j9九游会登录/ 应用平台 appstage/ / / / 纳管堡垒机(可选)
更新时间:2025-12-02 gmt 08:00

纳管堡垒机(可选)-j9九游会登录

云堡垒机(cloud bastion host,cbh)是华为提供的统一安全管控平台,通过统一运维登录入口,基于协议正向代理技术和远程访问隔离技术,实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计。

运维中心支持使用云堡垒机登录业务主机后台,如果您需要在运维中心直接登录业务主机,可以将云堡垒机纳管至运维中心vms。本章节介绍纳管cbh堡垒机,将堡垒机纳管到对应的服务环境下。

在“未纳管主机”页面纳管弹性云服务器主机后,该主机会同时纳管到对应服务环境的cbh堡垒机下,可以在“弹性云服务器”页面使用cbh堡垒机登录业务主机

前提条件

  • 已获取服务运维岗位权限、基础运维岗位权限或运维管理员权限,权限申请操作请参见申请权限
  • 已并纳管vpc
  • 已获取cbh权限,如果cbh所属账号与appstage开租账号一致,订购时进行服务授权会自动授权cbh权限,如果不一致,录入的账号需要添加cbh权限“cbh fullaccess”。
    • “ak-sk”方式:确认iam用户所属用户组,并为用户组授权,具体操作请参见用户组授权
    • “授权委托”方式:修改委托权限,增加所需的权限,具体操作请参见修改委托
  • 首次纳管cbh堡垒机实例需要检查是否已完成如下配置:
    • cbh堡垒机实例需绑定弹性公网ip。
    • cbh堡垒机实例需在安全组放开appstage的443网段。

      在cbh服务云堡垒机实例管理页面,在需要修改安全组的实例所在行,单击“操作”列中的“更多 > 网络设置 > 更改安全组”,单击“添加安全组规则”,协议端口输入443,源地址ip输入appstage网段,具体ip联系j9九游会登录的技术支持工程师获取。然后在“更改安全组”页面将该安全组规则增加至堡垒机实例安全组中。

  • 在使用堡垒机登录业务主机前,需在弹性云服务器确认待登录主机安全组规则是否已包含堡垒机实例私网ip,入方向规则,协议端口为22(ssh登录端口),源地址ip为堡垒机实例私网ip。如果未配置该安全组规则,请参考配置安全组规则进行配置。

操作流程

  1. 步骤一:在cbh中配置:登录云堡垒机系统进行角色用户等的配置。
  2. 步骤二:在vms中纳管:云堡垒机配置完成后,在vms中纳管cbh堡垒机。

步骤一:在cbh中配置

  1. 开启api配置。

    在云堡垒机系统“系统 > 系统配置 > 安全配置”页面,api配置模块开启对外开放api开关,如图1所示,具体操作请参见。

    图1 api配置
  2. 创建appstage-role角色。

    在云堡垒机系统“用户 > 角色”页面,创建appstage-role角色,并开启管理权限,如图2所示。然后配置角色权限,usbkey、动态令牌、应用服务器、应用发布和应用运维不配置,其余全部配置,如图3所示,具体操作请参见。

    图2 创建角色
    图3 配置角色权限
  3. 创建appstage-user用户。

    在云堡垒机系统“用户 > 用户管理”页面,按照如所示表1创建appstage-user用户, 具体操作请参见新建单个用户

    表1 配置用户

    参数名称

    配置说明

    登录名

    设置为“appstage-user”。

    认证类型

    选择“本地”。

    密码

    配置用户登录系统的密码。

    确认密码

    确认用户登录系统的密码。

    姓名

    设置为“appstage”。

    手机

    输入手机号码。

    用户账号系统预留手机号码,用于手机短信登录或找回密码。

    邮箱

    输入邮箱地址。

    用户账号系统预留邮箱地址,用于通过邮箱接收系统消息通知。

    角色

    选择已创建的自定义角色“appstage-role”。

    所属部门

    选择“总部”。

    用户描述

    输入描述,如下:

    提供给appstage对接的用户,只用于机机api调用,不能用于人机登录。

  4. (可选)可以为appstage-user用户配置多因子认证,具体操作请参见。
  5. 使用appstage-user用户登录云堡垒机系统。
  6. 创建appstage-user用户的access key。

    在云堡垒机系统,选择右上角用户名,单击“个人中心”,进入个人中心管理页面,创建access key,如图4所示。

    创建完成后即可单击用户access key后的“查看”,查看该用户的access key id和access key secret。

    图4 创建access key

步骤二:在vms中纳管

  1. 进入appstage运维中心
  2. 在顶部导航栏选择服务。
  1. 单击,选择运维 > 主机管理服务(vms)
  1. 选择左侧导航栏的“堡垒机”,进入“堡垒机”页面。
  2. 单击“纳管堡垒机”。

    配置纳管堡垒机参数,参数说明如表2所示,配置完成后,单击“确定”。

    列表显示该堡垒机,表示已纳管成功。

    表2 纳堡垒机参数说明

    参数名称

    参数说明

    部门

    选择需要纳管的部门,可选部门为在业务控制台已创建的部门。

    产品

    选择需要纳管的产品,可选产品为在业务控制台已创建的产品。

    服务

    选择需要纳管的服务,可选服务为在业务控制台已创建的服务。

    环境

    选择环境,为服务下的环境绑定堡垒机。

    一个环境只能绑定一个堡垒机,如果一个堡垒机需要绑定到其他环境或者其他服务的环境,可为堡垒机绑定环境

    资源账号

    选择堡垒机所属的账号。

    region

    选择堡垒机所在的region。

    如果选择不到对应region,需要将鼠标悬停在右上角的账号,在下拉列表选择“服务环境配置”,在“账号列表”页面单击对应账号后的“编辑”,然后单击“确定”,自动刷新该账号下的region信息。

    堡垒机实例

    选择需要纳管的堡垒机实例。

    ak

    输入堡垒机ak,即已创建的appstage-user用户的access key id。

    sk

    输入堡垒机的sk,即已创建的appstage-user用户的access key secret。

为堡垒机绑定环境

  1. 进入appstage运维中心
  2. 在顶部导航栏选择服务。
  1. 单击,选择运维 > 主机管理服务(vms)
  1. 选择左侧导航栏的“堡垒机”,进入“堡垒机”页面。
  2. 单击已纳管的堡垒机所在行“操作”列的“绑定服务”。
  3. 选择部门、产品、服务和环境,为堡垒机绑定环境。

更多操作

您还可以进行以下操作。

表3 相关操作

操作名称

操作步骤

查看已绑定服务

在堡垒机列表,单击已纳管的堡垒机所在行“已绑定服务”列的“查看”。

取消纳管堡垒机

在堡垒机列表,单击待取消纳管的堡垒机所在行“操作”列的“取消纳管”。

修改已纳管堡垒机

  1. 在堡垒机列表,单击已纳管的堡垒机所在行“操作”列的“编辑”。
  2. 修改堡垒机弹性公网ip,输入ak、sk,然后单击“确定”。

相关文档

网站地图