公网环境 JumpServer 通过内网穿透纳管内网资产


飞致云 发布于 2023-08-24 / 1272 阅读 / 0 评论 /

一、问题背景

JumpServer 是一个开源的运维审计系统,又称堡垒机。JumpServer 提供了一套完整的多网络环境下的资产纳管方案,用于安全地访问和管理服务器。JumpServer 支持部署在企业内部地网络环境中或个人搭建的网络环境中。JumpServer 服务器到目标资产的网络是可连通的,JumpServer 即可纳管资产。

本文主要介绍当需要纳管的资产为内网资产且无公网IP的情况下,如何将该资产纳管到 JumpServer 堡垒机中?

二、实现方式

内网穿透工具有多种,例如:tailscale、frp、花生壳等。此处以 cpolar 工具为例:

通过在内网资产中安装内网穿透工具 cpolar 实现将内网资产映射到外网访问,JumpServer 通过直接纳管内网资产实现访问。

通过在内网某一台资产上安装内网穿透工具 cpolar 实现将内网资产映射到外网访问,JumpServer 通过配置该资产为网域网关,实现纳管整个内网环境的资产。

三、cpolar 实现内网穿透

cpolar 是一种安全的内网穿透云服务,它将内网下的本地服务器通过安全隧道暴露至公网。使得公网用户可以正常访问内网服务。

1、cpolar 介绍

cpolar 内网穿透是通过在需要被映射到公网的服务器上安装cpolar 客户端,并提供一个本地的网络服务端口号。当需要访问内网服务器时,请求先连接到接受公共地址流量的 cpolar 云服务中,流量被中继到服务器上运行的cpolar 进程,然后再中继到指定的本地网络服务端口,实现公网用户正常访问内网服务。

2、cpolar 安装

本次演示以 Linux 服务器为主,其余类型的平台请参考官方文档:https://www.cpolar.com/docs

①、注册账户

cpolar 后续在进行 token 认证时,需要到官网页面获取 token 信息,所以需要注册账户。填写基础信息,注册登陆即可。

注册成功登陆即可。

登陆后,查看您的隧道 token。

②、Linux 服务器上安装客户端

登陆服务器后一键安装。

curl -L https://www.cpolar.com/static/downloads/install-release-cpolar.sh | sudo bash

查看 cpolar 的版本号。

cpolar version

token 认证,从 cpolar 页面查看 token 并进行认证。

cpolar authtoken M2QwYTc3NDctYTc4N****************************

穿透 22 端口。

cpolar tcp 22

启动服务并添加重启自启动。

systemctl start cpolar

systemctl enable cpolar

查看映射隧道。

从上图获取到的信息为:映射外网的链接信息为:tcp://3.tcp.vip.cpolar.cn:10443,表示此时该内网机器的SSH协议可通过访问 3.tcp.vip.cpolar.cn 的 10443 端口进行连接。

③、访问测试

通过连接提供的 IP 与端口信息,访问资产是否可外网访问。

以上即为穿透成功!

四、公网堡垒机纳管内网资产

内网穿透场景下涉及到两种场景,如下所示:

1、直接纳管内网机器并访问

①、创建 Linux 资产,并授权

②、访问

连接成功!

2、配置为网域网关访问内网其他机器

①、创建网域网关

创建网域,设置映射到公网的机器为网关。

创建网关。

②、创建其他内网机器为 JumpServer 资产

创建内网机器为 JumpServer 资产并授权。

③、访问资产

访问成功!

已成功通过使用 cpolar 内网穿透工具,打通了内外网之间的限制,成功实现公网 JumpServer 纳管内网资产的需求。

五、结论

JumpServer 可以用于管理多个网络环境下的服务器,支持跨不同网络的服务器远程访问和管理。不论这些服务器位于本地网络、局域网还是广域网,只要网络连通性得到确保,并且具备必要的网络配置和权限,JumpServer 都能够对其进行纳管。

总之,JumpServer 可以纳管多个网络环境下的服务器,只要网络连通性和必要的网络配置得以满足。它提供了一种统一的方式来管理和访问这些服务器,并增强其安全性和可管理性。



是否对你有帮助?