若云堡垒机绑定了EIP,在用户通过EIP访问堡垒机之前需要配置安全组策略,编辑入项策略,才可通过EIP直接访问云堡垒机。
说明
安全组是一个逻辑上的分组,为同一个虚拟私有云内具有相同安全保护需求,并相互信任的弹性云服务器和堡垒机实例提供访问策略;
为了保障堡垒机的安全性和稳定性,在使用堡垒机实例之前,您需要设置安全组,添加规则允许需访问堡垒机的IP地址和端口。
堡垒机端口开放说明
推荐开放18443,18000,8765端口的入方向规则,其他端口根据运维场景需要按需进行配置。云堡垒机使用端口用途详见下表:
端口 | 用途 | 说明 |
---|---|---|
18443 | 门户端口,及H5运维端口 | 访问堡垒机门户页面时需开放该端口的入方向规则(并可支持H5方式运维资产) |
18000 | 字符资产访问端口 | 需通过堡垒机维护字符类协议资产时,需开放该端口的入方向规则 |
19000 | 图形资产访问端口 | 需通过堡垒机使用mstsc客户端维护图形类协议资产时,需开放该端口的入方向规则 |
20000 | 图形资产访问端口 | 需通过堡垒机使用vncview客户端维护图形类协议资产时,需开放该端口的入方向规则 |
6003 | 数据库资产访问端口 | 需通过堡垒机维护数据库协议资产时,需开放该端口的入方向规则 |
8765 | 本地初始化获取配置端口 | 需通过客户端工具运维时,需开放该端口的入方向规则 |
安全组规则设置
注意
安全组的默认规则是在出方向上的数据报文全部放行,同一个安全组内的弹性云服务器和堡垒机实例可互相访问。安全组创建后,您可以在安全组中定义各种访问规则,当堡垒机实例加入该安全组后,即受到这些访问规则的保护;
默认情况下,一个租户可以创建500条安全组规则;
为一个安全组设置过多的安全组规则会增加首包延时,因此,建议一个安全组内的安全组规则不超过50条;
当需要从安全组外访问安全组内的堡垒机实例时,需要为安全组添加相应的入方向规则;
源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的堡垒机实例。
堡垒机弹性IP安全组访问规则设置:
1.登录管理控制台。
2.在系统首页,单击“网络 > 弹性公网IP”。
3.在左侧导航树选择“访问控制 > 安全组”。
4.在安全组界面,单击操作列的“配置规则”,进入安全组详情界面。
5.在安全组详情界面,单击“添加规则”,弹出添加规则窗口。
6.根据界面提示配置安全组规则。
参数 | 参数说明 | 取值样例 |
---|---|---|
优先级 | 安全组规则优先级。 优先级可选范围为1-100,默认值为1,即最高优先级。优先级数字越小,规则优先级级别越高。 |
1 |
策略 | 安全组规则策略。 优先级相同的情况下,拒绝策略优先于允许策略。 |
允许 |
协议/应用 | 网络协议。目前支持“All”、“TCP”、“UDP”和“ICMP”等协议。 | TCP |
端口 | 端口:允许远端地址访问指定端口,取值范围为:1~65535。堡垒机需要开通的端口请见堡垒机端口开放说明。 | 8765 |
源地址 | 源地址:可以是IP地址、安全组。用于放通来自IP地址或另一安全组内的实例的访问。例如: - xxx.xxx.xxx.xxx/32(IPv4地址) - xxx.xxx.xxx.0/24(子网) - 0.0.0.0/0(任意地址) - sg-abc(安全组) |
0.0.0.0/0 |
7.单击“确定”。