AI 助理
备案控制台
开发者社区 云原生 文章 正文

【Docker项目实战】使用Docker部署OneTerm堡垒机

2024-08-06 78
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
Redis 开源版,标准版 2GB
推荐场景:
搭建游戏排行榜
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
推荐场景:
学生管理系统数据库设计 搭建个人博客
简介: 【8月更文挑战第6天】使用Docker部署OneTerm堡垒机

一、OneTerm介绍

1.1 OneTerm 堡垒机简介

OneTerm堡垒机是一款高度集成的安全管理平台,专为企业提供全面的IT运维安全管理解决方案。它基于4A(认证、授权、账号、审计)理念设计,旨在通过严格的访问控制和详尽的操作审计,确保企业内部网络环境的安全性与合规性。OneTerm 不仅能够有效防止内部人员的误操作或恶意行为,还能对外部攻击进行有效的防御,是企业IT内控和安全合规的重要工具。

1.2 OneTerm 堡垒机特点

  • 统一身份认证:支持多种认证方式,如用户名/密码、双因素认证、生物识别等,确保每个用户的身份真实可靠。

  • 精细权限控制:基于角色的访问控制(RBAC),可以为不同岗位的人员分配不同的权限,实现最小权限原则,降低风险。

  • 实时会话监控:提供实时的会话监控和录像功能,可以即时查看和回放用户操作过程,便于事后追溯和分析。

  • 操作审计与报告:记录所有用户的登录、操作和退出信息,生成详细的审计日志和报告,满足合规性要求。

  • 资源访问控制:对服务器、数据库、应用系统等资源的访问进行严格控制,防止未授权访问和数据泄露。

  • 智能告警机制:当检测到异常操作或潜在威胁时,系统自动触发告警,及时通知管理员采取措施。

1.3 OneTerm 堡垒机使用场景

  1. 金融行业:金融机构需要严格遵守各种法规,OneTerm 堡垒机可以帮助其实现对敏感数据和系统的严格访问控制,满足合规要求。

  2. 政府机构:政府信息系统存储大量公民个人信息,使用OneTerm 可以有效保护这些数据免受内部和外部威胁。

  3. 医疗保健:医疗行业涉及患者隐私,OneTerm 的细粒度权限管理和操作审计功能有助于保护患者数据的安全。

  4. 大型企业:对于拥有复杂IT环境和众多员工的大公司,OneTerm 提供了统一的平台来管理多样的IT资产,减少安全漏洞。

  5. 教育机构:学校和研究机构可以通过OneTerm 来控制对学术资源的访问,保护研究成果不被非法获取。

  6. 云服务提供商:云服务商需要向客户提供高安全性的服务,OneTerm 能够帮助他们实现这一目标,增强客户信任。

二、本地环境介绍

2.1 本地环境规划

本次实践为个人测试环境,操作系统版本为centos7.6。

hostname IP地址 操作系统版本 Docker版本
jeven 192.168.3.166 centos 7.6 20.10.17

2.2 本次实践介绍

1.本次实践部署环境为个人测试环境,生产环境请谨慎;
2.使用Docker部署OneTerm堡垒机。

三、本地环境检查

3.1 检查Docker服务状态

检查Docker服务是否正常运行,确保Docker正常运行。

[root@jeven ~]# systemctl status docker
● docker.service - Docker Application Container Engine
   Loaded: loaded (/usr/lib/systemd/system/docker.service; enabled; vendor preset: disabled)
   Active: active (running) since Wed 2024-07-03 21:07:37 CST; 1 day 21h ago
     Docs: https://docs.docker.com
 Main PID: 11950 (dockerd)
    Tasks: 10
   Memory: 138.3M
   CGroup: /system.slice/docker.service
           └─11950 /usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock

3.2 检查Docker版本

检查Docker版本

[root@jeven ~]# docker -v
Docker version 20.10.17, build 100c701

3.3 检查docker compose 版本

检查Docker compose版本,确保2.0以上版本。

[root@jeven ~]# docker compose version
Docker Compose version v2.6.0

四、下载OneTerm镜像

  • 拉取oneterm相关容器镜像
docker pull registry.cn-hangzhou.aliyuncs.com/veops/oneterm-api:24.3
docker pull  registry.cn-hangzhou.aliyuncs.com/veops/oneterm-ssh:24.3.1
docker pull registry.cn-hangzhou.aliyuncs.com/veops/oneterm-guacd:24.3
docker pull  registry.cn-hangzhou.aliyuncs.com/veops/mysql:latest
docker pull registry.cn-hangzhou.aliyuncs.com/veops/redis:latest
docker pull  registry.cn-hangzhou.aliyuncs.com/veops/oneterm-ui:24.3
docker pull registry.cn-hangzhou.aliyuncs.com/veops/acl-api:1.1

五、部署OneTerm应用

5.1 拉取OneTerm项目

执行以下命令,拉取OneTerm项目。

 git clone https://github.com/veops/oneterm.git

在这里插入图片描述

5.2 查看部署文件

进入OneTerm项目,查看docker-compose.yml部署文件。

[root@jeven ~]# cd oneterm/
[root@jeven oneterm]# ls
backend  docker-compose.yaml  docs  LICENSE  oneterm-ui  README_cn.md  README.md

默认的部署文件内容如下,可自行修改宿主机映射端口。

version: "3.0"

services:
  oneterm-api:
    image: registry.cn-hangzhou.aliyuncs.com/veops/oneterm-api:24.3
    container_name: oneterm-api
    volumes:
      - file-data:/replay
      - ./docs/api.yaml:/oneterm/config.yaml
    depends_on:
      - mysql
      - redis
      - oneterm-guacd
    restart: always
    networks:
      new:
        aliases:
          - oneterm-api

  oneterm-ssh:
    image: registry.cn-hangzhou.aliyuncs.com/veops/oneterm-ssh:24.3.1
    container_name: oneterm-ssh
    ports:
      - "12229:12228"
    restart: always
    tty: true
    volumes:
      - ./docs/ssh.yaml:/oneterm/config.yaml
      - ./docs/scripts/entrypoint.sh:/oneterm/entrypoint.sh
      - ssh-data:/root/.ssh
    entrypoint: ./entrypoint.sh
    depends_on:
      - oneterm-api
    networks:
      new:
        aliases:
          - oneterm-ssh

  oneterm-guacd:
    image: registry.cn-hangzhou.aliyuncs.com/veops/oneterm-guacd:24.3
    container_name: oneterm-guacd
    user: root
    restart: always
    volumes:
      - file-data:/replay
    networks:
      new:
        aliases:
          - oneterm-guacd

  mysql:
    image: registry.cn-hangzhou.aliyuncs.com/veops/mysql:latest
    #image: mysql:8.0.30
    container_name: oneterm-mysql
    environment:
      TZ: Asia/Shanghai
      MYSQL_ROOT_PASSWORD: '123456'
      MYSQL_DATABASE: 'oneterm'
    volumes:
      - db-data:/var/lib/mysql
      - ./docs/mysqld.cnf:/etc/mysql/conf.d/mysqld.cnf
      - ./docs/acl.sql:/docker-entrypoint-initdb.d/2-acl.sql
      - ./docs/api.sql:/docker-entrypoint-initdb.d/3-api.sql
      - ./docs/create-users.sql:/docker-entrypoint-initdb.d/1-create-users.sql
    command: --character-set-server=utf8mb4 --collation-server=utf8mb4_unicode_ci
    restart: always
    networks:
      new:
        aliases:
          - mysql
    ports:
      - '23306:3306'

  redis:
    image: registry.cn-hangzhou.aliyuncs.com/veops/redis:latest
    container_name: oneterm-redis
    #command: redis-server --requirepass tyrj5QVP9rHs
    restart: always
    environment:
      TZ: Asia/Shanghai
    networks:
      new:
        aliases:
          - redis

  oneterm-ui:
    image: registry.cn-hangzhou.aliyuncs.com/veops/oneterm-ui:24.3
    container_name: oneterm-ui
    depends_on:
      - oneterm-api
    environment:
      TZ: Asia/Shanghai
      ONETERM_API_HOST: oneterm-api:8080
      ACL_API_HOST: acl-api:5000
      NGINX_PORT: 80
    volumes:
      - ./docs/nginx.oneterm.conf.example:/etc/nginx/conf.d/nginx.oneterm.conf.example
    restart: always
    command:
      - /bin/sh
      - -c
      - |
        envsubst '$$ONETERM_API_HOST  $$ACL_API_HOST $$NGINX_PORT' < /etc/nginx/conf.d/nginx.oneterm.conf.example > /etc/nginx/conf.d/oneterm.conf
        nginx -g  'daemon off;'
    networks:
      - new
    ports:
      - "8000:80"

  acl-api:
    image: registry.cn-hangzhou.aliyuncs.com/veops/acl-api:1.1
    container_name: oneterm-acl-api
    environment:
      #TZ: Asia/Shanghai
      WAIT_HOSTS: mysql:3306, redis:6379
    volumes:
      - ./docs/settings.py:/data/app/acl/settings.py
      - ./docs/.env:/data/apps/acl/.env
      - ./docs/nginx.oneterm.conf.example:/etc/nginx/conf.d/nginx.oneterm.conf.example
    restart: always
    command:
      - /bin/sh
      - -c
      - |
        sleep 2
        flask db-setup
        flask init-acl
        flask init-department

        gunicorn --workers=3 autoapp:app -b 0.0.0.0:5000 -D --access-logfile logs/access.log --error-logfile logs/error.log

        celery -A celery_worker.celery worker -E -Q acl_async --logfile=one_acl_async.log --autoscale=2,1
    depends_on:
      - mysql
      - redis
    networks:
      new:
        aliases:
          - acl-api

volumes:
  db-data:
    driver: local
    name: oneterm_db-data
  file-data:
    driver: local
    name: oneterm_file-data
  ssh-data:
    driver: local
    name: oneterm_ssh

networks:
  new:
    driver: bridge
    name: oneterm_network
    ipam:
      config:
        - subnet: 172.30.0.0/24

5.3 创建OneTerm容器

  • 使用docker-compose.yaml文件创建OneTerm容器
    docker compose up -d

在这里插入图片描述

5.4 检查OneTerm容器状态

检查OneTerm容器状态,确保OneTerm容器正常启动。

[root@jeven oneterm]# docker compose ps
NAME                COMMAND                  SERVICE             STATUS               PORTS
oneterm-acl-api     "/bin/sh -c 'sleep 2…"   acl-api             running
oneterm-api         "./api run -c ./conf…"   oneterm-api         running
oneterm-guacd       "/bin/sh -c '/opt/gu…"   oneterm-guacd       running (starting)   4822/tcp
oneterm-mysql       "docker-entrypoint.s…"   mysql               running              0.0.0.0:23306->3306/tcp, :::23306->3306/tcp
oneterm-redis       "docker-entrypoint.s…"   redis               running              6379/tcp
oneterm-ssh         "./entrypoint.sh"        oneterm-ssh         running              0.0.0.0:12229->12228/tcp, :::12229->12228/tcp
oneterm-ui          "/docker-entrypoint.…"   oneterm-ui          running              0.0.0.0:8000->80/tcp, :::8000->80/tcp

六、访问OneTerm首页

6.1 进入OneTerm登录页

访问地址:http://192.168.3.166:8000,将IP替换为自己服务器IP地址,进入到OneTerm初始页。如果无法访问,则检查服务器防火墙是否设置,云服务器的安全组端口是否放行等。

在这里插入图片描述

6.2 访问OneTerm首页

默认的登录账号Miami如下:

  • username: admin
  • password: 123456

在这里插入图片描述

文章标签:
云数据库 Tair(兼容 Redis)
云数据库 RDS MySQL 版
访问控制
容器
Docker
数据安全/隐私保护
安全
监控
关键词:
Docker部署
Docker项目实战部署
部署堡垒机
相关实践学习
基于Redis实现在线游戏积分排行榜
本场景将介绍如何基于Redis数据库实现在线游戏中的游戏玩家积分排行榜功能。
云数据库 Redis 版使用教程
云数据库Redis版是兼容Redis协议标准的、提供持久化的内存数据库服务,基于高可靠双机热备架构及可无缝扩展的集群架构,满足高读写性能场景及容量需弹性变配的业务需求。 产品详情:https://www.aliyun.com/product/kvstore &nbsp; &nbsp; ------------------------------------------------------------------------- 阿里云数据库体验:数据库上云实战 开发者云会免费提供一台带自建MySQL的源数据库&nbsp;ECS 实例和一台目标数据库&nbsp;RDS实例。跟着指引,您可以一步步实现将ECS自建数据库迁移到目标数据库RDS。 点击下方链接,领取免费ECS&amp;RDS资源,30分钟完成数据库上云实战!https://developer.aliyun.com/adc/scenario/51eefbd1894e42f6bb9acacadd3f9121?spm=a2c6h.13788135.J_3257954370.9.4ba85f24utseFl
江湖有缘
目录
相关文章
最好zzz
|
13天前
|
运维 网络安全 持续交付
IDEA+Docker 远程一键部署项目:技术干货分享
【10月更文挑战第4天】在现代软件开发中,快速、可靠、自动化的部署流程是提升开发效率和运维质量的关键。IDEA(IntelliJ IDEA)作为Java开发者首选的IDE,结合Docker这一轻量级容器化技术,能够实现远程一键部署项目,极大地简化了开发到生产的流程。今天,我将和大家分享这一组合在工作学习中的实际应用和技术干货。
最好zzz
72 3
江湖有缘
|
8天前
|
JSON JavaScript 测试技术
【Docker项目实战】使用Docker部署PPTist在线演示文稿应用
【10月更文挑战第9天】使用Docker部署PPTist在线演示文稿应用
江湖有缘
15 1
【Docker项目实战】使用Docker部署PPTist在线演示文稿应用
江湖有缘
|
10天前
|
存储 前端开发 测试技术
【Docker项目实战】使用Docker部署Calcium网页计算器
【10月更文挑战第7天】使用Docker部署Calcium网页计算器
江湖有缘
20 1
【Docker项目实战】使用Docker部署Calcium网页计算器
江湖有缘
|
13天前
|
存储 测试技术 Linux
【Docker项目实战】使用Docker部署Radicale日历和联系人应用
【10月更文挑战第4天】使用Docker部署Radicale日历和联系人应用
江湖有缘
53 2
【Docker项目实战】使用Docker部署Radicale日历和联系人应用
江湖有缘
|
7天前
|
Web App开发 前端开发 测试技术
【Docker项目实战】使用docker部署tabler后台模版
【10月更文挑战第10天】使用docker部署tabler后台模版
江湖有缘
19 0
【Docker项目实战】使用docker部署tabler后台模版
江湖有缘
|
9天前
|
消息中间件 编解码 Docker
【Docker项目实战】Docker部署RabbitMQ消息中间件
【10月更文挑战第8天】Docker部署RabbitMQ消息中间件
江湖有缘
22 0
【Docker项目实战】Docker部署RabbitMQ消息中间件
贝锐
|
14天前
|
定位技术 文件存储 网络架构
Docker部署PhotoPrism、Immich图片管理应用,无需公网IP远程访问教程
除了Synology、QNAP、TerraMaster等品牌的NAS设备内置图库功能,市面上还有多种备受欢迎的第三方应用,如PhotoPrism、Immich、LibrePhotos、Piwigo、Photoview等。这些应用不仅提供强大的图片管理能力,还可通过Docker轻松部署。借助贝锐花生壳服务,即使没有公网IP也能实现远程访问,突破地理限制,提升数据可访问性和安全性,让用户随时随地管理私人图库。
贝锐
56 1
Star时光
|
3天前
|
运维 Kubernetes 监控
掌握Docker容器化技术:构建、部署与管理的高效实践
【10月更文挑战第14天】掌握Docker容器化技术:构建、部署与管理的高效实践
Star时光
10 0
蓝易云
|
4天前
|
关系型数据库 数据库 PostgreSQL
在docker上部署postgresSQL主从
通过以上步骤,我们完成了在Docker环境中部署PostgreSQL主从复制的基本配置。请注意,实际生产环境中还需考虑安全性增强(如SSL加密)、监控、自动故障切换等高级配置。此外,根据具体的业务需求和规模,可能还需要考虑使用更专业的解决方案或工具,如Patroni、PgBouncer等,来进一步提升数据库集群的稳定性和效率。
蓝易云
10 0
武子康
|
14天前
|
Kubernetes Cloud Native 流计算
Flink-12 Flink Java 3分钟上手 Kubernetes云原生下的Flink集群 Rancher Stateful Set yaml详细 扩容缩容部署 Docker容器编排
Flink-12 Flink Java 3分钟上手 Kubernetes云原生下的Flink集群 Rancher Stateful Set yaml详细 扩容缩容部署 Docker容器编排
武子康
57 0

热门文章

最新文章

  • 1
    阿里云上搭建Docker Swarm模式集群最佳实践
  • 2
    推送docker镜像至Docker Hub
  • 3
    《Docker进阶与实战》——第3章理解Docker镜像
  • 4
    如何使用Docker构建运行时间较长的脚本
  • 5
    如何使用Docker部署Nacos服务?Nacos Docker 快速部署指南: 一站式部署与配置教程
  • 6
    MySQL笔记 | 2.Docker下搭建MySQL&查看BinLog文件
  • 7
    docker nginx 部署 vue项目
  • 8
    一文详解Docker容器(Container)
  • 9
    gitlab+jenkins+maven+docker持续集成(八)——jenkins用户组权限对应不同视图
  • 10
    docker~大叔对术语的解释
  • 1
    如何在CentOS部署JumpServer堡垒机并实现无公网ip环境远程访问
    187
  • 2
    通过Xshell连接有跳板机/堡垒机的服务器
    393
  • 3
    如何在Linux部署JumpServer堡垒机并实现远程访问本地服务
    202
  • 4
    【优化篇】调用钉钉机器人API接口将堡垒机安全运维告警单发给运维人员
    126
  • 5
    调用钉钉机器人API接口将堡垒机安全运维告警单发给运维人员
    186
  • 6
    堡垒机是什么:如何帮助企业提高网络安全防护
    421
  • 7
    开源堡垒机JumpServer本地安装并配置公网访问地址
    445
  • 8
    Linux JumpServer 堡垒机远程访问
    115
  • 9
    "堡垒机,安全运维的坚实屏障💪"
    135
  • 10
    堡垒机轻量版在网页运维时提示连接中断
    344

    • 相关课程

    更多
  • 深入解析Docker容器化技术
  • 基于Docker与Jenkins实现自动化部署
  • Docker 快速入门
  • Docker完全自学手册图文教程
  • AI开发者的Docker实践
  • Docker 入门

    • 相关电子书

    更多
  • 应用 Docker 进行持续交付:用技术改变交付路程
  • 从Docker到容器服务
  • 固守服务器的第一道防线——美联集团堡垒机的前世今生

    • 相关实验场景

    更多
  • 通过workbench远程登录ECS,快速搭建Docker环境
  • Docker镜像管理快速入门
  • 使用阿里云容器服务和容器网络文件系统搭建WordPress网站
  • Docker安装和配置
  • 容器的启动和操作

    • 推荐镜像

    更多
  • docker-ce
  • docker-toolbox
  • alpine
    • 下一篇
    AI助理直击要害,从繁复中提炼精华——使用CDN加速访问OSS存储的图片