本文介绍管理员如何快速使用堡垒机。
管理员配置流程
|
操作 |
描述 |
文档指导 |
|
在堡垒机导入需要运维的资产 |
在堡垒机实例中添加要管理的资产(主机、数据库和应用)并创建资产账户。 |
|
|
新建堡垒机用户 |
管理员创建堡垒机用户后,运维员可通过堡垒机用户登录堡垒机运维资产。 堡垒机支持创建堡垒机本地用户,或同步RAM用户、AD/LDAP用户、IDaaS用户为堡垒机用户。 |
|
|
为堡垒机用户授权资产及资产账户 |
管理员授权指定堡垒机用户运维指定主机和主机账户。 |
|
|
开通运维门户的访问入口 |
堡垒机实例创建后,运维门户(堡垒机的Web操作台)的公网访问与内网访问入口默认均为关闭状态。管理员需先在网络配置中开通对应入口并配置访问白名单,运维员才能成功访问运维门户。 |
本文步骤四 |
|
获取堡垒机运维地址并告知运维员 |
管理员需在堡垒机管理页面获取运维地址,运维员获取运维地址后可通过Web网页(运维门户)或客户端进行运维。 |
|
|
审计运维会话 |
查看运维日志、录像等审计相关信息,支持阻断高危会话操作。 |
堡垒机使用示例
下文以阿里云ECS资产、堡垒机本地用户为例介绍。
步骤一:导入阿里云ECS并托管ECS账户
登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。
在堡垒机实例列表,定位到目标实例,单击管理。
在左侧导航栏,选择。
-
选择,并在选择区域对话框中,选中ECS实例所属的区域,单击下一步。
-
在导入ECS实例对话框,选中需要导入的ECS实例,单击导入。
-
在目标资产操作列,单击新建主机账户。
-
在新建主机账户页面,配置ECS实例登录参数,单击创建。
在「主机账户配置」对话框中,各配置项的含义如下:
配置项
说明
协议
Linux系统默认为SSH协议。Windows系统默认为RDP协议。
登录名
填写登录ECS实例的登录名。
认证类型
选择密码。
说明-
如果ECS实例通过密钥方式登录,请选择私钥,并填写对应的私钥。
-
共享密钥指可以创建私钥并将私钥批量关联到主机账户中,提高管理主机账户的效率。更多说明,请参见共享密钥。
密码
填写登录ECS实例的密码。
单击验证密码,可测试主机账户的登录名和密码是否正确。验证密码报错的解决方案,请参见堡垒机新建主机账户验密报错,该如何解决?。
仅开启SFTP权限
默认关闭。
开启本配置后,该账户将不允许通过SSH权限登录。
-
步骤二:新建堡垒机用户
在左侧导航栏,选择。
-
选择导入其他来源用户 >; 新增用户。
-
在新增用户面板,配置用户信息,单击创建。
步骤三:为堡垒机用户授权资产及资产账户
-
在用户页面,单击目标用户操作列的授权主机。
-
在已授权主机页签,单击授权主机。
-
在授权主机面板,选中目标资产,单击确定。
-
在已授权账户列,单击无已授权账户,点击授权账户。
-
在选择账户面板,选中目标账户,单击更新。
步骤四:开通运维门户的访问入口
完成本步骤后,运维员可通过浏览器访问下发的运维门户地址,登录堡垒机进行运维操作。堡垒机实例创建后,运维门户的公网访问与内网访问入口默认均为关闭,必须先开通对应入口并配置访问来源IP白名单,运维员才能成功访问,否则将复制到运维地址却连接不上。
访问方式选型
|
访问方式 |
适用场景 |
网络要求 |
前置依赖 |
|
公网访问 |
运维员需通过公网访问堡垒机,例如外网办公环境、移动网络、出差场景。 |
运维员的访问机可访问公网,且出口IP固定(用于配置白名单)。 |
已确认运维员的公网出口IP。开通后会产生公网带宽费用。 |
|
内网访问 |
运维员通过同地域VPC内网访问堡垒机,例如从同VPC的跳板机或专线打通的办公网络发起访问。 |
运维员所在网络与堡垒机所在VPC内网可达。 |
已规划同地域的VPC与交换机,并确认运维员所在网络与该VPC可达。 |
公网访问与内网访问可同时开通,分别用于不同来源的运维员。开通后,概览页面会同时展示公网与内网两个运维门户访问地址。
开通操作步骤
-
在左侧导航栏,单击概览。
-
在堡垒机实例信息区域,找到网络配置入口,单击进入网络配置页面。
-
根据已选定的访问方式,开通公网访问或内网访问(也可两者同时开通)。
-
开通公网访问:在公网访问区域,单击开通公网。在弹出的对话框中确认带宽与计费提示后,单击确定。系统将自动分配公网运维地址,约1~3分钟生效。
-
开通内网访问:在内网访问区域,单击开通内网。在对话框中选择目标VPC与交换机,单击确定。系统将在所选VPC内创建内网运维地址。
重要公网访问会产生公网带宽费用,内网访问会占用所选VPC的IP资源。测试或临时使用后如不再需要,请及时关闭对应入口。
-
-
配置访问来源IP白名单。
-
公网访问白名单(必填):在公网访问区域,单击设置白名单,添加允许访问运维门户的公网IP或IP段(例如运维员公司出口IP)。未加入白名单的IP将无法访问运维门户。
-
内网访问白名单(按需):内网访问默认对所选VPC内全部IP开放,如需进一步收敛访问范围,可在内网访问区域设置白名单。
警告禁止将公网访问白名单配置为
0.0.0.0/0,否则等同于将堡垒机运维门户完全暴露在公网,存在严重安全风险。请仅添加运维员的真实出口IP或IP段。白名单修改后约1~3分钟生效。 -
-
返回堡垒机实例的概览页面,在堡垒机实例信息区域查看已开通的运维门户访问地址。公网与内网访问地址将分别展示,可分别复制告知不同来源的运维员。
运维员收到运维地址后无法访问运维门户时,常见原因:
-
公网入口已开通但白名单未包含运维员的实际出口IP(最常见)。请通过https://ipinfo.io等工具确认运维员当前公网出口IP,再添加到白名单。
-
下发的是内网地址,但运维员所在网络与堡垒机所在VPC不通。请确认是否需要改用公网入口,或通过专线/VPN打通网络。
-
白名单刚刚修改,未到生效时间(约1~3分钟)。
步骤五:获取堡垒机运维地址并告知运维员
完成步骤四开通访问入口后,在概览页面即可查看运维门户访问地址。
-
在左侧导航栏,单击概览。
-
在堡垒机实例信息区域复制堡垒机运维地址,并告知运维员运维地址及登录堡垒机的用户和密码。运维地址形如
https://<运维门户IP>:443,运维员通过浏览器打开该地址即可登录堡垒机系统。
步骤六:管理员审计运维会话
在左侧导航栏,单击运维审计进行查看。更多说明,请参见审计运维会话。
