电脑桌面
添加蚂蚁七词文库到电脑桌面
已经有10万+用户把蚂蚁七词文库添加到电脑桌面,以后点击桌面图标一键打开,无需搜索,非常快捷!
上传文档
开通会员限时优惠
充值
登录  |  注册
首页文章金蝶知识文章云苍穹知识苍穹服务器端口安全加固

苍穹服务器端口安全加固

栏目:云苍穹知识作者:金蝶来源:金蝶云社区发布:2024-09-23浏览:1

苍穹服务器端口安全加固

1 业务背景

客户对苍穹系统进行安全扫描,发现中间件、数据库等服务有安全漏洞,需进行安全加固。


2 解决方案

打开linux的防火墙,对所有苍穹主机进行IP白名单设置,允许苍穹所有主机之间互相访问,限制非苍穹主机访问。


3 具体实践

使用以下命令修改,在每台苍穹主机上执行


#!/bin/bash

#请详细阅读

#防火墙启动后才能使用该脚步  systemctl start firewalld

#因为启动防火墙可能会导致无法访问的风险,所以需要提前发苍穹停机维护声明

#修改后请仔细验证苍穹可用性

#注意还要放行gpaas、nginx端口,主要用于用户访问使用

#如果需要快速恢复,关闭防火墙即可 systemctl stop firewalld


#验证苍穹可用成功后,设置防火墙开机自动启动  systemctl enable firewalld



#k8s增加加下面规则

#k8s安装时pod_CIDR,在高级配置里面有pod地址信息,默认是172.27.0.0/16

firewall-cmd --permanent --zone=trusted --add-source=172.27.0.0/16


#k8s安装时svc_CIDR,在高级配置里面有svc地址信息,默认是172.29.0.0/16

firewall-cmd --permanent --zone=trusted --add-source=172.29.0.0/16



#苍穹所有机器的IP自行添加替换,机器信息和数量以项目实际地址信息为准


firewall-cmd --permanent --zone=trusted --add-source=172.28.1.212 

firewall-cmd --permanent --zone=trusted --add-source=172.28.1.213 

firewall-cmd --permanent --zone=trusted --add-source=172.28.1.173 

firewall-cmd --permanent --zone=trusted --add-source=172.28.1.93 

firewall-cmd --permanent --zone=trusted --add-source=172.28.1.37 

firewall-cmd --permanent --zone=trusted --add-source=172.28.1.194 

firewall-cmd --permanent --zone=trusted --add-source=172.28.1.247 

firewall-cmd --permanent --zone=trusted --add-source=172.28.1.89 

firewall-cmd --permanent --zone=trusted --add-source=172.28.1.90 

firewall-cmd --permanent --zone=trusted --add-source=172.28.1.49 

firewall-cmd --permanent --zone=trusted --add-source=172.28.1.50 

firewall-cmd --permanent --zone=trusted --add-source=172.28.1.80 

firewall-cmd --permanent --zone=trusted --add-source=172.28.1.147 


#使防火墙规则生效

firewall-cmd --reload


运行后效果是苍穹所有服务器不允许其他非苍穹主机访问


对于nginx机器需额外开放苍穹和mc的访问端口(如果有SSL加密,可增加443端口):

用户需要访问苍穹和MC地址,默认80、8090

#端口自行替换

firewall-cmd --zone=public --add-port=80/tcp --permanent

firewall-cmd --zone=public --add-port=8090/tcp --permanent


对于gpaas机器需额外开放端口进行访问

#端口自行替换

firewall-cmd --zone=public --add-port=80/tcp --permanent

firewall-cmd --zone=public --add-port=443/tcp --permanent


对于有安装keepalived的主机(如nginx、MDD、K8S),如果配置上面规则后若出现脑裂(客户交换机禁用了组播模式),可以修改keepalived模式变成单播,如果还不行可以添加如下规则: 【可选项】

firewall-cmd --add-rich-rule='rule protocol value="vrrp" accept' --permanent


4 防火墙删除规则命令示例

删除端口示例:firewall-cmd --zone=public --remove-port=8090/tcp --permanent

删除地址信任示例: firewall-cmd --permanent --zone=trusted --remove-source=172.28.1.212













苍穹服务器端口安全加固

1 业务背景客户对苍穹系统进行安全扫描,发现中间件、数据库等服务有安全漏洞,需进行安全加固。2 解决方案打开linux的防火墙,对所有苍...
点击下载文档
标签: # 金蝶云·苍穹# 最佳实践# 操作系统# 基础入门# 部署与运维
分享:
上一篇:苍穹容器日志如何根据容器名称生成下一篇:too many open files 问题解决方法
本文2024-09-23 01:14:06发表“云苍穹知识”栏目。
本文链接:https://wenku.my7c.com/article/kingdee-cangqiong-144644.html

相关文章

最新文档
热门文章

阅读排行

热门标签
# 常见问题# 企业版/标准版# 财务会计# EAS Cloud# K3 WISE# 功能介绍# 基础入门# 快速入门# s-HR# 金蝶云星瀚# 供应链# 金蝶云·星辰# 推送至苍穹帮助中心# 金蝶云·星空# 金蝶云·苍穹# 高级技巧# 新特性# 总账# 金蝶云·星空实施# 旗舰版
一键复制下载文档联系客服
确认删除?
取消确定
回到顶部
客服QQ
  • 客服QQ点击这里给我发消息