2. 将新增的服务器归到服务器组。
3. 将服务中的WEB服务的映射端口修改为80。
4. 删除当前所有系统规则,再应用所有系统规则。
1. 为设备分配IP地址
由于要求客户端访问两个服务器时都要用80端口进行访问,并且不允许访问直接的真
实IP,因此需要在网络接口界面中,分别为内端机的INT0接口设置两个IP用来对应两个服务器的真实IP。这里我们举例为192.168.0.19对应192.168.1.100和192.168.0.20对应192.168.1.101;
2. 按下网络接口界面的“应用设置”按钮,配置生效。
至此,隔离设备规则设置完成,此时隔离设备仅允许“测试工程师”在9:00-17:30访问“WEB服务器”和“WEB服务器100”的TCP80端口的HTTP服务,且在HTTP协议内容上仅允许GET动作发生,同时过滤DLL、EXE文件。
访问192.168.1.100的方式为Http://192.168.0.19 192.168.0.19会自动对应到服务器192.168.1.100。 访问192.168.1.101的方式为Http://192.168.0.20 192.168.0.20会自动对应到服务器192.168.1.101。
1.3.3.6运维审计系统
配置管理主要包括策略配置、服务配置、系统配置3部分组成。
运维管理审计系统支持多种部署方式,在本项目中,考虑到xxx与数据库建设项目的实际需求,我们将采用旁路部署方式。部署示意图如下所示:
部署时,谐润运维管理审计系统旁路接入网络,只需要1个独立的IP即可,保证堡垒主机能够通过网络连接被管理资源提供远程运维服务的端口,应用托管中心与堡垒主机做直连,通过堡垒主机NAT转换技术使应用托管中心能够访问网络中的资源。
若堡垒主机和被管理资源之间存在防火墙,则需要在增加或修改防火墙的策略,防火墙的策略增加或修改如下:
源地址:堡垒主机IP,源端口:any,目标地址:被管理资源IP,目标端口:提供运维服务的监听端口。
如堡垒主机需要连接被管理的Linux服务器,Linux服务提提供ssh运维服务,则需要在防火墙上增加或修改策略如下:
源地址:堡垒主机IP,源端口:any,目标地址:被管理资源IP,目标端口:22。
维护人员只要登录运维管理系统即可访问到所有服务器,无须进行二次登录。 若运维人员与运维管理系统之间存在防火墙,则防火墙需要开放如下端口:
22(ssh、telnet协议代理模块),443(堡垒主机提供web服务),3389(rdp协议代理模块)等。 有关实施时防火墙开放策略, 日志服务器旁路接入网络,并开发SMB共享服务,为堡垒主机提供
日志存储服务,堡垒主机通过页面配置,将数据文件存储至日志服务器。
1.3.4服务器虚拟化配置
在本期项目中,将遵照规划和架构设计进行项目实施。本实施方案不涉及具体操作步骤和细节配置,而主要针对项目实施的过程进行控制。预计的实施步骤如下:
1.3.4.1准备阶段
准备阶段是为项目的实施搜集各方面资料和必要的工具,同时也包括双方参与实施人员的确定。准备阶段主要内容如下;
软件介质准备,包含项目涉及的所有软件产品介质,如果是项目内采购则由卖方准备,如采用用户现有的软件则由用户方提供,主要的介质包含:
(1) FusionCloud产品介质 (2) 各虚拟机的操作系统介质
(3) 在应用服务器上运行的所有应用软件介质 (4) 服务器硬件驱动程序介质
如涉及到License则需要提供方确保在提供软件介质时同时提供有效的License授权。如Windows操作系统需要S/N号码等。
在准备阶段还需要确定实施需要的人员名单,每个步骤的参与人员要事先确定下来。为了确保应用迁移时的现场技术支持,要求在应用迁移或服务器迁移时确保应用软件的管理员或厂家技术人员能够现场支持。
1.3.4.2FusionSphere虚拟架构实施
在实施过程中,主要的工作包括虚拟环境搭建和系统迁移两部分,本节主要针对FusionSphere虚拟化架构搭建的过程进行描述。