应用管理

背景信息

在企业日常业务中，需要对应用的运维操作进行管控，例如企业的OA系统、业务系统、数据库系统等。因此，阿里云堡垒机推出了针对客户端应用和Web应用的运维管理功能。

通过部署Windows系统的服务器作为应用服务器，在堡垒机上完成应用配置和授权访问之后，运维员即可访问被授权的应用资产。同时管理员也可以通过设置目的地址的访问策略，对运维员可访问的页面进行管控，降低业务安全风险。堡垒机支持对运维员在应用资产上的操作进行全程录屏审计，满足企业的审计需求，在运维事故发生时可以精准溯源。

相关概念

• 应用服务器：堡垒机访问应用类资产所需的跳板机。

• 远程客户端：应用服务器上访问应用类资产时使用的客户端，一般为Web应用客户端（浏览器）、数据库客户端工具。

  说明

  Web应用支持配置用户名和密码的代填以及目的地址访问策略，自定义应用不支持。

• 应用：运维员通过远程客户端要访问的应用，如HTTP/HTTPS协议界面、数据库等。

配置流程

通过堡垒机运维应用，大致分为以下几个步骤：

1. 准备应用服务器：管理员需要准备一台Windows系统的主机作为应用服务器，并在应用服务器上部署Windows Server的远程桌面服务和RemoteApp应用。配置步骤，请参见将Windows Server部署为应用服务器。

   说明

   建议应用服务器的系统为Windows Server 2016、Windows Server 2019或Windows Server 2022。

2. 在堡垒机导入并添加应用服务器：将准备好的应用服务器导入堡垒机中，并在堡垒机应用页面添加导入的应用服务器。

3. 部署应用服务器：在应用服务器中发布USMDriver.exe RemoteApp程序。

4. 同步堡垒机用户至应用服务器：在部署应用服务器之后，需要将堡垒机用户同步至应用服务器，并为其创建相应账户。同步成功后，运维员即可通过该账户登录应用服务器进行运维操作。

5. 在堡垒机中添加远程客户端：添加应用服务器上访问应用类资产的远程客户端，例如浏览器、数据库客户端工具等。

6. 在堡垒机添加并配置应用：添加客户端应用或Web应用，并授权给相应的运维员。