Home | 简体中文 | 繁体中文 | 杂文 | Github | 知乎专栏 | 51CTO学院 | CSDN程序员研修院 | OSChina 博客 | 腾讯云社区 | 阿里云栖社区 | Facebook | Linkedin | Youtube | 打赏(Donations) | About
3.5. 堡垒机
上一页 第 3 章 阿里云 下一页
知乎专栏多维度架构

3.5. 堡垒机

3.5.1. 数据库查询需求解决方案

3.5.1.1. 背景和需求

部分小组有数据库查询,频次较高,Yearning 平台无法满足需求。目前方式是阿里云RDS挂载公网IP,暴漏3306查询

需求:实现谁,什么时间,做了什么操作。

3.5.1.2. 方案选型

方案一、无影云桌面

方案二、堡垒机+远程桌面+视频录屏+操作留痕

经过对比两个方案,无影云桌面需要开通 RAM 账号,只能登录一个用户,当有一个用户登录后,其他用户会出现获取 token 失败提示。我们不希望开通 RAM 账号,不便于管理。如果有多用户需求需要使用桌面组,即每登录一个用户就会开启一个实例,成本较高。

最终我们选择堡垒机+ECS Windows Server 的方案,windows server 支持多用户。

3.5.2. 解决方案

优点:

  1. 堡垒机可以录屏,可以看到整个操作期间的过程,便于事故复盘和追责
  2. 经过堡垒机后 RDS 再无挂载公网IP的需求,直接内网链接 RDS 从库,这种方案更安全,RDS彻底摆脱暴力3306端口的风险
  3. 三层登录保障,第一层堡垒机,第二层云桌面,如果在家中访问云桌面,还需要登录到公司VPN

缺点:

  1. 产生费用
  2. 远程操作稍复杂
  3. 下载数据需要中转

3.5.3. 方案实施

实施方案步骤:

  1. 卸载阿里云RDS数据库公网IP(需要评估影响范围)
  2. 准备一个云桌面Windows
  3. 设置内网访问策略,允许云桌面从内网链接到指定从库
  4. 堡垒机开通链接云桌面权限
  5. 云桌面开通登录账号
  6. 本地首先登录堡垒机,需要手机号+验证码。然后通过堡垒机链接远程桌面,再登录云桌面的账号。在远程电脑上,大家可以根据自己喜好安装工具,最后从内网访问 RDS 从库查询数据。操作过程会录屏。
上一页 上一级 下一页
3.4. 压力测试与瓶颈分析方案 起始页 3.6. 阿里云 Kubernetes