【云小课】安全第13课 CBH:通过云堡垒机管理资产时出现异常,怎么办?
关键词:华为云 云堡垒机 登录异常
在使用云堡垒机管理您的资产时,您是否会遇到以下这些问题呢?
云堡垒机系统登录不上
资源登录不上
文件不能上传/下载
......
遇上这些问题,我们先通过一张图来了解一下CBH的网络访问限制吧。
现在让我们跟随小课的脚步自查,购买云堡垒机实例时,是否做好了以下这些操作呢?
-
检查CBH实例的可用区。
-
根据资源选择可用区,即待管理的ECS、RDS等服务器上资源在哪个可用区(区域),就选择哪个可用区(区域),以此可以降低网络时延、提高访问速度。
-
选择的区域和可用区必须是云堡垒机支持的区域。
目前云堡垒机已开通区域和可用区如下表:
区域名称
区域
可用分区名称
可用分区
华北-北京一
cn-north-1
cn-north-1a
可用区1
cn-north-1b
可用区2
华北-北京四
cn-north-4
cn-north-4a
可用区1
cn-north-4c
可用区3
华东-上海一
cn-east-3
cn-east-3a
可用区1
cn-east-3b
可用区2
cn-east-3c
可用区3
华东-上海二
cn-east-2
cn-east-2a
可用区1
cn-east-2b
可用区2
cn-east-2c
可用区3
cn-east-2d
可用区4
华南-广州
cn-south-1
cn-south-1a
可用区1
cn-south-1b
可用区2
cn-south-1c
可用区3
cn-south-1e
可用区5
华南-深圳
cn-south-2
cn-south-2a
可用区1
西南-贵阳一
cn-southwest-2
cn-southwest-2a
可用区1
cn-southwest-2d
可用区4
西北-克拉玛依
cn-northwest-1
cn-northwest-1a
可用区1
-
-
确认CBH规格是否满足用户运维的资源需求。根据运维用户量和资源数,选择合理规格配置。
受限于云堡垒机“数据分区”空间大小,当上传/下载的文件大小大于剩余“数据分区”空间时,会导致上传/下载失败,因此需要变更版本规格,扩大系统的数据盘大小。
云堡垒机提供“标准版”和“专业版”两个功能版本。
功能版本
功能说明
标准版
基础功能:身份认证、权限控制、帐号管理、安全审计
专业版
-
基础功能:身份认证、权限控制、帐号管理、安全审计
-
增强功能:自动化运维、数据库运维审计
每个版本配备100/200/500/1000/2000/5000资产规格,不同规格配置说明如下表。
资产数
并发数
CPU
内存
系统盘
数据盘
100
100
4核
8GB
100GB
1000GB
200
200
4核
8GB
100GB
1000GB
500
500
8核
16GB
100GB
2000GB
1000
1000
8核
16GB
100GB
2000GB
2000
1500
8核
16GB
100GB
2000GB
5000
2000
8核
16GB
100GB
2000GB
-
-
确认选择的虚拟私有云(Virtual Private Cloud,VPC)网络与ECS等资源在同一区域。
-
默认情况下,不同区域的VPC之间内网不互通,同区域的不同VPC内网不互通,同一个VPC下的不同可用区之间内网互通。
-
云堡垒机支持直接管理同一区域同一VPC网络下ECS等资源,同一区域同一VPC网络下ECS等资源可以直接访问。若需管理同一区域不同VPC网络下ECS等资源,要通过对等连接、VPN等打通两个VPC间的网络;不建议跨区域管理ECS等资源。
-
-
确认选择的是当前区域下的安全组,系统默认安全组Sys-default。
-
一个安全组为同一个VPC网络内具有相同安全保护需求,并相互信任的CBH与资源提供访问策略。当云堡垒机加入安全组后,即受到该安全组中访问规则的保护。
-
建议为云堡垒机单独创建安全组,与主机资源互不影响。
-
-
确认选择的是当前VPC内的子网。子网选择必须在VPC的网段内。
-
确认选择的是当前区域下EIP,且EIP的带宽在5M以上。
-
一个弹性公网IP只能绑定一个云资源使用,云堡垒机绑定弹性IP不能与其他云资源共用。实例创建成功后,弹性IP作为云堡垒机系统登录IP使用。故为正常使用云堡垒机,用户帐号至少需要创建一个弹性IP。
-
为满足CBH系统使用需求,建议配置EIP带宽为5M以上。
-
实例创建成功后,可根据需要“解绑”和“绑定”操作,更换云堡垒机系统登录EIP地址。
-
更多关于CBH使用故障类的问题,戳这里进行了解吧~~。
- 点赞
- 收藏
- 关注作者
评论(0)