文档首页/ 应用平台 AppStage/ 最佳实践/ 运维中心最佳实践/ 使用运维中心提升安全运维管理效率
更新时间:2025-09-16 GMT+08:00
查看PDF
分享

使用运维中心提升安全运维管理效率

随着数字化进程加速,企业应用规模呈指数级增长,应用资源运维面临的问题也日益突出。运维中心提供一站式资源接入能力,可以将华为云常用资源快速接入运维中心统一管理,同时运维中心提供主机安全管理能力,可以实现账号安全治理及堡垒机一键登录能力。

前提条件

  • 购买AppStage运维中心并完成初始化配置,在给用户授权时,同时授予基础运维岗位权限和服务运维岗位权限。
  • 已完成资源准备。使用购买AppStage运维中心的账号在“华北-北京四”区域购买如表1所示资源。
    表1 资源信息

    资源类型

    资源信息示例

    参考信息

    VPC
    • VPC名称:vpc-appstage-poc
    • 子网:subnet-appstage-poc-01
    • 网段:10.10.0.0/24

    创建虚拟私有云和子网

    主机

    类型:弹性云服务器ECS、X86、Linux

    操作系统:Huawei Cloud EulerOS 2.0

    • 主机名称:cce-appstage-poc-test-001-nodepool-hce-65rom(IP地址:10.10.0.144)
    • 主机名称:cce-appstage-poc-test-001-nodepool-hce-diny1(IP地址:10.10.0.50)
    • 主机名称:cce-appstage-poc-test-001-nodepool-hce-ohy0b(IP地址:10.10.0.107)

    购买弹性云服务器ECS

    数据库
    • 数据库类型:TaurusDB
    • 数据库名称:Taurusdb-appstage-poc-test-001

    购买RDS for MySQL实例

    容器集群

    集群名称:cce-appstage-poc-test-001

    购买集群
  • 使用已创建的成员账号登录AppStage运维中心,创建变更电子流并将购买资源的账号录入运维中心,具体操作请参见创建变更电子流录入账号

步骤一:一站式接入资源

  1. 配置环境。

    1. 使用已创建的成员账号登录AppStage运维中心
    2. 在顶部导航栏选择已创建的部门、产品和服务。
    3. 单击“运维接入一站式地图”后的“接入引导”,如图1所示,进入“运维中心一站式接入流程”页面。
      图1 接入引导
    4. 在公共配置区域,选择需要接入资源所属的账号,例如“HIS_AppStage_Test (CHINA)”、选择Region“华北-北京四”。

      账号后缀CHINA为该账号厂商信息。

    5. 在配置环境区域,单击“创建环境”,配置环境信息,配置参数请参考表2,配置完成后单击“确定”。
      创建完成后列表显示该环境信息,并将环境与所选的公共配置关联。
      表2 创建环境参数

      参数

      示例

      说明

      名称

      appstage_poc_test

      填写环境名称,名称全局唯一,仅支持小写字母、数字以及下划线,不能以下划线开头,长度2~63个字符。

      用途

      测试

      选择环境的用途。可选用途包括开发、测试、生产、安全和性能。

      描述

      poc测试

      填写环境的描述信息。
    6. 单击“下一步:纳管VPC”。

  2. 纳管VPC。

    1. 在纳管VPC区域,单击“创建纳管”。
    2. 选择需要纳管的虚拟私有云VPC“vpc-appstage-poc”,选择终端节点子网“subnet-appstage-poc-01 (10.10.0.0/24)”,然后单击“确定”。

      纳管成功后,列表显示该VPC信息,并将VPC与已创建环境关联。

      纳管VPC自动创建的两个终端节点会产生费用,按终端节点实例的实际使用时长计费,如需查看费用账单请参见费用账单

    3. 单击“下一步:纳管主机”。

  3. 纳管主机。

    1. 手动安装OpsAgent。
      1. 单击“CURL命令安装”后的,复制安装命令。
      2. 使用root账号远程登录主机“cce-appstage-poc-test-001-nodepool-hce-65rom”,登录操作请参见通过VNC登录Linux ECS,登录后执行安装命令安装OpsAgent。

        图2所示,表示OpsAgent安装成功,安装成功后在下方主机分配列表中该主机状态显示为“在线”。

        图2 手动安装OpsAgent成功
    2. 自动安装OpsAgent,如图3所示。
      图3 自动安装OpsAgent
      1. 选择安装机,选择已安装OpsAgent的主机“10.10.0.144”作为安装机。
      2. 为需要纳管的主机填写正确登录密码和登录端口,单击“网络测试”。
      3. 然后在列表中勾选该主机,单击“安装OpsAgent”,等待安装完成,如图4所示。
        图4 自动安装OpsAgent成功

        安装机将作为执行机为主机安装OpsAgent,安装成功后在下方主机分配列表中该主机状态显示为“在线”。

    3. 主机分配。勾选主机并单击“主机分配”,通过将主机分配给已选择的服务,完成主机纳管,如图5所示。
      已纳管主机会显示在下方设置执行机列表中。
      图5 主机分配

    4. 设置执行机。单击主机所在行后的“设置执行机”,可设置一个或多个执行机。

      等待执行机状态变为“已设置”,表示设置成功。

    5. 单击“下一步:纳管数据库”。

  4. 纳管数据库。

    1. 在数据库纳管区域,单击“新建纳管”。
    2. 配置纳管数据库信息,配置参数请参考表3,然后单击“确定”。
      纳管成功后,列表新增该数据库信息,且状态为“active”。
      表3 纳管数据库参数说明

      参数

      示例

      说明

      数据库引擎

      TaurusDB

      数据库引擎类型,即已购买的数据库类型。

      数据库名称

      Taurusdb-appstage-poc-test-001

      待纳管的数据库名称,即已购买的数据库。

      管理员账号

      root

      数据库管理员账号默认为“root”。

      管理员密码

      -

      输入数据库管理员账号密码。
    3. 单击“下一步:纳管容器集群”。

  5. 纳管容器集群。

    1. 在纳管容器集群区域,单击“新建纳管”。
    2. 选择需要纳管的华为云CCE集群“cce-appstage-poc-test-001”,然后单击“确定”。
      • 等待1~3分钟,刷新数据,当集群状态显示“纳管成功”时,表示已成功纳管容器集群。
      • “erscluster-3dpt-WiseEyePOCProductA-turbo-”为集群在运维中心中显示时的默认前缀,其中WiseEyePOCProductA为所选产品英文名。
    3. 单击“完成”,完成所有资源接入。

步骤二:管理接入资源

资源接入运维中心后,可以对资源进行管理,同时支持管理主机及账号安全。

管理主机

查看已纳管主机

  1. 单击,选择运维 > 主机管理服务(VMS)
  2. 选择左侧导航栏的“云服务器管理 > 弹性云服务器”,列表显示已纳管的主机,如图6所示。

    图6 查看主机

启停主机

在VMS中完成主机的“开机”、“关机”或“重启”操作。

  1. 关机。

    1. 在主机列表勾选主机“10.10.0.107”,在主机列表上方依次单击“主机操作 > 关机”,如图7所示。
      图7 关机
    2. 关联已创建的变更电子流,单击“确定”,等待检查业务进程,检查完后单击“确定”。

      下发关机任务,等待1~2分钟后刷新主机列表,主机状态显示“关机”,如图8所示。同时可以在ECS控制台查看该主机状态,主机状态显示“关机中”,如图9所示,等待几秒后,状态变更为运行中为“关机”,如图10所示。

      图8 VMS中主机状态
      图9 ECS中主机关机中
      图10 ECS中主机已关机

  2. 开机。

    1. 在主机列表勾选主机“10.10.0.107”,在主机列表上方依次单击“主机操作 > 开机”。
    2. 单击“确定”。

      下发开机任务,等待一分钟左右刷新主机列表,主机已完成开机,状态显示“运行中”。同时可以在ECS控制台查看该主机状态,主机状态显示“开机中”,等待几秒后,状态变更为运行中为“运行中”。

  3. 重启。

    1. 在主机列表勾选主机“10.10.0.107”,在主机列表上方依次单击“主机操作 > 重启”。
    2. 关联已创建的变更电子流,单击“确定”,等待检查业务进程,检查完后单击“确定”。

      下发重启任务,等待1~2分钟后刷新主机列表,主机完成重启,状态显示“运行中”。同时可以在ECS控制台查看该主机状态,主机状态显示“重启中”,等待几秒后,状态变更为运行中为“运行中”。

管理数据库

查看已纳管的数据库

  1. 单击,选择微服务开发 > 数据库治理
  2. 选择左侧导航栏的实例管理 > 实例列表,查看已纳管的数据库实例信息,如图11所示。

    图11 查看数据库实例

  3. 单击实例名称进入数据库实例详情页面,可以正常查看数据库相关基础信息、schema、账号等信息。

查询数据

  1. 选择左侧导航栏的“数据查询”,在左侧树中筛选需要查询的数据库类型“TaurusDB”,并选择要查询的数据库实例“Taurusdb-appstage-poc-test-001”及数据库表“sys_config”。
  2. 选择“数据查询”页签,输入SQL语句,单击“运行”,即可执行SQL查询,如图12所示。

    图12 数据查询

采集数据

  1. 选择左侧导航栏的“数据采集”,选择“TaurusDB”页签。
  2. 开启元数据定时采集按钮,如图13所示。

    图13 开启定时采集

  3. “选择电子流”窗口中,运维操作记录选择“关联电子流”,并选择已创建的变更电子流,单击“提交”
  4. 在弹出框中单击“确定”,开启数据采集。

诊断数据

  1. 选择左侧导航栏的“实时诊断”
  2. 在左侧树中选择数据库类型“TaurusDB”以及目标数据库节点。
  3. 分别查看数据库性能、会话、状态数据,如图14所示。

    图14 查看数据

管理容器集群

查看已纳管的容器集群

  1. 单击,选择运维 > 弹性资源服务(ERS)
  2. 选择左侧导航栏的集群列表,查看已纳管的容器集群信息,如图15所示。

    图15 查看容器集群

  3. 单击集群名称进入集群详情页面,可以查看集群详情以及主机列表、工作负载等信息。

增减pod副本数(pod伸缩)

  1. 在集群详情页面左侧导航栏选择“工作负载列表”。
  2. 增加pod副本数。

    1. 单击工作负载“poc-podtest”所在行“pod伸缩”列的“+”,如图16所示。
      图16 增加pod副本数
    2. 单击“保存”,pod数变更为2/2,如图17所示。
      图17 pod副本数

      同时可以在CCE控制台查看实例个数,也由1/1变更为2/2,如图18所示。

      图18 CCE中pod副本数

  3. 减少pod副本数。

    1. 单击工作负载“poc-podtest”所在行“pod伸缩”列的“-”。
    2. 单击“保存”,pod数变更为1/1。

      同时可以在CCE控制台查看实例个数,也由2/2变更为1/1。

重新部署工作负载

  1. 在工作负载列表,单击工作负载“poc-podtest”所在行“操作”列的“更多 > 重新部署”。
  2. 单击“确定”。

    等待一段时间后,提示“部署任务已下发”。

    重新部署后,工作负载状态会由Active变为Updating,最终部署完成变为Active。

    同时pod也会删除重建,在CCE控制台实例名称也会发生变化,显示重建后的实例名称,如图19所示。

    图19 CCE中实例名称

查看/编辑YAML

  1. 在工作负载列表,单击工作负载“poc-podtest”所在行“操作”列的“更多 > 查看/编辑YAML”。
  2. 进入YAML页面查看并修改poc-podtest的YAML,例如将“memory: 512Mi”变更为“memory: 1024Mi”,修改完成后,单击“保存”,如图20所示。

    图20 修改YAML

  3. 在提示页面,确认差异点后,单击“保存”。

    工作负载状态变更为Updating,等待一段时间后刷新工作负载列表,状态变更为Active。

  4. 同时在CCE控制台查看容器内存配额由512MiB变更为1024MiB,如图21所示。

    图21 CCE中容器内存配额

进入命令行

  1. 在工作负载列表,单击工作负载“poc-podtest”所在行“操作”列的“更多 > 进入命令行”。
  2. 在容器的Web Terminal页面可以执行相关命令,例如执行如下命令查询路径,如图22所示。 

    pwd
    图22 执行命令查询路径

管理主机安全

设置主机安全配置项

纳管主机后运维中心默认不会纳管主机密码,不会对密码进行定时管理并修改,如果需要对已纳管的主机密码进行统一管理,需要修改配置值为“true”。

  1. 在主机管理服务左侧导航栏选择安全管理 > 安全配置,默认显示“密码白名单”页签。
  2. 单击“全局配置”,切换至“全局配置”页签。
  3. 单击配置项所在行后的“编辑”,修改配置值为“true”,并输入备注,如图23所示,然后单击“确定”。

    图23 修改安全配置项

创建运维账号并为服务绑定运维账号

  1. 选择左侧导航栏的运维账号 > 账号规划
  2. 单击“创建”,进入运维账号创建页面。
  3. 配置运维账号参数,如图24所示,参数说明如表4所示,配置完成后,单击“确定”。

    创建完成后列表显示该账号信息。
    图24 创建运维账号
    表4 创建运维账号参数说明

    参数名称

    示例

    参数说明

    账号

    appstageRSA

    自定义账号。

    只能包含数字、字母、“-”、“_”,且字符长度不超过32。

    产品

    -

    默认显示当前服务所属的产品名称,不可修改。

    服务

    -

    默认显示当前服务的服务名称,不可修改。

    是否默认账号

    -

    选择创建的账号是否为选择服务的默认账号。

    每个服务可以创建多个运维账号,只能设置其中一个为默认账号。

    公私钥算法

    RSA

    选择公私钥算法。

  4. 选择左侧导航栏的OS管理 > OS列表,进入“OS列表”页面。
  5. 勾选需要绑定账号的主机,单击“绑定服务账号”,进入“绑定服务账号”页面。
  6. 选择需绑定的账号“appstagetest”,单击“确定”。

登录业务主机

登录业务主机需要先完成纳管堡垒机,通过堡垒机登录业务主机后台,纳管堡垒机操作请参见纳管堡垒机

  1. 选择左侧导航栏的云服务器管理 > 弹性云服务器
  2. 单击待登录的主机所在行“操作”列的“更多 > 登录业务主机”。
  3. 选择登录账号、用途和原因等信息,单击“确定”,如图25所示,成功进入主机页面,表示登录成功,如图26所示。

    图25 登录业务主机
    图26 在VMS登录主机

  4. 执行如下命令查看root目录,提示权限不足,如图27所示。 

    ls /root
    执行如下命令重新查看,提示需要输入密码,即需要使用具体sudo权限的账号查看root目录。 
    sudo ls /root
    图27 查看目录

  5. 选择左侧导航栏的安全管理 > sudo权限进入“sudo权限”页面。
  6. 单击主机所在行后的“sudo权限申请”。
  7. 填写需要申请的账户,选择申请周期,选择申请目的并填写相关原因,如图28所示,单击“确定”。

    申请sudo权限任务下发后,可以在“任务列表”页面查看任务执行情况,当任务的成功总数和失败总数之和与任务总数一致时,说明申请成功。
    图28 申请sudo权限

  8. 在主机页面重新执行命令查看root目录,可以查看到目录下相关文件,如图29所示。

    图29 查看root目录

申请主机密码并在华为云控制台登录主机

  1. 选择左侧导航栏的安全管理 > 密码管理,进入“密码管理”页面。
  2. 单击主机“10.10.0.107”所在行后的“密码申请”。
  3. 选择需要申请的账户、申请周期、申请目的,并根据目的选择申请原因填写相关信息,如图30所示,然后单击“确定”。

    申请成功后在“我的导出”页面下载并查看已申请的密码。

    图30 申请密码

  4. 在华为云ECS控制台远程登录主机“10.10.0.107”,并使用root账号和已申请的密码登录该主机,如图31所示,登录操作请参见通过VNC登录Linux ECS

    图31 在ECS登录主机

相关文档