通过堡垒机纳管主机资源
堡垒机支持添加SSH、RDP、VNC、TELNET、FTP、SFTP、DB2、MySQL、SQL Server、Oracle、SCP、Rlogin等协议类型的资源,包括Linux主机、Windows主机和数据库等。
本章节主要介绍通过添加单个主机资源、从文件导入主机资源、导入云主机资源、自动发现主机资源、克隆主机资源等方式,将主机资源纳入堡垒机进行集中管理。
约束限制
前提条件
已获取“主机管理”模块操作权限。
添加单个主机资源
- 登录堡垒机系统。
- 选择 ,进入主机管理列表页面。
- 单击“新建”,弹出新建主机编辑窗口。
配置主机资源的网络参数和基础信息。图1 新建单个主机资源
表1 主机资源网络参数说明 参数
说明
主机名称
自定义的主机资源名称,系统内“主机名称”不能重复。
协议类型
选择主机的协议类型。
- 专业版支持协议类型有SSH、RDP、VNC、TELNET、FTP、SFTP、DB2、MySQL、SQL Server、Oracle、SCP、Rlogin、DM。
- 标准版支持协议类型有SSH、RDP、VNC、TELNET、FTP、SFTP、SCP、Rlogin、DM。
主机地址
输入主机与堡垒机网络通畅的IP地址
- 选择主机的EIP地址或私有IP地址,建议优先选择可用私有IP地址。
- 系统默认要求网络接口为主机的IPv4地址。主机开启IPv6地址后,可配置主机的IPv4或IPv6地址。
说明:
因堡垒机管理同一VPC网络下的主机资源,根据网络稳定性与就近优势。私有IP对外访问的端口不受网络安全(安全组和ACL)的限制。EIP为独立的弹性IP,对外访问的端口受网络安全限制,可能导致无法通过堡垒机登录到主机。
故建议“主机地址”优先考虑配置同VPC网络下私有IP地址。
端口
输入主机的端口号。
系统类型
(可选)选择主机的操作系统类型或者设备系统类型。
- 默认为空,需要根据添加的资源系统类型选择对应的系统类型。
- 支持14种系统类型,包括Linux、Windows、Cisco、Huawei、H3C、DPtech、Ruijie、Sugon、Digital China sm-s-g 10-600、Digital China sm-d-d 10-600、ZTE、ZTE5950-52tm、Surfilter、ChangAn。
- 同时支持系统管理员admin自定义系统类型。
- 详情请参见系统类型说明。
终端速度
“协议类型”选择“Rlogin”协议类型主机时,可选择不同终端速率。
编码
“协议类型”选择“SSH”、“TELNET”协议类型主机时,可选择运维界面中文编码。
可选择UTF-8、Big5、GB18030。
终端类型
“协议类型”选择“SSH”、“TELNET”协议类型主机可选择运维终端类型。
可选择Linux、Xterm。
更多选项
(可选)选择配置文件管理、X11转发、上行剪切板、下行剪切板、键盘审计。
- 文件管理:仅SSH、RDP、VNC协议类型主机可配置。
- 剪切板:仅SSH、RDP、TELNET协议类型主机可配置。
- X11转发:仅SSH协议类型主机可配置。
- 键盘审计:仅RDP、VNC、协议类型主机可配置。
所属部门
选择主机所属部门。
标签
(可选)自定义标签或选择已有标签。
主机描述
(可选)对主机的简要描述。
- 单击“下一步”,纳管主机资源的账号信息。
表2 纳管主机账户信息说明 参数
说明
添加账户
选择立即添加账户,或以后再添加账户。
- 选择“立即添加”,需要继续配置下面的各项内容。
- 选择“以后添加”,将结束本页配置,后续您可以在资源列表或资源详情中添加账户。
登录方式
选择登录方式,可选择自动登录、手动登录、提权登录或CSMS凭证登录。
- 选择“自动登录”时,“主机账户”和“密码”为必填项。
- 选择“手动登录”时,“主机账户”和“密码”为可选项。
- 选择“CSMS凭证登录”时,需要已有凭证供选择。
- 选择“提权登录”,必须输入密码。
说明:
如果选择了密钥对自动登录方式,在创建改密策略的时候需要勾选“允许修改SSH key”选项,否则手动执行改密可能会失败。
主机账户
输入主机中的账户名。
说明:若主机安装了AD域服务,添加的主机账户为域名\主机账户名,例如ad\administrator。
密码
输入主机账户对应的密码。
默认勾选“验证”,配置完成确定后,自动验证资源账户的状态。
说明:- 验证账户通过后,直接保存资源主机相关信息。
- 验证账户不通过
- 提示验证账户超时,请返回配置窗口,确认并修改资源信息。
- 提示账户密码错误,请返回配置窗口,确认并修改资源账户密码。
SSH Key
针对SSH协议类型主机,可配置登录SSH Key验证。
配置后优先使用SSH Key登录资源。
Passphrase
SSH Key对应私钥序列,可选择配置。
- 未生成私钥密码情况下,登录主机无需输入密码。
- 已生成私钥密码情况下,每次登录主机需手动输入私钥密码。
账户描述
对资源账户的简要描述。
未配置主机账户和密码时,默认创建“[Empty]”空账户,登录资源时需手动输入主机账户和相应密码。
- 单击“确定”,且资源账户验证通过后,返回主机列表查看新建的主机资源。
从文件导入主机资源
文件导入方式上传的文件类型需为csv、xls或xlsx格式的表格文件。
- 登录堡垒机系统。
- 选择 ,进入主机管理列表页面。
- 单击界面右上角的“导入”,弹出配置界面。
- “导入方式”选择“从文件导入”。
- 单击“单击下载”,下载模板文件到本地。
- 按照模板文件中的配置项说明,填写要导入的主机配置信息。
表3 主机导入模板参数说明 参数
说明
名称
(必填)填入自定义主机资源名。
IP地址/域名
(必填)填入主机的IP地址或域名。
协议类型
(必填)选择主机资源的协议类型,仅能填写一种类型。
- 专业版支持协议类型有SSH、RDP、VNC、TELNET、FTP、SFTP、DB2、MySQL、SQL Server、Oracle、SCP、Rlogin。
- 标准版支持协议类型有SSH、RDP、VNC、TELNET、FTP、SFTP、SCP、Rlogin。
端口
(必填)填入主机端口。
系统类型
填入主机的系统类型。
所属部门
(必填)填入资源所归属的部门,需完整填写部门结构。
- 仅可填入一组部门层级,一个资源只能分属一个部门。
- 默认可填入部门为总部,部门上下级之间用“,”隔开。
- 请务必确保填入系统内已创建的部门。
标签
填入主机资源标签。
- 可填入多个标签,标签之间用“,”隔开。
主机描述
填入对主机资源的简要描述。
主机账户
填入主机资源账户名称。
- 不填写,也不会生成Empty账户。
登录方式
选择主机资源登录方式。
- 可选择自动登录、手动登录、提权登录。
特权账户
选择是否设置资源账户为特权账户。
- 可选择是或否。
密码
填入资源账户的登录密码。
SSH Key
针对SSH协议类型主机,可填入登录SSH Key验证。
配置后优先使用SSH Key登录资源。
passphrase
填入SSH Key对应私钥序列。
若您已生成私钥密码,每次登录主机需手动输入私钥密码。
Oracle参数
针对Oracle协议类型主机,必须填入参数。
- 可选择SERVICE_NAME或SID
- 可填入多个参数,参数之间用“,”隔开。
SERVICE_NAME或SID
针对Oracle协议类型主机,必须填入参数值。
- 可填入多个参数值,参数值之间用“,”隔开。
登录角色
针对Oracle协议类型主机,必须填入参数。
- 可选择normal、sysdba、sysoper
- 可填入多个参数,参数之间用“,”隔开。
数据库名
针对DB2数据库,必须填入参数。
- 可选择数据库名、实例名。
- 可填入多个参数,参数之间用“,”隔开。
实例名
针对DB2数据库,必须填入参数。
- 可选择数据库名、实例名。
- 可填入多个参数,参数之间用“,”隔开。
切换自
针对SSH协议类型主机,填入SSH主机资源账户名称,将该账户提权为特权账户。
切换命令
填入切换账户的执行命令。
账户描述
填入对资源账户的简要描述。
账户组
填入资源账户所属的账户组。
- 资源账户可同时存在于同部门多个账户组,不同账户组之间用“,”隔开。
- 请务必确保填入系统内已创建的账户组。
- 单击“单击上传”,选择要导入的文件。
- (可选)勾选“覆盖已有主机”,默认不勾选。
- 勾选,表示当协议类型@主机地址:端口信息重复时,覆盖原有主机信息。
- 不勾选,表示当协议类型@主机地址:端口信息重复时,跳过重复的主机信息。
- 单击“确定”,返回主机列表查看新增的主机。
- 文件方式导入主机时,需严格按照Excel配置要求填写主机信息。
- SSH协议类型主机支持配置SSH Key私钥登录方式。在填写SSH Key和Passphrase时,需填写正确的私钥和密码,不要引入其他字符和空格。配置SSH Key公钥和Passphrase密码后,优先SSH Key私钥方式验证登录资源。
- SSH Key私钥和Passphrase密码为选填项,建议批量导入的资源仅纳管主机账户和密码登录。
导入云主机资源
支持检索账号下全量Region资源,实现一键添加。
- 登录堡垒机系统。
- 选择 ,进入主机管理列表页面。
- 单击界面右上角的“导入云资源”,弹出配置界面。
表4 导入云资源配置说明 参数
说明
资源类型
可选择云主机和云数据库。
说明:云数据库目前仅支持MySQL、PostgreSQL、SQL Server类型的数据库。
认证类型
支持选择AK/SK和云服务委托。
说明:目前平台侧堡垒机(PBH)仅支持AK/SK类型。
Access Key ID
认证类型选AK/SK时需填写该项。
单击输入框后面的帮助按钮,获取相关信息。
Access Key Secret
认证类型选AK/SK时需填写该项。
单击“Access Key ID”输入框后面的帮助按钮,获取相关信息。
优先导入IP
可选择“公网”或“内网”。
更多选项
(可选)勾选“覆盖已有主机”,默认不勾选。
- 勾选,表示当协议类型@主机地址:端口信息重复时,覆盖原有主机信息。
- 不勾选,表示当协议类型@主机地址:端口信息重复时,跳过重复的主机信息。
所属部门
为导入主机配置部门。
标签
为导入主机配置标签。
- 确认信息无误,单击“下一步”,进入区域选择页面,选择需要导入资源的区域。
一次只能选择一个区域进行导入。
- 确认无误,单击“下一步”,自动执行导入,完成后在主机主机列表查看即可。
自动发现主机资源
“自动发现”功能可通过输入的IP地址或地址段,使用Nmap工具扫描并发现该IP网段下所有的主机资源。
主机与堡垒机在同一VPC内,且网络连接通畅,才能“自动发现”主机。
- 登录堡垒机系统。
- 选择 ,进入主机管理列表页面。
- 单击界面右上角的“自动发现”,弹出配置界面。
- 输入需导入的主机“IP地址”和主机的“端口”。
默认端口21,22,23,3389,5901,也可添加其它端口或端口范围。
图2 自动发现主机
- 单击“确定”,自动开始扫描。
- 扫描结束后,勾选需要导入的主机。
- 输入主机名称,如果不输入主机名称,默认名称为主机IP。
- 主机会根据端口默认选中相关协议类型,如果未匹配默认端口,则需要手动选取协议类型。
- 选择自动发现的主机,单击“添加”。
单击“返回”或“关闭”,返回主机列表页面,查看新增的主机资源。
克隆主机资源
若主机服务器内有多种资源形式,可通过克隆已添加的主机资源配置,并修改一定配置参数,快速添加主机资源。
- 登录堡垒机系统。
- 选择 ,进入主机管理列表页面。
- 在已添加的主机资源的“操作”列,单击“更多 > 克隆”,弹出新建主机编辑窗口。
- 修改已有主机信息,并添加资源账户。
“协议类型”、“主机地址”、“端口”三个参数中必须修改一个。
- 单击“确认”,返回主机列表页面,查看新添加的主机资源。
批量导出主机资源
在列表右上角单击,可一键导出当前列表所有数据。