创建堡垒机
最近更新时间: 2023-01-11 11:34:00
点击新建,选择地域和机型,在“自定义配置”页面,选择“地域”、“可用区”、“网络(选择开放区,不与前置机在同一个网络区域)”、“实例”,完成后点击“下一步:选择镜像”。
实例按照自身情况申请适当的堡垒机配置。堡垒机需安装龙防,龙防基本配置要求2C4G。堡垒机推荐配置4C8G。
为实现内外部租户的隔离管控,降低安全风险,目前从机器互联网安全暴露风险角度考虑,堡垒机镜像分为了外部租户堡垒机镜像(镜像名称:CloudFort Release Outer)和内部租户堡垒机镜像(镜像名称:CloudFort Release Inner),内外部租户定义详见本文档“常见问题-内外部租户定义?”,各租户在新建堡垒机时时需要依据实际情况选择相应的镜像进行创建。
完成后点击“下一步:选择存储和带宽”。
“数据盘”,用于存储用户操作录像文件,大小主要取决于用户的操作量,以50 个用户、平均每天运维2 小时为例,平均每秒产生 5k 的日志,则平均每天约产生 2G 的日志,申请 400G 的硬盘可在线保存 200 天。如果操作日志需要保存更长时间,请按以下公式计算所需存储空间进行申请或以后扩容:用户数×平均每天运维时间(秒)×5k(平均每秒产生的日志大小)×保存时间(天)/(1024×1024)=所需存储空间(G)
完成后点击“下一步:设置安全组和主机”。
堡垒机安全组设置:
入站规则:
| 来源 | 协议端口 | 策略 | 备注 |
| 前置机IP | TCP:8119 | 允许 | |
| 龙巡服务器IP | ALL | 允许 | |
| 堡垒机IP | TCP:22 | 允许 | |
| 0.0.0.0/0 | ALL | 拒绝 |
| 来源 | 协议端口 | 策略 | 备注 |
| 0.0.0.0/0 | TCP:22 | 允许 | |
| Windows服务器IP | TCP:13389,10800 | 允许 | |
| 裸金属服务器 | TCP:36000 | 允许 | |
| 0.0.0.0/0 | ALL | 拒绝 |
完成后点击“下一步:确认配置信息”。
请展开每个子区域,仔细核对配置信息,确认无问题后点击“开通”