若云堡垒机绑定了EIP,在用户通过EIP访问堡垒机之前需要配置安全组策略,编辑入项策略,才可通过EIP直接访问云堡垒机。
说明
安全组是一个逻辑上的分组,为同一个虚拟私有云内具有相同安全保护需求,并相互信任的弹性云服务器和堡垒机实例提供访问策略;
为了保障堡垒机的安全性和稳定性,在使用堡垒机实例之前,您需要设置安全组,添加规则允许需访问堡垒机的IP地址和端口。
堡垒机端口开放说明
推荐开放18443,18000,8765端口的入方向规则,其他端口根据运维场景需要按需进行配置。云堡垒机使用端口用途详见下表:
| 端口 | 用途 | 说明 |
|---|---|---|
| 18443 | 门户端口,及H5运维端口 | 访问堡垒机门户页面时需开放该端口的入方向规则(并可支持H5方式运维资产) |
| 18000 | 字符资产访问端口 | 需通过堡垒机维护字符类协议资产时,需开放该端口的入方向规则 |
| 19000 | 图形资产访问端口 | 需通过堡垒机使用mstsc客户端维护图形类协议资产时,需开放该端口的入方向规则 |
| 15899 | 图形资产访问端口 | 需通过堡垒机使用vncview客户端维护图形类协议资产时,需开放该端口的入方向规则 |
| 20000 | 数据库资产访问端口 | 需通过堡垒机维护数据库协议资产时,需开放该端口的入方向规则 |
| 8765 | 本地初始化获取配置端口 | 需通过客户端工具运维时,需开放该端口的入方向规则 |
| 5662 | 获取授权信息以及升级端口 | 堡垒机升级以及或者获取资源池信息,需开放该端口的入方向规则 |
安全组规则设置
注意
安全组的默认规则是在出方向上的数据报文全部放行,同一个安全组内的弹性云服务器和堡垒机实例可互相访问。安全组创建后,您可以在安全组中定义各种访问规则,当堡垒机实例加入该安全组后,即受到这些访问规则的保护;
默认情况下,一个租户可以创建500条安全组规则;
为一个安全组设置过多的安全组规则会增加首包延时,因此,建议一个安全组内的安全组规则不超过50条;
当需要从安全组外访问安全组内的堡垒机实例时,需要为安全组添加相应的入方向规则;
源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的堡垒机实例。
堡垒机弹性IP安全组访问规则设置:
- 登录管理控制台。
- 在系统首页,单击“网络 > 弹性ip”。
- 在左侧导航树选择“访问控制 > 安全组”。
- 在安全组界面,单击操作列的“配置规则”,进入安全组详情界面。
- 在安全组详情界面,单击“添加规则”,弹出添加规则窗口。
- 根据界面提示配置安全组规则。
- 单击“确定”。
