全部产品
Search
文档中心

运维安全中心(堡垒机):配置堡垒机

更新时间:Dec 05, 2023

启用堡垒机实例后,如果您需要修改堡垒机网络基础相关配置,可以参考本文进行设置。具体内容包括修改堡垒机加入的安全组、限制访问堡垒机的来源IP、修改堡垒机默认运维端口号、切换交换机可用区,以及获取堡垒机出口IP等。

配置安全组

通过配置安全组,可允许堡垒机访问该安全组内的服务器。

  1. 登录堡垒机控制台

  2. 在左侧导航栏,单击实例

  3. 实例页面,定位到目标堡垒机实例,选择配置 > 安全组

  4. 网络设置面板,选择ECS对应的安全组,单击下一步

    说明

    支持选择多个安全组。

  5. 待配置检测通过后,单击确认修改

    选择安全组后,堡垒机可以访问安全组内的ECS。

配置白名单

默认所有公网IP均可以登录堡垒机进行运维,您可以通过配置白名单来限制访问的公网IP。配置完成后,仅白名单中的公网IP可访问堡垒机。

  1. 登录堡垒机控制台

  2. 在左侧导航栏,单击实例

  3. 实例页面,定位到目标堡垒机实例,选择配置 > 白名单

  4. 网络设置面板,配置公网白名单公网白名单

  5. 配置完成后,单击确定

    访问堡垒机的公网白名单配置成功。

配置端口号

如果您需要修改堡垒机的运维端口,您可以参考以下步骤进行修改。

  1. 登录堡垒机控制台

  2. 在左侧导航栏,单击实例

  3. 实例页面,定位到目标堡垒机实例,选择配置 > 端口号

  4. 端口配置面板,配置端口端口配置

    说明

    1~1024端口为堡垒机的保留端口,建议您在配置端口号时,不要设置为此范围内的端口号。

  5. 配置完成后,单击确定

    访问堡垒机的运维端口配置成功。

获取出口IP及相关配置

获取出口IP

堡垒机的出口IP是堡垒机访问服务器的来源IP,分为公网出口IP和私网出口IP。

  1. 登录堡垒机控制台

  2. 在左侧导航栏,单击实例

  3. 实例页面,定位到目标堡垒机实例,单击出口IP,获取出口IP。

相关配置

建议您在ECS安全组、防火墙和数据库白名单中放开堡垒机的出口IP,以免出现网络不通的情况。关于数据库白名单,请参见设置IP白名单

说明

如果堡垒机加入了ECS的普通安全组,则ECS安全组中会自动添加规则放开堡垒机的出口IP;如果您的ECS加入的是企业安全组,由于堡垒机不支持加入企业安全组,您需要手动添加安全组规则放开堡垒机的出口IP,具体操作,请参见添加安全组规则

配置公网私用

如果您的服务器IP为公网私用IP,可以参考以下步骤配置公网私用,使堡垒机可以正常访问服务器。

警告

配置公网私用后,堡垒机会出现断开当前运维连接的情况,建议您在业务低峰期进行配置。

  1. 登录堡垒机控制台

  2. 在左侧导航栏,单击实例

  3. 实例页面,定位到目标堡垒机实例,选择配置 > 公网私用

  4. 网络设置面板,配置公网私用

    公网私用格式为IP地址/掩码,填写多个需以半角逗号(,)分开,最多支持50个。例如192.168.XX.XX/32,172.16.XX.XX/32

  5. 配置完成后,单击确定

配置多可用区

如果您的堡垒机版本为企业双擎版,您可以参考以下步骤将您VPC下的交换机配置在不同可用区,保证网络的高可用性。

警告

配置主备可用区后,堡垒机会出现断开当前运维连接的情况,建议您在业务低峰期进行配置。

  1. 登录堡垒机控制台

  2. 在左侧导航栏,单击实例

  3. 实例页面,定位到目标堡垒机实例,选择配置 > 网络切换

  4. 网络设置面板,选择您的主可用区交换机及备可用区交换机。

    重要
    • 切换网络会导致私网运维地址解析的IP发生变化,请您使用控制台提供的域名运维地址进行运维。

    • 切换网络会导致私网出口IP发生变化,若您的安全组策略是基于IP放行,则可能会导致运维不通,请重新配置安全组。

    • 若您有其他访问控制策略基于私网IP地址放行(例如防火墙等),切换网络后,请您使用更新后的地址进行配置。

    • 若您将主备交换机配置到不同可用区,私网运维地址会解析出两个IP。

  5. 配置完成后,单击确定

切换单可用区

如果您的堡垒机版本为基础版,您可以参考以下步骤将当前VPC下的可用区交换机切换到其他可用区,以避免当前可用区不可用时导致堡垒机无法使用。

警告

切换可用区后,堡垒机会出现断开当前运维连接的情况,建议您在业务低峰期进行配置。

  1. 登录堡垒机控制台

  2. 在左侧导航栏,单击实例

  3. 实例页面,定位到目标堡垒机实例,选择配置 > 网络切换

  4. 网络设置面板,切换可用区交换机。

  5. 配置完成后,单击确定

    重要

    切换网络会导致私网运维地址解析的IP发生变化,请您使用控制台提供的域名运维地址进行运维。

    切换网络会导致私网出口IP发生变化,若您的安全组策略是基于IP放行,则可能会导致运维不通,请重新配置安全组。

    若您有其他访问控制策略基于私网IP地址放行(例如防火墙等),切换网络后,请您使用更新后的地址进行配置。