985學長簡單聊聊阿里雲堡壘機實戰經歷

阿里雲堡壘機

今天給大家介紹阿里雲重要的安全產品之一的——堡壘機

俗稱“跳板機”

一堡壘機主要的功能有以下這麼幾個:

1高效運維:做運維的同學都知道,堡壘機就是專門給運維同學使用的,我們運維可以通過C/S(客戶端服務器架構)登錄進堡壘機,然後在堡壘機上再去連接我們需要運維的主機,能用的工具有很多,FTP/SFTP/SecureCRT /Putty

2操作審計:在我們運維同學使用堡壘機期間,我們如果使用的是windows/Linux操作系統,堡壘機是完全可以對我們的一舉一動進行時時刻刻“偵查”的,無論我們做了什麼操作,比如我們通過FTP上傳了一個文件,刪除了一個數據庫之類的,都會被記錄在堡壘機的操作審計裡面,出了什麼安全問題上面的大佬們可以隨時調用堡壘機操作審計日誌進行排查,責任到人;

3職權管控:公司大了,肯定不可能只有一個運維是吧,不可能把公司幾百臺服務器都只給一個運維去管理吧?運維可能有十幾個呢;這個時候就要用到堡壘機的職權管控功能,可以按照級別/部門/能力分配不同服務器交給運維人員管理,而且分配之後,不屬於這個範圍職權內的運維同學是沒有資格權限可以對其進行管理運維操作的,不同的部門之間權限嚴格管控

二·堡壘機產品優勢

1審計合規

大家讀知道,上面我說了阿里雲堡壘機是有操作審計功能的,而且非常強大因為有了這個功能,所以我們運維同學一般情況下對堡壘機的操作基本都是合規操作,很少出現嚴重事故,這也更加的安全

2多協議支持

運維同學登錄堡壘機後再連接所需要管理的服務器,可以通過很多種方式連接服務器,SSH/FTP/SFTP/SECURE CRT/PUtty

3追溯迴歸

這招也是堡壘機最實在的功能之一,誰吧數據庫刪除了,誰刪根跑路了,通過這個功能裡嗎明白是那個瓜娃子具體操作了啥,這時候想跑路也是跑不了的哈哈

4高效易用

堡壘機操作很簡單吧,只不過一般情況下我們呢運維同學是直接通過遠程工具連接服務器而已,堡壘機的出現,讓它成為一個安全的跳板,再通過它上面連接所需運維管理的服務器,我們就能做安全“操作”啦

三堡壘機應用場景

1審計合規要求

一般都是比較NB的大企業大公司會嚴格要求運維同學在服務器操作上有安全的操作,畢竟這些大公司的網絡架構系統都過了等保三級/四級/,要是那個運維同學隨便在鍵盤上一頓猛如虎操作公司網絡架構就崩了,那還玩啥?

堡壘機嚴格限制了權限,對部門/運維同學進行了權限限制,統一全部運維同學都只能通過堡壘機進行運維操作,而且只能做審計合規要求的安全“操作”

2高線運維穩定

無論是在遊戲上線關鍵時刻,還是服務器嚴重宕機,堡壘機都是我們首先第一操作的,遊戲上線,我們運維同學面對著全世界各個國家的玩家/數量龐大的區服,就算有再大的訪問併發;都是在堡壘機上進行操作,保證服務器的穩定運行,喝口茶不慌

某運維同學刪除數據庫了,想跑,這屬於嚴重的運維事故,領導打下來,於是部門負責人強制要求所有運維同學在堡壘機對照審計操作進行復盤總結反思自己,

以後必須深刻記得反省自己

四堡壘機計費

堡壘機不同的版本有不同的價格,能添加越多ECS版本的堡壘機肯定也是越貴的,不過在大公司眼裡,直接買買買哈哈哈

計費週期是按月/年

五堡壘機操作

堡壘機管理員可以對堡壘機進行什麼操呢?

比如說NB集團10000臺服務器;管理人員可以通過堡壘機控制檯把10000臺ECS服務器全部添加進堡壘機,說明一下這個操作完全不影響ECS那邊;有了服務器了,那就自然系要有人去管理的是不是?

為了避免權限太大/我最討厭的驗證碼,所以這裡強烈推薦開通RAM賬號,添加RAM賬號導入堡壘機

有人有服務器了,接下來該放手幹活了,可是到底該怎麼幹呢?

我們就要為運維同學創建運維規則,讓他可以通過啥客戶端軟件登錄服務器,能通過什麼協議登錄服務器

運維同學一頓操作猛如虎,刪庫了咋整?也不知道誰刪除,但是通過審計運維會話功能,誰幹的都曉得,一個都跑不了


分享到:


相關文章: