架构系列(四)跳板机加固安全,使用镜像快速动态扩展

最新推荐文章于 2022-12-16 16:08:42 发布
最新推荐文章于 2022-12-16 16:08:42 发布
阅读量395 收藏 1
点赞数 1
分类专栏: 架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zl592886931/article/details/89790057
版权

目录

首语

之前博主介绍了VPC等组件,搭建自己的内网机房。那么,所有服务器都不允许有外网IP,我们怎么登陆服务器?

跳板机以及堡垒机,在整个内网集群中是非常重要的一环。跳板机是唯一一个可以有外网IP(或者挂负载均衡器,或者打通与公司的内网网络),可以登陆的机器,通过跳板机,登陆到不同的子网中的机器。

跳板机

我们利用不同的跳板机,连接不同的内网机器,做到即便只有内网IP,也可以登陆服务器(跳板机需要和指定的内网交换机网络互通)

所有服务器(除了跳板机之外)均不允许对外22端口ssh,只可以对跳板机开发22 ssh
在这里插入图片描述

  • 公司与云网络不打通(vpn、高速通道),这样的情况下,跳板机可以设置外网ip,并且指定白名单入方向只能是公司的网络出口,其余所有服务器取消外网IP以及22端口ssh(除了对跳板机开放)
  • 公司与云网络打通,所有服务器全部取消外网IP,指定跳板机开启ssh 22端口
  • 所有ssh方式均为pem方式,而不是账号密码。当然,pem+账号密码也是极好的。
  • 可以指定免密码信任(在博主大数据系列博客有介绍),让所有的服务器信任跳板机

镜像

动态扩展

当服务器负载不够、当快速搭建相同环境的服务器、当所有服务器都要信任跳板机(jenkins)等等,我们肯定不能拉一台服务器,然后搭建环境、配置密钥。这样工程量是巨大的。

首先就想到了docker,但是,在使用云的情况下,其实用docker反而复杂了(一般情况下,只有私有云、公司自己有自己的infra的时候,可以使用docker做集群的管理)。其实阿里云提供了镜像组件。

创建镜像

镜像的含义大家都明白。当设定镜像后,在拉服务器的时候可以直接指定镜像,这样拉取的服务器所有的信息均为打镜像的服务器的配置

在这里插入图片描述
在这里插入图片描述

使用镜像

创建服务器的时候,选择自定义镜像。 这样,只需要1分钟,就可以快速的动态扩展服务器了
在这里插入图片描述

结束语

在从0到1搭建整套网络架构的时候,如果采用云方案,那么镜像是一个非常好用的小技巧。

  • 前端环境
  • 后端环境
  • 自动化环境
  • 跳板机

这些都做好镜像之后,立即开始搭建。非常方便

codemperor
关注
专栏目录
网络安全:堡垒机、跳板机、Virtual Private Network知识介绍
IT技术分享社区
04-06 6821
堡垒机是一种网络安全控制节点,主要用于隔离安全较高的内部网络(企业内网)和安全程度较低的外部网络之间的访问。
安全技术有什么特点?云安全包含哪些方面?
Jack章臣的博客
02-22 1万+
1. 概述 随着云计算逐渐成为主流,云安全也获得了越来越多的关注,传统和新兴的云计算厂商以及安全厂商均推出了大量云安全产品。但是,与有清晰定义的“云计算”(NIST SP 800-145和ISO/IEC 17788)不同,业界对“云安全”从概念、技术到产品都还没有形成明确的共识。 从发展的脉络分析,“云安全”相关的技术可以分两类: 一类为使用云计算服务提供防护,即使用云服务时的安全(security for using the cloud),也称云计算安全(Cloud Computin...
ssh建立安全跳板机,方便外网登录内网机器
weixin_33919950的博客
11-23 355
环境centos7两台跳板机: eth0:X.X.X.X eth1:10.165.93.161内网主机:eth0:10.165.93.162ssh-4fg-L2222:10.165.93.162:22-Nlocalhost解析:-4 以ipv4地址格式-f 后台运行-g 允许远程主机进行连接本地端口2222-L[bind_address:]port:...
跳板机/堡垒机并不安全
03-04 1367
各位读者好,今天我很闲,就来分享一下,为何 堡垒机并不安全; 不知道什么是跳板机和堡垒机的可以去百度先普及下; 堡垒机和跳板机安全性只体现到了对登陆者登录服务器时的权限和控制上,不管是阿里云还是华为云或者是开源的 Jumpserver 的堡垒机都有这类问题; 虽然堡垒机可以记录 登陆者的IP 账号、时间、命令行的所有操作记录,这些都没问题,就以清晰的看到这台服务器当前有多少人登录,都谁登录过,都操作过什么,但是风险并没有排除; 不安全的点: 1. 对上传 文件的监控力度不够,就是没有查毒和杀毒的
Linux服务器安全加固
weixin_33743880的博客
07-29 353
写在前面:当你获得了一台服务器,千万别着急着部署应用,安全是首要任务。如果整理一下顺序,Linux系统可以通过以下几个步骤来进行安全加固。本文主要针对企业常用的CentOS系统,Ubuntu系统略有差异可百度查询。1.系统用户优化2.系统服务优化3.ssh访问策略4.防火墙配置1.系统用户优化注意:在我们进行系统用户优化时,所做的每一步操作都需要和使用这台服务器的开发及管理人...
堡垒机技术:让堡垒不再被“内鬼”攻破
weixin_34384557的博客
11-22 505
最坚固的堡垒,往往是从内部攻破的。堡垒机技术却能够为企业内网最核心、最重要、最薄弱的系统设备环节,在“内鬼”***前以严格的阻挡,***中以坚强的防御,***后以痕迹的审计,从而在堡垒内部树立一道顽强的保障体系。 古希腊,一座名叫特洛伊的坚固之城,在固若金汤地经受住外敌重重围攻之后,却意外被因为城内的一只巨大***,一夜间城陷国崩。 从此,人们记住了这只有名的...
安全架构连载之一-Azure整体架构安全亮点详解
标梵互动
02-04 2396
目的 其实说心里话做了这么多年云安全,对于国外三大云厂商(AWS、Azure、GCP)的实际关注点一直在变化。看来看去觉得未来安全上能有比较大作为的还是Azure,根本原因有很多,包括Azure Active Directory的身份联动、安全产品的丰富度、Office远程办公安全、ToB的安全基因、安全研发SDL体系等。回归本着能改变云安全,为云安全贡献一份力量和能够推动整个云安全发展的角度还是决定重新开启这个公众号,把自己的一些研究成果推送业界,能够帮助业界的云安全水位提升,把国内外云安全做的比较好的和
办公网络终端都应该做哪些安全防御措施
maoguan121的博客
10-03 2915
终端安全响应系统(Endpoint Detection and Response,EDR) 是传统终端安全产品在高级威胁检测和响应方面的扩展与补充,它通 过威胁情报、攻防对抗、机器学习等方式,从主机、网络、用户、文 件等维度来评估企业网络中存在的未知风险,并以行为引擎为核心, 利用威胁情报,缩短威胁从发现到处置的时间,有效降低业务损失, 增强可见性,提高整体安全能力。
信息安全工程师第二版考试总结+笔记
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
5G专网安全需求分析及策略探讨
最新发布
罗伯特技术屋
12-16 1442
部分共享专网在共享部分面临着与虚拟专网相似的安全风险,而在按需下沉的非共享部分,由于下沉网元连接了公网5GC和用户企业网,且下沉网元的产权和运维有可能归属用户,如果在下沉网元和用户企业网之间、下沉网元和公网5GC之间缺乏有效的安全管控措施,会导致面向专网甚至是公网5GC的安全风险。首先是转发层面,可在承载网连接下沉UPF的设备上通过ACL方式进行控制,只允许下沉UPF与指定SMF之间的PFCP协议报文通过,禁止下沉UPF访问公网5GC的其它网元,防止下沉UPF被恶意控制后攻击公网5GC网元,具体。
堡垒机(跳板机
殇沫流年的专栏
05-24 7067
堡垒机(跳板机)? 现在一定规模互联网企业,往往都拥有大量服务器,如何安全并高效的管理这些服务器是每个系统运维或安全运维人员必要工作。现在比较常见的方案是搭建堡垒机环境作为线上服务器的入口,所有服务器只能通过堡垒机进行登陆访问。 ===============================================================================
windows跳板机账号安全监控
sdmei
12-26 2345
根据以往经验,windows服务器遭受的最常见的攻击行为包括:以外网应用服务器为跳板,扫描端口、上传木马、创建账号、登录等。公司目前应用服务器用windows的已经很少了,但最近搞了生产环境网络隔离,所有访问生产服务器的操作必须通过windows跳板机,因此这些跳板机安全就显得更加重要了。 主要思路:将这些跳板机的登录操作通过syslog集中到某台日志服务器,定期扫描日志,判断嫌疑操作并报警。
案例——只允许跳板机登录生产环境
不知道灬都不知道
06-23 4233
需求一实际操作 一、需求 ​ 为了最大程度的保护公司内网服务器的安全,公司内部有一台服务器做跳板机。运维人员在维护过程中首先要统一登录到这台服务器,然后再登录到目标设备进行维护和操作。由于业务需求,运维人员经常要ssh登录到某几台服务器上做一些操作,为了提高工作效率,运维人员需要免密码登录到指定的几台服务器。 要求如下: 运维人员所在的办公区只能访问跳板机(windows作为终端...
SSH详解 --通过跳板机连接服务器
热门推荐
Diamond
09-08 10万+
参数详解-1:强制使用ssh协议版本1; -2:强制使用ssh协议版本2; -4:强制使用IPv4地址; -6:强制使用IPv6地址; -A:开启认证代理连接转发功能; -a:关闭认证代理连接转发功能; -b:使用本机指定地址作为对应连接的源ip地址; -C:请求压缩所有数据; -F:指定ssh指令的配置文件; -g:允许远程主机连接主机的转发端口; -i:
跳板机的搭建及使用
灬紫荆灬
10-08 4万+
一、跳板机的搭建 1. 关闭防御机制 [root@localhost ~]# setenforce 0 [root@localhost ~]# sed -i ‘7 s/enforcing/disabled/’ /etc/selinux/config [root@localhost ~]# systemctl stop firewalld [root@localhost ~]# systemctl ...
暴露在公网环境下主机的安全防护
banxianqiu2946的博客
08-18 4938
前言:服务器安全问题是每个运维从事人员不可避免的一部分工作,在linux管理界乃至计算机界也都是一个首要考虑的问题。最近公司的部分机器需要暴露在公网环境下,如果不做安全策略的话,可能睡到半夜就会被叫起来处理问题,为睡眠安稳计,为工作质量计,特整理下关于基本安全防护的注意点与可操作点: 公司的部分主机需要能够与公网通信,相应的,远程连接安全是肯定需要做加固的,而一台主机基本的安全策略应包...
14@nginx层负载均衡
ଲ一笑奈@何
05-06 319
层负载均衡 一、负载均衡会话保持 登录:我们登录的时候,浏览器会在服务器上创建一个session的东西,session用来保存用户的登录信息 1、会话保持简介 当用户访问页面登录后,会在服务器上生成一个session文件,并且返回给浏览器一个session_id内容的cookie,cookie会存在浏览器中,下一次访问cookie会携session_id来到服务器验证,没有变化则说明是登录状态,不需要重新登录 2、seesion的共享的方法 1.把seesion文件保存在本地的nfs挂载目录
Linux第十七天
wzdalao的博客
08-09 203
文章目录1.跳板机机制2.yum源不能用的解决思路3.yum命令4.linux上源码安装软件 在十六天中,上传第三方包到我们自制的yum服务器中我们知道第三方软件包的获取一种是我们讲解3中的官方获取,一种就是yum缓存的,但是这两种获取第三方软件的方式都是通过连接到公司外部的网络去获取的,我们必须要考滤这些第三包的1.安全性2.是否侵权。所以我们要将这些从网上下载的包交给审计部门,审计通过后,然后在上传到自己yum服务器上,这样就可以供公司内部使用了。这曾经是个面试题。 1.跳板机机制 其实在公司中,我们内
跳板机(运维堡垒主机)
AmberTian的博客
05-02 8494
本文整理自 http://vps.zzidc.com/vpsjishu/847.html       跳板机就是一台服务器,维护人员在维护过程中,首先要统一登录到这台服务器上,然后从这台服务器再登录到目标设备进行维护。       跳板机,是运维堡垒主机的另个称呼。企业为了服务器的安全,通常所有的ssh连接都是通过跳板机来完成,以便于对ssh连接进行验证和管理,对运维人员的远程登录进行
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值