运维主机

组网需求

企业有两台服务器，需要将服务器纳入堡垒机进行统一运维管控，运维用户通过堡垒机登录进行运维操作。其中一台为交换机，通过SSH协议远程运维，另一台为路由器，通过SSH协议远程运维。

图1 交换机/路由器运维场景组网

配置思路

• 规划堡垒机地址时，需要确保堡垒机管理/业务网络设置的IP地址可与待管理设备及运维人员访问堡垒机的运维终端IP可达。
• 通过网络层面配置，例如策略路由、ACL策略做访问控制策略，限制运维用户只能访问堡垒机，无法直接访问交换机和路由器，允许堡垒机能够访问交换机和路由器。
• 堡垒机管理员登录堡垒机系统添加运维用户、主机资源和访问策略。运维用户账户即可登录堡垒机系统进行运维操作。
• 堡垒机系统可对运维用户的操作进行审计。

管理员配置用户并纳管资产

1. 使用admin账户登录堡垒机系统。

2. 单击，将控制台切换到“管理控制台”模式。
3. 在左侧导航树，选择“用户 > 用户管理”，单击“新建”添加运维用户（此处以test1用户为例），设置静态登录密码。
   图2 添加运维用户
   

4. 添加资源，可手动添加或通过模板批量导入添加。
   • 手动添加。
     1. 在管理控制台模式下，选择“资产 > 资产管理”，添加需要纳入堡垒机管控的交换机和路由器资产信息，此处以交换机资产进行配置举例，路由器仅需要在资产模板中选择对应的资产模板。
        在“资产模板”窗口选择NETWORK，单击“下一步”，在“资产信息”窗口的基本信息区域设置“资产名称”、“IP/域名”、“操作系统”、“所属网络”、“所在目录”等信息。

        图3 添加资源-基础信息
        
     2. 单击“下一步”，在“资产账号”窗口，添加资产账号信息，设置账号、密码等信息。
        图4 添加资产账号
        
     3. 单击“确定”。
   • 批量导入。
     1. 在管理控制台模式下，选择“资产 > 资产管理”，在资产管理页面，单击新建右侧的下拉箭头，选择“导入资产”，然后在“导入”弹出框中单击“下载模板文件”。
        图5 资产导入模块
        
     2. 通过文档编辑工具（如Office或WPS）打开导出的资源模板，按照格式添加需要新增的资源信息，包括资产名称、资产地址、资产服务、账号登录名、账号服务、资产目录等信息。
        图6 编辑资源导入模板
        
     3. 在“导入”弹出框中，单击“选择文件”，选择已编辑好的资源导入模板，最后单击“导入”完成导入。
        图7 资源批量导入
        

5. 添加访问授权策略。
   1. 在管理控制台模式下，选择“授权 > 授权规则”中，进行用户和资产的权限分配。
   2. 新建授权规则。

      在“规则视图”页签，单击“新建”，输入授权规则名称、设置授权规则有效时间等信息。

      图8 新建授权规则（基本信息）
      
      图9 新建授权规则（添加用户和资产）
      
      图10 运维规则列表
      

运维用户运维操作

1. 使用已创建的运维用户test1登录堡垒机，验证运维用户运维操作。
2. 在个人工作台，进入“运维”页面，单击“运维配置”，选择使用的客户端工具。
   图11 运维配置
   
3. 进入“运维”页面，选择资产进行运维。
   图12 资产运维界面
   
   图13 客户端运维
   
4. 直连服务器运维操作。
   图14 直连服务器运维
   

管理员审计运维操作

1. 使用管理员“admin”登录堡垒机。
2. 在控制台切换区，单击图标，选择“管理控制台”，切换至管理控制台操作页面。
3. 在管理台操作界面，选择“审计 > 在线会话”，查看运维操作的在线会话日志。
   图15 在线会话
   
4. 运维之后，在管理台操作界面，选择“审计 > 历史会话”，查看历史会话。
   图16 审计会话查询