我们日常运维管理云主机最常用的方式是远程连接,如针对Linux主机使用SSH,针对Windows主机使用远程桌面连接(RDP)等,但这些远程运维手段存在一定的局限,举例如下:
1. 远程连接的前提是主机运行正常,否则根本不具备远程接入的基础。
2. 从某种意义上来说,远程连接给黑客留下了方便之门。譬如,很多用户直接将22或3389端口暴露在公网上,黑客很容易暴力破解攻陷你的系统。
3. 远程连接需要主机拥有公网IP,并要消耗一定的公网流量资源,这在某些情况(如你的主机网络已经非常繁忙)下,无法保证远程连接的质量。
笔者列举了远程连接的若干缺点,并不是从根本上否定这种手段,毕竟远程连接云主机是当前系统管理员绝对主流的运维管理方式。 笔者只是想强调的是,在某些极限情况下,如主机异常根本无法启动,再如被黑客获取管理员权限无法远程接入,在这类情况下,我们需要一种亡羊补牢的手段,能够接入主机,进行问题的排查与诊断。
幸运的是,绝大部分的云厂商,都为我们提供了这种终极手段,它就像为云主机接上鼠标、键盘和显示器,并把这三者的控制权放到我们手里,一般把这种机制称之为“云厂商的管理终端”。
我们以阿里云为例,当我们登录阿里云管理控制台,在云主机实例管理界面上,点击“连接管理终端”,即可打开该主机的管理终端。以下是界面截图。
<图一 阿里云管理终端>
与RDP、SSH这类远程接入不同的是,云厂商管理终端本质上是通过云主机所在宿主机的VNC服务完成与云主机的交互,因此,它具备以下优点:
1. 无需云主机具备公网IP,也不会消耗主机公网带宽
2. 无论主机处于何种异常状况,宕机/蓝屏/无法启动,均可接入,甚至可以观察云主机的启动/停止画面
行云服务•云管家将“云厂商管理终端”的特性融入到了产品之中,并提供了额外的增强特性。
在云管家中使用云厂商管理终端非常容易,我们以阿里云为例,一旦你将阿里云主机导入到云管家中,便自动拥有了此特性。
<图二 在云管家中使用阿里云管理终端>
在云管家中打开阿里云管理终端后,界面截图如下:
<图三 云管家中的阿里云管理终端>
我们甚至可以在云管家的阿里云管理终端中观察操作系统的启动界面:
<图四 观察操作系统启动>
云管家并不仅仅只是将云厂商管理终端的特性融入到一起,云管家额外提供了若干增强特性,主要有:
1. 通过协议精简特性,使管理终端更流畅
云厂商管理终端采用的是VNC协议,这是一种对带宽消耗较大的基于图像的远程控制协议,往往会在瞬间形成高达5Mbps的流量压力,因此,通过云厂商管理控制台打开的管理终端,双鼠标现象严重,界面操作延迟较大。而云管家特有的协议精简特性,能够有效的去除冗余指令,只需极小的带宽(<512Kbps)即可获得流畅的操作体验。
2. 管理终端具备云端录像、运维审计的特性
云管家默认提供了“云端录像、全程审计”等“类堡垒机”的特性,这种特性不仅适用于通过RDP/SSH完成的运维操作审计,同样适用于在云管家中通过云厂商管理终端完成的运维操作。
<图五 阿里云管理终端的审计录像>
3. 更好的操作体验
通过云厂商的管理控制台使用管理终端是一种非常“繁琐”的操作体验,以阿里云为例,这意味着你不仅要知道管理控制台的用户名密码,还要记住管理终端的密码(管理终端的密码和云主机的用户名密码是两回事),这对于团队共同运维来说是不可想像的,而这一切繁琐的细节,在云管家中得到了很好的解决。 首先,云管家本身就是基于团队协作的工作模式,其次,哪些人可以访问管理终端,只需通过简单的授权即可,无需记住任何额外的用户口令。
行云服务•云管家集成了云厂商管理终端的特性,并使其更易用、好用,这意味着为您的云主机接上了鼠标、键盘和显示器,任何时间任何情况,您都可以将对云主机的控制权,牢牢的把握在自己的手中。
