IBM Cloud Docs
Bereitstellen des Jump-Servers

Bereitstellen des Jump-Servers

Der Jump Server ist eine kleine Microsoft® Windows® Virtual Server Instance (VSI), die im IBM Cloud®-Konto bereitgestellt wird, in dem sich die VMware Cloud Foundation for Classic – Automated-Instanz mit dem Veeam®-Dienst befindet. Der VSI ist sowohl mit dem privaten als auch mit dem öffentlichen Netz IBM Cloud verbunden. Die öffentliche Netzwerkschnittstelle ist durch eine Sicherheitsgruppe geschützt, die den RDP-Zugriff (Remote Desktop Protocol) auf eine bekannte Remote-IP-Adresse einschränkt.

Der Jump Server wird für den grafischen Zugriff auf den Veeam Backup- und Replikationsserver, die vCenter-Appliance und den NSX-T Manager verwendet. Zu diesem Schritt gehören die folgenden Aufgaben:

  1. Bestellen Sie eine Sicherheitsgruppe zum Schutz des Jump-Servers.
  2. Bestellen Sie einen öffentlichen VSI unter Microsoft Windows für den Jump Server.

Voraussetzungen

  • Die IBM Cloud CLI ist installiert und das erforderliche IBM Cloud-Konto ist anvisiert.
  • Die Konfiguration erfolgt über einen Laptop, der über eine Internetverbindung verfügt.
  • Der Benutzer verfügt über die erforderlichen Berechtigungen im IBM Cloud-Konto, um die erforderlichen Komponenten zu bestellen.

Sicherheitsgruppe bestellen

Diese Aufgabe verwendet die IBM Cloud CLI, um eine Sicherheitsgruppe zu bestellen und konfiguriert eingehende und ausgehende Regeln.

  • Der <jmp_security_group_name> ist der erforderliche Name für die Sicherheitsgruppe, z. B. sgjump.
  • Die sgid erfasst die Sicherheitsgruppen-ID zur Verwendung in nachfolgenden Befehlen.
  • Die myip erfasst die externe IP-Adresse Ihres Laptops.
  • Die Eingangsregel erlaubt den Zugang zum TCP-Port 3389 von einer bekannten Internet-IP-Adresse.
  • Die Regel für ausgehende Verbindungen erlaubt es jedem Protokoll, zu jeder IP-Adresse zu gelangen.
  • Wenn der Jump Server VSI bestellt wird, wird er der Sicherheitsgruppe zugeordnet.
export sgname=<jmp_security_group_name>
ibmcloud sl securitygroup create --name $sgname --description "Allow RDP from known external IP address"
export sgid=$(ibmcloud sl securitygroup list --output json | jq -r '.[] | select (.name==env.sgn) | .id')
export myip=$(curl -s ifconfig.me)
ibmcloud sl securitygroup rule-add $sgid --remote-ip $myip --direction ingress --port-max 3389 --port-min 3389 --protocol tcp
ibmcloud sl securitygroup rule-add $sgid --remote-ip 0.0.0.0/0 --direction egress
ibmcloud sl securitygroup rule-list $sgid

Bestellung einer öffentlichen VSI

Der Jumpserver-Host ist ein kleines Microsoft Windows 2019 public VSI:

  • Die ibmcloud sl vlan list und ibmcloud sl subnet list müssen zuerst ausgeführt werden, damit die IDs der öffentlichen und privaten VLANs und der primären Subnetze zur Verwendung im Bestellprozess erfasst werden.
  • <js_hostname> ist der erforderliche Hostname für den Jumpserver, z. B. winjs01.
  • Die <root_domain> der erforderliche Domänenname, z. B. der passende Root-Domänenname Ihrer VCF for Classic – Automated Instanz.
  • Der Linux®-Server wird mit 2 vCPU und 4 GB RAM bestellt.
  • <dc_code> ist der Code für das Rechenzentrum, in dem der VSI bereitgestellt wird, z. B. DAL10.
  • Die <public_vlan_number> und <private_vlan_number> sind die VLAN-Nummern der erforderlichen öffentlichen und privaten VLANs, die zuvor erfasst wurden.
  • Mit dem Schalter --os WIN_LATEST_64 wird derzeit Windows 2019 installiert.
  • Die --disk 100 --san Switches bestellen eine 100 GB SAN-Festplatte.
  • Die --network 1000 bestellt eine 1 Gb NIC für öffentliche und private Netzwerke.
  • Der Schalter --public-security-group $sgid verbindet den VSI mit der zuvor bestellten Sicherheitsgruppe und der in der Variablen $sgid erfassten ID.
export hostname=<js_hostname>
export domain=<root_domain>
export vcpu=2
export mem=4096
export dc=<dc_code>
export pubvlan=<public_vlan_number>
export privlanid=<private_vlan_number>
export privlanid=$(ibmcloud sl vlan list --number $privlan --output json | jq --raw-output '.[] | .id')
export pubvlanid=$(ibmcloud sl vlan list --number $pubvlan --output json | jq --raw-output '.[] | .id')
ibmcloud sl vs create --hostname $hostname --domain $domain --cpu $vcpu --memory $mem --datacenter $dc --os WIN_LATEST_64 --disk 100 --san --network 1000 --vlan-public $pubvlanid --vlan-private $privlanid --public-security-group $sgid