-
约束限制 添加的主机和应用资源数量总和不能超过资产数。 支持对Windows Server2008 R2及以上的Windows系统版本的应用进行管理。 支持对Centos7.9系统的Linux服务器的应用进行管理。 Linux服务器支持调用的应用服务器类型:DM Tool、KingbaseES Tool、Firefox-Linux、GBaseDataStudio for GBase8a。 Linux服务器和
堡垒机 之间需要开通的端口号:2376和35000~40000,且端口号不可修改。 Linux服务器的密码请联系华为云技术支持获取。 添加应用发布前,需已添加应用服务器。 Edge浏览器应用不支持配置自动登录账户。
-
操作步骤 使用root账号登录Linux服务器。 在Linux服务器中,下载Linux环境app_publisher_x86_64_xxx.tar.gz(xxx为版本号)压缩包。 表1 app_publisher组件版本说明 堡垒机版本 支持架构 app_publisher组件版本 下载地址 V3.3.26.0 x86和Arm V1.0.0 软件包下载地址 V3.3.30.0 x86和Arm V1.1.0 软件包下载地址 V3.3.38.0 x86 V1.2.0_CentOS7 软件包下载地址 Arm V1.2.0_UOS20 软件包下载地址 V3.3.40.0 x86 V1.3.0_CentOS7 软件包下载地址 Arm V1.3.0_UOS 软件包下载地址 V3.3.43.0 x86 V1.4.0_CentOS7 软件包下载地址 Arm V1.4.0_UOS 软件包下载地址 V3.3.46.0 x86 V1.5.0_CentOS7 软件包下载地址 Arm V1.5.0_UOS 软件包下载地址 V3.3.52.0 x86 1.6.1_EulerOS 软件包下载地址 Arm 1.6.1_EulerOS 软件包下载地址 x86 1.6.1_CentOS7 软件包下载地址 Arm 1.6.1_UOS 软件包下载地址 V3.3.60.0 x86 1.7.0_EulerOS 软件包下载地址 Arm 1.7.0_EulerOS 软件包下载地址 Arm 1.7.0_UOS 软件包下载地址 在Linux服务器中,执行以下命令,将app_publisher_x86_64_xxx.tar.gz(xxx为版本号)压缩包进行解压。 # tar -xvf app_publisher_*.tar.gz # cd app_publisher 环境之前是否已安装过firefox应用发布服务器。 是,执行以下命令,把之前安装的firefox docker镜像删除。 # docker rmi 127.0.0.1:5000/psm-firefox:0.2 删除后,继续执行5。 否,执行5。 执行以下命令,部署脚本。 # /bin/bash install.sh 执行以下命令,检查服务状态。 # service docker status active (running)表示应用发布服务器安装成功。 创建share目录(仅针对堡垒机V3.3.26.0版本)。 # mkdir /opt/autorun/share (可选)重启应用发布服务器。
-
操作步骤 启动浏览器,在Web地址栏中输入系统登录地址,进入系统登录页面。 登录地址:https://堡垒机实例EIP。例如,https://10.10.10.10。 受浏览器兼容性限制,当浏览器版本与堡垒机系统不匹配时,可能导致登录时获取不到验证信息,或登录后页面显示异常,建议使用推荐的浏览器及版本。推荐浏览器请参见使用限制。 在登录页面选择登录方式。 按选择的登录方式,依次填入登录名、静态密码、动态验证码等信息。
-
前提条件 已获取“主机运维”模块管理权限。 已获取资源访问控制权限,即已被关联访问控制策略或访问授权工单已审批通过。 已在本地安装客户端工具。 资源主机网络连接正常,且资源账户登录账号和密码无误。 已在端口配置中打开FTP开关,开放2222(SFTP协议端口)、2121(FTP协议端口),具体操作详见配置系统运维端口。 FTP/SFTP协议的运维方式选择客户端时,已在本地完成配置SSO单点客户端。
-
约束限制 FTP/SFTP协议的运维方式选择主从账号时,该协议资源的登录账户只能选择“登录方式”为“自动登录”的资源账户,且不能是Empty资源账户。 通过多因子认证方式登录的主机资源不支持通过SFTP协议进行文件传输。 仅FTP、SFTP协议主机支持通过Web浏览器登录,且登录资源的客户端工具的版本要求如下: 表1 工具支持情况 协议主机 登录资源的客户端工具的版本要求 SFTP协议 Xftp 6及以上、WinSCP 5.14.4及以上、FlashFXP 5.4及以上 FTP协议 Xftp 6及以上、WinSCP 5.14.4及以上、FlashFXP 5.4及以上、FileZilla 3.46.3及以上 表2 客户端运维支持服务器情况 算法类型 SSH客户端运维 Key exchange diffie-hellman-group-exchange-sha256 diffie-hellman-group-exchange-sha1 diffie-hellman-group14-sha1 diffie-hellman-group1-sha1 ecdh-sha2-nistp521 ecdh-sha2-nistp384 ecdh-sha2-nistp256 Encryption aes128-ctr aes192-ctr aes256-ctr aes128-cbc aes192-cbc aes256-cbc 3des-cbc blowfish-cbc arcfour128 arcfour256 HMAC hmac-md5 hmac-md5-96 hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 Host Key ssh-rsa ssh-dss rsa-sha2-256 rsa-sha2-512 ecdsa-sha2-nistp256 ecdsa-sha2-nistp384 ecdsa-sha2-nistp521
-
后续管理 访问控制策略创建完成后,可在策略列表页面,管理已创建策略,包括管理关联用户或资源、删除策略、启停策略、策略排序等。 若需补充关联用户或资源,可单击“关联”,快速关联用户、用户组、资源账户、账户组。 若需删除策略,可选择目标策略,单击“删除”,立即删除策略。 若需禁用策略授权,可勾选一个或多个“已启用”状态的策略,单击“禁用”,策略状态变更为“已禁用”,策略授权立即失效。 若需排序策略优先等级,可选中策略行上下拖动策略,改变策略排序。
-
访问控制策略说明 不同运维方式或不同的资源类型在执行部分运维操作时目前还存在不支持的情况。 Linux应用运维从3.3.40.0版本开始支持文件上传、下载,上、下行剪切板功能。 特性名称 有效期 文件传输 更多选项 登录时段限制 IP限制 双人授权候选人 生效时间/失效时间 上传/下载 文件管理 上行剪切板/下行剪切板 显示水印 允许登录 禁止登录 黑名单 白名单 SSH-H5运维 √ √ √ √ √ √ √ √ √ √ SSH-客户端运维 √ × × × × √ √ √ √ × RDP-H5运维 √ √ √ √ √ √ √ √ √ √ RDP-客户端运维 √ × × × × √ √ √ √ × TELNET-H5运维 √ √ √ √ √ √ √ √ √ √ TELNET-客户端运维 √ × × × × √ √ √ √ × VNC √ × × × √ √ √ √ √ √ FTP √ √ √ × × √ √ √ √ √ SFTP √ √ √ × × √ √ √ √ √ SCP √ × × × × √ √ √ √ √ Postgresql √ × × × × √ √ √ √ √ Gaussdb √ × × × × √ √ √ √ √ DB2 √ × × × × √ √ √ √ √ MYSQL √ × × × × √ √ √ √ √ SQL Server √ × × × × √ √ √ √ √ Oracle √ × × × × √ √ √ √ √ Rlogin-H5运维 √ √ √ √ √ √ √ √ √ √ Rlogin-客户端运维 √ × × × × √ √ √ √ × Windows应用运维 √ √ √ √ √ √ √ √ √ √ Linux应用运维 √ √ √ √ √ √ √ √ √ √
-
前提条件 已获取证书,并下载签发证书。 推荐您通过
云证书管理服务 (Cloud Certificate Manager,CCM)购买签发证书,CCM证书申请流程请参见CCM快速入门,下载签发证书后,并转换证书格式为jks格式,具体的操作请参见转换证书格式。 该证书文件大小不超过20KB,且证书文件包含证书密码。 上传证书绑定的
域名 已解析到绑定堡垒机实例的弹性公网IP,具体的操作请参见配置公网域名解析。 用户已获取“系统”模块管理权限。
-
RDP/VNC协议类型主机会话 表3 Windows主机运维操作说明 参数 说明 复制/粘贴 远程文本:选中字符, 需按两次“Ctrl+C”复制,按“Ctrl+V”粘贴。 远程机器文件:选中文本或图像,“Ctrl+B”复制,“Ctrl+G”粘贴。 说明: Web浏览器运维支持复制/粘贴大量字符不乱码,本地到远端最多8万字符,远端到本地最多100万字节。 分辨率 可切换当前操作界面分辨率,切换途中会重新创建连接。 切换鼠标 可分别切换为本地鼠标和远程鼠标。 Windows键 适用于Win快捷键操作。 锁屏键 “Ctrl+Alt+Delete”。 复制窗口 可复制当前会话窗口。 全屏 可开启窗口全屏。 图6 RDP主机会话窗口
-
SSH/TELNET协议类型主机会话 表2 Linux运维操作说明 参数 说明 编码 字符协议支持多种编码格式。 复制/粘贴 选中字符,按“Ctrl+C”进行复制,按“Ctrl+V”进行粘贴。 预置命令 对于字符较长,且经常输入的命令,可以提前预置。 终端类型 字符协议支持切换终端类型,包括Linux和Xterm两种类型。 群发键 开启群发可同时对多个会话进行命令输入。 字体大小 设置字体大小:大、中、小。 复制窗口 可复制当前会话窗口。 全屏 可开启窗口全屏。 图5 SSH主机会话窗口
-
通过MSTSC客户端登录堡垒机 用户获取资源运维权限后,可通过MSTSC客户端直接登录进行运维操作。 打开本地远程桌面连接(MSTSC)工具。 在弹出的对话框中,“计算机”列,输入“堡垒机IP:53389”。 图1 配置计算机 单击“连接”,在登录页面完成登录。 username:堡垒机用户登录名@Windows主机资源账户名@Windows主机资源IP:Windows远程端口(默认3389),例如admin@Administrator@192.168.1.1:3389。 “Windows主机资源账户名”必须是已添加到堡垒机中的资源账户,且登录方式是”自动登录“,否则无法识别Windows主机资源账户,且无法生成运维审计文件。不支持实时会话运维。如何添加主机资源账户,请参考创建资源账户并绑定资源。 password:输入当前堡垒机的用户密码。
-
后续管理 提交工单申请后,相关管理员即可在“消息中心”收到提醒,查看详细工单内容。并可在工单审批页面收到工单,可对工单进行批准或驳回操作。 提交工单申请后,若需修改已提交的工单,可单击“撤回”,取消已提交的工单申请,工单状态变为“已撤回”。 创建工单后,若需查看工单和修改工单信息,可单击“管理”,进入工单详情页面查看和修改工单信息。 “审批中”状态的工单仅能查看工单详情信息,不能修改工单内容。“已撤回”和“待提交”状态的工单才能被修改。 若已提交的工单已过期,可单击“删除”,管理工单列表。亦可勾选多条工单,单击列表左下角删除,批量删除工单。 删除后工单信息不能找回,请谨慎操作。
-
使用说明 开启各资产模块的授权后,CBH将获取的各服务的权限如下:
CS MS:CBH将有权限查询您的C
SMS 凭据列表,您可以在CBH实例上选择凭据作为资源账户。 通过堡垒机调用的凭据,账户及密码命名需要在“键”中规范,否则无法获取到正确的账号密码。 例如: username:root password:***** KMS:CBH将有权限使用KMS接口获取CSMS凭据值,您可以在CBH实例上使用该凭据值登录纳管的主机。 ECS:CBH将有权限查询您的ECS实例列表,您可以在CBH实例上一键同步您的ECS实例至
云堡垒机 的主机列表中。 RDS:CBH将有权限查询您的RDS实例列表,您可以在CBH实例上一键同步您的RDS实例至云堡垒机的主机列表中。 开启CSMS凭据、KMS密钥、ECS、RDS委托授权后,需要等待10分钟左右,云堡垒机才可以获取有委托权限的Token。
-
修改个人密码 登录堡垒机系统。 选择右上角用户名,单击“个人中心”,进入个人中心管理页面。 图1 个人中心页面 在“基本信息”页签,单击“修改密码”。 输入当前密码,并自定义新密码。 新密码要求: 长度范围:8~32个字符。 规则要求:可设置英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(!@$%^-_=+[{}]:,./?~#*),且需同时至少包含其中三种。 不能包含用户名或倒序的用户名。 确认无误,单击“确定”,返回个人基本信息页面。 退出登录,再次登录新密码即生效。
-
操作场景 购买堡垒机时,根据堡垒机“单机”和“主备”实例类型的不同,可用区选择也有所区别。 单机:购买后只创建一台堡垒机,可以选择任意可用区。 主备:购买后会创建两台堡垒机,需要分别选择主可用区和备可用区,可根据容灾或网络时延需求进行选择。 场景一:如果有容灾能力的需求,建议主实例和备实例部署在不同的可用区。 示例:“主可用区”选择“可用区1”,“备可用区”选择“可用区2”。 图1 满足容灾能力的可用区选择 场景二:如果对网络时延有较高要求,建议主实例和备实例部署在同一可用区,此时网络时延较小。 示例:“主可用区”和“备可用区”都选择“可用区1”。 图2 满足网络低时延的可用区选择
