什么是堡垒机

背景信息

一个云堡垒机实例对应一个独立运行的云堡垒机运维管理系统环境。首先用户需购买云堡垒机实例，获得一个云堡垒机账户，再登录云堡垒机系统并配置运维管理环境，才能实现云堡垒机实时远程高效运维管理。

操作场景

购买堡垒机时，根据堡垒机“单机”和“主备”实例类型的不同，可用区选择也有所区别。

• 单机：购买后只创建一台堡垒机，可以选择任意可用区。
• 主备：购买后会创建两台堡垒机，需要分别选择主可用区和备可用区，可根据容灾或网络时延需求进行选择。
  • 场景一：如果有容灾能力的需求，建议主实例和备实例部署在不同的可用区。

    示例：“主可用区”选择“可用区1”，“备可用区”选择“可用区2”。

    图1 满足容灾能力的可用区选择
    
  • 场景二：如果对网络时延有较高要求，建议主实例和备实例部署在同一可用区，此时网络时延较小。

    示例：“主可用区”和“备可用区”都选择“可用区1”。

    图2 满足网络低时延的可用区选择
    

前提条件

• 已获取待纳管资源信息，且待纳管资源在CBH支持使用的区域内。
• 已购买至少一个 弹性公网IP （ Elastic IP ， EIP ）。
  

  一个弹性 公网IP 只能绑定一个云资源使用，云堡垒机绑定的弹性IP不能与其他云资源共用。

操作步骤

1. 登录CBH服务控制台。
2. 单击控制台左上角的，选择区域。
3. 单击“购买云堡垒机”，进入云堡垒机的购买页面。
4. 选择“云堡垒机实例”服务类型，根据设置实例的相关参数，相关说明请参考表1。

   表1 云堡垒机实例参数说明

   参数	说明
   计费模式	选择实例计费模式，仅支持“包年/包月”模式。 包年/包月是预付费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景。
   区域	选择堡垒机的区域，请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。
   当前项目	选择堡垒机所属的项目。更多信息，请参见项目管理。
   实例类型	根据您的自身业务需求选择单机或者主备实例类型。 单机：购买后只有一台堡垒机。 主备：购买后会下发两台堡垒机，组成双机设备，主设备不可正常使用时可继续使用备用堡垒机。 说明： 如您购买的是主备实例，切勿禁用HA，否则会导致对应堡垒机无法登录。
   可用区	可用区是购买的堡垒机部署的位置。 实例类型选择为主备实例时，需要选择主可用区和备可用区来分别进行安装部署，可根据容灾或网络时延需求进行选择。 如果有容灾能力的需求，建议选择不同的可用区。 示例：“主可用区”选择“可用区2”，“备可用区”选择“可用区3”。 如果对网络时延有较高要求，建议选择同一可用区，此时网络时延较小。 示例：“主可用区”和“备可用区”都选择“可用区2”。
   实例名称	自定义实例名称。
   性能规格	选择实例版本规格。 云堡垒机提供“标准版”和“专业版”两个功能版本，每个版本配备10/20/50/100/200/500/1000/2000/5000/10000资产规格。 详细版本和规格说明，请参考云堡垒机实例版本规格。 资产量表示当前购买的云堡垒机支持的最大可纳管的资源数和最大并发数，同时不同资产量对应的处理器、数据盘、系统盘大小都将会不同，资产量规格详情请参见服务版本差异。 示例：选择100资产量表示可纳管资源数和最大并发数都为100个。 说明： 当前主备实例暂不支持通过弹性公网EIP纳管公网资源。
   存储扩展包	堡垒机默认配置的存储空间不满足实际需求，您可以通过存储扩容包进行扩容。
   虚拟私有云	选择当前区域下虚拟 私有云 （ Virtual Private Cloud ， VPC ）网络。 若当前区域无可选VPC，可单击“查看虚拟私有云”创建新的VPC。 说明： 默认情况下，不同区域的VPC之间内网不互通，同区域的不同VPC内网不互通，同一个VPC下的不同可用区之间内网互通。 云堡垒机支持直接管理同一区域同一VPC网络下 ECS 等资源，同一区域同一VPC网络下E CS 等资源可以直接访问。若需管理同一区域不同VPC网络下ECS等资源，要通过对等连接、 VPN 或其他方式打通两个VPC间的网络；不建议跨区域管理ECS等资源。 更多关于VPC网络介绍，请参见VPC网络规划。
   子网	选择当前VPC内子网。 说明： 子网选择必须在VPC的网段内。 更多关于子网的信息，请参见创建虚拟私有云和子网。
   分配IPv4地址	选择“自动分配IP地址”或者“手动分配IP地址”。 选择“手动分配IP地址”后，可查看已使用的IP地址。
   安全组	选择当前区域下安全组，系统默认安全组Sys-default。 若无合适安全组可选择，可单击“管理安全组”创建或配置新的安全组。 说明： 一个安全组为同一个VPC网络内具有相同安全保护需求，并相互信任的CBH与资源提供访问策略。当云堡垒机加入安全组后，即受到该安全组中访问规则的保护。详细介绍请参见安全组简介 云堡垒机可与资源主机ECS等共用安全组，各自调用安全组规则互不影响。 如需修改安全组，请参见更改安全组章节。 在创建HA实例前，需要安全组在入方向中放通22、31036、31679、31873这四个端口。 堡垒机主备实例跨版本升级还会自动开放22、31036、31679、31873共四个端口，升级完成后保持31679开放即可，其余端口若不需要使用请第一时间关闭。 更多关于安全组的信息，请参见配置云堡垒机安全组。
   弹性IP	（可选参数）选择当前区域下EIP。 若当前区域无可选EIP，可单击“购买弹性IP”。 说明： 若购买时选择了弹性IP之后，在实例状态变为运行后，EIP未绑定成功，可能是创建过程中此EIP已经绑定其他服务器，需要参考绑定弹性公网IP章节重新绑定弹性公网IP。 一个弹性公网IP只能绑定一个云资源使用，云堡垒机绑定的弹性IP不能与其他云资源共用。实例创建成功后，弹性IP作为云堡垒机系统登录IP使用。所以为了正常使用云堡垒机，用户账号至少需要创建一个弹性IP。此处若未绑定EIP，后期可参考绑定弹性公网IP章节绑定弹性公网IP。 为满足CBH系统使用需求，建议配置EIP带宽为5M以上。 实例创建成功后，可根据需要“解绑弹性公网IP”和“绑定弹性公网IP”操作，更换云堡垒机系统登录EIP地址。 更多关于弹性IP的信息，请参见弹性公网IP简介。
   企业项目	选择此次购买的堡垒机所属的企业项目。 默认选择为“default”。
   用户名	默认用户名“admin”。 系统管理员账号admin拥有系统最高操作权限，请妥善保管账号信息。
   登录密码	自定义admin用户密码信息。 说明： 密码设置要求 长度范围：8~32个字符，不能低于8个字符，且不能超过32 个字符。 规则要求：可设置英文大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）和特殊字符（!@$%^-_=+[{}]:,./?~#*），且需同时至少包含其中三种。 不能包含用户名或倒序的用户名。 不能包含超过2个连续的相同字符。 需设置和确认输入两次密码信息，两次输入信息需一致才能成功设置密码。 云堡垒机系统无法获取系统管理员admin用户密码，请务必保存好登录账号信息。 系统管理员admin在首次登录云堡垒机系统时，请按照系统提示修改密码和配置手机号码，否则无法进入云堡垒机系统。 完成实例购买后，若忘记admin用户密码，可参考重置密码解决。
   购买时长	选择实例使用时长。 可按月或按年购买云堡垒机。
   标签	标签：如果您需要使用同一标签标识多种云资源，即所有服务均可在标签输入框下选择同一标签，建议在TMS中创建预定义标签，请参见资源标签简介。 如您的组织已经设定云堡垒机的相关标签策略，则需按照标签策略规则为云堡垒机实例添加标签。标签如果不符合标签策略的规则，则可能会导致云堡垒机创建失败，请联系组织管理员了解标签策略详情。

5. 配置完成后，确认当前配置信息无误后，单击“立即购买”。
   

   当收到网络限制提示时，请先“一键放通”网络限制，确保购买实例后授权下发成功。

   您可以在安全组和防火墙ACL中查看相应规则。

   • 云堡垒机所在安全组允许访问出方向9443端口。
   • 云堡垒机所在子网未关联防火墙ACL，或关联的防火墙ACL为“开启”状态且允许访问出方向9443端口。

6. 进入“订单详情”页面，确认订单无误并阅读《隐私政策声明》后，勾选“我已阅读并同意《隐私政策声明》”，单击“提交订单”。
7. 在支付页面完成付款，返回云堡垒机控制台页面，在“云堡垒机实例”列表下查看新购买的实例。

   购买实例成功后，后台自动创建CBH系统，大约需要10分钟。

   

   后台创建CBH系统完成前，即实例的“状态”未变为“运行”前，请勿解绑EIP，否则可能导致CBH系统创建失败。

后续操作

• 当实例的“运行状态”为“运行”时，说明CBH系统创建成功，此时您才能登录CBH系统。
• 当实例的“运行状态”为“创建失败”时，在弹出的“创建失败实例”对话框中查看失败原因。可以单击管理控制台右上方的“工单”，填写工单信息反馈问题现象，联系技术支持。

• 若购买的实例即将到期或已经到期，可单击“更多 > 续费”，延长当前规格的使用期限，详细说明请参见续费。
• 实例发放完成后，建议您及时配置、更换堡垒机实例的证书。具体操作请参见更新系统Web证书。