTP
支持FTP运维
22
SSH/SFTP
支持SSH、SFTP运维
23
TELNET
支持TELNET运维
3389
RDP
支持RDP运维
5900
VNC
支持VNC运维
177
X11
支持X11运维
80
HTTP
支持HTTP运维及windows账号改密
443
HTTPS
支持HTTPS运维
自定义
-
支持其他数据库、第三方运维工具以及费默认端口
堡垒机拓扑图_fanzhenlong/堡垒机部署方案总结.md at master · leadsino/fanzhenlong · GitHub...相关推荐
- Centos下堡垒机Jumpserver V3.0环境部署
Centos下堡垒机Jumpserver V3.0环境部署1)关闭jumpserver部署机的iptables和selinux [root@test-vm001 ~]# cd /opt [root@t ...
- Centos下堡垒机Jumpserver V3.0环境部署完整记录(1)-安装篇
Centos下堡垒机Jumpserver V3.0环境部署完整记录(1)-安装篇 由于来源身份不明.越权操作.密码泄露.数据被窃.违规操作等因素都可能会使运营的业务系统面临严重威胁,一旦发生事故,如果 ...
- 堡垒机拓扑图_通过堡垒机连接内网服务器
堡垒机简要说明: * 真正的服务器不允许 ssh 直接连接,需要通过堡垒机进行连接 * 堡垒机只允许建立隧道,不能登录系统 * 连接真实服务器的网络拓扑: 1. SSH Client -> Ca ...
- 云堡垒机和传统堡垒机对比
新钛云服已为您服务1469天 什么是堡垒机? 堡垒机,也叫做运维安全审计系统,它的核心功能是: • 帐号管理 • 身份验证 • 安全审计 • 授权控制 简单总结一句话:堡垒机是用来控制哪些人可以登录哪 ...
- 堡垒机、运维堡垒机、开源堡垒机、云堡垒机全面解析
一.概述 1.0.数据丢失危机1.1.面临的挑战 复制代码 二.堡垒机的概念和种类 2.0.网关型堡垒机2.1.运维审计型堡垒机2.1.1.主要功能 复制代码 三.主流堡垒机解决方案 3.0.使用开源 ...
- 云堡垒机和软件堡垒机哪个好?区别是什么?
你知道云堡垒机和软件堡垒机哪个好吗?你知道云堡垒机和软件堡垒机有什么区别吗?相信还有很多人不了解,今天我们小编就给大家简单介绍一下,希望可以帮到大家. 云堡垒机和软件堡垒机哪个好?区别是什么? 云堡垒 ...
- 硬件堡垒机、软件堡垒机、云堡垒机品牌怎么选?
硬件堡垒机.软件堡垒机.云堡垒机品牌怎么选? 作为一个运维leader,硬件堡垒机.软件堡垒机.云堡垒机我都用过,现在市面上的堡垒机品牌有很多,价格相差比较大,但选购堡垒机并非越贵的就越好,而是要综合 ...
- 运维老鸟总结_硬件堡垒机、软件堡垒机、云堡垒机品牌怎么选?
作为一个运维leader,硬件堡垒机.软件堡垒机.云堡垒机我都用过,现在市面上的堡垒机品牌有很多,价格相差比较大,但选购堡垒机并非越贵的就越好,而是要综合考量各项指标与运维团队本身的契合度,以及在实际 ...
- 云堡垒机的作用_传统运维堡垒机和云堡垒机,哪个更好?
企业使用运维堡垒机是为了保障数据安全,但是现在市面上的运维堡垒机品牌实在太多,就连堡垒机形态,也由最传统的跳板机.硬件堡垒机.软件堡垒机,过渡到如今的云堡垒机.那么传统运维堡垒机和云堡垒机相比哪个更好 ...
最新文章
- PanoNet3D:一个基于激光雷达点云语义和几何理解的3D目标检测方法
- NTU 课程笔记 CV6422 假设检验
- python做Linux进程运行,Python实现在Linux系统下更改当前进程运行用户
- opencv进阶学习笔记3:像素运算和图像亮度对比度调节
- swift 从手机选照片_19元起!定制专属手机壳!还可免费打印照片...
- jQuery Unveil – 另一款非常轻量的延迟加载插件
- 那些年破处倒闭的公司,都有哪些特征?打工人避雷必看
- Java写一个简单的扫雷游戏
- 一些gassian分布假设的,并假设均值依赖于隐藏层,方差固定的模型
- 19.为什么要用异步框架,它解决什么问题?
- c语言 不显示dos窗口,运行DOS批处理不显示DOS窗口的方法
- linux alias命令
- OCR识别发票扫描仪解决方案
- windows server2008r2 下载
- 如何将ape转换mp3格式
- 异形图片自动排版之装箱算法
- 企业微信获取临时素材,此处接口为语音接口
- 【MySQL】—入门介绍
- python查看哪些内存被释放_python内存不释放原理 | shell's home
- sqlserver 电话号3-8位用*号代替
热门文章
- 计算机专业省赛一等奖有什么好处,省技能大赛一等奖好处有什么
- 华为和H3C命令对比
- ASP.NET网站建设基本常用代码[转载]
- ROS_Kinetic_03 ROS入门向导
- 爬虫模拟对“有道在线翻译”发送请求(请求中的数据含需分析js来解出变化数据)
- 关于conda无法创建新环境的解决方法(路径或channel)
- Roadblock for Mac(Safari广告内容拦截软件)
- 基于Android课堂学习系统的文献综述
- 利用Python进行数据分析之金融数据的统计分析
- 神经网络加深和加宽的影响