■ 無錫 王小平

編者按：服務(wù)器的日常運維與管理一般是通過遠程來實現(xiàn)的。如何進行安全、便捷的遠程管理是許多服務(wù)器管理員所關(guān)心的問題。筆者提出以FinalShell+VPN 的方式實現(xiàn)安全、便捷的服務(wù)器遠程管理，一方面有助于提高遠程管理的安全性，另一方面也有助于提升遠程管理效率，在實際使用中，取得了不錯的效果。

許多企事業(yè)單位服務(wù)器部署情況如圖1 所示，單位內(nèi)部的Web 服務(wù)器、數(shù)據(jù)庫服務(wù)器、資源服務(wù)器、視頻服務(wù)器等基本是通過匯聚交換機匯聚后接入單位局域網(wǎng)出口防火墻，然后再接入互聯(lián)網(wǎng)；用戶由核心交換設(shè)備匯聚后接入單位局域網(wǎng)出口防火墻，最后與互聯(lián)網(wǎng)相連。

在單位局域網(wǎng)內(nèi)部，相當(dāng)于有兩個小的局域網(wǎng)，一個是由服務(wù)器組成的服務(wù)網(wǎng)絡(luò)，另一個用戶組成的用戶訪問網(wǎng)絡(luò)，只不過兩個小的局域網(wǎng)又是互聯(lián)互通，一個整體，彼此可通過私有IP 地址直接訪問，當(dāng)然也可在出口防火墻中配置相應(yīng)的訪問策略進行管控。服務(wù)器管理員在單位局域網(wǎng)內(nèi)異地遠程管理服務(wù)器，只要在遠程管理終端中直接輸入對應(yīng)服務(wù)器的局域網(wǎng)內(nèi)IP 地址即可輕松實現(xiàn)遠程管理。如果服務(wù)器管理員在家里或出差在外，如何在單位局域網(wǎng)外的網(wǎng)絡(luò)遠程管理單位內(nèi)部服務(wù)器？

圖1 網(wǎng)絡(luò)結(jié)構(gòu)圖

這就要用到跨局域網(wǎng)的服務(wù)遠程管理方式，從服務(wù)器響應(yīng)方式來分，有被動和主動兩種方式。被動連接方式由管理端通過網(wǎng)絡(luò)協(xié)議、地址及端口連接服務(wù)器端實現(xiàn)遠程管理；主動連接方式一般由第三方服務(wù)器進行中轉(zhuǎn)，服務(wù)器主動連接第三方服務(wù)器，管理端通過第三方服務(wù)器建立單位內(nèi)部服務(wù)器的連接實現(xiàn)遠程管理。被動連接又分為直接被動連接和間接被動連接兩種方式。具體對比分析如表1 所示。

基于上述分析，筆者結(jié)合日常管理經(jīng)驗，提出FinalShell+VPN 的方案實現(xiàn)安全、便捷、高效的遠程管理方案。

構(gòu)筑安全的服務(wù)器遠程管理通道

如果采用表1 中第一種連接方式（直接被動連接），需要知道服務(wù)器遠程管理所使用的網(wǎng)絡(luò)協(xié)議、地址及端口號等信息，并在出口防火墻設(shè)備中為每臺服務(wù)器配置相應(yīng)的NAT 地址轉(zhuǎn)換，將原先的內(nèi)網(wǎng)地址+端口號轉(zhuǎn)換成公網(wǎng)地址+端口號。這種方式意味著將內(nèi)部服務(wù)器24小時直接暴露在公網(wǎng)上，只要通過網(wǎng)絡(luò)掃描就能發(fā)現(xiàn)，根據(jù)其所有協(xié)議和管理終端進行嘗試登錄，安全性比較低，一般不推薦使用。第三種連接方式（第三方服務(wù)器中轉(zhuǎn)連接），需要在服務(wù)器端和管理主機端安裝軟件，同時需要第三方服務(wù)器中轉(zhuǎn)，需要交納一定的服務(wù)費用，筆者也不推薦。筆者推薦的是第二種連接方式（間接被動連接），通過VPN 技術(shù)解決遠程用戶安全訪問單位內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)的問題，這樣服務(wù)器管理員只需建立VPN 連接，其他管理方式與在單位局域網(wǎng)內(nèi)部的操作方法一樣。

VPN 技術(shù)是一種通過加密技術(shù)在公網(wǎng)中建立加密專用通道，使用戶在外部網(wǎng)絡(luò)也可以接入單位內(nèi)部網(wǎng)絡(luò)，就像在單位局域網(wǎng)內(nèi)部一樣訪問內(nèi)部資源與服務(wù)的技術(shù)。一般的網(wǎng)絡(luò)防火墻都提供VPN 功能，只需簡單配置即可實現(xiàn)。大致可分三步，一是指定使用VPN 接入的用戶。二是指定VPN 接入的外部接口，如有多個互聯(lián)網(wǎng)接口需要進行設(shè)置，具體從哪一個外部接口接入，外部接口決定了遠程VPN 接入時所對應(yīng)使用的公網(wǎng)IP 地址；配置隧道接口，VPN 用戶遠程接入內(nèi)部網(wǎng)絡(luò)所使用的內(nèi)部IP地址，一般單獨成一個網(wǎng)段。三是配置相關(guān)策略、路由信息（控制VPN 訪問）。具體配置的方式可能因不同品牌和型號而有所差異，具體可參考網(wǎng)絡(luò)防火墻操作手冊。

表1 服務(wù)器遠程管理方式對比分析

實現(xiàn)一體化服務(wù)器遠程管理

遠程管理客戶端即服務(wù)器管理員在管理機上遠程連接管理服務(wù)器的軟件。采用第二種的間接直連方式，只需在管理機端安裝相應(yīng)的管理軟件（一般服務(wù)器自帶遠程管理服務(wù)端），依據(jù)服務(wù)器操作系統(tǒng)一般可為Windows 類，和非Windows類。Windows 類常用的有遠程3389 連接工具；而非Windows 類操作系統(tǒng)以Linux 操作系統(tǒng)為主，常用的遠程管理工具是SSH 遠程連接工具，如：PUTTY、WinSCP等。

筆者推薦的遠程管理客戶端FinalShell 一個國產(chǎn)的一體化遠程服務(wù)器管理客戶端，具有Windows 遠程桌面管理、Linux 的SSH 遠程管理、文件傳輸，還具有內(nèi)存、CPU 性能監(jiān)控、Ping 延遲丟包、Trace 路由監(jiān)控、實時硬盤監(jiān)控、進程管理器等運維管理功能。FinalShell 軟件大家可以從http://www.hostbuf.com/下載。

1.添加遠程連接

在主界面中點擊“文件夾”圖標(biāo)，打開連接管理器，點擊工具欄第一個圖標(biāo)，添加遠程連接，遠程連接分SSH連接（Linux）、遠程桌面連接（Windows）。根據(jù)具體的遠程管理需求進行選擇添加?？蓪⑺行枰h程管理的服務(wù)器都添加進去。具體的配置比較簡單，一目了然，在此就不多作介紹了。

2.一體化管理操作

遠程管理服務(wù)器時，啟動FinalShell，打開連接管理器，直接雙擊服務(wù)器遠程連接即可進行遠程連接。

以遠程管理Linux 服務(wù)器為例，連接遠程服務(wù)器成功后，左側(cè)為CPU、內(nèi)存、服務(wù)器進程、網(wǎng)絡(luò)以及硬盤等實時監(jiān)控信息，非常清晰、直觀；右上部為遠程服務(wù)器遠程SSH 命令窗口，命令交互操作就在這兒實現(xiàn)；右下部為遠程服務(wù)器上的文件目錄信息，遠程文件操作、傳輸窗口，與其他文件傳輸工具類似。其中高級網(wǎng)絡(luò)監(jiān)控、高級進程管理是需要升級收費的高級版。但以上的功能日常運維管理已經(jīng)足夠。

結(jié)語

采用FinalShell+VPN 的方式進行服務(wù)器的遠程管理，首先進行VPN 連接，將管理主機遠程連接到內(nèi)部網(wǎng)絡(luò)，這樣管理主機就如同內(nèi)部網(wǎng)絡(luò)中的一臺主機。無需要擔(dān)心遠程管理時端口被攔截，從而無法連接。FinaShell 將遠程管理工具、文件傳輸工具、運維工具集成為一體，使用非常方便，大大降低了遠程運維的復(fù)雜性，穩(wěn)定、可靠。只要能上網(wǎng)的地方，服務(wù)器管理員就能隨時隨地能對單位內(nèi)部的服務(wù)器進行遠程運維與管理。目前，出于經(jīng)濟、綠色和安全的考慮，越來越多的企事業(yè)單位選擇將實體服務(wù)器托管在第三方專業(yè)數(shù)據(jù)中心或者直接選擇云服務(wù)器，此遠程管理方案也同樣適用。