快速购买并登录堡垒机
云堡垒机(Cloud Bastion Host,CBH)是一款统一安全管控平台,为企业提供集中的账号(Account)、授权(Authorization)、认证(Authentication)和审计(Audit)管理服务。
通过购买云堡垒机,使用admin账号添加资源和策略即可实现对资源的运维和审计,同时可通过admin账号创建不同角色进行权限划分管理。
本文以购买10资产量的标准版单机实例类型为例,实现快速对Linux主机资源的运维和审计。
- 购买版本:标准版
- 性能规格:10资产量
- 实例类型:单机
- 纳管资源类型:Linux主机资源
操作流程
本文档介绍如何快速购买、配置云堡垒机。
步骤 |
说明 |
---|---|
使用云服务前,您需要注册华为账号并开通华为云、完成实名认证、为账户充值。 |
|
在云堡垒机控制台购买10资产量的标准版单机实例类型堡垒机。 |
|
购买堡垒机后会使用默认的admin账号登录堡垒机。 |
|
使用admin在堡垒机添加需要纳管的Linux资源,实现通过堡垒机访问资源,同时也可使用admin账号创建不同角色的账号实现权限的细分管理。 |
|
使用admin为资源绑定管理角色,同时配置登录的时间段、操作权限、黑名单或白名单等信息,创建对资源的访问控制策略。 |
步骤一:购买堡垒机
- 登录管理控制台。
- 在页面左上角单击,选择区域,选择 ,进入云堡垒机实例管理页面。
- 单击“购买云堡垒机”,进入云堡垒机的购买页面。
- 选择“云堡垒机实例”服务类型,根据设置实例的相关参数,相关说明请参考表2。
表2 购买云堡垒机实例参数说明 参数
示例
说明
计费模式
包年/包月
选择实例计费模式,可选择“包年/包月”模式。
包年/包月是预付费模式,按订单的购买周期计费,适用于可预估资源使用周期的场景。
按需计费:以小时计费。说明:按需计费开启后,只有删除目标实例才会停止计费,与实例运行状态无关。
当前区域
华东-上海一
选择堡垒机的使用区域,建议与待管理的ECS、RDS等服务器资源选择同一区域,可以降低网络时延、提高访问速度。
实例类型
单机
根据您的自身业务需求选择单机或者主备实例类型。
- 单机:购买后只有一台堡垒机。
- 主备:购买后会下发两台堡垒机,组成双机设备,主设备不可正常使用时可继续使用备用堡垒机,
说明:
如您购买的是主备实例,切勿禁用HA,否则会导致对应堡垒机无法登录。
可用分区
默认即可
可用区是购买的堡垒机部署的位置。
说明:主备实例会将主设备和备用设备分别部署在不同可用区,因此需要分别选择主可用区和备可用区,同样保持默认值即可。
实例名称
CBH-shanghai-01
自定义实例名称。
性能规格
10资产量
选择实例版本规格。
云堡垒机配备10/20/50/100/200/500/1000/2000/5000/10000资产规格。
云堡垒机提供“标准版”和“专业版”两个功能版本,每个版本配备50/100/200/500/1000/2000/5000/10000资产规格。
资产量表示当前购买的云堡垒机支持的最大可纳管的资源数和最大并发数,同时不同资产量对应的处理器、数据盘、系统盘大小都将会不同。
示例:选择100资产量表示可纳管资源数和最大并发数都为100个。
版本选择
标准版
云堡垒机提供“标准版”和“专业版”两个版本,专业版支持对数据库资源的纳管。
存储扩展包
0
如果您有超过资产量对应存储规格时,您可以通过存储扩容包进行扩容。
虚拟私有云
vpc-default(192.168.x.x/xx)
选择当前区域下虚拟私有云(Virtual Private Cloud,VPC)网络。
若当前区域无可选VPC,可单击“查看虚拟私有云”创建新的VPC。
分配IPv4地址
自动分配IP地址
选择“自动分配IP地址”或者“手动分配IP地址”。
选择“手动分配IP地址”后,可查看已使用的IP地址。
安全组
Sys-default
选择当前区域下安全组,系统默认安全组Sys-default。
若无合适安全组可选择,可单击“管理安全组”创建或配置新的安全组。
说明:- 一个安全组为同一个VPC网络内具有相同安全保护需求,并相互信任的CBH与资源提供访问策略。当云堡垒机加入安全组后,即受到该安全组中访问规则的保护。详细介绍请参见安全组简介。
- 云堡垒机可与资源主机ECS等共用安全组,各自调用安全组规则互不影响。
- 在创建HA实例前,需要安全组在入方向中放通22、31036、31679、31873这四个端口。
- 堡垒机创建时会自动开放80、8080、443、2222共四个端口,创建完成后若不需要使用请第一时间关闭。
- 堡垒机主备实例跨版本升级还会自动开放22、31036、31679、31873共四个端口,升级完成后保持31679开放即可,其余端口若不需要使用请第一时间关闭。
更多关于安全组的信息,请参见配置云堡垒机安全组。
弹性IP
100.x.x.x
(可选参数)选择当前区域下EIP。
若当前区域无可选EIP,可单击“购买弹性IP”创建弹性IP。
企业项目
default
选择此次购买的堡垒机所属的企业项目。
默认选择为“default”。
登录密码
Cbh@shanghai.10
自定义admin用户密码信息。
说明:- 密码设置要求
- 长度范围:8~32个字符,不能低于8个字符,且不能超过32 个字符。
- 规则要求:可设置英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(!@$%^-_=+[{}]:,./?~#*),且需同时至少包含其中三种。
- 不能包含用户名或倒序的用户名。
- 不能包含超过2个连续的相同字符。
- 需设置和确认输入两次密码信息,两次输入信息需一致才能成功设置密码。
- 云堡垒机系统无法获取系统管理员admin用户密码,请务必保存好登录账号信息。
- 系统管理员admin在首次登录云堡垒机系统时,请按照系统提示修改密码和配置手机号码,否则无法进入云堡垒机系统。
- 完成实例购买后,若忘记admin用户密码,可参考重置密码解决。
购买时长
1个月
选择实例使用时长。
可按月或按年购买云堡垒机。
- 配置完成后,查看“当前配置”确认信息,单击“立即购买”。
当收到网络限制提示时,请先“一键放通”网络限制,确保购买实例后授权下发成功。
您可以在安全组和防火墙ACL中查看相应规则。
- 云堡垒机所在安全组允许访问出方向9443端口;
- 云堡垒机所在子网未关联防火墙ACL,或关联的防火墙ACL为“开启”状态且允许访问出方向9443端口。
- 进入“订单详情”页面,确认订单无误并阅读《隐私政策声明》后,勾选“我已阅读并同意《隐私政策声明》”,单击“提交订单”。
- 在支付页面完成付款,返回云堡垒机控制台页面,在“云堡垒机实例”列表下查看新购买的实例。
购买实例成功后,后台自动创建CBH系统,大约需要10分钟。
后台创建CBH系统完成前,即实例的“状态”未变为“运行”前,请勿解绑EIP,否则可能导致CBH系统创建失败。
步骤二:登录堡垒机
堡垒机的纳管、运维、审计等操作均需登录至实例进行操作。
- 返回云堡垒机实例列表页面,查看购买的云堡垒机“运行状态”为“运行”。
- 单击“操作”列“远程登录”,在弹窗中单击“Admin登录”的“登录”按钮,将自动登录堡垒机实例。
首次登录需要修改admin原始密码后才能正常进入堡垒机实例。
图2 登录堡垒机
步骤三:添加资源
将资源添加至堡垒机后,才可通过堡垒机对资源进行审计或运维。
- 在堡垒机实例页面选择
,进入主机管理列表页面。
如果需要添加应用资源,选择
,详情请参见。 - 单击“新建”,弹出新建主机编辑窗口,配置主机资源的网络参数和基础信息。
图3 新建单个主机资源
表3 主机资源网络参数说明 参数
示例
说明
主机名称
host-shanghai-01
自定义的主机资源名称,系统内“主机名称”不能重复。
协议类型
SSH
根据需要添加主机的协议类型选择。
主机地址
100.x.x.x
输入主机与堡垒机网络通畅的IP地址。
端口
22
输入能正常访问主机的端口号。
系统类型
Linux
(可选)选择主机的操作系统类型或者设备系统类型。
- 默认为空,需要根据添加的资源系统类型选择对应的系统类型。
- 支持14种系统类型,包括Linux、Windows、Cisco、Huawei、H3C、DPtech、Ruijie、Sugon、Digital China sm-s-g 10-600、Digital China sm-d-d 10-600、ZTE、ZTE5950-52tm、Surfilter、ChangAn。
- 同时支持系统管理员admin自定义系统类型。
编码
UTF-8
“协议类型”选择“SSH”、“TELNET”协议类型主机时,可选择运维界面中文编码。
可选择UTF-8、Big5、GB18030。
终端类型
Linux
“协议类型”选择“SSH”、“TELNET”协议类型主机可选择运维终端类型。
可选择Linux、Xterm。
更多选项
默认即可
(可选)选择配置文件管理、X11转发、上行剪切板、下行剪切板、键盘审计。
- 文件管理:仅SSH、RDP、VNC协议类型主机可配置。
- 剪切板:仅SSH、RDP、TELNET协议类型主机可配置。
- X11转发:仅SSH协议类型主机可配置。
- 键盘审计:仅RDP、VNC、协议类型主机可配置。
所属部门
总部
选择主机所属部门。
- 单击“下一步”,为纳管的主机资源添加账户,选择“以后添加”。
图4 添加资源账户
- 单击“确定”,且资源账户验证通过后,返回主机列表查看添加的主机资源。
步骤四:添加访问控制策略
资源添加后,需要为资源绑定账户或访问IP,以确保资源的访问安全性。
- 在堡垒机实例选择 ,进入策略列表页面。
- 单击“新建”,弹出策略基本属性配置窗口,配置策略基本信息。
图5 添加访问控制策略
- 单击“下一步”,选择当前策略关联的用户admin。
图6 选择关联用户
- 单击“下一步”,选择当前策略关联的资源账户。
资源账户“Empty”为添加资源时为资源自动创建的账户,用来登录资源使用。
图7 关联资源账户
- 单击“确定”,可在策略列表查看新建的策略。
完成策略配置后,可在“Empty”账户执行登录操作,登录后可执行运维操作,返回堡垒机实例选择 可查看登录日志和操作日志。
列表页面选择目标主机使用
后续操作
- 如果有管理角色区分需求,可通过admin登录堡垒机在堡垒机实例添加不同的角色进行权限的细分管理。
- 如果对登录、账户、会话、网关、路由器、端口、认证、告警有自定义设置需求,可在 中进行配置。