云堡垒机
什么是云堡垒机
云堡垒机(Cloud Bastion Host,CBH)是华为云的一款4A统一安全管控平台,为企业提供集中的账号(Account)、授权(Authorization)、认证(Authentication)和审计(Audit)管理服务。
云堡垒机提供云计算安全管控的系统和组件,包含部门、用户、资源、策略、运维、审计等功能模块,集单点登录、统一资产管理、多终端访问协议、文件传输、会话协同等功能于一体。通过统一运维登录入口,基于协议正向代理技术和远程访问隔离技术,实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计。
快速配置云堡垒机
配置后可以实时收集和监控网络环境中每个组成部分的系统状态、安全事件和网络活动,保障网络和数据不受来自外部或内部用户的入侵和破坏,便于集中报警、及时处理及审计定责。
- 登录管理控制台。
- 在控制台页面中选择购买云堡垒机,购买后在实例“操作”列单击“远程登录”进入云堡垒机登录页面。
,进入服务在右上角单击
- 首次以系统管理员admin登录系统,登录密码为购买实例时配置密码。系统管理员admin是系统默认用户,即第一个可登录用户,拥有系统最高操作权限,且无法删除和更改权限配置。
- 系统所有用户首次登录系统后,请按照提示修改密码和绑定手机号码。
图1 登录云堡垒机
- 登录云堡垒机系统后,选择“新建”,根据实际需求和界面提示创建运维用户。
,右上角单击图2 新建运维用户
- 运维用户创建成功后,选择“新建”,配置主机基本信息和网络参数。
,右上角单击
- “主机地址”为主机与云堡垒机网络通畅的IP地址,可选择主机的EIP地址或私有IP地址,建议优先选择可用的私有IP地址。
- 增强版支持以主机方式运维数据库,支持四种数据库类型MySQL、SQL Server、Oracle和DB2。
- 应用发布资源是通过Windows远程访问应用实现运维,需先配置应用发布服务器。
- 创建资源成功后,需添加资源账户才能登录资源运维。资源账户的登录方式可选择以下几种:
自动登录:系统纳管资源账户名和密码,再次登录资源时无需输入账户名和密码。
手动登录:自动生成一个Empty账户。登录资源时,需手工输入资源账户名和密码进行登录。
提权登录:当用户登录提权资源账户时,自动切换身份到特权帐号。
图3 新建主机
- 单击“下一步”,配置运维主机账户信息,单击“确认”完成配置。
- 运维用户和主机资源创建成功后,选择“新建”配置访问控制权限。
,右上角单击
- 访问控制策略用于关联用户和资源,并赋予用户访问和操作资源的具体权限。CBH系统用户被赋予了资源访问控制权限,才能运维资源。
- IP限制”是设置用户本地IP地址,用于限制或允许该IP地址的用户访问资源。
图4 新建控制策略
- 单击“下一步”,关联运维用户和主机资源,单击“确认”完成配置。
- 访问控制策略配置成功后,使用运维用户登录云堡垒机系统,选择 。
- 选择目标主机资源,单击“登录”,登录主机资源进行运维操作。
- SSH、TELNET和Rlogin协议类型主机资源,可使用SSH客户端运维资源。
- FTP、SFTP和SCP协议类型主机资源,需使用FTP/SFTP/SCP客户端运维资源。
- MySQL、SQL Server、Oracle和DB2协议类型的主机资源,需提前配置SSO单点登录工具和数据库管理工具。通过SSO单点登录工具调用数据库客户端,实现SSO单点客户端运维资源。
- SSH、RDP、VNC和TELNET协议类型主机资源,支持直接通过Web浏览器运维;应用发布资源仅能通过Web浏览器远程访问进行运维。