文档首页/ 云堡垒机 CBH/ 用户指南(联盟区域)/ 创建云堡垒机
更新时间:2025-12-10 GMT+08:00
查看PDF
分享

创建云堡垒机

背景信息

一个云堡垒机实例对应一个独立运行的云堡垒机运维管理系统环境。首先用户需创建云堡垒机实例,获得一个云堡垒机账户,再登录云堡垒机系统并配置运维管理环境,才能实现云堡垒机实时远程高效运维管理。

操作场景

购买堡垒机时,根据堡垒机“单机”“主备”实例类型的不同,可用区选择也有所区别。

  • 单机:创建后只创建一台堡垒机,可以选择任意可用区。
  • 主备:创建后会创建两台堡垒机,需要分别选择主可用区和备可用区,可根据容灾或网络时延需求进行选择。
    • 场景一:如果有容灾能力的需求,建议主实例和备实例部署在不同的可用区。

      示例:“主可用区”选择“可用区1”“备可用区”选择“可用区2”

      图1 满足容灾能力的可用区选择
    • 场景二:如果对网络时延有较高要求,建议主实例和备实例部署在同一可用区,此时网络时延较小。

      示例:“主可用区”“备可用区”都选择“可用区1”

      图2 满足网络低时延的可用区选择

前提条件

  • 已获取待纳管资源信息,且待纳管资源在CBH支持使用的区域内。

操作步骤

  1. 登录管理控制台。
  2. 在页面左上角选择“区域”,单击,在服务列表选择安全 > 云堡垒机
  3. 单击“创建云堡垒机”,进入云堡垒机的申请页面。
  4. 选择“云堡垒机实例”服务类型,根据设置实例的相关参数,相关说明请参考表1

    表1 云堡垒机实例参数说明

    参数

    说明

    计费模式

    选择实例计费模式,仅支持“按需”模式。

    按需计费:以小时计费。
    说明:

    按需计费开启后,只有删除目标实例才会停止计费,与实例运行状态无关。

    当前区域

    选择堡垒机的区域,请就近选择靠近您业务的区域,可减少网络时延,提高访问速度。

    实例类型

    根据您的自身业务需求选择单机或者主备实例类型。

    • 单机:购买后只有一台堡垒机。
    • 主备:购买后会下发两台堡垒机,组成双机设备,主设备不可正常使用时可继续使用备用堡垒机。
      说明:

      如您购买的是主备实例,切勿禁用HA,否则会导致对应堡垒机无法登录。

    可用区

    可用区是创建的堡垒机部署的位置。

    实例名称

    自定义实例名称。

    性能规格

    选择实例版本规格。

    云堡垒机提供“标准版”“专业版”两个功能版本,配备50/100/200/500/1000/2000/5000资产规格。

    资产量表示当前创建的云堡垒机支持的最大可纳管的资源数和最大并发数,同时不同资产量对应的处理器、数据盘、系统盘大小都将会不同。

    示例:选择100资产量表示可纳管资源数和最大并发数都为100个。

    说明:

    当前主备实例暂不支持通过弹性公网EIP纳管公网资源。

    虚拟私有云

    选择当前区域下虚拟私有云(Virtual Private Cloud,VPC)网络。

    若当前区域无可选VPC,可单击“查看虚拟私有云”创建新的VPC。

    说明:
    • 默认情况下,不同区域的VPC之间内网不互通,同区域的不同VPC内网不互通,同一个VPC下的不同可用区之间内网互通。
    • 云堡垒机支持直接管理同一区域同一VPC网络下ECS等资源,同一区域同一VPC网络下ECS等资源可以直接访问。若需管理同一区域不同VPC网络下ECS等资源,要通过对接连接、VPN或其他方式打通两个VPC间的网络;不建议跨区域管理ECS等资源。

    子网

    选择当前VPC内子网。

    说明:

    子网选择必须在VPC的网段内。

    分配IPv4地址

    选择“自动分配IP地址”或者“手动分配IP地址”

    选择“手动分配IP地址”后,可查看已使用的IP地址。

    安全组

    选择当前区域下安全组,系统默认安全组Sys-default

    若无合适安全组可选择,可单击“新建安全组”创建或配置新的安全组。

    说明:
    • 一个安全组为同一个VPC网络内具有相同安全保护需求,并相互信任的CBH与资源提供访问策略。当云堡垒机加入安全组后,即受到该安全组中访问规则的保护。
    • 云堡垒机可与资源主机ECS等共用安全组,各自调用安全组规则互不影响。
    • 如需修改安全组,请参见更改安全组章节。
    • 在创建HA实例前,需要安全组在入方向中放通22、31036、31679、31873这四个端口。
    • 堡垒机创建时会自动开放80、8080、443、2222共四个端口,创建完成后若不需要使用请第一时间关闭。
    • 堡垒机主备实例跨版本升级还会自动开放22、31036、31679、31873共四个端口,升级完成后保持31679开放即可,其余端口若不需要使用请第一时间关闭。

    弹性IP

    (可选参数)选择当前区域下EIP。

    若当前区域无可选EIP,可单击“创建弹性IP”

    说明:
    • 若创建时选择了弹性IP之后,在实例状态变为运行后,EIP未绑定成功,可能是创建过程中此EIP已经绑定其他服务器,需要参考绑定弹性公网IP章节重新绑定弹性公网IP。
    • 一个弹性公网IP只能绑定一个云资源使用,云堡垒机绑定的弹性IP不能与其他云资源共用。实例创建成功后,弹性IP作为云堡垒机系统登录IP使用。所以为了正常使用云堡垒机,用户账号至少需要创建一个弹性IP。此处若未绑定EIP,后期可参考绑定弹性公网IP章节绑定弹性公网IP。
    • 为满足CBH系统使用需求,建议配置EIP带宽为5M以上。
    • 实例创建成功后,可根据需要“解绑弹性公网IP”“绑定弹性公网IP”操作,更换云堡垒机系统登录EIP地址。

    企业项目

    选择此次创建的堡垒机所属的企业项目。

    默认选择为“default”

    用户名

    默认用户名“admin”

    系统管理员账号admin拥有系统最高操作权限,请妥善保管账号信息。

    登录密码

    自定义admin用户密码信息。

    说明:
    • 密码设置要求
      • 长度范围:8~32个字符,不能低于8个字符,且不能超过32 个字符。
      • 规则要求:可设置英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(!@$%^-_=+[{}]:,./?~#*),且需同时至少包含其中三种。
      • 不能包含用户名或倒序的用户名。
      • 不能包含超过2个连续的相同字符。
    • 需设置和确认输入两次密码信息,两次输入信息需一致才能成功设置密码。
    • 云堡垒机系统无法获取系统管理员admin用户密码,请务必保存好登录账号信息。
    • 系统管理员admin在首次登录云堡垒机系统时,请按照系统提示修改密码和配置手机号码,否则无法进入云堡垒机系统。
    • 完成实例创建后,若忘记admin用户密码,可参考重置密码解决。

    标签

    标签:如果您需要使用同一标签标识多种云资源,即所有服务均可在标签输入框下选择同一标签,建议在TMS中创建预定义标签。

    如您的组织已经设定云堡垒机的相关标签策略,则需按照标签策略规则为云堡垒机实例添加标签。标签如果不符合标签策略的规则,则可能会导致云堡垒机创建失败,请联系组织管理员了解标签策略详情。

  5. 配置完成后,确认当前配置信息无误后,单击“立即创建”

    当收到网络限制提示时,请先“一键放通”网络限制,确保创建实例后授权下发成功。

    您可以在安全组和防火墙ACL中查看相应规则。

    • 云堡垒机所在安全组允许访问出方向9443端口。
    • 云堡垒机所在子网未关联防火墙ACL,或关联的防火墙ACL为“开启”状态且允许访问出方向9443端口。

  6. 在订单详情页面,确认订单信息无误后,单击“提交订单”
  7. 返回云堡垒机控制台页面,在“云堡垒机实例”列表下查看新创建的实例。

    创建实例成功后,后台自动创建CBH系统,大约需要10分钟。

    后台创建CBH系统完成前,即实例的“状态”未变为“运行”前,请勿解绑EIP,否则可能导致CBH系统创建失败。

后续操作

  • 当实例的“运行状态”“运行”时,说明CBH系统创建成功,此时您才能登录CBH系统。
  • 当实例的“运行状态”“创建失败”时,在弹出的“创建失败实例”对话框中查看失败原因。
  • 实例发放完成后,建议您及时配置、更换堡垒机实例的证书。