因几台服务器所在出口链路中断,导致业务停摆,同时无法远程登录。
针对第一个问题,万幸的是在中断服务器的交换机下还有我们走其它出口的服务器,即通过内网环境,可以直接先登录到同一交换机下的正常服务器,再从这台服务器跳转到中断服务器。
因为网关均设置在三层交换机上,三层交换机上有中断服务器的路由表,所以正常服务器是可以直接访问中断服务器的。然而,正常服务器并不能远程登录中断服务器,这是因为中断服务器均限制了登入IP,只有我们之前设定的堡垒机允许登入。
我们先联系了机房管理员,但当班的管理员说出没用过Linux后,这条路已被堵死。难道为了改几个IP要搭飞机去?老板会把我kill -9掉。 看来只有另辟蹊径了,既然中断服务器只认堡垒机,我们何不利用正常的服务器伪装成堡垒机的IP地址和中断服务器进行通信。说干就干,我们来一回偷天换日。
我们先模拟推演实现的方式,假设正常服务器的IP为 1921681001 ,中断服务器的IP是 1921682001 ,堡垒机的IP是 1921683001 。
首先,我们要让1921681001伪装成1921683001和1921682001通信。第二步是在三层交换机上手动添加到1921683001的回程路由,强行将目的地址为1921683001的报文仍给1921681001服务器上。第三步是在1921681001上接收访问1921683001的报文。这样整个伪装过程就完成了,网络连接已经建立起来,理论上可以通过1921681001远程登录1921682001服务器了。
接下来我们开始逐步实现推演过程
首先是地址伪装,我们要用到iptables,利用iptables来伪装源地址。
做到这一步,我们已经可以以堡垒机的身份1921683001向中断服务器1921682001发送网络请求了,但工作还没有完成,此时虽然可以发送报文到中断服务器,但回来的报文我们的正常服务器收不到。
接下来需要在三层交换机上增加一条路由信息
最后一步,在正常服务器上增加一个堡垒机的IP
正常情况下,服务器已经拥有2个IP地址了,配置这个的目的是为了接收目的地址是1921683001的报文,TCP有个机制,如果目的地址不是服务器自己的IP地址并且也不是广播地址,会自动丢弃该报文。
经过以上三步,我们已经完成了偷天换日的全部工作,敲下输悉的ssh 1921682001命令,熟悉的登录提示出现了,立即登录将中断服务器,修改IP地址切换到正常的出口链路,服务恢复正常,我也可以继续休假了。以下是堡垒机SAS-H启动的步骤:
1 首先,将堡垒机SAS-H的电源线插入电源插座,并将电源线的另一端插入堡垒机SAS-H的电源接口。
2 然后,将堡垒机SAS-H的网线插入网络接口,并将另一端插入网络交换机或路由器的网络接口。
3 接下来,按下堡垒机SAS-H的电源开关,等待几秒钟,直到堡垒机SAS-H的指示灯变为绿色。
4 在电脑上打开浏览器,输入堡垒机SAS-H的IP地址,按下回车键,进入堡垒机SAS-H的登录界面。
5 输入管理员账号和密码,登录堡垒机SAS-H的管理界面。
6 在管理界面中,可以进行各种设置和管理 *** 作,如添加用户、配置权限、监控日志等。
小菜运维仅仅只是一位菜鸟运维
废话不多说,小菜运维最近又完成了一套外包项目开发,现在准备将项目部署到甲方购买的阿里云服务器上。因为甲方是集团型大企业,又有自己的运维团队,很多规章制度比较规范,部署的时候要求通过跳板机/堡垒机登录阿里云内网ECS。虽然说跳板机很有必要也应该这样做,但奈何愿意这样做的客户是少之又少,这次是撞上大客户啦!
小菜运维平时都是使用的Xshell、Xftp管理服务器,这次通过跳板机登录内网ECS时不断输入密码,还不能直连内网ECS上传文件, *** 作了几次小菜运维就忍不住要口吐芬芳了,终于决定用Xshell的隧道来彻底解决一下这个效率低下、重复体力劳动的问题了!
Xshell的隧道转发类型共有三种,这里我们不展开介绍各自的应用场景,大家可以自行了解,我们这里选用的是Dynamic,可以实现自动连接内网ECS,也可直接连接FTP,但是前提是必须先连接跳板机建立起隧道,然后再连接内网ECS
隧道类型:
Local(Outgoing)
Dynamic(SOCKS4/5)
Remote(Incoming)
1 连接跳板机
11 建立到跳板机的会话
Xshell选择新建会话,点击左侧 连接 ,在 常规 栏依次填入会话名称、跳板机IP、跳板机端口,然后依次完成 用户身份验证 、 登录脚本 设置,这里需要强调的一点是,务必记得设置 登录脚本 以保证隧道的长连接,避免因隧道的断开而导致后续其他远程目标机器的连接失败,具体 *** 作如下图:
12 建立跳板机隧道
在上一步的对话框中,继续点击左侧 隧道 - 添加 ,在d出的转移规则对话框中完成规则设置,这里要强调的是 源主机 是指你当前建立隧道连接的本地机器,一般填入 localhost 或 127001 即可,而 目标主机 则是指你要远程连接的远程服务器,具体配置信息如下图:
2 建立远程主机连接
21 建立到远程主机的会话
Xshell选择新建会话,点击左侧 连接 ,在 常规 栏依次填入会话名称、本机/本地IP、本机/本地监听端口,然后依次完成 用户身份验证 设置,这里需要强调的一点是,务必记得这里设置的连接主机地址 12 中设置转移规则时填写的 源主机 地址,而不是远程服务器的IP地址,同样的,这里设置的端口号也是 12 中设置转移规则时填写的 侦听端口 ,但是 用户身份验证 需要填写远程服务器的用户信息。具体 *** 作如下图:
3 SSH/SFTP到远程服务器
自动连接远程服务器的前提是先连接到跳板机/堡垒机,然后再连接到远程服务器。
在Xshell中双击已建好的到堡垒机的会话,待成功完成登录后,再双击已建好的到远程服务器的会话,这时我们可以看到Xshell自动实现了登录远程服务器 *** 作,这时在Xshell已登录的远程服务器页面,点击顶部工具栏的 新建文件传输 按钮,Xshell将自动打开Xftp并自动登录远程服务器的Xftp文件管理页面;
1 连接跳板机
11 建立到跳板机的会话
这里和 Local(Outgoing)方式 的步骤完全相同,可参照之前步骤 *** 作。
12 建立跳板机隧道
这里和 Local(Outgoing)方式 的区别在于转移规则的配置,具体配置信息如下图:
2 建立远程主机连接
21 建立到远程主机的会话
这里和 Local(Outgoing)方式 的区别在于主机和端口号的配置,这里的主机和端口号都是配置的远程服务器的, 用户身份验证 同样还是需要填写远程服务器的用户信息。具体 *** 作如下图:
22 建立到远程主机会话的代理
在上一步 21 建立到远程主机的会话 的对话框左侧,点击 代理 ,然后浏览并添加代理服务器,这里我们代理服务器设置的就是本地机器,要注意的是这里 代理服务器的监听端口必须和12中隧道转移规则设置的侦听端口保持一致 ,具体配置如下图:
3 SSH/SFTP到远程服务器
这里和 Local(Outgoing)方式 的步骤完全相同,可参照之前步骤 *** 作。
基于隧道可以简化很多体力 *** 作,感觉起来就好像堡垒机不存在一样,实际 *** 作中推荐使用 Dynamic(SOCKS4/5)方式 ,因为Dynamic(SOCKS4/5)方式对于跳板机后有多台远程服务器需要连接的场景只需要配置一次隧道和代理,之后就可以直接添加到远程服务器的会话就可以了;而 Local(Outgoing)方式 则需要为每一台远程服务器添加一个单独的隧道才可以。
如果按照以上步骤 *** 作仍然不能正常访问,那么……建议你联系你的堡垒机管理员,可能是堡垒机帐号/凭据/权限等的设置没有给足你权限。
附-参考文档:
阿里云·堡垒机
阿里云·透明代理
远程桌面连接(MicrosoftTerminalServicesClient,MSTSC):采用这种方式登录,请确保实例能访问公网。如果在创建实例时没有购买带宽,则不能使用远程桌面连接。
管理终端VNC:无论您在创建实例时是否购买了带宽,只要您本地有网页浏览器,都可以通过管理控制台的管理终端登录实例。
使用远程桌面连接(MSTSC)登录实例
打开开始菜单>远程桌面连接,或在开始菜单>搜索中输入mstsc。也可以使用快捷键Win+R来启动运行窗口,输入mstsc后回车启动远程桌面连接。
在远程桌面连接对话框中,输入实例的公网IP地址。单击显示选项。
输入用户名,如小鸟云默认为niaoyun。单击允许我保存凭据,然后单击连接。这样以后登录就不需要手动输入密码了。本文讲解在一类专网中,XSHELL登录linux服务器系统时,通过配置信息,可以实现跳转堡垒机直接登录服务器的方法。
出于安全考虑,专网中的应用服务器一般仅允许特定IP远程SSH访问,带来安全防护的同时也增加了进行SSH登录记录密码和SFTP上传维护的繁琐。
(1)配置堡垒机IP和端口:
(2)配置登录用户名和密码
例如选择第一台服务器,点击回车确认。
然后输入对应的密码就可以登录了。
在"221 登录堡垒机" 堡垒机的基础上,增加配置登录服务器的用户名密码。
其中的等待字符:USER,password是“222 登录目标服务器”的关键字。
配置后,点击连接就可以一次登录目标服务器了。
(1)SFTP协议运维
>用xshell做一个端口转发吧。
转发设置下堡垒机上,用本地的127001:8080映射tomcat服务器的8080端口,这样你访问本地的8080端口就会通过堡垒机转发发tomcat服务器的8080端口。
至于xshell怎么做端口转发百度下就有了,我好久没用没用过xshell也不记得了
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)