云堡垒机具备集中资源管理功能,将已有资源和资源账户添加到系统,可实现对资源账户全生命周期管理,单点登录资源,管理或运维无缝切换。
资源类型
纳管资源类型丰富,包括Windows、Linux等主机资源,MySQL、Oracle等数据库资源,以及Windows应用程序资源。
支持C/S架构运维接入,包括SSH、RDP、VNC、TELNET、FTP、SFTP、DB2、MySQL、SQL Server、Oracle、SCP、Rlogin协议类型主机资源。
支持B/S、C/S架构应用系统资源接入,可直接配置12+种Edge、Chrome、Oracle Tool等浏览器或客户端Windows服务器应用资源。
资源管理
- 批量导入
通过自动发现、同步云上资源,以及批量导入资源,支持一键同步并导入云上ECS、RDS等服务器上资源。
- 帐户组管理
资源账户按属性分组管理,可实现对同类型资源账户按帐户组给用户赋权。
- 批量管理
支持批量管理资源信息和资源账户,包括删除资源、添加资源标签、修改资源信息、验证资源账户、删除资源账户等。
通过云堡垒机纳管主机资源
云堡垒机支持添加SSH、RDP、VNC、TELNET、FTP、SFTP、DB2、MySQL、SQL Server、Oracle、SCP、Rlogin等协议类型的主机资源,包括Linux主机、Windows主机和数据库等。
本章节主要介绍通过添加单个主机资源、从文件导入主机资源、导入云主机资源、自动发现主机资源、克隆主机资源等方式,将主机资源纳入云堡垒机进行集中管理。
约束限制
- 添加的主机和应用资源数量总和不能超过资产数。
- 系统内协议类型****@ 主机地址 :****端口需唯一,不能重复,即被纳管的主机资源需唯一。否则再次创建相同配置的主机时,会报“主机已存在”错误。
- 为主机资源配置“所属部门”为上级部门时,当前用户的角色需拥有管理权限,否则会配置失败。修改用户角色管理权限,请参见:查询和修改角色信息 。
前提条件
已获取“主机管理”模块操作权限。
添加单个主机资源
- 登录云堡垒机系统。
- 选择“资源 > 主机管理”,进入主机管理列表页面。
- 单击“新建”,弹出新建主机编辑窗口。配置主机资源的网络参数和基础信息。
主机资源网络参数说明
| 参数 | 说明 |
|---|---|
| 主机名称 | 自定义的主机资源名称,系统内“主机名称”不能重复。 |
| 协议类型 | 选择主机的协议类型。 |
| 主机地址 | 输入主机与云堡垒机网络通畅的IP地址 选择主机的EIP地址或私有IP地址,建议优先选择可用私有IP地址。 系统默认要求网络接口为主机的IPv4地址。主机开启IPv6地址后,可配置主机的IPv4或IPv6地址。 说明 因云堡垒机管理同一VPC网络下的主机资源,根据网络稳定性与就近优势。私有IP对外访问的端口不受网络安全(安全组和ACL)的限制。EIP为独立的弹性IP,对外访问的端口受网络安全限制,可能导致无法通过云堡垒机登录到主机。 故建议“主机地址”优先考虑配置同VPC网络下私有IP地址。 |
| 端口 | 输入主机的端口号。 |
| 系统类型 | (可选)选择主机的操作系统类型或者设备系统类型。 默认不设置,后台根据资源系统类型匹配。 支持14种系统类型。 同时支持系统管理员admin自定义系统类型。 详情请参见自定义系统类型说明。 |
| 终端速度 | “协议类型”选择“Rlogin”协议类型主机时,可选择不同终端速率。 |
| 编码 | “协议类型”选择“SSH”、“TELNET”协议类型主机时,可选择运维界面中文编码。 可选择UTF-8、Big5、GB18030。 |
| 终端类型 | “协议类型”选择“SSH”、“TELNET”协议类型主机可选择运维终端类型。 可选择Linux、Xterm。 |
| 更多选项 | (可选)选择配置“文件管理”、“X11转发”、“上行剪切板”、“下行剪切板”。 文件管理:仅SSH、RDP、VNC协议类型主机可配置。 剪切板:仅RDP协议类型主机可配置。 X11转发:仅SSH协议类型主机可配置。 |
| 所属部门 | 选择主机所属部门。 |
| 标签 | (可选)自定义标签或选择已有标签。 |
| 主机描述 | (可选)对主机的简要描述。 |
- 单击“下一步”,纳管主机资源的帐号信息。
纳管主机帐户信息说明
| 参数 | 说明 |
|---|---|
| 添加帐户 | 选择立即添加帐户,或以后再添加帐户。 选择“立即添加”,需要继续配置下面的各项内容。 选择“以后添加”,将结束本页配置,后续您可以在资源列表或资源详情中添加帐户。 |
| 登录方式 | 选择登录方式,可选择自动登录或手动登录。 选择“自动登录”时,“主机帐户”和“密码”为必填项。 选择“手动登录”时,“主机帐户”和“密码”为可选项。 |
| 主机帐户 | 输入主机中的帐户名。 说明 若主机安装了AD域服务,添加的主机帐户为域名 主机帐户名 ,例如ad\administrator。 |
| 密码 | 输入主机帐户对应的密码。 默认勾选“验证”,配置完成确定后,自动验证资源账户的状态。 说明 验证帐户通过后,直接保存资源主机相关信息。 验证帐户不通过 提示验证帐户超时,请返回配置窗口,确认并修改资源信息。 提示帐户密码错误,请返回配置窗口,确认并修改资源账户密码。 |
| SSH Key | 针对SSH协议类型主机,可配置登录SSH Key验证。 配置后优先使用SSH Key登录资源。 |
| Passphras | SSH Key对应私钥序列,可选择配置。 未生成私钥密码情况下,登录主机无需输入密码。 已生成私钥密码情况下,每次登录主机需手动输入私钥密码。 |
| 帐户描述 | 对资源账户的简要描述。 |
未配置主机帐户和密码时,默认创建“[Empty]”空帐户,登录资源时需手动输入主机帐户和相应密码。
- 单击“确定”,且资源账户验证通过后,返回主机列表查看新建的主机资源。
从文件导入主机资源
文件导入方式上传的文件类型需为csv、xls或xlsx格式的表格文件。
- 登录云堡垒机系统。
- 选择“资源 > 主机管理”,进入主机管理列表页面。
- 单击界面右上角的“导入”,弹出配置界面。
- “导入方式”选择“从文件导入”。
- 单击“点击下载”,下载模板文件到本地。
- 按照模板文件中的配置项说明,填写要导入的主机配置信息。
主机导入模板参数说明
| 参数 | 说明 |
|---|---|
| 名称 | (必填)填入自定义主机资源名。 |
| IP地址/域名 | (必填)填入主机的IP地址或域名。 |
| 协议类型 | (必填)选择主机资源的协议类型,仅能填写一种类型。 |
| 端口 | (必填)填入主机端口。 |
| 系统类型 | 填入主机的系统类型。 |
| 所属部门 | (必填)填入资源所归属的部门,需完整填写部门结构。 仅可填入一组部门层级,一个资源只能分属一个部门。 默认可填入部门为总部,部门上下级之间用“,”隔开。 请务必确保填入系统内已创建的查询部门配置。 |
| 标签 | 填入主机资源标签。 可填入多个标签,标签之间用“,”隔开。 |
| 主机描述 | 填入对主机资源的简要描述。 |
| 主机帐户 | 填入主机资源账户名称。 不填写,也不会生成Empty帐户。 |
| 登录方式 | 选择主机资源登录方式。 可选择自动登录、手动登录、提权登录。 |
| 特权帐户 | 选择是否设置资源账户为特权帐户。 可选择是或否。 |
| 密码 | 填入资源账户的登录密码。 |
| SSH Key | 针对SSH协议类型主机,可填入登录SSH Key验证。 配置后优先使用SSH Key登录资源。 |
| passphrase | 填入SSH Key对应私钥序列。 若您已生成私钥密码,每次登录主机需手动输入私钥密码。 |
| Oracle参数 | 针对Oracle协议类型主机,必须填入参数。 可选择SERVICE_NAME或SID 可填入多个参数,参数之间用“,”隔开。 |
| SERVICE_NAME或SID | 针对Oracle协议类型主机,必须填入参数值。 可填入多个参数值,参数值之间用“,”隔开。 |
| 登录角色 | 针对Oracle协议类型主机,必须填入参数。 可选择normal、sysdba、sysoper 可填入多个参数,参数之间用“,”隔开。 |
| 数据库名 | 针对DB2数据库,必须填入参数。 可选择数据库名、实例名。 可填入多个参数,参数之间用“,”隔开。 |
| 实例名 | 针对DB2数据库,必须填入参数。 可选择数据库名、实例名。 可填入多个参数,参数之间用“,”隔开。 |
| 切换自 | 针对SSH协议类型主机,填入SSH主机资源账户名称,将该帐户提权为特权帐户。 |
| 切换命令 | 填入切换帐户的执行命令。 |
| 帐户描述 | 填入对资源账户的简要描述。 |
| 帐户组 | 填入资源账户所属的帐户组。 资源账户可同时存在于同部门多个帐户组,不同帐户组之间用“,”隔开。 请务必确保填入系统内已创建的帐户组。 |
- 单击“点击上传”,选择要导入的文件。
- (可选)勾选“覆盖已有主机”,默认不勾选。
- 勾选,表示当协议类型@ 主机地址 :端口信息重复时,覆盖原有主机信息。
- 不勾选,表示当协议类型@ 主机地址 :端口信息重复时,跳过重复的主机信息。
- 单击“确定”,返回主机列表查看新增的主机。
注意
文件方式导入主机时,需严格按照Excel配置要求填写主机信息;
SSH协议类型主机支持配置SSH Key私钥登录方式;
SSH Key私钥和Passphrase密码为选填项,建议批量导入的资源仅纳管主机帐户和密码登录。
导入云主机资源
- 登录云堡垒机系统。
- 选择“资源 > 主机管理”,进入主机管理列表页面。
- 单击界面右上角的“导入”,弹出配置界面。
- “导入方式”选择“导入云主机”,跳转到导入云主机配置窗口。
导入云主机参数配置说明
| 参数 | 说明 |
|---|---|
| 云平台 | 选择云平台, 目前支持导入云主机资源。 |
| Access Key ID | 单击输入框后面的帮助按钮,获取相关信息。 |
| Access Key Secret | 单击“Access Key ID”输入框后面的帮助按钮,获取相关信息。 |
| 优先导入IP | 可选择“公网”或“内网”。 |
| 更多选项 | (可选)勾选“覆盖已有主机”,默认不勾选。 勾选,表示当协议类型@主机地址: 端口信息重复时,覆盖原有主机信息。span不勾选,表示当协议类型 @主机地址:端口信息重复时,跳过重复的主机信息。 |
| 所属部门 | 为导入主机配置部门。 |
| 标签 | 为导入主机配置标签。 |
| 导入区域 | 选择导入区域,各个云平台支持导入主机区域不同。 |
| 运行环境 | 导入主机的运行环境。 |
- 单击“确定”,返回主机列表查看新增的主机。
自动发现主机资源
“自动发现”功能可通过输入的IP地址或地址段,扫描发现该IP地址下的所有主机资源。
主机与云堡垒机在同一VPC内,且网络连接通畅,才能“自动发现”主机。
- 登录云堡垒机系统。
- 选择“资源 > 主机管理”,进入主机管理列表页面。
- 单击界面右上角的“自动发现”,弹出配置界面。
- 输入需导入的主机“IP地址”和主机的“端口”。默认端口21,22,23,3389,5901,也可添加其它端口或端口范围。
- 单击“确定”,自动开始扫描。
- 扫描结束后,勾选需要导入的主机。
- 输入主机名称,如果不输入主机名称,默认名称为主机IP。
- 主机会根据端口默认选中相关协议类型,如果未匹配默认端口,则需要手动选取协议类型。
添加自动发现的主机
- 选择自动发现的主机,单击“添加”。
- 单击“返回”或“关闭”,返回主机列表页面,查看新增的主机资源。
克隆主机资源
若主机服务器内有多种资源形式,可通过克隆已添加的主机资源配置,并修改一定配置参数,快速添加主机资源。
- 登录云堡垒机系统。
- 选择“资源 > 主机管理”,进入主机管理列表页面。
- 在已添加的主机资源的“操作”列,单击“更多 > 克隆”,弹出新建主机编辑窗口。
- 修改已有主机信息,并添加资源账户。“协议类型”、“主机地址”、“端口”三个参数中必须修改一个。
- 单击“确认”,返回主机列表页面,查看新添加的主机资源。
