XX信创公有云云内安全资源池 部署实现(上)-安全组件部署
1. 概述 1.1. 测试目的 此方案详细介绍了在XX信创公有云内部署深信服安全资源全过程,主要测试目的包括,验证深信服信创安全池以及配套安全组件在XX信创公有云兼容性以及业务开展可行性。 1.2. 测试时间 测试时间 | 202X年X月 | 测试地点 | XXXX | 测试人员 | XXX、YYY、ZZZ | 测试人员电话 | |
2. 测试环境 2.1. XX公有云资源 | | | | | | | 4vCPU 16GB(系统盘80GB、数据盘1T) | | | | | | | | | | 4vCPU 8GB(系统盘300GB、数据盘2T) | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | 8vCPU 16GB(系统盘100GB、200G数据盘3个、100G日志盘2个) | | | | | | | | | | | | | | | | | | | | | | | | | | | | | 62vCPU、120G内存、3070G系统盘(SSD) | 说明:XX信创公有云宿主机CPU型号为Kunpeng 920 7260 |
2.2. 深信服资源 注:三方的网页防篡改组件为后面补测。 3. 测试结论 3.1. 测试项概述 3.2. 交付形态拓扑 3.3. 交付形态说明 1、资源生成: 申请一个单独的VPC部署零信任和CSSP(复用),租户侧按需通过虚拟机的形式部署安全组件(不复用) 2、统一管理: a-通过租户间三层专线专线打通,实现CSSP管理平台纳管各租户的组件 b-通过cssp分级分层管理,给各租户创建子账号,并分配对应资源 3、运维方式 a-申请一个NAT网关,绑定EIP。日常运维通过弹性IP访问零信任,通过零信任分配不同租户账号,访问CSSP安全管理平台,并通过安全管理平台租户账号,维护各自护自己的安全组件,呈现对应安全态势 b-由于网页防篡改未对接CSSP管理平台,该组件需要单独管理 3.4. 资源需求说明 | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | 4vCPU 16GB(系统盘80GB、数据盘1T) | | | | | | | | 4vCPU 8GB(系统盘300GB、数据盘2T) | | | | | | | | | | | | | | | | | | | | | | | | 功能实现需要做如下配置: 1)云网侧:跨租户三层专线打通、VPC路由流表放通 2)需引流业务虚拟机配置:网关需指向引流防护组件 | 说明:本资源测试仅限公有云宿主机CPU型号为Kunpeng 920 7260 |
4. 测试过程 4.1. 镜像上传 注:相关组件上传需要购买镜像和OSS服务,有空间和流量大小限制 创建桶用来存放镜像安装包,此处需注意,镜像包超过5G无法用自带的页面上传入口,需要用S3browser进行上传。
S3browser配置方法 上面的endpoint地址需要到对应要传的桶配置界面获取 上面的keyid和密钥需要账号访问控制界面生成 4.2. 导入私有镜像 镜像文件URL获取办法,注意每个镜像都有一个URL链接,另外需要设置权限公共读,其次,导入镜像时最小磁盘容量大小不得小于镜像虚拟机大小,这里的大小不是镜像文件本身大小,是镜像生成虚拟机要求的系统盘大小,申请资源的时候都有要求。 生成虚拟机前请务必确保镜像导入成功,可用状态,后面生成虚拟机方可调用 4.3. 生成组件虚拟机 以下为提前按申请的规格分配好的ECS资源,默认分的ECS虚拟机预装了系统 将系统盘更换为组件镜像系统,务必按要求的规格逐个更换,不符合规格要求将更换失败。
4.4. 虚拟机常规操作 虚拟机打开控制台以及系统密码重置 虚拟机网络配置,包括绑定弹性ip,更改安全策略组,更改所属VPC,注意,增加网卡无法再这界面操作,需要XX后台处理 4.5. 安全策略调整 4.5.1. 虚拟向外流量以及被外面访问流量配置 默认向外访问流量可以全局放通,但被外面访问流量需要逐项做策略 4.5.2. 同VPC子网内访问 子网之间或者跨子网之间无法访问,需要调整ACL策略 4.6. 安全管理平台CSSP配置 4.6.1. 绑定弹性ip 信创虚拟机不好调试,直接通过弹性IP访问控制台 4.6.2. 安全管理平台CSSP授权
4.6.3. 创建租户 4.6.4. 纳管组件应用 4.6.5. 管理组件应用 点击访问即可单点登录到各个组件 4.7. 租户分级分权,拆分不同用户 通过创建不同的租户,满足多租户分级分权管理要求。
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员1级 