ZStack云平台应用堡垒机教程

最新推荐文章于 2024-03-21 17:01:08 发布
最新推荐文章于 2024-03-21 17:01:08 发布
阅读量1k 收藏 2
点赞数
分类专栏: ZStack云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zstack_org/article/details/105096349
版权
本文档介绍了ZStack云平台中部署Linux堡垒机的步骤,旨在通过堡垒机对应用系统进行集中管理和维护,确保网络安全。详细阐述了ZStack云平台方案、网络规划、堡垒机创建与系统安装、公网弹性IP的添加以及Jumpserver的安装配置。通过堡垒机,可以实现对内部网络设备及服务器的访问控制,提高整体架构的安全性。
摘要由CSDN通过智能技术生成

1、目的

1.1 堡垒机支持统一账户管理策略,能够实现对所有远程服务器等账号进行集中管理,完成对账号整个生命周期的监控;还支持对不同用户进行不同策略的制定,细粒度的访问控制能够严防非法、越权访问事件的发生,最大限度保护用户资源的安全。

1.2 同时堡垒机也能解决一些安全上的不稳定因素,堡垒机执行的任务对于整个网络安全系统至关重要。由于堡垒机完全暴露在外网安全威胁之下,需要做许多工作来设计和配置堡垒机,使它遭到外网攻击成功的可能性减至最低。甚至,一些网络管理员会用堡垒机做牺牲品来换取网络的安全。这些堡垒机吸引入侵者的注意力,消耗攻击真正网络主机的时间并且使追踪入侵企图变得更加容易。

1.3 堡垒机在企业网络管理中充当着门卫的重要职责,所有内外部对网络设备及服务器的请求,都要通过堡垒机。因此,堡垒机能够拦截非法访问和恶意攻击,对不合法命令进行阻断、过滤掉所有对目标设备的非法访问行为。总之,堡垒机能够最大的保护企业内部网络设备及服务器资源的安全性,使得企业内部网络管理合理化和专业化。

1.4 本文档旨在提供ZStack云平台很多用户通过堡垒机对部署在ZStack平台的应用系统进行日常维护,并进行集中式的管理,从而无需管理运维人员逐一进行相关运维,只需通过一台或者多台堡垒机即可运营整个服务架构中的主机,同时也为管理私有网络的服务器提供便利,最小化应用系统的安全风险,从而有利于提升整体架构的安全,并结合这些场景和安全因素考虑,写下关于ZStack云平台应用部署Linux堡垒机的教程。

2、ZStack云平台方案

2.1 准备软件

2.2.1 进行部署之前,需提前下载云平台所需的系统ISO、部署安装包。

2.2.2 以ZStack 3.7.1版本为例,可在官网下载相关资源。

http://cdn.zstack.io/product_downloads/iso/ZStack/3.7.1/7948o1y5rx/ZStack-x86_64-DVD-3.7.1-c74.iso

注意:下载ISO请下载与当前云平台适配的ISO版本,例如,当前云平台采用C74版本,请下载C74版本的ISO。

注:下载完毕,请在管理节点检查md5值与网站标识的是否一致,如不一致,请重新下载。

校验md5的检测方法参考:

#md5sum ZStack-x86_64-DVD-3.7.1-c74.iso

2.2 总体规划

2.2.1网络规划介绍

对于网络规划通常需要划分为若干个子网,分为公有网络和私有网络。公有网络中的云主机可以直接从 Internet 中接收入站数据流,也可以直接向 Internet 发送出站数据流,而私有网络中的云主机则不可。但是私有网络中的云主机可以使用位于公有网络中的网络地址转换 (NAT) 网关访问 Internet。
根据以上描述不同子网的特点,我们需要把堡垒机放置在公有子网中,也就是绑定弹性公网IP,以便接受管理人员通过Internet的访问,受管理的服务器根据其在业务系统中充当的角色选择放置在公有网络或着私有网络中。在实际生产环境中根据需要可为堡垒机设置一个独立的公有地址。

2.2.2实验环境介绍

PC为本机,能连通Internet,本机IP为192.168.167.38/24

Jumpserver为centos7虚拟机,安装一块网卡,IP地址为10.0.149.157/16,并绑定一个弹性公网IP,IP地址为172.20.14.15/16,能连通Internet,堡垒机能够ping通PC和Service

service为Centos7虚拟机,安装一块网卡,IP地址为10.0.214.167/16

目前PC端无法连接10.0.0.0/16网段的所有IP

两个Centos均安装openssh-client和openssh-service,并能正常使用sshd服务

PC通过弹性公网IP远程连接到jumpserver,再利用jumpserver的私网IP来远程连接管理service,达到PC控制远端service的效果,具体网络构架规划示意图,如下图所示:
在这里插入图片描述

3、Linux堡垒机部署

3.1 创建堡垒机

在ZStack私有云主菜单,点击云资源池 > 云主机按钮,进入云主机界面,点击创建云主机按钮,在弹出的创建云主机页面,可参考以下示例输入相应内容,这里所使用的镜像是CentOS-7-x86_64-DVD-1804,三层网络选择私有网络,具体如图1所示:
图1 创建云主机
3.2 安装系统

3.2.1打开控制台

打开当前云主机的控制台,可以登录云主机系统,进入ISO引导安装界面,默认选择Install ZStack开始安装操作系统;当服务器引导模式选择为Legacy模式时U盘引导,如图2所示:
图2 选择安装方式

3.2.2选择语言

根据个人喜好选择语言,这里选择English(United States),如图3所示:

最低0.47元/天 解锁文章
ZStack云计算
关注
专栏目录
ZigBee Z-Stack 1.01 学习教程目录
拿破仑940911
08-17 9655
ZigBee Z-Stack 1.01 学习教程目录
视频教程-ZStack 带你0基础搭建私有云平台|ZCCT实战培训视频|-云平台
weixin_34432813的博客
05-28 929
ZStack 带你0基础搭建私有云平台|ZCCT实战培训视频| ZStack...
软件版堡垒机
06-08
堡垒机,对服务器(Windows/Linux/Unix等系统)、网络设备(Cisco/H3C/华为等)、防火墙(Juniper/天融信/网御等防火墙)等远程运维操作,提供了所需的集中身份认证、集中访问授权、集中访问管理、集中操作审计功能,以及简化操作和管理的单点登陆功能,致力于提升中小企的IT运维管理水平。
ZStack实践汇 | ZStack云平台应用堡垒机教程
bjhyxk的博客
03-25 1291
ZStack实践汇 | ZStack云平台应用堡垒机教程 1、目的 1.1堡垒机支持统一账户管理策略,能够实现对所有远程服务器等账号进行集中管理,完成对账号整个生命周期的监控;还支持对不同用户进行不同策略的制定,细粒度的访问控制能够严防非法、越权访问事件的发生,最大限度保护用户资源的安全。 1.2同时堡垒机也能解决一些安全上的不稳定因素,堡垒机执行的任务对于整个网络安全系统至关重要。由于堡垒机完全...
ZStack V3.6.0 升级教程.pdf
09-13
1. 本地存储(LocalStorage)场景 • 对物理机升级前,需计划性关闭该物理机上承载的云主机; • 在此场景下,物理机进入维护模式后,将关闭所承载的云主机,管理员务必清楚操作行为。 2. NFS(Network File System Storage)存储场景 • 对物理机升级前,需对该物理机承载的云主机进行迁移(Migrate); • 在此场景下,物理机进入维护模式后,将触发迁移所承载的云主机。 3. 共享挂载存储(Shared Mount Point)场景 • 对物理机进行更新时,管理员需了解目前采用的共享挂载存储类型; • ZStack支持场景的共享挂载存储类型,包括GlusterFS、MooseFS、Lustre和GPFS等,对物理机 操作系统升级将会影响其客户端的版本依赖; • 对物理机升级前,建议联系ZStack技术支持,以便获得合适的升级方案。 4. Shared Block共享块存储场景、Ceph分布式存储(商业版或社区版)场景、 • 对物理机升级前,建议联系ZStack技术支持,以便获得合适的升级方案。 • 升级后,Shared Block存储上的共享云盘将不支持创建快照、扩容和在线(所挂载云主机状态)创 建镜像功能,如有需要可咨询ZStack公司技术支持获取帮助
基于ZStack云平台部署FortiGate
zstack_org的博客
03-12 1037
作者:邵悠锋 前言 随着云计算技术的不断完善和发展,云计算已经得到了广泛的认可和接受,许多组织已经或即将进行云计算系统建设。同时,以信息服务为中心的模式深入人心, 大量的应用正如雨后春笋般出现, 组织也开始将传统的应用向云中迁移。 云计算技术给传统的 IT 基础设施、应用、数据以及IT 运营管理都带来了革命性改变,同时也给安全措施改进和升级、安全应用设计和实现、安全运维和管理等带来了问题和挑战,也...
如何使用备份软件恢复云轴ZStack虚拟机上的备份数据?
03-22
本文主要讲解如何使用一款虚拟机备份软件来恢复云轴ZStack虚拟机上的备份数据。云轴ZStack是一款流行的开源云计算管理平台,它提供了虚拟化的基础设施服务。当面临数据丢失或者系统故障时,能够快速有效地恢复虚拟机...
ZStack 假日教程:<三层网络-Three Tiered Network>
weixin_33973609的博客
10-17 139
2019独角兽企业重金招聘Python工程师标准>>> ...
ZStack-ZCCE-网络实验-云平台环境搭建及初始化(虚拟嵌套环境)
接华为网络、网安方向小组作业,期末作业,课程设计、毕设等,有意可私信留言。
07-30 2018
ZStack-ZCCE-网络实验-Zstack云平台搭建实验概述实验目的实验准备操作步骤 实验概述 本案例实验环境主要是基于已有的外层ZStack云平台,去完成Zstack云平台上的二层嵌套虚拟实验环境的搭建。 实验目的 1.ZStack环境搭建 2.创建区域、集群、 3.添加计算节点、主存储、 4.创建二层网络、三层网络 实验准备 1.一台Windows系统的PC 2.底层Zstack云平台环境对外开放的公网IP地址以及管理端口参数 3.拥有底层Zstack云平台环境的本地登录账号 4.Zstack云平台
ZStack 假日教程:<安全组防火墙-Security Group>
weixin_34284188的博客
10-24 223
2019独角兽企业重金招聘Python工程师标准>>> ...
zigbee之Zstack协议栈使用
hfh8130的博客
11-11 5679
zigbee;zstack
Linux虚拟化的ZStack快速部署
最新发布
wjrandwsy的博客
03-21 1170
7)安装完成后“重启”然后进入“ZStack Cloud定制版系统。切记一定开启“虚拟化引擎” 否则在zstack中无法添加物理机。添加物理机(一定记得要开始虚拟化,否则这一步无法成功!1)选择“Install ZStack”进行安装。配置完成后,点击“安装”进行虚拟机的安装。点击“Save”后查看是否配置成功。登录成功后进入“初始化向导页面”6)进行root用户密码的设置。3)选择第一个“企业级安装”5)进行虚拟机网络的配置。如下图所示,网络配置成功。配置“网络自动激活“输入账号密码进行用户登录。
linux普通分区lvm分区区别
dhl1987的博客
09-27 5488
linux普通分区lvm分区区别
虚拟机磁盘扩容方法
weixin_45880589的博客
09-06 424
1.1 查看虚拟机磁盘空间1.2.登录ZSTACK1.3.点击云资源池-云主机,点击需要扩容的主机,点击云主机操作-系统扩容1.4再次查看虚拟机磁盘空间。
IT知识百科:什么是云堡垒机
网络技术联盟站
08-28 1026
堡垒机(Bastion Host)是一种位于内部网络和外部网络之间的中间服务器,用于控制和监管对内部服务器的访问。它充当了一座“堡垒”,只允许经过严格认证和授权的用户进行访问,从而确保只有合法用户能够进入内部网络环境。堡垒机通过强大的身份认证和授权机制,确保只有授权用户才能够访问内部服务器。这可以防止未经授权的访问和恶意攻击。堡垒机可以记录所有用户的操作行为,包括登录、命令执行等,以便进行后期审计和监控。这有助于发现异常活动和安全威胁。
zstack 搭建部署
weixin_30622107的博客
05-02 829
[问题] FreeBSD11 中 ZStack 源码编译过程 [解答] 参考:http://zstack.org/cn_blog/build-zstack.html zstack 的commit id: 55f182cf11fe4c14ec43098f330a6b396e19b9fa 下载下面四个仓库的代码,需要放到同一个目录,我是放放在/usr/home/harvis/Opensour...
使用ZStack打造入门级深度学习云平台
利用ZStack构建深度学习云平台的优势在于,即使只有一台普通的PC机,也能快速搭建起一个初步的云环境。这为初学者提供了实践深度学习的便捷途径。随着需求的增长,这个平台可以进一步扩展,增加更多的功能和计算资源...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值