运维应用

组网需求

如图1所示，企业有两台服务器，需要将服务器纳入堡垒机进行统一运维管控，运维用户通过堡垒机登录进行运维操作。其中一台为Linux服务器，通过SSH协议远程运维，另一台为Web应用服务器，通过浏览器访问。

堡垒机配套增加应用发布服务器实现对Web应用的运维操作和审计。

图1 应用发布场景组网

配置思路

1. 增加应用发布服务器与堡垒机配合实现对使用浏览器或第三方运维工具的运维和审计。
2. 通过网络层面做访问控制策略，限制运维用户只能访问堡垒机和应用发布服务器，无法直接访问Linux主机和Windows主机，允许堡垒机和应用发布服务器能够访问Linux主机和Web应用服务。
3. 管理员登录堡垒机系统添加运维用户、主机资源和访问策略。运维用户账户即可登录堡垒机系统对Web应用进行运维操作。

   堡垒机系统可对运维用户的Web应用操作进行审计。

管理员配置用户并纳管资产

1. 添加运维用户、资源和访问策略。

   示例：通过admin管理员登录，添加运维用户test1，添加Linux主机和Web应用资源，并建立运维用户test1和资源的访问授权关系。在管理操作界面的“用户”中，添加运维用户test1，设置静态登录密码。

   图2 添加运维用户
   

2. 应用发布。

   选择“资产 > 资产管理”，单击“新建”，在新建资产窗口，资产模板处选择“B/S”，单击“下一步”，在资产信息页面输入资产信息和URL，单击“下一步”，在资产账号页面输入账号信息，单击“确定”。

   在执行此步骤操作前，请先在“资产/资产管理”添加安装应用发布器的资产与账号，并在“资产/远程客户端”页面关联应用发布服务器。

   图3 应用发布
   

   

   • 由于IE浏览器本身的局限性，堡垒机的IE代填针对部分网站存在无法代填，建议使用Chrome代填。

   • 如果网站做了反爬虫或者标签比较特殊，则无法代填成功，需要您手动输入网页的“登录账号”和“登录密码”。

3. 添加访问授权策略。
   1. 选择“授权 > 授权规则”中，进行用户和资产的权限分配。
   2. 新建授权规则。通过“授权规则”界面“新建授权规则”，设置授权规则名称和设置授权规则有效时间等信息。
      图4 新建授权规则
      
      图5 添加用户和应用
      
      图6 运维规则列表
      

运维用户运维操作

1. 使用已创建的运维用户test1登录堡垒机。
2. 在个人工作台，进入“运维”页面，选择资产进行运维。
   图7 应用运维界面
   

管理员审计运维操作

1. 使用管理员admin登录堡垒机。
2. 在控制台切换区，单击图标，选择“管理控制台”，切换至管理控制台操作页面。
3. 在管理台操作界面，选择“审计 > 在线会话”，查看运维操作的在线会话日志。
   图8 在线会话