【云小课】安全第13课 CBH:通过云堡垒机管理资产时出现异常,怎么办?

举报
云安全才子 发表于 2021/11/30 15:41:49 2021/11/30
【摘要】 云堡垒机(Cloud Bastion Host,CBH)是华为云的一款4A统一安全管控平台,为企业提供集中的帐号(Account)、授权(Authorization)、认证(Authentication)和审计(Audit)管理服务。

关键词:华为云 云堡垒机 登录异常

在使用云堡垒机管理您的资产时,您是否会遇到以下这些问题呢?

云堡垒机系统登录不上

资源登录不上

文件不能上传/下载

......

遇上这些问题,我们先通过一张图来了解一下CBH的网络访问限制吧。

现在让我们跟随小课的脚步自查,购买云堡垒机实例时,是否做好了以下这些操作呢?

内页图.png

  1. 检查CBH实例的可用区。

    1. 根据资源选择可用区,即待管理的ECS、RDS等服务器上资源在哪个可用区(区域),就选择哪个可用区(区域)以此可以降低网络时延、提高访问速度

    2. 选择的区域和可用区必须是云堡垒机支持的区域。

      目前云堡垒机已开通区域和可用区如下表:

      区域名称

      区域

      可用分区名称

      可用分区

      华北-北京一

      cn-north-1

      cn-north-1a

      可用区1

      cn-north-1b

      可用区2

      华北-北京四

      cn-north-4

      cn-north-4a

      可用区1

      cn-north-4c

      可用区3

      华东-上海一

      cn-east-3

      cn-east-3a

      可用区1

      cn-east-3b

      可用区2

      cn-east-3c

      可用区3

      华东-上海二

      cn-east-2

      cn-east-2a

      可用区1

      cn-east-2b

      可用区2

      cn-east-2c

      可用区3

      cn-east-2d

      可用区4

      华南-广州

      cn-south-1

      cn-south-1a

      可用区1

      cn-south-1b

      可用区2

      cn-south-1c

      可用区3

      cn-south-1e

      可用区5

      华南-深圳

      cn-south-2

      cn-south-2a

      可用区1

      西南-贵阳一

      cn-southwest-2

      cn-southwest-2a

      可用区1

      cn-southwest-2d

      可用区4

      西北-克拉玛依

      cn-northwest-1

      cn-northwest-1a

      可用区1

  2. 确认CBH规格是否满足用户运维的资源需求。根据运维用户量和资源数,选择合理规格配置。

    受限于云堡垒机数据分区空间大小,当上传/下载的文件大小大于剩余数据分区空间时,会导致上传/下载失败,因此需要变更版本规格,扩大系统的数据盘大小。

    云堡垒机提供“标准版”“专业版”两个功能版本。

    功能版本

    功能说明

    标准版

    基础功能:身份认证、权限控制、帐号管理、安全审计

    专业版

    • 基础功能:身份认证、权限控制、帐号管理、安全审计

    • 增强功能:自动化运维、数据库运维审计

    每个版本配备100/200/500/1000/2000/5000资产规格,不同规格配置说明如下表。

    资产数

    并发数

    CPU

    内存

    系统盘

    数据盘

    100

    100

    4核

    8GB

    100GB

    1000GB

    200

    200

    4核

    8GB

    100GB

    1000GB

    500

    500

    8核

    16GB

    100GB

    2000GB

    1000

    1000

    8核

    16GB

    100GB

    2000GB

    2000

    1500

    8核

    16GB

    100GB

    2000GB

    5000

    2000

    8核

    16GB

    100GB

    2000GB


  3. 确认选择的虚拟私有云(Virtual Private Cloud,VPC)网络与ECS等资源在同一区域

    • 默认情况下,不同区域的VPC之间内网不互通,同区域的不同VPC内网不互通,同一个VPC下的不同可用区之间内网互通。

    • 云堡垒机支持直接管理同一区域同一VPC网络下ECS等资源,同一区域同一VPC网络下ECS等资源可以直接访问。若需管理同一区域不同VPC网络下ECS等资源,要通过对等连接、VPN等打通两个VPC间的网络;不建议跨区域管理ECS等资源。

  4. 确认选择的是当前区域下的安全组,系统默认安全组Sys-default

    • 一个安全组为同一个VPC网络内具有相同安全保护需求,并相互信任的CBH与资源提供访问策略。当云堡垒机加入安全组后,即受到该安全组中访问规则的保护。

    • 建议为云堡垒机单独创建安全组,与主机资源互不影响。

  5. 确认选择的是当前VPC内的子网子网选择必须在VPC的网段内。

  6. 确认选择的是当前区域下EIP,且EIP的带宽在5M以上。

    • 一个弹性公网IP只能绑定一个云资源使用,云堡垒机绑定弹性IP不能与其他云资源共用。实例创建成功后,弹性IP作为云堡垒机系统登录IP使用。故为正常使用云堡垒机,用户帐号至少需要创建一个弹性IP。

    • 为满足CBH系统使用需求,建议配置EIP带宽为5M以上。

    • 实例创建成功后,可根据需要“解绑”和“绑定”操作,更换云堡垒机系统登录EIP地址。

更多关于CBH使用故障类的问题,这里指示.png进行了解吧~~。

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。