多地域运维访问常受公网链路质量影响,易出现高时延、丢包与连接不稳定,并带来审计与权限管控压力。本文说明如何使用全球加速(GA)将运维流量就近接入阿里云骨干网络,并结合堡垒机实现稳定访问与全程可审计的运维通道。
背景介绍
对于存在多地域业务部署的企业,为实现资源与经验复用,员工通常需要在不同地理位置开展开发与运维工作,网络架构也随之复杂化。多地域访问通常面临以下挑战:
安全风险高:数据传输经过多个网络节点,数据泄露风险上升。
账号权限管理难:多地域分散管理,缺乏统一权限控制平台。
合规要求高:需满足不同地区的数据安全与隐私保护法规。
网络质量差:公网跨地域访问存在高延迟、丢包和连接不稳定等问题。
阿里云堡垒机作为运维安全的统一管控平台,可集中管理运维权限,全程管控操作行为,实时还原运维场景,保障运维行为身份可鉴别、权限可管控、操作可审计。搭配阿里云全球加速 GA,依托阿里云优质的全球网络基础设施,可在满足运维安全管控的同时显著改善多地域运维与开发体验。
应用场景
跨国企业运维:企业在多个国家/地区部署业务系统,IT 运维人员需要跨地域访问管理。
全球分布式团队协作:开发、运维团队分布在不同地域,需要访问同一套基础设施。
国际化业务运维管理:企业开展多地域业务运营,需要从一个地域统一运维管理其他地域资源。
合规审计要求高的场景:金融、医疗等行业对跨地域运维有严格的审计和合规要求。
方案优势
部署简单:配置简单,分钟级完成部署。通过控制台统一管理全局资源,实现快速上线与敏捷运维。
稳定可靠:依托阿里云全球加速节点与优质 BGP 带宽,显著降低多地域访问延迟与丢包率。支持多节点智能流量调度,自动规避单点故障,保障服务高可用。
安全合规:堡垒机全程记录运维操作,支持录屏回放与审计追溯,实现细粒度权限管控,满足等保合规要求。
协议兼容:支持 SSH、RDP、MySQL、PostgreSQL 等主流协议,适配混合云与多地域架构场景。
方案架构
以全球不同地域用户访问堡垒机为例,终端用户将就近接入 GA 加速节点,流量经加速节点转发至堡垒机,从而显著降低网络时延与丢包率。
加速区域(终端用户访问堡垒机时所在的区域):
区域
支持的地域
亚太-中国
华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华北6(乌兰察布)、华南1(深圳)、华南3(广州)、西南1(成都)、中国香港
亚太-其他
日本(东京)、韩国(首尔)、新加坡、马来西亚(吉隆坡)、印度尼西亚(雅加达)、菲律宾(马尼拉)、泰国(曼谷)、越南(胡志明)Edge POP
欧洲与美洲
德国(法兰克福)、英国(伦敦)、美国(硅谷)、美国(弗吉尼亚)、加拿大(多伦多)Edge POP、加拿大(温哥华)Edge POP、墨西哥
终端节点(堡垒机实例所在地域):
说明若堡垒机实例所在地域未在以下列表中,请选择地理上最近的地域,GA 将自动路由至最优节点。
区域
支持的地域
亚太-中国
华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华北6(乌兰察布)、华南1(深圳)、华南3(广州)、西南1(成都)、中国香港
亚太-其他
日本(东京)、韩国(首尔)、新加坡、马来西亚(吉隆坡)、印度尼西亚(雅加达)、菲律宾(马尼拉)、泰国(曼谷)、越南(胡志明)Edge POP
欧洲与美洲
德国(法兰克福)、英国(伦敦)、美国(硅谷)、美国(弗吉尼亚)、墨西哥
前置准备
在开始配置前,请确保:
堡垒机实例:确保实例已创建,并已开启公网访问。
自定义域名:准备一个自有域名(例如
bh.yourcompany.com)用于访问堡垒机,并确保拥有该域名的DNS解析权限。SSL证书:为上述域名准备一张有效的SSL证书,用于HTTPS加密。
操作步骤
步骤一:创建全球加速实例
实例基础配置
进入全球加速的实例列表页面,单击创建标准型按量付费实例。
在实例基础配置步骤,配置以下参数:
全球加速实例名称:设置实例名称。
加速IP类型:选择弹性公网IP,全球加速会为每个加速地域分配独立的EIP。
单击下一步,进入配置加速区域步骤。
配置加速区域
加速区域:选择使用堡垒机服务的终端用户所在区域。例如:西南1(成都)。
说明请勿选择目标堡垒机实例所在的地域,当加速区域与目标堡垒机实例所在的地域一致时,将导致此地域的加速无效。
分配带宽:为每个加速区域设置如下相关配置。
带宽峰值:默认 200 Mbps,可根据实际需求调整(单位:Mbps)。
IP地址协议:选择IPv4。
单击下一步,进入配置监听步骤。
配置监听
监听名称:设置监听名称。
协议:TCP。
端口:本方案以堡垒机的RDP、SSH服务的默认端口为例。如果已自定义端口,请使用修改后的端口。
63389:RDP 运维协议端口。60022:SSH 运维流量端口。
说明若当前已自定义相关端口,请根据实际情况进行调整。
单击下一步,进入配置终端节点组步骤。
配置终端节点组
地域:选择堡垒机实例所在的地域。
后端服务类型:自定义域名。
后端服务:目标堡垒机实例的公网(例如:
nl******ur-public.bastionhost.aliyuncs.com)。说明可通过以下两种方式查看堡垒机的公网:
进入堡垒机实例列表页面,定位目标实例,在公网字段处查看。
进入堡垒机实例详情页面,单击左侧菜单中的概览,在右侧堡垒机实例信息中即可查看公网。
保持客户端源IP:保持。
说明源 IP 透传与审计要求:为确保堡垒机能够记录真实客户端源 IP(用于操作审计、访问控制等),必须将保持客户端源IP设置为“保持”。
特定地域限制:郑州和华北6(乌兰察布)地域的堡垒机实例存在限制,堡垒机运维门户(Web 控制台,443 端口)无法记录真实客户端源 IP。该限制仅影响 Web 运维门户;RDP、SSH、数据库等协议连接(如 60022、63389 端口)不受影响。
获取客户端真实IP方式:ProxyProtocol。
单击下一步,进入配置审核步骤。
配置审核
确认已填写的整体信息无误后,单击提交。
在配置完成页面,等待1分钟左右后,页面提示执行成功,单击进入实例详情即可。此时,符合本配置的用户对目标堡垒机实例的访问加速将立即生效。
步骤二:为堡垒机运维门户配置加速
进入全球加速的实例列表页面,定位前面步骤创建的实例,单击实例名称进入实例详情页面。
在实例详情页面,单击,进入添加监听页面,并进行如下配置:
配置监听和协议
监听名称:设置监听名称。
协议:HTTPS。
HTTP协议的最大版本:HTTP/1.1。
端口:443。
选择服务器证书:访问准备的自有域名(例如
bh.yourcompany.com)时所需的数字证书。当前下拉框中显示的为数字证书管理服务中有效的SSL证书。
单击下一步,进入配置终端节点步骤。
配置终端节点
节点组名称:设置节点组名称。
地域:选择堡垒机实例所在的地域。
后端服务类型:自定义域名。
后端服务:目标堡垒机实例的公网(例如:
nl******ur-public.bastionhost.aliyuncs.com)。说明可通过以下两种方式查看堡垒机的公网:
进入堡垒机实例列表页面,定位目标实例,在公网字段处查看。
进入堡垒机实例详情页面,单击左侧菜单中的概览,在右侧堡垒机实例信息中即可查看公网。
后端服务协议:HTTPS。
协议版本:HTTP/1.1。
单击下一步,进入配置审核步骤。
配置审核
确认已填写的信息无误后,单击下一步。
在配置完成页面,等待1分钟左右后,页面提示执行成功,单击查看监听列表即可。
步骤三:配置DNS解析
进入全球加速的实例列表页面,定位前面步骤创建的实例,单击实例名称进入实例详情页面。
在实例详情页面,切换至实例信息页签,复制。
前往域名服务商的DNS管理后台,为准备的自有域名(例如
bh.yourcompany.com)添加一条CNAME解析记录,将其指向复制的CNAME地址。
若加速区域包含中国内地,准备的自有域名需完成 ICP 备案。
步骤四:验证加速效果
等待DNS解析生效后(通常需要几分钟到几十分钟),可通过以下方式验证加速效果。
连通性验证:通过浏览器访问准备的自有域名(例如
https://bh.yourcompany.com),确认能够正常打开并登录堡垒机运维门户。性能对比测试:按照以下步骤进行测试。更多信息,可参考测试GA的加速效果。
进入一次性拨测工具,进入网络拨测工具页面。
切换至Ping检测页签,设置目标探测地区(使用堡垒机服务的用户所有地区)。
单击对比检测,并分别输入堡垒机的公网(例如:
nl******ur-public.bastionhost.aliyuncs.com和准备的自有域名(例如bh.yourcompany.com),然后单击立即检测。根据检测结果可以观测到,在已开启加速的地区分别访问堡垒机的公网和自有域名(例如
bh.yourcompany.com),后者的网络时延显著低于前者。
成本与风险说明
成本构成:GA 采用标准型按量付费模式,费用主要包括实例费、CU费和流量费。每个加速区域的带宽峰值可按需调整,以控制成本。详情可参见按量付费全球加速实例计费。
关键风险:用于HTTPS监听的SSL证书具有有效期,证书过期将导致运维门户无法访问。请关注证书到期时间并及时续期。
应用于生产环境
安全加固
定期更换运维账号密码。
启用操作审批流程。
设置敏感命令阻断规则。
定期审计权限配置。
性能优化
根据实际使用情况调整GA带宽。
合理配置客户端亲和性。
使用就近的加速节点。
定期监控网络质量指标。
运维规范
建立标准的运维流程。
定期备份审计日志。
制定应急响应预案。
定期进行安全演练。