全部產品
Search

搜尋本產品

    Global Accelerator:通過Global Acceleration(GA)最佳化Bastionhost遠程營運訪問

    文件中心

    Global Accelerator:通過Global Acceleration(GA)最佳化Bastionhost遠程營運訪問

    更新時間:Feb 05, 2026

    多地區營運訪問常受公網鏈路品質影響,易出現高時延、丟包與串連不穩定,並帶來審計與許可權管控壓力。本文說明如何使用Global Acceleration(GA)將營運流量就近接入阿里雲骨幹網路,並結合Bastionhost實現穩定訪問與全程可審計的營運通道。

    背景介紹

    對於存在多地區業務部署的企業,為實現資源與經驗複用,員工通常需要在不同地理位置開展開發與營運工作,網路架構也隨之複雜化。多地區訪問通常面臨以下挑戰:

    • 安全風險高:資料轉送經過多個網路節點,資料泄露風險上升。

    • 帳號許可權管理難:多地區分散管理,缺乏統一許可權控制平台。

    • 合規要求高:需滿足不同地區的資料安全與隱私保護法規。

    • 網路品質差:公網跨地區訪問存在高延遲、丟包和串連不穩定等問題。

    阿里雲Bastionhost作為營運安全的統一管控平台,可集中管理營運許可權,全程管控操作行為,即時還原營運情境,保障營運行為身份可鑒別、許可權可管控、操作可審計。搭配阿里雲Global Acceleration GA,依託阿里雲優質的全球網路基礎設施,可在滿足營運安全管控的同時顯著改善多地區營運與開發體驗。

    應用情境

    • 跨國企業營運:企業在多個省/地區部署業務系統,IT 營運人員需要跨地區訪問管理。

    • 全球分布式團隊協作:開發、營運團隊分布在不同地區,需要訪問同一套基礎設施。

    • 國際化業務營運管理:企業開展多地區業務營運,需要從一個地區統一營運管理其他地區資源。

    • 合規審計要求高的情境:金融、醫學等行業對跨地區營運有嚴格的審計和合規要求。

    方案優勢

    • 部署簡單:配置簡單,分鐘級完成部署。通過控制台統一管理全域資源,實現快速上線與敏捷營運。

    • 穩定可靠:依託阿里雲Global Acceleration節點與優質 BGP 頻寬,顯著降低多地區訪問延遲與丟包率。支援多節點智能流量調度,自動規避單點故障,保障服務高可用。

    • 安全合規:Bastionhost全程記錄營運操作,支援錄屏回放與審計追溯,實現細粒度許可權管控,滿足等保合規要求。

    • 協議相容:支援 SSH、RDP、MySQL、PostgreSQL 等主流協議,適配混合雲與多地區架構情境。

    方案架構

    以全球不同地區使用者訪問Bastionhost為例,終端使用者將就近接入 GA 加速節點,流量經加速節點轉寄至Bastionhost,從而顯著降低網路時延與丟包率。

    image

    • 加速地區(終端使用者訪問Bastionhost時所在的地區)

      地區

      支援的地區

      亞太地區-中國

      華東1(杭州)華東2(上海)華北1(青島)華北2(北京)華北6(烏蘭察布)華南1(深圳)華南3(廣州)西南1(成都)中國香港

      亞太地區-其他

      日本(東京)韓國(首爾)新加坡馬來西亞(吉隆坡)印尼(雅加達)菲律賓(馬尼拉)泰國(曼穀)、越南(胡志明)Edge POP

      歐美地區

      德國(法蘭克福)英國(倫敦)美國(矽谷)美國(維吉尼亞)、加拿大(多倫多)Edge POP、加拿大(溫哥華)Edge POP、墨西哥

    • 終端節點(Bastionhost執行個體所在地區)

      說明

      若Bastionhost執行個體所在地區未在以下列表中,請選擇地理上最近的地區,GA 將自動路由至最優節點。

      地區

      支援的地區

      亞太地區-中國

      華東1(杭州)華東2(上海)華北1(青島)華北2(北京)華北6(烏蘭察布)華南1(深圳)華南3(廣州)西南1(成都)中國香港

      亞太地區-其他

      日本(東京)韓國(首爾)新加坡馬來西亞(吉隆坡)印尼(雅加達)菲律賓(馬尼拉)泰國(曼穀)、越南(胡志明)Edge POP

      歐美地區

      德國(法蘭克福)英國(倫敦)美國(矽谷)美國(維吉尼亞)墨西哥

    前置準備

    在開始配置前,請確保:

    • Bastionhost執行個體:確保執行個體已建立,並已開啟公網訪問。

    • 自訂網域名:準備一個自有網域名稱(例如 bh.yourcompany.com)用於訪問Bastionhost,並確保擁有該網域名稱的DNS解析許可權。

    • SSL認證:為上述網域名稱準備一張有效SSL認證,用於HTTPS加密。

    操作步驟

    步驟一:建立Global Acceleration執行個體

    1. 執行個體基礎配置

      1. 進入Global Accelerator執行個體列表頁面,單擊建立標準型隨用隨付執行個體

      2. 執行個體基礎配置步驟,配置以下參數:

        • Global Accelerator執行個體名稱:設定執行個體名稱。

        • 加速IP類型:選擇Elastic IP Address,Global Acceleration會為每個加速地區分配獨立的EIP。

      3. 單擊下一步,進入配置加速地區步驟。

    2. 配置加速地區

      • 加速地區:選擇使用Bastionhost服務的終端使用者所在地區。例如:西南1(成都)

        說明

        請勿選擇目標Bastionhost執行個體所在的地區,當加速地區與目標Bastionhost執行個體所在的地區一致時,將導致此地區的加速無效。

      • 分配頻寬:為每個加速地區設定如下相關配置。

        • 頻寬峰值:預設 200 Mbps,可根據實際需求調整(單位:Mbps)。

        • IP地址協議:選擇IPv4

      單擊下一步,進入配置監聽步驟。

    3. 配置監聽

      • 監聽名稱:設定監聽名稱。

      • 協議TCP。

      • 連接埠:本方案以Bastionhost的RDP、SSH服務的預設連接埠為例。如果已自訂連接埠,請使用修改後的連接埠。

        • 63389:RDP 營運協議連接埠。

        • 60022:SSH 營運流量連接埠。

        說明

        若當前已自訂相關連接埠,請根據實際情況進行調整。

      單擊下一步,進入配置終端節點群組步驟。

    4. 配置終端節點群組

      • 地區:選擇Bastionhost執行個體所在的地區。

      • 後端服務類型自訂網域名

      • 後端服務:目標Bastionhost執行個體的公網(例如:nl******ur-public.bastionhost.aliyuncs.com)。

        說明

        可通過以下兩種方式查看Bastionhost的公網

        • 進入Bastionhost執行個體列表頁面,定位目標執行個體,在公網欄位處查看。

        • 進入Bastionhost執行個體詳情頁面,單擊左側菜單中的概覽,在右側Bastionhost執行個體資訊中即可查看公網

      • 保持客戶端源IP保持

        說明

        • 源 IP 透傳與審計要求:為確保Bastionhost能夠記錄真實用戶端源 IP(用於Action Trail、存取控制等),必須將保持客戶端源IP設定為保持

        • 特定地區限制:鄭州和華北6(烏蘭察布)地區的Bastionhost執行個體存在限制,Bastionhost營運門戶(Web 控制台,443 連接埠)無法記錄真實用戶端源 IP。該限制僅影響 Web 營運門戶;RDP、SSH、資料庫等協議串連(如 6002263389 連接埠)不受影響。

      • 擷取客戶端真實IP方式:ProxyProtocol。

      單擊下一步,進入組態稽核步驟。

    5. 組態稽核

      1. 確認已填寫的整體資訊無誤後,單擊提交

      2. 在配置完成頁面,等待1分鐘左右後,頁面提示執行成功,單擊進入執行個體詳情即可。此時,符合本配置的使用者對目標Bastionhost執行個體的訪問加速將立即生效。

    步驟二:為Bastionhost營運門戶配置加速

    1. 進入Global Accelerator執行個體列表頁面,定位前面步驟建立的執行個體,單擊執行個體名稱進入執行個體詳情頁面。

    2. 在執行個體詳情頁面,單擊監聽 > 添加監聽,進入添加監聽頁面,並進行如下配置:

      1. 配置監聽和協議

        • 監聽名稱:設定監聽名稱。

        • 協議:HTTPS

        • HTTP協議的最大版本:HTTP/1.1。

        • 連接埠:443。

        • 選擇伺服器憑證:訪問準備的自有網域名稱(例如 bh.yourcompany.com)時所需的數位憑證。當前下拉框中顯示的為數位憑證管理服務中有效SSL認證。

        單擊下一步,進入配置終端節點步驟。

      2. 配置終端節點

        • 節點群組名稱:設定節點群組名稱。

        • 地區:選擇Bastionhost執行個體所在的地區。

        • 後端服務類型:自訂網域名。

        • 後端服務:目標Bastionhost執行個體的公網(例如:nl******ur-public.bastionhost.aliyuncs.com)。

          說明

          可通過以下兩種方式查看Bastionhost的公網

          • 進入Bastionhost執行個體列表頁面,定位目標執行個體,在公網欄位處查看。

          • 進入Bastionhost執行個體詳情頁面,單擊左側菜單中的概覽,在右側Bastionhost執行個體資訊中即可查看公網

        • 後端服務合約:HTTPS。

        • 協議版本:HTTP/1.1。

        單擊下一步,進入組態稽核步驟。

      3. 組態稽核

        1. 確認已填寫的資訊無誤後,單擊下一步

        2. 在配置完成頁面,等待1分鐘左右後,頁面提示執行成功,單擊查看監聽列表即可。

    步驟三:配置DNS解析

    1. 進入Global Accelerator執行個體列表頁面,定位前面步驟建立的執行個體,單擊執行個體名稱進入執行個體詳情頁面。

    2. 在執行個體詳情頁面,切換至執行個體資訊頁簽,複製基本資料 > CNAME

    3. 前往網域名稱服務 (DNS)商的DNS管理後台,為準備的自有網域名稱(例如 bh.yourcompany.com)添加一條CNAME解析記錄,將其指向複製的CNAME地址。

    說明

    若加速地區包含中國內地,準備的自有網域名稱需完成 ICP 備案。

    步驟四:驗證加速效果

    等待DNS解析生效後(通常需要幾分鐘到幾十分鐘),可通過以下方式驗證加速效果。

    1. 連通性驗證:通過瀏覽器訪問準備的自有網域名稱(例如 https://bh.yourcompany.com),確認能夠正常開啟並登入Bastionhost營運門戶。

    2. 效能對比測試:按照以下步驟進行測試。更多資訊,可參考測試GA的加速效果

      1. 進入一次性撥測工具,進入網路撥測工具頁面。

      2. 切換至Ping檢測頁簽,設定目標探測地區(使用Bastionhost服務的使用者所有地區)。

      3. 單擊對比檢測,並分別輸入Bastionhost的公網(例如:nl******ur-public.bastionhost.aliyuncs.com和準備的自有網域名稱(例如 bh.yourcompany.com),然後單擊立即檢測

      4. 根據檢測結果可以觀測到,在已開啟加速的地區分別訪問Bastionhost的公網和自有網域名稱(例如 bh.yourcompany.com),後者的網路時延顯著低於前者。

        image

    成本與風險說明

    • 成本構成:GA 採用標準型隨用隨付模式,費用主要包括執行個體費、CU費和流量費。每個加速地區的頻寬峰值可按需調整,以控製成本。詳情可參見隨用隨付Global Acceleration執行個體計費

    • 關鍵風險:用於HTTPS監聽的SSL認證具有有效期間,認證到期將導致營運門戶無法訪問。請關注認證到期時間並及時續期。

    應用於生產環境

    • 安全強化

      • 定期更換營運帳號密碼。

      • 啟用操作審批次程序。

      • 設定敏感命令阻斷規則。

      • 定期審計許可權配置。

    • 效能最佳化

      • 根據實際使用方式調整GA頻寬。

      • 合理配置用戶端親和性。

      • 使用就近的加速節點。

      • 定期監控網路品質指標。

    • 營運規範

      • 建立標準的營運流程。

      • 定期備份審計日誌。

      • 制定應急響應預案。

      • 定期進行安全演練。