Bastion dans Alibaba Cloud

Page content

Description du service

Cet article présente le service Bastion disponible dans Alibaba Cloud. Ce service est pour le moment disponible uniquement en Chine, c’est à dire sur Aliyun. Il est donc nécessaire de disposer d’un compte sur Aliyun et non sur Alibaba Cloud pour utiliser ce service.

Cela n’est plus vrai. Bastionhost est également disponible sur Alibaba Cloud (depuis le mois de juillet 2020).

Bien que ce service ne soit disponible qu’à partir d’un compte Aliyun, il est possible de le déployer dans les régions suivantes:

  • China (Mainland)
  • Asia Pacific
  • Europe and America
  • Middle East and India

Les protocoles supportés sont les suivants:

  • SSH
  • RDP
  • SFTP

On peut modifier les ports concernés (TCP 22, TCP 3389) mais il faut qu’ils coincides avec les ports indiqués au niveau des instances ECS.

Pour plus d’informations sur ce service, il faut se reporter à ces articles:

Features

Les features de ce service sont les suivants (pris dans la documentation officielle).

Operational audit

Fully record the operation behavior of operation and maintenance personnel, as the basis for incident traceability guarantee and accident analysis.

  • Operation and maintenance operation records : detailed records of operation errors, malicious operations, and unauthorized operations.
  • Linux command audit : It can extract command character audit and support command fixed-point playback.
  • Windows operation recording : Remote desktop operation supports full-range recording, including keyboard operation, mouse operation, and opening windows.
  • File transfer audit : supports remote desktop file transfer and SFTP file audit.

Access control

Through account management and authority management, to achieve authority management of personnel and assets.

  • Account management : Use unique operation and maintenance accounts to solve problems such as shared accounts, temporary accounts, and abuse of permissions.
  • Authority management : According to personnel, departmental organization, resource group, establish the authorization management system of personnel responsibility and resource allocation.

Safety certificate

Introduce a two-factor authentication mechanism to reduce the risk of account password leakage through SMS authentication, dynamic tokens and other technologies, and prevent operation and maintenance personnel account leakage from being used repeatedly. Connect to AD authentication and LDAP authentication services, authenticate users with one click synchronization, you can maintain the original user deployment method.

Efficient operation and maintenance

Improve operation and maintenance efficiency from various aspects such as architecture, tools, ECS access, and RDS access.

  • C/S architecture operation and maintenance access : support SSH, RDP, SFTP protocol.
  • Multi-operation and maintenance tools : support PuTTY, SecureCRT, Xshell, WinSCP, mstsc and other tools.
  • Efficient ECS access : Support one-click synchronization and import ECS instances.
  • Efficient RDS access : Support one-key synchronization and import RDS proprietary host group.

Governance

On peut assigner des tags (labels) sur ce service.

Deploying

Ce service peut être déployé à l’aide des interfaces suivantes:

  • Console
  • Terraform

Le principe de déploiement est de déployer une instance dont la taille dépend du nombre de connexions simultanées (voir la section Pricing). Une fois l’instance déployée, il faut identifier (ajouter) les instances ECS qui pourront être accessibles à travers le Bastion.

A noter qu’il est possible de regrouper lkes instances ECS au sein d’un groupe.

Il existe 3 tailles différentes d’instance Bastion (Bastion Host) pour ce service:

  • CPU: 2 cores / Memory: 4GB / Bandwidth: 8Mbit/s
  • CPU: 4 cores / Memory: 8GB / Bandwidth: 16 Mbit/s
  • CPU: 8 cores / Memory: 16GB / Bandwidth: 32 Mbit/s

Requirements

Console

Pour déployer ce service à l’aide de la console, il faut effectuer les actions décrites ci-dessous.

Avant de déployer ce service, il est nécessaire de l’acheter, sous-entendu selon la région de déploiement etc…

  • se connecter sur la console d’administration
  • sélectionner le service Bastion

On peut également se connecter directement sur la console du service: Bastion Console

Terraform

Pour déployer ce service à l’aide de Terraform, il faut utiliser la ressource suivante: alicloud_yundun_bastionhost_instance

Securing

Pour plus d’informations sur la sécurité de ce service, il faut se reporter à cet article:

Training

Pour obtenir plus d’informations ou suivre un ou plusieurs modules de formation sur ce service, il faut consulter les liens suivants:

Troubleshooting

Pour effectuer un Troubleshooting sur ce service, il faut consulter les articles suivants:

Pricing

Le pricing de ce service s’effectue selon le nombre de connexions simultanées. Il existe donc plusieurs paliers et 3 tailles d’instances différentes:

CPU: 2 cores / Memory: 4GB / Bandwidth: 8Mbit/s

  • 50 assets / 50 concurrent sessions
  • 100 assets / 100 concurrent sessions
  • 200 assets / 100 concurrents sessions

CPU: 4 cores / Memory: 8GB / Bandwidth: 16 Mbit/s

  • 500 assets / 500 concurrent sessions
  • 1000 assets / 1000 concurrent sessions
  • 2000 assets / 1000 concurrent sessions

CPU: 8 cores / Memory: 16GB / Bandwidth: 32 Mbit/s

  • 5000 assets / 2000 concurrent sessions

Le cycle de facturation peut se faire sur: 1, 3, 6, 9 mois / 1, 2, 3 ans. Il n’est pas possible actuellement d’utiliser le mode de facturation Pay-as-you-go.

Pour obtenir des informations sur le pricing de ce service, il faut se reporter à l’article suivant: Billing

Ressources

Last update 09.07.2020