文档首页/ 云堡垒机 CBH/ 用户指南(联盟区域)/ 纳管资源/ 纳管主机或数据库资源/ 通过堡垒机纳管主机或数据库资源
更新时间:2025-12-10 GMT+08:00
查看PDF
分享

通过堡垒机纳管主机或数据库资源

堡垒机支持添加SSH、RDP、VNC、TELNET、FTP、SFTP、SCP、Rlogin等协议类型的资源,包括Linux主机、Windows主机和数据库等。

本章节主要介绍通过添加单个主机资源、自动发现主机资源、克隆主机资源等方式,将主机资源纳入堡垒机进行集中管理。

约束限制

  • 添加的主机和应用资源数量总和不能超过资产数。
  • 系统内协议类型@主机地址:端口需唯一,不能重复,即被纳管的主机资源需唯一。否则再次创建相同配置的主机时,会报“主机已存在”错误。
  • 为主机资源配置“所属部门”为上级部门时,当前用户的角色需拥有管理权限,否则会配置失败。修改用户角色管理权限,请参见修改角色信息

前提条件

已获取“主机管理”模块操作权限。

添加单个主机或数据库资源

  1. 登录堡垒机系统。
  2. 选择资源 > 主机管理,进入主机管理列表页面。
  3. 单击“新建”,弹出新建主机编辑窗口。

    配置主机资源的网络参数和基础信息。
    表1 添加资源参数说明

    参数

    说明

    主机名称

    自定义的主机资源名称,系统内“主机名称”不能重复。

    协议类型

    选择主机的协议类型。

    支持协议类型有SSH、RDP、VNC、TELNET、FTP、SFTP、SCP、Rlogin。

    主机地址

    输入主机与堡垒机网络通畅的IP地址

    • 选择主机的EIP地址或私有IP地址,建议优先选择可用私有IP地址。
    • 系统默认要求网络接口为主机的IPv4地址。主机开启IPv6地址后,可配置主机的IPv4或IPv6地址。
      说明:

      因堡垒机管理同一VPC网络下的主机资源,根据网络稳定性与就近优势。私有IP对外访问的端口不受网络安全(安全组和ACL)的限制。EIP为独立的弹性IP,对外访问的端口受网络安全限制,可能导致无法通过堡垒机登录到主机。

      故建议“主机地址”优先考虑配置同VPC网络下私有IP地址。

    端口

    输入主机的端口号。

    系统类型

    (可选)选择主机的操作系统类型或者设备系统类型。

    • 默认为空,需要根据添加的资源系统类型选择对应的系统类型。
    • 提供多种默认系统类型,并支持系统管理员admin自定义系统类型,详情请参见系统类型

    终端速度

    “协议类型”选择“Rlogin”协议类型主机时,可选择不同终端速率。

    编码

    “协议类型”选择“SSH”“TELNET”时,可选择运维界面中文编码。

    可选择UTF-8、Big5、GB18030。

    终端类型

    “协议类型”选择“SSH”“TELNET”时,可选择运维终端类型。

    可选择Linux、Xterm。

    更多选项

    (可选)选择配置文件管理、X11转发、上行剪切板、下行剪切板、键盘审计。

    • 文件管理:仅SSH、RDP、VNC协议类型主机可配置。
    • 剪切板:仅SSH、RDP、TELNET协议类型主机可配置。
    • X11转发:仅SSH协议类型主机可配置。
    • 键盘审计:仅RDP、VNC协议类型主机可配置。

    所属部门

    选择主机所属部门。

    标签

    (可选)自定义标签或选择已有标签。

    主机描述

    (可选)对主机的简要描述。

  4. 单击“下一步”,纳管主机资源的账号信息。

    表2 纳管主机账户信息说明

    参数

    说明

    添加账户

    选择立即添加账户,或以后再添加账户。

    • 选择“立即添加”,需要继续配置下面的各项内容。
    • 选择“以后添加”,将结束本页配置,后续您可以在资源列表或资源详情中添加账户。

    登录方式

    选择登录方式,可选择自动登录、手动登录、提权登录或CSMS凭证登录。

    • 选择“自动登录”时,“主机账户”和“密码”为必填项。
    • 选择“手动登录”时,“主机账户”和“密码”为可选项。
    • 选择“CSMS凭证登录”时,需要已有凭证供选择。
    • 选择“提权登录”,必须输入密码。
      说明:

      如果选择了密钥对自动登录方式,在创建改密策略的时候需要勾选“允许修改SSH key”选项,否则手动执行改密可能会失败。

    主机账户

    输入主机中的账户名。

    说明:

    若主机安装了AD域服务,添加的主机账户为域名\主机账户名,例如ad\administrator。

    密码

    输入主机账户对应的密码。

    默认勾选“验证”,配置完成确定后,自动验证资源账户的状态。

    说明:
    • 验证账户通过后,直接保存资源主机相关信息。
    • 验证账户不通过
      • 提示验证账户超时,请返回配置窗口,确认并修改资源信息;如果纳管的是root账号,请确认对应主机已开启允许root登录权限。
      • 提示账户密码错误,请返回配置窗口,确认并修改资源账户密码。

    SSH Key

    针对SSH协议类型主机,可配置登录SSH Key验证。

    配置后优先使用SSH Key登录资源。

    Passphrase

    SSH Key对应私钥序列,可选择配置。

    • 未生成私钥密码情况下,登录主机无需输入密码。
    • 已生成私钥密码情况下,每次登录主机需手动输入私钥密码。

    账户描述

    对资源账户的简要描述。

    未配置主机账户和密码时,默认创建“[Empty]”空账户,登录资源时需手动输入主机账户和相应密码。

  5. 单击“确定”,且资源账户验证通过后,返回主机列表查看新建的主机资源。

自动发现主机或数据库资源

“自动发现”功能可通过输入的IP地址或地址段,使用Nmap工具扫描并发现该IP网段下所有的主机资源。

主机与堡垒机在同一VPC内,且网络连接通畅,才能“自动发现”主机。

  1. 登录堡垒机系统。
  2. 选择资源 > 主机管理,进入主机管理列表页面。
  3. 单击界面右上角的“自动发现”,弹出配置界面。
  4. 输入需导入的主机“IP地址”和主机的“端口”

    默认端口21,22,23,3389,5901,也可添加其它端口或端口范围。

  5. 单击“确定”,自动开始扫描。
  6. 扫描结束后,勾选需要导入的主机。

    • 输入主机名称,如果不输入主机名称,默认名称为主机IP。
    • 主机会根据端口默认选中相关协议类型,如果未匹配默认端口,则需要手动选取协议类型。

  7. 选择自动发现的主机,单击“添加”

    单击“返回”“关闭”,返回主机列表页面,查看新增的主机资源。

克隆主机或数据库资源

若主机服务器内有多种资源形式,可通过克隆已添加的主机资源配置,并修改一定配置参数,快速添加主机资源。

  1. 登录堡垒机。
  2. 选择资源 > 主机管理,进入主机管理列表页面。
  3. 在已添加的主机资源的“操作”列,单击“更多 > 克隆”,弹出新建主机编辑窗口。
  4. 修改已有主机信息,并添加资源账户。

    “协议类型”“主机地址”“端口”三个参数中必须修改一个。

  5. 单击“确认”,返回主机列表页面,查看新添加的主机资源。