更新时间:2025-09-28 GMT+08:00
分享

通过堡垒机纳管应用资源

通过在一台支持远程桌面的Windows系统或者Linux操作系统服务器上,部署客户端软件和浏览器,应用发布是将服务器和应用账户纳入堡垒机管理的功能。

用户获取应用发布访问权限后,通过应用账户的密码自动代填,访问客户端应用和Web应用,并以视频方式全程记录用户运维操作,实现对远程应用账户的安全管理和用户远程访问应用的操作审计。

堡垒机支持添加Chrome、Edge、Firefox、SecBrowser、Oracle Tool 、MySQL、SQL Server Tool、dbisql、VNC Client、VSphere Client、Radmin等应用。

纳管应用资源流程

通过在堡垒机实例新建应用服务器,实现应用客户端与堡垒机实例的对接,随后在堡垒机实例新建应用资源实现纳管。

图1 纳管应用资源流程

约束限制

  • 添加的主机和应用资源数量总和不能超过资产数
  • 支持对Windows Server2008 R2及以上的Windows系统版本的应用进行管理。
  • 支持对Centos7.9系统的Linux服务器的应用进行管理。
  • Linux服务器和堡垒机之间需要开通的端口号:2376和35000~40000,且端口号不可修改。
  • 添加应用发布前,需已添加应用服务器。
  • Edge浏览器应用不支持配置自动登录账户。
  • 当多个堡垒机实例共用一个应用服务器时,堡垒机实例版本需保持一致,否则可能会出现低版本实例无法正常使用应用服务器的问题。

前提条件

  • 已有Windows类型主机或者Linux服务器、镜像、企业授权码、客户端License等资源,用于部署应用发布服务器。
  • 已成功安装应用服务器,详细操作指导请参见安装应用发布服务器
  • 已获取“应用服务器”“应用发布”模块管理权限。

添加单个应用服务器

  1. 登录堡垒机系统。
  2. 选择资源 > 应用发布 > 应用服务器,进入应用服务器列表页面。
  3. 单击“新建”,进入应用服务器配置窗口。

    • 新建Windows应用服务器
      表1 Windows应用服务器参数说明

      参数

      说明

      服务器类型

      Windows

      服务器名称

      自定义的访问应用服务器名称,系统内“服务器名称”不能重复。

      服务器地址

      输入访问应用的服务器IP地址或域名。

      类型

      选择访问应用的浏览器或客户端工具类型。

      默认支持14种类型,包括MySQL Tool、Edge、Firefox-Windows、Oracle Tool、Chrome、VNC Client、SQL Server Tool、SecBrowser、VSphere Client、Radmin、dbisql、Navicat for MySQL、Navicat for PgSQL、Other。

      每一类应用类型默认一种应用程序,可在默认“程序启动路径”中获取应用程序名称。

      端口

      输入访问应用发布服务器的端口,Windows服务器默认为3389。

      服务器账户

      输入访问应用的服务器账户。

      因应用服务器通过AD域安装,“服务器账号”输入格式为域名\账户名,例如ad\administrator

      密码

      输入访问应用的服务器账户的密码。

      所属部门

      选择应用服务器的归属部门。

      程序启动路径

      输入限制应用资源访问应用服务器上的具体应用的程序路径。

      • 每种程序类型有一个默认启动路径,也可自定义启动路径。

        例如:限制只能访问应用设备的Chrome浏览器,默认启动路径为“C:\DevOpsTools\Chrome\chrome.exe”

      • 选择“Other”类型,必须手动配置相应程序路径。

      服务器描述

      (可选)对应用服务器的简要描述。

    • 新建Linux应用服务器
      表2 Linux应用服务器参数说明

      参数

      说明

      服务器类型

      Linux

      服务器名称

      自定义的访问应用服务器名称,系统内“服务器名称”不能重复。

      服务器地址

      输入访问应用的服务器IP地址或域名。

      类型

      选择访问应用的浏览器或客户端工具类型。

      支持类型:DM Tool、KingbaseES Tool、Firefox-Linux、GBaseDataStudio for GBase8a。

      端口

      输入访问应用发布服务器的端口,Linux服务器固定为2376。

      密码

      密码请联系华为云技术支持获取。

      所属部门

      选择应用服务器的归属部门。

      服务器描述

      (可选)对应用服务器的简要描述。

  4. 单击“确定”,返回应用服务器列表中查看新增的服务器。

从文件导入应用服务器

文件导入方式上传的文件类型需为csv、xls或xlsx格式的表格文件。

  1. 登录堡垒机系统。
  2. 选择资源 > 应用发布 > 应用服务器,进入应用服务器列表页面。
  3. 单击界面右上角的“导入”,弹出配置界面。

    图2 导入应用服务器

  4. 如果本地没有可编辑的模板,可以单击“单击下载”,下载模板文件到本地。
  5. 按照模板文件中的配置项说明,填写要导入的应用服务器配置信息。
  6. 单击“单击上传”,选择要导入的文件。
  7. (可选)勾选“覆盖已有应用服务器”,默认不勾选。

    • 勾选,表示当应用服务器名称重复时,覆盖原有应用服务器信息。
    • 不勾选,表示当应用服务器名称重复时,跳过重复的应用服务器信息。

  8. 单击“确定”,可以在列表中看到新增的应用服务器。

添加单个应用资源

  1. 登录堡垒机系统。
  2. 选择资源 > 应用发布 > 应用列表,进入应用发布列表页面。
  3. 单击“新建”,进入应用发布资源配置窗口。

    表3 添加应用资源参数说明

    参数

    说明

    应用名称

    自定义的应用发布名称,系统内“应用名称”不能重复。

    说明:

    应用名称全系统唯一,不能重复,也不能与主机名称重复。

    应用服务器

    选择已创建的应用发布服务器。

    所属部门

    选择应用所属部门。

    应用地址

    (可选)输入有效IP或域名。

    • 应用发布为浏览器时,输入网页地址。若地址有对应的端口,则地址为URL:端口号。
    • 应用发布为数据库或客户端时,输入数据库服务器的地址。

    应用端口

    (可选)输入应用访问端口。

    • 应用发布为数据库时,输入对应数据库访问的端口。
    • 应用发布为除数据库外其他应用时,无需填写。

    应用参数

    (可选)输入应用相关参数。

    • 应用发布为数据库时,输入实例名。
    • 应用发布为除数据库外其他应用时,无需填写。

    自定义参数

    (可选)输入应用的自定义参数。

    • 代填节点:填写被代填输入框的Selector路径。例如:#accountNamed > input

      如何获取Selector路径,请参见获取Selector路径

    • 代填内容:填写代填的文本,可使用{account}或者{password}替代应用账户和密码。

    勾选参数识别

    (可选)开启后,将自动识别勾选框并勾选。用于控制登录页所有能识别的可勾选框,如浏览器需要勾选用户隐私协议等。

    仅当“应用服务器”选择为Chrome、Firefox-Windows、Firefox-Linux类型的服务器时,才支持设置本参数。

    勾选参数

    (可选)开启“勾选参数识别”后,可设置勾选节点,即被勾选复选框的Selector路径。例如:用户隐私协议:.agreement input[type="checkbox"]

    如何获取Selector路径,请参见获取Selector路径

    仅当“应用服务器”选择为Chrome、Firefox-Windows、Firefox-Linux类型的服务器时,才支持设置本参数。

    自动登录

    (可选)开启后,当浏览器登录Web类资源时,无需手动单击登录按钮,可自动登录资源。

    仅当“应用服务器”选择为Chrome、Firefox-Windows、Firefox-Linux类型的服务器时,才支持设置本参数。

    登录按钮

    开启“自动登录”后,须设置自动登录按钮的Selector路径。例如:#login-button

    如何获取Selector路径,请参见获取Selector路径

    仅当“应用服务器”选择为Chrome、Firefox-Windows、Firefox-Linux类型的服务器时,才支持设置本参数。

    更多选项

    (可选)设置在运维过程中,会话窗口功能选项。

    • 文件管理:管理文件或文件夹的权限,即查看、删除、编辑文件和文件夹的权限。
    • 上行剪切板:运维会话RDP剪切板的功能,复制文本的权限。
    • 下行剪切板:运维会话RDP剪切板的功能,粘贴文本的权限。
    • 键盘审计:对键盘输入的信息进行记录。
    • 演示模式:通过应用发布浏览器运维时,支持隐藏地址栏,您的浏览器将会禁用F12、鼠标右键、浏览器工具栏。您可以使用F12代替Ctrl实现组合键操作。

      仅当“应用服务器”选择为Chrome、Firefox-Windows、Firefox-Linux类型的服务器时,才支持选择“演示模式”

    标签

    (可选)自定义标签或选择已有标签。

    应用描述

    (可选)对应用发布的简要描述。

  4. 单击“下一步”,进入资源账户配置页面。

    表4 添加应用资源账户参数说明

    参数

    说明

    添加账户

    • 选择“立即添加”,需要继续配置依次配置“登录方式”“应用账户”等信息。
    • 选择“以后添加”,将结束本页配置,后续您可以在资源列表或资源详情中添加账户。

      单击“确定”,自动创建一个“[Empty]”资源账户(一个应用仅包含一个“[Empty]”账户)。

    登录方式

    • 登录方式为“自动登录”时,“应用账户”“密码”为必填项。
    • 登录方式为“手动登录”时,可选设置“应用账户”

      未设置“应用账户”时,自动创建一个“[Empty]”资源账户。

    应用账户

    访问应用使用的账户名。

    密码

    应用账户对应的密码。

    AD域

    针对Radmin类型应用,可填入AD域地址。

    账户描述

    对资源账户的简要描述。

    登录“[Empty]”账户时,需在运维会话窗口手动输入应用账户名和密码。

  5. 单击“确认”,返回应用发布列表页面,查看新建的应用发布服务。

从文件导入应用资源

文件导入方式上传的文件类型需为csv、xls或xlsx格式的表格文件。

  1. 登录堡垒机系统。
  2. 选择资源 > 应用发布 > 应用列表,进入应用发布列表页面。
  3. 单击界面右上角的“导入”,弹出配置界面。

    图3 导入应用发布

  4. 单击“单击下载”,下载模板文件到本地。
  5. 按照模板文件中的配置项说明,填写要导入的应用发布服务配置信息。
  6. 单击“单击上传”,选择要导入的文件。
  7. (可选)勾选“覆盖已有应用”,默认不勾选。

    • 勾选,表示当应用名称重复时,覆盖原有应用信息。
    • 不勾选,表示当应用名称重复时,跳过重复的应用信息。

  8. 单击“确定”,可以在应用发布服务列表中看到新增的应用发布。

获取Selector路径

此处以获取堡垒机登录页面的登录按钮的Selector路径为例进行说明。

  1. 在堡垒机登录页面,按F12打开浏览器的开发者工具。
  2. 单击后,再单击“登录”

    图4 捕获登录按钮元素
    图5 EN

  3. 在Elements面板的button所在行,单击鼠标右键,然后选择Copy > Copy selector

    复制所得的值,即为登录按钮的Selector路径。
    图6 获取Selector路径
    图7 EN

相关文档