欢迎访问深圳敏捷云计算科技有限公司!
甲骨文云基础设施堡垒服务提供了对没有公共端点资源的私有、限时的SSH访问。
堡垒是一种基础设施服务,可以替代您在甲骨文云基础设施(OCI)中自己创建的堡垒服务器。堡垒是网关或代理。它们是逻辑实体,为您提供对云中无法从互联网访问的资源的安全访问。堡垒位于公共子网中,并建立连接用户到私有子网中资源所需的网络基础设施。
与甲骨文云基础设施身份和访问管理(IAM)的集成,让您能够控制谁可以管理堡垒或堡垒服务中的会话。与甲骨文云基础设施审计的集成为您提供了一种监控与堡垒服务及堡垒会话相关的管理行为的方法。
架构
此架构展示了连接到私有子网的两种方式。一种方式是通过中间目标子网连接,另一种方式是直接连接到包含受保护资源的子网。
当您创建堡垒服务时,可以指定一个CIDR块允许列表和最大会话存活时间。在创建堡垒时,会在堡垒VCN和客户VCN之间建立一条反向连接的网络路径。会话通常由用户或操作者创建。
以下图表说明了这一参考架构。
该架构包含以下组件:
区域
• 甲骨文云基础设施区域是一个包含一个或多个数据中心的地理区域,这些数据中心称为可用性域。区域彼此独立,可能相隔很远(跨越国家甚至大洲)。
可用性域
• 可用性域是区域内的独立、独立的数据中心。每个可用性域中的物理资源与其他可用性域的资源隔离,从而提供故障容忍。可用性域不共享基础设施,如电源或冷却系统,或内部可用性域网络。因此,一个可用性域的故障不太可能影响该区域内其他可用性域。
故障域
• 故障域是可用性域内的硬件和基础设施分组。每个可用性域有三个故障域,各自拥有独立的电源和硬件。当您在多个故障域中分布资源时,您的应用程序可以容忍故障域内的物理服务器故障、系统维护和电源故障。
虚拟云网络(VCN)和子网
• VCN是您在甲骨文云基础设施区域中设置的可自定义的软件定义网络。与传统数据中心网络一样,VCN使您能够完全控制您的网络环境。VCN可以有多个不重叠的CIDR块,您可以在创建VCN后更改它们。您可以将VCN分割成子网,这些子网可以是区域范围或可用性域范围。每个子网由不与VCN中其他子网重叠的连续地址范围组成。您可以在创建后更改子网的大小。子网可以是公共的或私有的。
堡垒服务
• 堡垒服务存在于甲骨文云基础设施管理的基础设施中,无需基础设施管理。管理的基础设施是创建堡垒公共端点的地方,允许外部客户端使用之前定义的会话连接。
堡垒服务后端
• 堡垒服务后端存储会话配置和用于授予对目标系统访问权限的SSH公钥。当需要时,目标系统使用服务网关访问堡垒服务后端。
私有端点
• 私有端点将堡垒服务连接到目标子网。目标子网可以是一个单独的子网,以实现更细粒度的控制,或者与您想要访问的实例所在的同一子网。
建议
您的需求可能与此处描述的架构不同。使用以下建议作为起点。
VCN
• 创建VCN时,根据您计划附加到VCN子网中的资源数量,确定所需的CIDR块数量和每个块的大小。使用位于标准私有IP地址空间内的CIDR块。
• 选择不与您打算建立私有连接的任何其他网络(在甲骨文云基础设施、您的本地数据中心或其他云提供商)重叠的CIDR块。
• 创建VCN后,您可以更改、添加和删除其CIDR块。
• 在设计子网时,考虑您的流量流和安全需求。将特定层或角色内的所有资源附加到同一个子网,它可以作为安全边界。
• 使用区域子网。
• 请注意,每个配置的堡垒会占用目标子网的两个IP地址。根据您希望对特定子网配置的堡垒数量,选择CIDR块。例如,如果您有一个/30 CIDR的子网,这意味着您有两个可用地址,如果在该CIDR内有一个目标资源,那么您没有足够的地址来配置堡垒。在这种情况下,堡垒配置将失败。我们建议目标子网的范围至少为/29。
安全性
• 使用甲骨文云守卫主动监控和维护您在甲骨文云基础设施中的资源的安全。云守卫使用您可以定义的探测器配方来检查您的资源是否存在安全弱点,以及监控操作员和用户是否有高风险活动。当检测到任何错误配置或不安全活动时,云守卫会推荐纠正措施,并根据您可以定义的响应者配方协助采取这些措施。
• 对于需要最大安全性的资源,甲骨文建议您使用安全区域。安全区域是与甲骨文定义的基于最佳实践的安全政策配方相关联的隔间。例如,安全区域中的资源不能从公共互联网访问,必须使用客户托管的密钥进行加密。在安全区域中创建和更新资源时,甲骨文云基础设施会根据安全区域配方中的政策验证操作,并拒绝违反任何政策的操作。
OCI堡垒
• 在堡垒级别设置TTL(生存时间),以确保该堡垒上下文中创建的所有会话的TTL不会超过堡垒。根据您的用例,您应将TTL设置为最低限度。最短为30分钟,最长为3小时。TTL也可以在会话级别配置。
• 尽可能将允许列表CIDR块设置得尽可能狭窄。通过这种方式,您可以限制从哪些IP地址范围允许SSH连接到私有目标资源。
• 创建堡垒的目标子网的大小应该经过深思熟虑。每次创建堡垒都会占用2个IP地址。因此,最好至少有/29范围,以便有6个可用IP地址。/30范围有2个IP地址,但如果将来您想要第二个堡垒指向同一子网,您将无法创建。请记住,目标子网可以是您的目标资源所在的子网,或者是目标VCN中的其他子网可以允许流量从中流入的子网。
• 安全政策建议
○ 包含目标资源的子网上的入站规则应该只允许来自一个IP地址的传入TCP流量,这个IP地址是堡垒的私有端点IP。
○ 在目的地上指定确切的端口,如Linux的22、Windows的3389、MySQL的33060等。避免使用ALL作为端口。
• 对于管理员和操作者场景使用特定的IAM策略。
考虑因素
区域
• 堡垒是一种区域性服务。例如,客户需要在PHX创建一个堡垒来访问PHX中的资源。PHX中的堡垒不能用来访问IAD中的资源。
性能
• 堡垒创建应在服务水平目标(SLO)内完成(请求创建后2分钟内)。会话的创建/终止也应在SLO内完成。端口转发为1分钟(应急场景),托管SSH会话为3分钟(正常使用)。
安全性
• 来自堡垒的流量源自子网上的私有端点。为了允许来自堡垒的流量,应允许从这个私有端点到通过堡垒需要访问的IP的入站和出站流量。限制对一组实例访问的细粒度策略有助于确保正确的访问级别。
可用性
• 服务应提供高可用性,以创建/终止堡垒和会话(基于API错误率)。目标可用性为99.9%。
成本
• 使用OCI堡垒不会产生费用。客户每个区域每个租户可以创建最多五个堡垒。每个堡垒服务于VCN内的目标资源。
使用场景
• 如果客户希望访问运行OCI原生映像、基于Linux并运行OCA v2代理(其中启用了堡垒插件)的私有目标主机,他们可以使用托管SSH会话。如果客户希望访问没有运行该代理、基于Windows的私有目标资源,或访问数据库(ATP或MySQL),他们可以使用端口转发SSH会话。
开启您的Oracle云之旅:Agilewing - 您的智能云服务伙伴
作为Oracle的高级合作伙伴,Agilewing正重新定义企业体验Oracle云服务的方式。借助于其简化的开户流程和一流的技术支持,Agilewing将复杂的开户和操作流程转化为一种轻松、直观的体验。通过我们的一站式服务,您可以迅速开启并享受Oracle云的全方位服务,从而无缝融入云端世界。
Agilewing的AgileCDN服务,结合了OCI的云基础服务,提供了一流的全球内容加速解决方案。超过2800个全球POP节点和7000个直连点的强大网络,确保了无论您的业务扩展到全球哪个角落,都能保持高效稳定的运行。
利用Oracle云的先进技术,Agilewing致力于简化云服务搭建、云迁移和业务出海的过程。我们的合作模式为客户带来经济高效的解决方案,使他们能够更加专注于核心业务,同时享受Oracle云的高性能和安全保障。
Oracle云服务,作为一个充满潜力的领域,以其高性能、安全性和全球统一的服务标准,为各类企业开启了新的机遇之门。通过Agilewing的专业服务,无论是个人用户还是企业,都能轻松步入这个充满技术革新和高效能的新时代。现在,就让Agilewing引领您开始探索Oracle云服务,打开一个全新的世界大门
