本發(fā)明涉及堡壘機(jī)訪問(wèn)方法，尤其涉及一種共享nat網(wǎng)關(guān)自動(dòng)化映射端口訪問(wèn)堡壘機(jī)和客戶端的方法。

背景技術(shù)：

1、當(dāng)前的網(wǎng)絡(luò)架構(gòu)中，我們通常會(huì)為堡壘機(jī)分配一個(gè)固定的訪問(wèn)ip地址或者訪問(wèn)域名，但這種做法會(huì)導(dǎo)致訪問(wèn)ip資源的極大浪費(fèi)。尤其是在那些擁有眾多堡壘機(jī)的大型機(jī)構(gòu)中，為了確保每個(gè)堡壘機(jī)都能正常工作，這些機(jī)構(gòu)不得不分配相應(yīng)數(shù)量的訪問(wèn)ip地址，這樣一來(lái)，成本就會(huì)變得非常高昂。此外，有些機(jī)構(gòu)可能根本沒(méi)有足夠的訪問(wèn)ip地址可供分配給堡壘機(jī)使用。

2、另一方面，使用nat(網(wǎng)絡(luò)地址轉(zhuǎn)換)網(wǎng)關(guān)可以實(shí)現(xiàn)訪問(wèn)ip地址的共享，從而減少ip資源的浪費(fèi)。但是，配置nat網(wǎng)關(guān)的工作量是相當(dāng)巨大的。這不僅需要熟悉如何配置snat(源地址轉(zhuǎn)換)和dnat(目的地址轉(zhuǎn)換)，還需要了解堡壘機(jī)服務(wù)所使用的具體端口，只有掌握了這些信息，才能正確地配置nat網(wǎng)關(guān)，確保堡壘機(jī)服務(wù)能夠正常運(yùn)行。

3、但是，即便我們已經(jīng)了解了nat網(wǎng)關(guān)的配置方法以及堡壘機(jī)服務(wù)所使用的端口，仍然存在一個(gè)問(wèn)題：堡壘機(jī)如何知道應(yīng)該將數(shù)據(jù)返回給客戶端的哪個(gè)端口？如果堡壘機(jī)無(wú)法確定服務(wù)對(duì)外映射的端口，就無(wú)法將正確的配置信息返回給客戶端，這樣一來(lái)，客戶端軟件將無(wú)法正確地訪問(wèn)堡壘機(jī)的對(duì)外映射訪問(wèn)端口，從而導(dǎo)致連接失敗。

4、另外，在傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)中，用戶在訪問(wèn)堡壘機(jī)和客戶端軟件時(shí)，往往需要手動(dòng)配置端口映射，這不僅耗時(shí)耗力，而且容易出錯(cuò)，導(dǎo)致安全風(fēng)險(xiǎn)。

技術(shù)實(shí)現(xiàn)思路

1、為了克服現(xiàn)有堡壘機(jī)訪問(wèn)方法存在的上述缺陷，解決傳統(tǒng)網(wǎng)絡(luò)訪問(wèn)過(guò)程中存在的諸多不便和安全問(wèn)題，本發(fā)明提出了一種新的共享nat網(wǎng)關(guān)自動(dòng)化映射端口訪問(wèn)堡壘機(jī)和客戶端的方法。

2、場(chǎng)景描述：在云計(jì)算環(huán)境中，某個(gè)用戶開通了多個(gè)堡壘機(jī)，但是只有一個(gè)公網(wǎng)訪問(wèn)ip。要實(shí)現(xiàn)一個(gè)ip對(duì)多個(gè)堡壘機(jī)的訪問(wèn)，可以搭建一個(gè)nat網(wǎng)關(guān)實(shí)例，綁定公網(wǎng)訪問(wèn)ip，并且配置nat網(wǎng)關(guān)實(shí)例的snat(源地址轉(zhuǎn)換)和dnat(目的地址轉(zhuǎn)換)，實(shí)現(xiàn)用一個(gè)ip的不同端口來(lái)訪問(wèn)不同堡壘機(jī)。此時(shí)，雖然已經(jīng)能夠正確訪問(wèn)不同堡壘機(jī)，但仍然面臨一個(gè)問(wèn)題：堡壘機(jī)并不知道自己做了nat端口映射，從而不能正確地給用戶的堡壘機(jī)客戶端返回nat上的外部映射端口，導(dǎo)致堡壘機(jī)客戶端訪問(wèn)資產(chǎn)失敗(訪問(wèn)的是堡壘機(jī)內(nèi)部的端口，而不是nat映射的端口)。要解決這個(gè)問(wèn)題，除非堡壘機(jī)能夠返回映射后的端口，否則手動(dòng)配置會(huì)非常麻煩，甚至根本不存在可以手動(dòng)配置的途徑。

3、為了解決上述問(wèn)題，應(yīng)對(duì)復(fù)雜的配置和使用場(chǎng)景，本發(fā)明提出了一種通過(guò)共享網(wǎng)絡(luò)地址轉(zhuǎn)換(nat)網(wǎng)關(guān)自動(dòng)化映射端口的方法，以便實(shí)現(xiàn)對(duì)堡壘機(jī)和客戶端軟件的便捷訪問(wèn)，同時(shí)通過(guò)自動(dòng)化技術(shù)手段，提高了訪問(wèn)效率和安全性，有效解決了傳統(tǒng)網(wǎng)絡(luò)訪問(wèn)中存在的諸多問(wèn)題。本方法的核心在于通過(guò)自動(dòng)化技術(shù)手段，實(shí)現(xiàn)端口映射的智能化和自動(dòng)化，從而聯(lián)動(dòng)nat網(wǎng)關(guān)服務(wù)和堡壘機(jī)服務(wù)，使得用戶能夠輕松地訪問(wèn)堡壘機(jī)和客戶端軟件，同時(shí)實(shí)現(xiàn)訪問(wèn)ip的復(fù)用。

4、具體地，本發(fā)明提供了一種共享nat網(wǎng)關(guān)自動(dòng)化映射端口訪問(wèn)堡壘機(jī)和客戶端的方法，如圖3所示，本方法包括下述步驟：

5、s1.在云計(jì)算環(huán)境中開通一臺(tái)或者多臺(tái)堡壘機(jī)實(shí)例；

6、s2.用戶登錄堡壘機(jī)的管理頁(yè)面，在管理頁(yè)面中開啟nat網(wǎng)關(guān)訪問(wèn)模式；

7、s3.堡壘機(jī)自動(dòng)檢測(cè)當(dāng)前虛擬專屬網(wǎng)絡(luò)中是否存在nat網(wǎng)關(guān)實(shí)例，如果已經(jīng)存在nat網(wǎng)關(guān)實(shí)例，堡壘機(jī)進(jìn)入該實(shí)例中申請(qǐng)一些未使用的nat端口，然后堡壘機(jī)將自己的服務(wù)端口和主機(jī)私網(wǎng)ip與申請(qǐng)到的nat端口進(jìn)行dnat映射，確保外部請(qǐng)求能夠正確地轉(zhuǎn)發(fā)到堡壘機(jī)上；

8、s4.完成dnat映射后，堡壘機(jī)將端口映射關(guān)系記錄下來(lái)，用戶在訪問(wèn)堡壘機(jī)實(shí)例和客戶端軟件時(shí)，可根據(jù)此記錄自動(dòng)獲取到對(duì)應(yīng)的公網(wǎng)訪問(wèn)ip和nat對(duì)外映射的端口。

9、進(jìn)一步地，本發(fā)明共享nat網(wǎng)關(guān)自動(dòng)化映射端口訪問(wèn)堡壘機(jī)和客戶端的方法步驟s2中所述的堡壘機(jī)的管理頁(yè)面負(fù)責(zé)開通、修改、刪除、管理堡壘機(jī)。

10、進(jìn)一步地，本發(fā)明共享nat網(wǎng)關(guān)自動(dòng)化映射端口訪問(wèn)堡壘機(jī)和客戶端的方法步驟s3中還包括：如果堡壘機(jī)未檢測(cè)到nat網(wǎng)關(guān)實(shí)例，堡壘機(jī)自動(dòng)調(diào)用nat網(wǎng)關(guān)服務(wù)(用例管理nat網(wǎng)關(guān)實(shí)例的服務(wù))來(lái)創(chuàng)建一個(gè)新的nat網(wǎng)關(guān)實(shí)例，并將其與公網(wǎng)訪問(wèn)ip進(jìn)行綁定。

11、進(jìn)一步地，本發(fā)明共享nat網(wǎng)關(guān)自動(dòng)化映射端口訪問(wèn)堡壘機(jī)和客戶端的方法中，用戶開啟nat網(wǎng)關(guān)訪問(wèn)模式后的自動(dòng)化配置過(guò)程包括以下步驟：

12、1)堡壘機(jī)管理服務(wù)申請(qǐng)?jiān)L問(wèn)ip和nat網(wǎng)關(guān)實(shí)例并綁定；

13、2)堡壘機(jī)管理服務(wù)申請(qǐng)空閑端口并配置映射到目標(biāo)堡壘機(jī)實(shí)例的對(duì)應(yīng)端口；

14、3)堡壘機(jī)管理服務(wù)將端口映射關(guān)系同步給對(duì)應(yīng)的堡壘機(jī)實(shí)例，堡壘機(jī)實(shí)例喚起堡壘機(jī)客戶端時(shí)，直接將映射后的端口下發(fā)給用戶。

15、進(jìn)一步地，用戶可通過(guò)本發(fā)明共享nat網(wǎng)關(guān)自動(dòng)化映射端口訪問(wèn)堡壘機(jī)和客戶端的方法訪問(wèn)和使用堡壘機(jī)，訪問(wèn)過(guò)程如下：

16、1)管理員首先向用戶提供堡壘機(jī)的公網(wǎng)訪問(wèn)ip地址以及web訪問(wèn)映射端口；

17、2)在用戶嘗試訪問(wèn)堡壘機(jī)時(shí)，nat網(wǎng)關(guān)服務(wù)自動(dòng)將用戶請(qǐng)求的端口映射到堡壘機(jī)的指定端口上，用戶可通過(guò)該指定端口訪問(wèn)堡壘機(jī)的web服務(wù)；

18、3)當(dāng)用戶決定通過(guò)客戶端使用ssh協(xié)議遠(yuǎn)程訪問(wèn)目標(biāo)資產(chǎn)時(shí)，堡壘機(jī)服務(wù)將公網(wǎng)訪問(wèn)ip地址、ssh遠(yuǎn)程訪問(wèn)代理端口的公網(wǎng)映射端口，以及相關(guān)的認(rèn)證連接信息發(fā)送到用戶的堡壘機(jī)客戶端；

19、4)用戶收到信息后，堡壘機(jī)客戶端自動(dòng)喚起本地對(duì)應(yīng)的應(yīng)用程序；同時(shí)，客戶端根據(jù)接收到的信息自動(dòng)配置連接參數(shù)，確保用戶能夠順利連接到堡壘機(jī)；

20、5)配置完成后，本地應(yīng)用程序通過(guò)公網(wǎng)訪問(wèn)ip地址和公網(wǎng)映射端口來(lái)訪問(wèn)堡壘機(jī)服務(wù)；

21、6)nat網(wǎng)關(guān)服務(wù)再次將用戶請(qǐng)求的端口映射到堡壘機(jī)的指定端口上，確保用戶的請(qǐng)求能夠正確地傳遞到堡壘機(jī)的ssh代理端口；

22、7)堡壘機(jī)的指定端口接收到用戶的請(qǐng)求后，進(jìn)行認(rèn)證檢查，認(rèn)證通過(guò)后，堡壘機(jī)代理用戶的請(qǐng)求到目標(biāo)資產(chǎn)。

23、進(jìn)一步地，本發(fā)明共享nat網(wǎng)關(guān)自動(dòng)化映射端口訪問(wèn)堡壘機(jī)和客戶端的方法中還包括：如果有多個(gè)堡壘機(jī)實(shí)例需要配置，系統(tǒng)通過(guò)申請(qǐng)不同的nat端口來(lái)實(shí)現(xiàn)nat網(wǎng)關(guān)實(shí)例和公網(wǎng)訪問(wèn)ip的復(fù)用，實(shí)現(xiàn)多個(gè)堡壘機(jī)實(shí)例共享同一個(gè)公網(wǎng)ip地址。

24、另一方面，本發(fā)明還提供了一種共享nat網(wǎng)關(guān)自動(dòng)化映射端口訪問(wèn)堡壘機(jī)和客戶端的系統(tǒng)，本系統(tǒng)運(yùn)行時(shí)實(shí)現(xiàn)上述的共享nat網(wǎng)關(guān)自動(dòng)化映射端口訪問(wèn)堡壘機(jī)和客戶端的方法的步驟。

25、另外，本發(fā)明還提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述存儲(chǔ)介質(zhì)上存儲(chǔ)有計(jì)算機(jī)程序，所述程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)上述的共享nat網(wǎng)關(guān)自動(dòng)化映射端口訪問(wèn)堡壘機(jī)和客戶端的方法的步驟。

26、綜上，本發(fā)明方法具有以下優(yōu)點(diǎn)：

27、(1)通過(guò)本發(fā)明提出的自動(dòng)化映射端口技術(shù)，用戶無(wú)需手動(dòng)配置端口映射，系統(tǒng)能夠根據(jù)預(yù)設(shè)的規(guī)則和策略，自動(dòng)完成端口映射的過(guò)程(堡壘機(jī)具備智能識(shí)別功能，能夠自動(dòng)檢測(cè)并返回nat訪問(wèn)的ip地址以及對(duì)應(yīng)的端口號(hào))，用戶在訪問(wèn)堡壘機(jī)和客戶端軟件時(shí)，可以更加便捷和高效，大大提升了用戶體驗(yàn)。

28、(2)本發(fā)明通過(guò)共享nat網(wǎng)關(guān)的方式，實(shí)現(xiàn)了訪問(wèn)ip的復(fù)用，這意味著在多個(gè)用戶同時(shí)訪問(wèn)堡壘機(jī)和客戶端軟件時(shí)，可以共享同一個(gè)ip地址，從而有效節(jié)省ip資源，避免資源浪費(fèi)，降低網(wǎng)絡(luò)管理成本。同時(shí)，通過(guò)自動(dòng)化映射端口和聯(lián)動(dòng)nat網(wǎng)關(guān)服務(wù)，本發(fā)明還能夠提高網(wǎng)絡(luò)訪問(wèn)的安全性，防止未經(jīng)授權(quán)的訪問(wèn)和潛在的網(wǎng)絡(luò)攻擊。

29、(3)用戶在使用本方法的過(guò)程中不需要花費(fèi)時(shí)間和精力去處理復(fù)雜的網(wǎng)絡(luò)地址轉(zhuǎn)換(nat)的創(chuàng)建和配置工作，大大簡(jiǎn)化了操作流程，提高了使用效率。同時(shí)，用戶也無(wú)需深入了解和關(guān)心堡壘機(jī)服務(wù)端口與nat網(wǎng)關(guān)端口之間的映射關(guān)系，系統(tǒng)會(huì)自動(dòng)進(jìn)行配置和管理，使得用戶可以更加專注于核心業(yè)務(wù)的處理。