云堡垒机 CBH-使用限制:网络访问限制
下载云堡垒机 CBH用户手册完整版
网络访问限制
- 不支持跨区域(Region)直接使用。
云堡垒机 实例与系统资源(系统内管理的弹性云服务器、云数据库等)必须在同一区域内。
虽跨区域跨VPC可通过云连接(Cloud Connect,CC)、虚拟专用网(Virtual Private Network,VPN)等构建跨区域网络,但受限于网络的不稳定性,不建议跨区域使用云 堡垒机 纳管资源。
- 不支持跨VPC直接使用。
云堡垒机实例与系统资源必须在同一个VPC的子网内,才能直接连接访问。
跨VPC情况下,可通过对等连接打通两个VPC之间网络。
- 云堡垒机实例与系统资源的安全组,必须允许相互访问。
系统资源必须处于实例所属安全组允许访问的范围内,且资源所属安全组必须允许实例私有IP访问。
如果实例与系统资源处于不同的安全组,系统默认不能访问。需要在实例的安全组添加“入”的访问规则。
实例的安全组默认端口有443和2222,默认支持Web浏览器和SSH客户端访问。若需其他访问方式,需用户手动添加目标端口。
具体端口限制详见表1。
- 只允许通过IP地址和端口访问CBH系统。
表1 入/出方向规则配置参考 场景描述
方向
协议/应用
端口
通过Web浏览器登录堡垒机(HTTP、HTTPS)
入方向
TCP
80、443、8080
通过MSTSC客户端登录堡垒机
入方向
TCP
53389
通过SSH客户端登录堡垒机
入方向
TCP
2222
通过FTP客户端登录堡垒机
入方向
TCP
20~21
通过堡垒机的SSH协议远程访问Linux云服务器
出方向
TCP
22
通过堡垒机的RDP协议远程访问Windows云服务器
出方向
TCP
3389
通过堡垒机访问Oracle数据库
入方向
TCP
1521
通过堡垒机访问Oracle数据库
出方向
TCP
1521
通过堡垒机访问MySQL数据库
入方向
TCP
33306
通过堡垒机访问MySQL数据库
出方向
TCP
3306
通过堡垒机访问SQL Server数据库
入方向
TCP
1433
通过堡垒机访问SQL Server数据库
出方向
TCP
1433
通过堡垒机访问DB数据库
入方向
TCP
50000
通过堡垒机访问DB数据库
出方向
TCP
50000
通过堡垒机访问 GaussDB数据库
入方向
TCP
18000
通过堡垒机访问 GaussDB 数据库
出方向
TCP
18000
License注册许可服务器
出方向
TCP
9443
华为云服务
出方向
TCP
443
同一安全组内通过SSH客户端登录堡垒机
出方向
TCP
2222
短信服务
出方向
TCP
10743、443
DNS 域名 解析
出方向
UDP
53
通过堡垒机访问PGSQL数据库
入方向
TCP
15432
通过堡垒机访问PGSQL数据库
出方向
TCP
5432
