文档首页 > > 常见问题> 购买升级> 购买配置类>

如何配置云堡垒机的安全组?

如何配置云堡垒机的安全组?

分享
更新时间:2021/05/17 GMT+08:00

背景介绍

安全组是一个逻辑上的分组,为同一个虚拟私有云内具有相同安全保护需求,并相互信任的弹性云服务器、云堡垒机等提供访问策略。

为了保障云堡垒机的安全性和稳定性,在使用云堡垒机之前,您需要设置安全组,开通需访问资源的IP地址和端口。

  • 云堡垒机实例可与纳管的资源共用一个安全组,各自取用安全组规则,互不影响。
  • 每个用户有一个默认安全组Sys-default,用户可选择Sys-default安全组,根据需要添加相应安全组规则。用户也可选择自定义安全组,新建安全组并添加合理安全组规则。
  • 云堡垒机实例创建成功后,安全组不能更改,但相应安全组规则可以修改。修改安全组规则后,需重启云堡垒机新规则才生效。
  • 为确保云堡垒机正常连接资源,ECS主机、RDS数据库等资源需配置合理安全组规则,放开相应网关IP和端口,并允许云堡垒机“私有IP地址”访问,资源安全组配置可参考ECS安全组配置
  • 云堡垒机正常使用,实例和资源安全组端口配置可参考表1
    表1 入/出方向规则配置参考

    场景描述

    方向

    协议/应用

    端口

    通过Web浏览器登录云堡垒机(HTTPS)

    入方向

    TCP

    443

    通过SSH客户端登录云堡垒机

    入方向

    TCP

    2222

    通过FTP客户端登录云堡垒机

    入方向

    TCP

    20~21

    通过云堡垒机的SSH协议远程访问Linux云服务器

    入方向

    TCP

    22

    通过云堡垒机的RDP协议远程访问Windows云服务器

    入方向

    TCP

    3389

    通过云堡垒机访问Oracle数据库

    入方向

    TCP

    1521

    通过云堡垒机访问MySQL数据库

    入方向

    TCP

    33306

    通过云堡垒机访问SQL Server数据库

    入方向

    TCP

    1433

    通过云堡垒机访问DB2L数据库

    入方向

    TCP

    50000

    通过TFTP传输云堡垒机文件

    入方向

    UDP

    69

    通过SNMP监控云堡垒机状态

    入方向

    UDP

    161

    通过云堡垒机ping主机资源

    入方向

    ICMP

    全部

    License注册许可服务器

    出方向

    TCP

    9443

    华为云服务

    出方向

    TCP

    443

    同一安全组内通过SSH客户端登录云堡垒机

    出方向

    TCP

    2222

    短信服务

    出方向

    TCP

    8061、80

    DNS域名解析

    出方向

    UDP

    53

配置云堡垒机安全组

  1. 登录云堡垒机实例管理控制台。
  2. 单击“购买云堡垒机”,进入“购买云堡垒机实例”页面。
  3. “安全组”参数选项框右侧,单击“管理安全组”,跳转至安全组配置页面,创建安全组和添加安全组规则。

    也可在“安全组”选项框内选择合理配置的安全组。

  4. 单击“创建安全组”,创建一个新的安全组,详细指导请参见创建安全组
  5. 单击“操作”列中的“配置规则”,为安全组添加安全组规则,详细指导请参见添加安全组规则
  6. 选择“入方向”页签,单击“添加规则”。同理,可以添加出方向规则。

    根据云堡垒机使用组网场景配置安全规则,参考表1配置。

  7. 完成安全组规则配置,返回“购买云堡垒机服务”页面,选择指定安全组,合理配置其他参数后创建实例。

配置安全组不合理,运维故障场景

安全组配置不合理,在使用云堡垒机时可能会出现以下故障:

  1. 实例许可证认证错误
    • 实例创建失败,提示“Lincense激活失败”,可能未配置出方向TCP协议9443端口,导致网络不通获取不到许可证认证;
    • 登录云堡垒机提示License过期,未配置出方向TCP协议9443端口,导致网络不通获取不到许可证认证。
  2. 登录云堡垒机系统错误
    • 云堡垒机系统登录页面载入失败,提示“服务器响应时间过长”,可能未配置入方向TCP协议443端口;
    • 云堡垒机系统页面无法正常显示,可能未配置入方向TCP协议443端口,导致Web浏览器不能正常登录系统。
  3. 主机资源验证错误
    • 在资源中添加主机时,提示“主机不可达”,可能未配置入方向TCP协议3389端口,导致不能远程连接云服务器;
    • 添加主机时验证账户密码,提示“主机不可达”,可能未配置入方向ICMP协议,导致外网ping不通主机资源。
  4. 云堡垒机访问资源错误
    • 在登录云资源时,提示“连接错误”,可能未配置入方向TCP协议3389端口,导致不能远程连接云服务器;
    • 使用云堡垒机登录云主机黑屏,无法正常显示,可能未配置入方向TCP协议3389端口,导致不能远程连接云服务器;
    • 云堡垒机使用过程中上报514错误,提示“由于服务器长时间无响应,连接已断开,请检查您的网络并重试(Code:T_514)”,可能未配置入方向TCP协议2222端口。
分享: