文档首页/ 云堡垒机 CBH/ 用户指南/ 系统资源/ 通过堡垒机纳管应用服务器
更新时间:2024-12-19 GMT+08:00
分享

通过堡垒机纳管应用服务器

通过在一台支持远程桌面的Windows系统或者Linux操作系统服务器上,部署客户端软件和浏览器,应用发布是将服务器和应用账户纳入堡垒机管理的功能。

用户获取应用发布访问权限后,通过应用账户的密码自动代填,访问客户端应用和Web应用,并以视频方式全程记录用户运维操作,实现对远程应用账户的安全管理和用户远程访问应用的操作审计。

堡垒机支持添加Chrome、Edge、Firefox、SecBrowser、Oracle Tool 、MySQL、SQL Server Tool、dbisql、VNC Client、VSphere Client、Radmin等应用。

本章节主要介绍通过添加单个应用服务器、从文件导入应用服务器、添加单个应用发布、从文件导入应用发布,将应用资源纳入堡垒机进行集中管理。

约束限制

  • 添加的主机和应用资源数量总和不能超过资产数
  • 支持对Windows Server2008 R2及以上的Windows系统版本的应用进行管理。
  • 支持对Centos7.9系统的Linux服务器的应用进行管理。
  • Linux服务器仅支持调用Firefox浏览器应用和达梦管理工具V8。
  • Linux服务器和堡垒机之间需要开通的端口号:2376和35000~40000,且端口号不可修改。
  • Linux服务器的密码请联系华为云技术支持获取。
  • 添加应用发布前,需已添加应用服务器。
  • Edge浏览器应用不支持配置自动登录账户。

前提条件

  • 已有Windows类型主机或者Linux服务器、镜像、企业授权码、客户端License等资源,用于部署应用发布服务器。
  • 已成功安装应用服务器,详细操作指导请参见安装应用发布服务器
  • 已获取“应用服务器”“应用发布”模块管理权限。

添加单个应用服务器

  1. 登录堡垒机系统。
  2. 选择资源 > 应用发布 > 应用服务器,进入应用服务器列表页面。
  3. 单击“新建”,进入应用服务器配置窗口。

    图1 新建应用发布服务器
    表1 应用服务器参数说明

    参数

    说明

    服务器类型

    • Windows
    • Linux

    服务器名称

    自定义的访问应用服务器名称,系统内“服务器名称”不能重复。

    服务器地址

    输入访问应用的服务器IP地址或域名。

    类型

    选择访问应用的浏览器或客户端工具类型。

    • “服务器类型”选择“Windows”时:

      默认支持14种类型,包括MySQL Tool、Edge、Firefox-Windows、Oracle Tool、Chrome、VNC Client、SQL Server Tool、SecBrowser、VSphere Client、Radmin、dbisql、Navicat for MySQL、Navicat for PgSQL、Other。

    • “服务器类型”选择“Linux”时:

      支持类型:DM Tool、KingbaseES Tool、Firefox-Linux、GBaseDataStudio for GBase8a。

    每一类应用类型默认一种应用程序,可在默认“程序启动路径”中获取应用程序名称。

    端口

    输入访问应用发布服务器的端口,Windows服务器默认为3389,Linux服务器固定为2376。

    服务器账户

    “服务器类型”选择“Windows”时,需要配置此参数。

    输入访问应用的服务器账户。

    因应用服务器通过AD域安装,“服务器账号”输入格式为域名\账户名,例如ad\administrator

    密码

    • “服务器类型”选择“Windows”时,输入访问应用的服务器账户的密码。
    • “服务器类型”选择“Linux”时,密码联系华为云技术支持获取。

    所属部门

    选择应用服务器的归属部门。

    程序启动路径

    “服务器类型”选择“Windows”时,需要配置此参数。

    输入限制应用资源访问应用服务器上的具体应用的程序路径。

    • 每种程序类型有一个默认启动路径,也可自定义启动路径。

      例如:限制只能访问应用设备的Chrome浏览器,默认启动路径为“C:\DevOpsTools\Chrome\chrome.exe”

    • 选择“Other”类型,必须手动配置相应程序路径。

    服务器描述

    (可选)对应用服务器的简要描述。

  4. 单击“确定”,返回应用服务器列表中查看新增的服务器。

从文件导入应用服务器

文件导入方式上传的文件类型需为csv、xls或xlsx格式的表格文件。

  1. 登录堡垒机系统。
  2. 选择资源 > 应用发布 > 应用服务器,进入应用服务器列表页面。
  3. 单击界面右上角的“导入”,弹出配置界面。

    图2 导入应用服务器

  4. 如果本地没有可编辑的模板,可以单击“单击下载”,下载模板文件到本地。
  5. 按照模板文件中的配置项说明,填写要导入的应用服务器配置信息。
  6. 单击“单击上传”,选择要导入的文件。
  7. (可选)勾选“覆盖已有应用服务器”,默认不勾选。

    • 勾选,表示当应用服务器名称重复时,覆盖原有应用服务器信息。
    • 不勾选,表示当应用服务器名称重复时,跳过重复的应用服务器信息。

  8. 单击“确定”,可以在列表中看到新增的应用服务器。

添加单个应用发布

  1. 登录堡垒机系统。
  2. 选择资源 > 应用发布 > 应用列表,进入应用发布列表页面。
  3. 单击“新建”,进入应用发布资源配置窗口。

    图3 新建应用
    表2 新建应用发布参数说明

    参数

    说明

    应用名称

    自定义的应用发布名称,系统内“应用名称”不能重复。

    说明:

    应用名称全系统唯一,不能重复,也不能与主机名称重复。

    应用服务器

    选择已创建的应用发布服务器。

    所属部门

    选择应用所属部门。

    应用地址

    (可选)输入有效IP或域名。

    • 应用发布为浏览器时,输入网页地址。若地址有对应的端口,则地址为URL:端口号。
    • 应用发布为数据库或客户端时,输入数据库服务器的地址。

    应用端口

    (可选)输入应用访问端口。

    • 应用发布为数据库时,输入对应数据库访问的端口。
    • 应用发布为除数据库外其他应用时,无需填写。

    应用参数

    (可选)输入应用相关参数。

    • 应用发布为数据库时,输入实例名。
    • 应用发布为除数据库外其他应用时,无需填写。

    更多选项

    (可选)选择文件管理、上行剪切板、下行剪切板、键盘审计。

    标签

    (可选)自定义标签或选择已有标签。

    应用描述

    (可选)对应用发布的简要描述。

  4. 单击“下一步”,进入资源账户配置页面。

    表3 添加应用资源账户

    参数

    说明

    添加账户

    • 选择“立即添加”,需要继续配置依次配置“登录方式”“应用账户”等信息。
    • 选择“以后添加”,将结束本页配置,后续您可以在资源列表或资源详情中添加账户。

      单击“确定”,自动创建一个“[Empty]”资源账户(一个应用仅包含一个“[Empty]”账户)。

    登录方式

    • 登录方式为“自动登录”时,“应用账户”“密码”为必填项。
    • 登录方式为“手动登录”时,可选设置“应用账户”

      未设置“应用账户”时,自动创建一个“[Empty]”资源账户。

    应用账户

    访问应用使用的账户名。

    密码

    应用账户对应的密码。

    AD域

    针对Radmin类型应用,可填入AD域地址。

    账户描述

    对资源账户的简要描述。

    登录“[Empty]”账户时,需在运维会话窗口手动输入应用账户名和密码。

  5. 单击“确认”,返回应用发布列表页面,查看新建的应用发布服务。

从文件导入应用发布

文件导入方式上传的文件类型需为csv、xls或xlsx格式的表格文件。

  1. 登录堡垒机系统。
  2. 选择资源 > 应用发布 > 应用列表,进入应用发布列表页面。
  3. 单击界面右上角的“导入”,弹出配置界面。

    图4 导入应用发布

  4. 单击“单击下载”,下载模板文件到本地。
  5. 按照模板文件中的配置项说明,填写要导入的应用发布服务配置信息。
  6. 单击“单击上传”,选择要导入的文件。
  7. (可选)勾选“覆盖已有应用”,默认不勾选。

    • 勾选,表示当应用名称重复时,覆盖原有应用信息。
    • 不勾选,表示当应用名称重复时,跳过重复的应用信息。

  8. 单击“确定”,可以在应用发布服务列表中看到新增的应用发布。

批量导出应用服务器列表

  1. “应用发布”页面,勾选需要导出的应用资源。

    若不勾选,默认导出全部主机资源。

  2. 右上角单击,弹出导出应用资源确认窗口。

    • 设置加密密码,将导出文件加密。
    • 输入当前用户的密码,确保导出数据安全。

  3. 单击“确认”,下载文件到本地,打开本地文件,即可查看导出的应用资源信息。

相关文档