Bastionhost:シナリオに関するよくある質問

Bastionhost は、クラウド間で他のソースからのホストをどのように管理しますか？

• Alibaba Cloud 上にないアセットやオンプレミスのデータセンターにあるアセットの場合、ホストと Bastionhost がインターネット経由の O&M のようにネットワーク経由で接続できる場合は、Bastionhost で新しいホストを作成してホスト資産をインポートできます。詳細については、「ホストの作成」をご参照ください。

• アセットが異なる VPC またはアカウントにあり、専用回線で接続されていない場合は、Bastionhost のネットワークドメイン機能を使用できます。詳細については、「ハイブリッド O&M シナリオのベストプラクティス」をご参照ください。

Bastionhost は、アカウントや VPC をまたいだアセットの O&M をサポートしていますか？

クラシックネットワーク内のアセットの O&M を実行するにはどうすればよいですか？

Alibaba Cloud Elastic Compute Service (ECS) サーバーがクラシックネットワークにある場合、ClassicLink を使用して Bastionhost VPC をクラシックネットワークに接続できます。ClassicLink 機能の詳細については、「ClassicLink の概要」をご参照ください。

Bastionhost はデータベースの O&M をサポートしていますか？

Bastionhost はどの資産の O&M をサポートしていますか？

Bastionhost は、Linux および Windows 上のホスト資産、ならびに MySQL、SQL Server、PostgreSQL タイプのデータベース資産の O&M をサポートしています。ワンクリックで Alibaba Cloud ECS および ApsaraDB RDS データベース資産をインポートできます。また、オンプレミスのデータセンターや異種クラウドからアセットをバッチでインポートすることもできます。詳細については、「O&M の概要」をご参照ください。

Bastionhost でのデータ転送中および保存中のデータは暗号化されますか？

Bastionhost に転送または保存されるすべてのデータは暗号化されます。Bastionhost は、HTTPS (TLS)、RDP、SSH などの複数の主流の暗号化プロトコルを使用して、転送中のデータのセキュリティを確保します。

Bastionhost は、プライベート通信にパブリック IP アドレスを使用するサーバーをサポートしていますか？

はい、サポートしています。ネットワーク環境でプライベート用にパブリック IP アドレスをデプロイしている場合は、Bastionhost コンソールで設定できます。詳細については、「Bastionhost の設定」をご参照ください。

サーバーを HTTP および SOCKS5 プロキシサーバーとして設定するにはどうすればよいですか？

このセクションでは、CentOS 8.3 を実行する Alibaba Cloud サーバーを例として、サーバーを HTTP および SOCKS5 プロキシサーバーとして設定する方法について説明します。

1. Alibaba Cloud サーバーにログオンします。

2. yum install 3proxy コマンドを実行して 3proxy ツールをインストールします。

3. vim /etc/3proxy.cfg コマンドを実行して設定ファイルを変更します。

   • プロキシサーバーのホストアカウントとパスワードを設定します。

   • アクセス制御パラメーターを設定します。

   • HTTP および SOCKS5 プロキシを有効にし、プロキシサーバーにアクセスするためのリスナーポートとソース IP アドレスを指定します。

4. systemctl start 3proxy.service コマンドを実行してプロキシサービスを有効にします。

5. iptables -F コマンドを実行してサーバーのファイアウォールを無効にし、サーバーにアクセスできるようにします。

6. サーバーのセキュリティグループルールを追加します。詳細については、「セキュリティグループルールの追加」をご参照ください。

   重要

   セキュリティグループルールを追加するときは、ポート範囲を 手順 3 で設定したリスナーポートに設定し、権限付与オブジェクトを Bastionhost インスタンスのエグレス IP アドレスに設定します。Bastionhost インスタンスのエグレス IP アドレスは、Bastionhost コンソールの [インスタンス] ページで確認できます。

   サーバーのセキュリティグループルールを追加すると、プロキシサーバーが設定されます。

サーバーを HTTPS プロキシサーバーとして設定するにはどうすればよいですか？

このセクションでは、GOST ツールを例として、CentOS 8.3 を実行する ECS インスタンスを HTTPS プロキシサーバーとして設定する方法について説明します。

1. サーバー証明書 (server.crt)、サーバー証明書の秘密鍵 (server.key)、および CA ルート証明書 (ca.crt) を準備します。次のいずれかの方法で証明書を取得できます。

   • OpenSSL などのツールを使用して自己署名証明書を生成します。

   • Alibaba Cloud から無料の個人用テスト証明書を取得するか、商用証明書を購入します。詳細については、「SSL 証明書選択ガイド」をご参照ください。

2. ECS インスタンスに GOST をインストールします。詳細については、「GOST のインストール」をご参照ください。

3. 証明書ファイルを GOST インストールフォルダーにアップロードし、GOST プロキシサーバーを設定して起動します。

   • コマンドライン: パラメーターを変更してから GOST を起動します。

     gost -L="https://admin:123456@:8843?cert=./server.crt&key=./server.key"

     • admin:123456: カスタムの GOST ユーザー名とパスワードです。これは、Bastionhost ネットワークドメインの HTTPS プロキシの ホストアカウント と パスワード に対応します。

     • 8443: カスタムのプロキシポートです。これは、Bastionhost ネットワークドメインの HTTPS プロキシの サーバーポート に対応します。

       ECS インスタンスでこのポートのセキュリティグループのインバウンドルールを設定する必要があります。ポート範囲 を 8443 に、権限付与オブジェクト を Bastionhost インスタンスのエグレス IP アドレスに設定します。IP アドレスは、Bastionhost コンソールの [インスタンス] ページで確認できます。ECS インスタンスのセキュリティグループルールの追加方法の詳細については、「セキュリティグループルールの追加」をご参照ください。

     • ./server.crt: サーバー証明書です。

     • ./server.key: サーバー証明書の秘密鍵です。

   • JSON ファイル: パラメーターを変更してから GOST を起動します。

     • JSON 設定ファイル (このファイルを作成する必要があります。このトピックでは、gost.json を例として使用します。)

       {
         "ServeNodes": [
           "https://admin:123456@:8843?cert=./server.crt&key=./server.key"
         ]
       }

       • admin:123456: カスタムの GOST ユーザー名とパスワードです。これは、Bastionhost ネットワークドメインの HTTPS プロキシの ホストアカウント と パスワード に対応します。

       • 8443: カスタムのプロキシポートです。これは、Bastionhost ネットワークドメインの HTTPS プロキシの サーバーポート に対応します。

         ECS インスタンスでこのポートのセキュリティグループのインバウンドルールを設定する必要があります。ポート範囲 を 8443 に、権限付与オブジェクト を Bastionhost インスタンスのエグレス IP アドレスに設定します。エグレス IP アドレスは、Bastionhost コンソールの [インスタンス] ページで確認できます。ECS インスタンスのセキュリティグループルールの追加方法の詳細については、「セキュリティグループルールの追加」をご参照ください。

       • ./server.crt: サーバー証明書です。

       • ./server.key: サーバー証明書の秘密鍵です。

     • GOST の起動

       gost -C gost.json