Bastionhost：使用Bastionhost實現 PAI-DSW 執行個體安全營運與審計

適用範圍

• Bastionhost版本：請根據實際情況進行選擇，詳情參見版本功能對比。

  • 若僅需要進行營運，無需憑據輪轉，可使用基礎版。

  • 若需進行憑據輪轉，請選擇企業雙擎版。

• 網路環境：Bastionhost和DSW執行個體之間網路互連。

• 協議要求：DSW執行個體支援使用SSH進行串連。

方案背景

在AI大模型開發過程中，演算法工程師和營運人員需要通過SSH協議訪問PAI-DSW開發環境，進行代碼調試、環境配置、資料管理等操作。傳統的分散式訪問方式存在以下安全痛點：

• 訪問入口分散：直接暴露DSW執行個體的SSH連接埠到公網或辦公網路，增加了攻擊面。

• 許可權管理粗放：多人共用root 等高許可權賬戶，難以遵循最小許可權原則，操作責任無法明確界定。

• 操作行為不可知：無法對營運人員在DSW執行個體內部執行的具體命令和檔案傳輸操作進行有效審計，一旦發生安全事件，難以追溯和定責。

• 資料泄露風險：無法有效管控通過scp、wget等命令從DSW執行個體外傳或下載敏感性資料和模型檔案的行為。

方案優勢

• 收斂網路暴露面

  將所有 PAI-DSW 執行個體的 SSH 訪問入口收斂至Bastionhost，營運流量僅在內網傳輸。無需為執行個體配置公網 IP 或暴露連接埠，有效隱藏資產真真實位址，阻斷外部掃描與網路攻擊。

• 統一身份與資產納管

  支援對接 RAM、AD、LDAP 等企業身份源，將分散的 DSW 執行個體帳號納入統一管理。消除多人共用 Root 帳號的安全隱患，確立實名制營運體系。

• 精微調權限管控與審計

  支援基於“使用者-資產-系統帳號”維度細粒度授權，並配置命令控制策略（如攔截檔案傳輸或刪除指令）。系統全程記錄會話日誌與操作錄影，滿足故障追溯與安全定責需求。

• 無侵入式快速接入

  基於現有網路架構即可接入，無需在 DSW 執行個體中安裝 Agent 或部署額外網關。通過資產納管配置，即可快速將新增算力資源納入安全營運體系，降低管理複雜度。

• 自動化營運安全增強

  提供 SSH 金鑰自動輪轉、雙因子認證（MFA）及指令碼批量下發能力。在提升訪問安全等級的同時，減少人工維護憑據的成本，降低因誤操作導致的安全風險。

• 全鏈路合規支撐

  通過集中認證、許可權控制及會話記錄，實現營運全流程可審計。協助企業滿足金融、政府等受監管行業對資料安全與營運審計的合規要求。

方案架構

本方案的核心是將Bastionhost作為所有營運流量的統一代理和審計中心。所有營運人員不再直接連接PAI-DSW執行個體，而是首先登入Bastionhost，經過嚴格的身份認證和許可權檢查後，再由Bastionhost代理其訪問目標DSW執行個體。

架構說明：

1. 身份與認證層：營運人員通過存取控制（RAM）使用者身份登入Bastionhost營運門戶，支援配置雙因子認證以增強安全性。Bastionhost支援與AD、LDAP、IDaaS等多種企業身份源整合，實現統一身份認證。

2. 訪問代理層：Bastionhost作為唯一的訪問入口，收斂所有SSH串連請求。它通過Virtual Private Cloud內網串連到目標PAI-DSW執行個體，無需向公網暴露DSW執行個體的任何連接埠，極大降低了攻擊風險。

3. 資產與許可權層：PAI-DSW執行個體作為主機資產被納入Bastionhost進行統一管理。管理員可以建立精細化的授權規則，將特定使用者與特定DSW執行個體的主機賬戶進行綁定，並可限制訪問時間、來源IP等。

4. 控制與審計層：所有經由Bastionhost的SSH會話都會被即時監控和錄影。管理員可以配置命令控制策略，攔截或阻斷高危操作（如刪除模型檔案），並對檔案傳輸行為進行審計。所有操作記錄均可查詢和回放，並可歸檔至Log Service（SLS）進行長期儲存和分析。

步驟一：建立Bastionhost執行個體

1. 購買Bastionhost。

   1. 進入Bastionhost購買頁。

   2. 參考如下配置進行填寫後，單擊立即購買並完成支付。未提及配置請根據需求設定或保持預設值。更多資訊可參見快速購買並登入Bastionhost。

      配置項	說明	樣本值
      地區	選擇Bastionhost所在地區，建議與資產所在地區保持一致。	華東1（杭州）
      版本	選擇Bastionhost執行個體的版本。選型建議請參見選型指導。	企業雙擎版

2. 啟用Bastionhost執行個體。

   1. 登入Bastionhost控制台，在頂部功能表列，選擇目標地區。

      說明

      首次進入Bastionhost控制台時，需建立服務關聯角色，以便全面開啟營運安全防護，請根據頁面提示建立。

   2. 在Bastionhost執行個體列表中，選擇前面步驟建立的Bastionhost執行個體，單擊啟用，在彈出的面板填寫如下配置。更多資訊請參見啟用Bastionhost。

      配置項	說明	樣本值
      選擇網路	選擇Bastionhost執行個體的專用網路和虛擬交換器。 專用網路在執行個體啟用後無法修改。 為了確保內網連通，建議Bastionhost執行個體與被營運的ECS使用同一個專用網路。	test_vpc
      選擇主可用區交換器	企業雙擎版支援部署主備交換器可用性區域雙活運行。此處選擇Bastionhost主可用性區域交換器。	vsw_1
      ECS安全性群組	需至少加入一個普通安全性群組，Bastionhost加入普通安全性群組後將自動產生訪問規則，允許Bastionhost訪問該安全性群組內的相關資產。 Bastionhost不支援加入企業安全性群組，需手動設定企業安全性群組訪問規則實現網路互連。 Bastionhost不支援加入雲產品託管的安全性群組，如您只有雲產品託管的安全性群組，您需要建立普通安全性群組。 說明 啟用Bastionhost後，支援修改Bastionhost所屬安全性群組，具體操作，請參加配置Bastionhost。 啟用Bastionhost後，若Bastionhost訪問資產時被安全性群組阻斷，可手動設定安全性群組訪問規則。具體操作請參見添加安全性群組規則。	test_sg

   3. 單擊下一步，待啟動檢查通過後單擊立即啟動。

      • 啟動後，執行個體進入初始化狀態，一般需10~15分鐘，請耐心等待。

      • 初始化結束後，執行個體將進入運行中狀態，表明該Bastionhost執行個體已成功啟用。

3. 為Bastionhost執行個體開啟公網訪問。

   在Bastionhost執行個體列表，定位前面步驟建立的目標執行個體，開啟網路 > 公網後的開關。

步驟二：建立DSW執行個體

1. 登入PAI控制台，選擇目標地域，在左側導覽列單擊工作空間列表，選擇並進入目標工作空間。

2. 在左側導覽列單擊模型開發與訓練 > 互動式建模（DSW） ，切換至開發機執行個體頁簽，單擊建立執行個體，配置以下關鍵參數，其他參數保持預設值即可。控制台全量參數請參見控制台全參數列表。

   配置項	說明	樣本值
   实例名称	自訂執行個體名稱。	dsw_test
   資源類型	指定資源類型。	公用資源
   資源規格	指定資源規格。 說明 若指定規格庫存不足，請嘗試挑選清單中的其他規格。	ecs.gn7i-c8g1.2xlarge （配置為：1張A10 GPU、8 vCPU、30 GiB記憶體）
   鏡像配置	選擇官方镜像。 說明 ModelScope的鏡像相容性較好，且三方庫較全，因此推薦使用ModelScope鏡像。	modelscope:1.31.0-pytorch2.8.0-gpu-py311-cu124-ubuntu22.04 （Python版本為3.11、CUDA版本為12.4）
   專用網路配置	選擇和Bastionhost執行個體相同的VPC。如需建立請參見專用網路與交換器。	test_vpc
   安全性群組	選擇目標安全性群組。如需建立請參見管理安全性群組。	test_sg
   啟用SSH	開啟此開關。	開啟
   SSH公钥	參考產生SSH公開金鑰，將公開金鑰內容粘貼到此處。
   自訂服務	需將監聽連接埠加入到目標安全性群組的訪問規則 > 入方向中。	監聽連接埠：22

   單擊確定建立執行個體，當執行個體狀態為運行中時，代表建立成功。

   說明

   Bastionhost執行個體必須能通過網路訪問PAI-DSW執行個體。若Bastionhost和DSW執行個體位於不同的VPC中，可配置VPC對等串連或使用雲企業網打通兩個VPC之間的網路。如需測試連通性可參考網路診斷。

步驟三：在Bastionhost中納管DSW執行個體

1. 建立主機。

   1. 登入Bastionhost控制台，定位目標執行個體，單擊右側的管理，進入Bastionhost執行個體管理後台。

   2. 在左側功能表列，單擊資產管理 > 主機，隨後單擊匯入其他來源主機 > 建立主機，填寫如下資訊後，單擊建立。更多資訊可參考建立主機。

      配置項	說明	樣本值
      作業系統	選擇DSW執行個體的作業系統類型。	Linux
      主機IP	填寫DSW執行個體的IP地址。其位於DSW執行個體詳情頁的執行個體配置 > 網路資訊 > 內網訪問IP > 使用者網卡。	192.168.1.40
      主機名稱	為DSW執行個體設定一個易於識別的名稱。	dsw-model-dev

2. 建立主機賬戶。

   定位已建立的主機記錄，單擊其操作列下的建立主機賬戶。參考如下配置設定登入DSW主機的賬戶資訊，填寫完成後，單擊建立。更多資訊可參考管理主機賬戶。

   配置項	說明	樣本值
   協議	選擇協議。	SSH
   登入名稱	設定登入DSW執行個體的使用者名稱。DSW執行個體預設僅提供root使用者用於SSH登入。	root
   是否為特權賬戶	指定是否為特權賬戶。	是
   認證類型	選擇認證類型。	私密金鑰
   私密金鑰	設定為建立DSW執行個體步驟中SSH公開金鑰所對應的私密金鑰。
   加密口令	若建立公開金鑰時，設定了加密口令，則需將其填寫在此處。

步驟四：配置授權與存取原則

1. 建立使用者。

   在左側功能表列，單擊人員管理 > 使用者，隨後單擊匯入其他來源使用者 > 新增使用者，填寫如下資訊後，單擊建立。更新資訊可參考系統管理使用者。

   配置項	說明	樣本值
   使用者登入名稱	設定登入Bastionhost門戶的使用者名稱。	user1
   認證方式	設定登入Bastionhost門戶的認證方式。	本地認證
   密碼	設定登入密碼。
   確認密碼	設定確認密碼。
   顯示名稱	設定在控制台中顯示的名稱。	user1
   手機號	設定使用者的手機號碼。當開啟雙因子認證方式後，通過手機簡訊進行二次認證。	159*******
   郵箱	設定使用者的郵箱。當開啟雙因子認證方式後，通過郵箱進行二次認證。	test***@aliyun.com

2. 為使用者授權主機。

   1. 在使用者列表定位前一步驟建立的使用者，在其操作列下單擊授權主機，進入已授權主機頁面。

   2. 單擊授權主機，在彈出的面板中選擇目標主機後，單擊確定。更多資訊請參考為使用者授權資產。

3. 為使用者授權主機賬戶。

   1. 定位上一步授權的主機記錄，單擊已授權賬戶列下的“無已授權賬戶，點擊授權賬戶”。

   2. 選擇目標賬戶（例如：[ssh] root），最後單擊更新。更多資訊請參考為使用者授權資產賬戶。

4. （可選）配置控制策略。

   1. 在左側功能表列，單擊控制策略，隨後單擊建立控制策略，進入建立控制策略頁面。

   2. 填寫如下資訊後，單擊建立控制策略。更多資訊請參考配置控制策略。

      配置項	說明	樣本值
      名稱	設定策略名稱稱。	block-dsw-dangerous-cmds
      命令策略	單擊命令策略，設定以下資訊： 需要控制命令列表：(黑名單)不允許執行以下命令。 具體命令：ifconfig（以 ifconfig 命令為例，請根據需求進行設定）。

   3. 在關聯資產/使用者頁面，進行如下設定：

      1. 選擇策略針對已選擇的資產生效，單擊資產 > 主機 > 關聯主機，選擇目標主機後，單擊確定。

      2. 選擇策略針對已選擇的使用者生效，單擊使用者 > 關聯使用者，選擇目標使用者後，單擊確定。

5. （可選）建立密鑰輪轉任務（僅企業雙擎版支援）。

   為進一步提升安全性，可配置SSH密鑰的自動輪轉。當建立的任務執行後，將自動產生新的密鑰、更新DSW執行個體上的公開金鑰，並替換Bastionhost中儲存的私密金鑰。

   1. 在左側功能表列，單擊資產管理 > 改密任務，隨後單擊建立改密任務。

   2. 在彈出的面板中，設定如下資訊後，單擊建立。更多資訊可參考建立改密任務。

      配置項	說明	樣本值
      任務名稱	自訂任務名稱。	test_task
      任務類型	指定任務類型。支援密碼輪轉和密鑰輪轉。	密鑰輪轉
      執行方式	指定執行方式。支援周期執行和定時執行。	定時執行
      執行時間	指定任務執行的時間。	2025-12-23 17:23:45

   3. 建立完成後，單擊面板中的關聯賬戶，在託管賬戶頁簽中單擊添加主機賬戶，選擇目標主機賬戶並單擊添加。

步驟五：驗證與審計

1. 登入Bastionhost門戶。

   1. 進入Bastionhost執行個體管理後台，在左側功能表列，單擊概覽，進入概覽頁面。

   2. 訪問Bastionhost執行個體資訊 > 公網營運門戶地址處的URL，使用前面步驟建立的使用者（例如：user1）進行登入。

      說明

      若出現雙因子認證，請根據頁面提示選擇合適的驗證方式進行驗證。

   3. 登入成功後，將進入Bastionhost門戶的主機頁面。

2. 登入目標主機（DSW執行個體）。

   在Bastionhost門戶的主機頁面，定位目標主機（例如：dsw-model-dev），單擊遠端連線列下的表徵圖，即可登入至目標主機。

3. 驗證控制策略。

   若在前面步驟已配置控制策略，可在已登入主機的終端頁面，執行被控制策略禁止的命令（例如：ifconfig），如出現permission denied by rule，則表明控制策略已生效。

   

4. 會話審計。

   進入Bastionhost執行個體管理後台，在左側功能表列，單擊營運審計 > 會話審計，即可查看會話資訊以及播放會話操作。詳情可參考搜尋和查看會話。

風險說明

• 許可權配置不當

  授權範圍過大或命令控制策略不嚴謹，可能導致安全目標無法達成。務必遵循最小許可權原則進行配置。

• 網路原則變更

  DSW執行個體或Bastionhost所在VPC的安全性群組或網路ACL變更，可能導致串連中斷。在進行網路原則調整時，需確保Bastionhost與DSW執行個體之間的通訊連接埠（預設為22）始終暢通。

• DSW執行個體IP變更

  PAI-DSW執行個體在停止再啟動後，其內網IP可能發生變化。IP變更後，需在Bastionhost中手動更新對應主機資產的IP地址，否則將導致串連失敗。建議為關鍵DSW執行個體配置固定的私人IP或通過自動化指令碼更新。

常見問題