CN114268616A

CN114268616A - 一种应用于多云环境下的堡垒机系统及控制方法

Info

Publication number: CN114268616A
Application number: CN202111601858.XA
Authority: CN
Inventors: 林俸名; 郑欢
Original assignee: Sichuan Cric Technology Co ltd
Current assignee: Sichuan Cric Technology Co ltd
Priority date: 2021-12-24
Filing date: 2021-12-24
Publication date: 2022-04-01

Abstract

本发明公开了一种应用于多云环境下的堡垒机系统及控制方法，将Web服务组件、Websocket服务组件、SSH服务组件分布式布置，并在用户有权限连接目标服务器且该目标服务器所在区域属于公有云区域时，将所述目标服务器与所述SSH网关服务组件建立SSH连接，在不属于公有云区域时直接建立SSH连接，最后用户信息根据SSH连接登录所述目标服务器，从而实现在多云环境下，使得私有云和公有云能够统一呈现与访问；另外，通过SSH服务组件对连接过程的所有数据进行记录，实现对用户操作审计以及录像回放，提高了现有的多云环境下的网络设备的管理效率。

Description

一种应用于多云环境下的堡垒机系统及控制方法

技术领域

本发明涉及网络设备管理技术领域，尤其涉及一种应用于多云环境下的堡垒机系统及控制方法。

背景技术

目前随着云计算的快速发展，很多企业从采用传统的自建IDC机房(互联网数据中心)逐步转向租用第三方提供商提供的公有云资源，将其作为承载IT(互联网技术)应用的实体。

现有的越来越多的公司，要面对多云(即同时包括私有云和公有云)的网络环境。其中，对于私有云环境，由于对数据的敏感性与安全性，企业内部仍然需要构建私有云平台，用于存储隐私数据，这些数据均都存储在企业内部的IDC机房中，企业的网络运维人员对该网络环境非常了解，能够做到通过堡垒机系统统一呈现私有云服务器，打通所有私有云服务器的网络，从而能够让企业内部的开发、运维按需、可控地进行访问；而公有云对应的网络环境比较复杂，而且公有云提供商之间的网络实现方式及技术不同，使得访问各个公有云区域的服务器无法做到统一呈现，不能实现运维按需、可控地进行访问。

发明内容

本发明要解决的技术问题是现有技术中对于多云环境，无法同时实现对私有云和公有云的统一呈现与访问等缺陷，目的在于提供一种应用于多云环境下的堡垒机系统及控制方法。

本发明通过以下技术方案来实现上述目的：

本发明提供一种应用于多云环境下的堡垒机系统，所述多云包括公有云和私有云，所述堡垒机系统包括堡垒机server、堡垒机server和SSH(安全外壳协议)网关服务组件；

所述堡垒机server用于获取用户信息和待连接的目标服务器对应的服务器资源信息；

所述堡垒机server用于在用户通过所述用户信息与所述目标服务器进行连接时，根据所述服务器资源信息判断所述目标服务器所在区域是否属于公有云区域，若属于，则在所述堡垒机server与所述目标服务器之间通过所述SSH网关服务组件建立SSH连接，并将所述用户信息通过SSH连接登录所述目标服务器；

若不属于，则直接建立所述堡垒机server与所述目标服务器之间的SSH连接，并将所述用户信息通过SSH连接登录所述目标服务器。

进一步方案为，所述堡垒机系统还包括Web(网络)服务组件；

所述Web服务组件用于获取所述目标服务器上线时发送的上线请求，并根据所述上线请求获取所述目标服务器对应的所述服务器资源信息，以及用于存储根据用户的所述用户信息和所述服务器资源信息设置的用户访问所述目标服务器的权限信息；

所述Web服务组件还用于获取所述目标服务器下线时发送的下线请求，并根据所述下线请求清除所述权限信息以及所述目标服务器对应的所述服务器资源信息。

进一步方案为，所述堡垒机server包括Websocket(一种全双工通信的协议)服务组件；

进一步方案为，所述Web服务组件通过内置的WebTerminalClient(网络云终端)与所述Websocket服务组件建立Websocket连接；

在所述堡垒机server判断所述目标服务器所在区域属于公有云区域时，所述Websocket服务组件用于启动一个内置的第一SSHClient(一种客户端)与所述SSH网关服务组件之间建立SSH连接；

所述SSH网关服务组件用于启动一个内置的第二SSHClient与所述目标服务器之间建立SSH连接；

在所述堡垒机server判断所述目标服务器所在区域不属于公有云区域时，所述Websocket服务组件用于启动一个内置的所述第一SSHClient与所述目标服务器之间直接建立SSH连接。

进一步方案为，所述堡垒机server包括SSH服务组件；

所述SSH服务组件与所述SSH服务组件建立SSH连接；

进一步方案为，所述SSH服务组件通过内置的第三SSHClient与所述SSH服务组件建立SSH连接；

在所述堡垒机server判断所述目标服务器所在区域属于公有云区域时，所述SSH服务组件用于启动一个内置的第四SSHClient与所述SSH网关服务组件之间建立SSH连接；

所述SSH网关服务组件用于启动一个内置的所述第二SSHClient与所述目标服务器之间建立SSH连接；

在所述堡垒机server判断所述目标服务器所在区域不属于公有云区域时，所述SSH服务组件用于启动一个内置的所述第四SSHClient与所述目标服务器之间直接建立SSH连接。

本发明还提供一种应用于多云环境下的堡垒机系统的控制方法，所述控制方法利用上述的堡垒机系统实现，所述控制方法包括：

所述堡垒机server获取用户信息和待连接的目标服务器对应的服务器资源信息；

所述堡垒机server在用户通过所述用户信息与所述目标服务器进行连接时，根据所述服务器资源信息判断所述目标服务器所在区域是否属于公有云区域，若属于，则在所述堡垒机server与所述目标服务器之间通过所述SSH网关服务组件建立SSH连接，并将所述用户信息通过SSH连接登录所述目标服务器；

进一步方案为，所述堡垒机系统还包括Web服务组件；

所述获取用户信息和待连接的目标服务器对应的服务器资源信息的步骤之前还包括：

在所述目标服务器上线时，所述Web服务组件获取所述目标服务器发送的上线请求，并根据所述上线请求获取所述目标服务器对应的所述服务器资源信息，以及用于存储根据用户的所述用户信息和所述服务器资源信息设置的用户访问所述目标服务器的权限信息；

在所述目标服务器下线时，所述Web服务组件获取所述目标服务器发送的下线请求，并根据所述下线请求清除所述权限信息以及所述目标服务器对应的所述服务器资源信息。

进一步方案为，所述堡垒机server包括Websocket服务组件；

所述Web服务组件和所述Websocket服务组件之间建立Websocket连接。

进一步方案为，所述Web服务组件通过内置的WebTerminalClient与所述Websocket服务组件建立Websocket连接；

所述将所述目标服务器与所述SSH网关服务组件建立SSH连接，所述用户信息根据SSH连接登录所述目标服务器的步骤包括：

所述Websocket服务组件启动一个内置的第一SSHClient与所述SSH网关服务组件之间建立SSH连接；

所述SSH网关服务组件启动一个内置的第二SSHClient与所述目标服务器之间建立SSH连接；

所述直接建立所述堡垒机server与所述目标服务器之间的SSH连接，并将所述用户信息通过SSH连接登录所述目标服务器的步骤包括：

所述Websocket服务组件启动一个内置的所述第一SSHClient与所述目标服务器之间直接建立SSH连接。

进一步方案为，所述堡垒机server包括SSH服务组件。

所述SSH服务组件启动一个内置的第四SSHClient与所述SSH网关服务组件之间建立SSH连接；

所述SSH网关服务组件启动一个内置的所述第二SSHClient与所述目标服务器之间建立SSH连接；

所述SSH服务组件启动一个内置的所述第四SSHClient与所述目标服务器之间直接建立SSH连接。

本发明的有益效果在于：

本发明的一种应用于多云环境下的堡垒机系统及控制方法，将Web服务组件、Websocket服务组件、SSH服务组件分布式布置，并在用户有权限连接目标服务器且该目标服务器所在区域属于公有云区域时，将所述目标服务器与所述SSH网关服务组件建立SSH连接，在不属于公有云区域时直接建立SSH连接，最后用户信息根据SSH连接登录所述目标服务器，从而实现在多云环境下，使得私有云和公有云能够统一呈现与访问；另外，通过SSH服务组件对连接过程的所有数据进行记录，实现对用户操作审计以及录像回放，提高了现有的多云环境下的网络设备的管理效率。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要实用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1本发明用户与目标服务器建立SSH连接的流程图；

图2本发明控制方法的流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将对本发明的技术方案进行详细的描述。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式，都属于本发明所保护的范围。

本实施例的应用场景为多云环境，其中多云包括公有云和私有云，通过实施例的堡垒机系统实现对远端的若干服务器的统一登录。

如图1-2所示，本实施例的应用于多云环境下的堡垒机系统包括堡垒机server和SSH网关服务组件。

堡垒机server用于获取用户信息和待连接的目标服务器对应的服务器资源信息。

其中，服务器资源信息包括目标服务器的IP(互联网协议地址)地址、主机名称、登录账号与密钥对等。

堡垒机server用于在用户(如堡垒机系统的运维人员等)通过用户信息与目标服务器进行连接时，根据服务器资源信息判断目标服务器所在区域是否需要网关中转，若需要，则在堡垒机server与目标服务器之间通过SSH网关服务组件建立SSH连接，并将用户信息通过SSH连接登录目标服务器。具体地，可以根据目标服务器的IP地址确定目标服务器所在区域。

若不属于(即目标服务器所在区域为空或者与server处于同一区域)，则直接建立堡垒机server与目标服务器之间的SSH连接，并将用户信息通过SSH连接登录目标服务器。

其中，SSH连接为基于SSH安全加密协议的连接。

SSH网关服务组件作为中转，分布在各个云区域的出入口，主要用于堡垒机server进行安全的SSH连接，是对堡垒机系统到各个公有云区域服务器的全链路进行网络方案的设计，使得用户可以安全可控地访问自己有权限访问的公有云服务器，从而打通了各个公有云区域的网络访问。

本实施例中，在目标服务器所在区域属于公有云区域时，将目标服务器与SSH网关服务组件建立SSH连接，在不属于公有云区域时直接建立SSH连接，最后用户信息根据SSH连接登录目标服务器，从而实现在多云环境下，使得多个物理隔离的云机房能够统一呈现与访问。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。另外需要说明的是，在上述具体实施方式中所描述的各个具体技术特征，在不矛盾的情况下，可以通过任何合适的方式进行组合，为了避免不必要的重复，本发明对各种可能的组合方式不再另行说明。此外，本发明的各种不同的实施方式之间也可以进行任意组合，只要其不违背本发明的思想，其同样应当视为本发明所公开的内容。

Claims

1.一种应用于多云环境下的堡垒机系统，其特征在于，包括堡垒机server、SSH网关服务组件；

2.如权利要求1所述的一种应用于多云环境下的堡垒机系统，其特征在于，所述堡垒机系统还包括Web服务组件；

3.如权利要求1或2所述的一种应用于多云环境下的堡垒机系统，其特征在于，所述堡垒机server包括Websocket服务组件。

4.如权利要求3所述的一种应用于多云环境下的堡垒机系统，其特征在于，所述Web服务组件通过内置的WebTerminalClient与所述Websocket服务组件建立Websocket连接；

在所述堡垒机server判断所述目标服务器所在区域属于公有云区域时，所述Websocket服务组件用于启动一个内置的第一SSHclient与所述SSH网关服务组件之间建立SSH连接；

5.如权利要求1或2所述的一种应用于多云环境下的堡垒机系统，其特征在于，所述堡垒机server包括SSH服务组件，所述SSH服务组件通过内置的第三SSHClient与所述SSH服务组件建立SSH连接；

6.如权利要求1-5任一项所述的一种应用于多云环境下的堡垒机系统的控制方法，其特征在于，所述控制方法包括：

7.如权利要求6所述的应用于多云环境下的堡垒机系统的控制方法，其特征在于，所述堡垒机系统还包括Web服务组件；

8.如权利要求7所述的应用于多云环境下的堡垒机系统的控制方法，其特征在于，所述堡垒机server包括Websocket服务组件。

所述Web服务组件通过内置的WebTerminalClient与所述Websocket服务组件建立Websocket连接；

9.如权利要求6所述的应用于多云环境下的堡垒机系统的控制方法，其特征在于，所述堡垒机server包括SSH服务组件。

10.如权利要求9所述的应用于多云环境下的堡垒机系统的控制方法，其特征在于，所述SSH服务组件通过内置的第三SSHClient与所述SSH服务组件建立SSH连接；