将华为云堡垒机CBH纳管至运维中心VMS
云堡垒机(Cloud Bastion Host,CBH)是华为提供的统一安全管控平台,通过统一运维登录入口,基于协议正向代理技术和远程访问隔离技术,实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计。
运维中心支持使用云堡垒机登录业务主机后台,如果您需要在运维中心直接登录业务主机,可以将云堡垒机纳管至运维中心VMS。本章节介绍纳管CBH堡垒机,将堡垒机纳管到对应的服务环境下。
在“未纳管主机”页面纳管弹性云服务器主机后,该主机会同时纳管到对应服务环境的CBH堡垒机下,可以在“弹性云服务器”页面使用CBH堡垒机登录业务主机。
前提条件
操作流程
- 步骤一:在CBH中配置:登录云堡垒机系统进行角色用户等的配置。
- 步骤二:在VMS中纳管:云堡垒机配置完成后,在VMS中纳管CBH堡垒机。
步骤一:在CBH中配置
- 登录云堡垒机系统。
- 开启API配置。
在云堡垒机系统“系统 > 系统配置 > 安全配置”页面,API配置模块开启对外开放API开关,如图1所示,具体操作请参见开启API配置。
- 创建appstage-role角色。
在云堡垒机系统“用户 > 角色”页面,创建appstage-role角色,并开启管理权限,如图2所示。然后配置角色权限,USBKey、动态令牌、应用服务器、应用发布和应用运维不配做,其余全部配置,如图3所示,具体操作请参见自定义角色。
- 创建appstage-user用户。
在云堡垒机系统“用户 > 用户管理”页面,按照如所示表1创建appstage-user用户, 具体操作请参见新建单个用户。
- (可选)可以为appstage-user用户配置多因子认证,具体操作请参见配置多因子认证。
- 使用appstage-user用户登录云堡垒机系统。
- 创建appstage-user用户的Access Key。
在云堡垒机系统,选择右上角用户名,单击“个人中心”,进入个人中心管理页面,创建Access Key,如图4所示。
创建完成后即可单击用户Access Key后的“查看”,查看该用户的Access Key ID和Access Key Secret。
步骤二:在VMS中纳管
- 进入AppStage运维中心。
- 在顶部导航栏选择服务。
- 单击,选择 。
- 选择左侧导航栏的“堡垒机”,进入“堡垒机”页面。
- 单击“纳管堡垒机”。
- 配置纳管堡垒机参数,参数说明如表2所示,配置完成后,单击“确定”。
表2 纳堡垒机参数说明 参数名称
参数说明
部门
选择需要纳管的部门,可选部门为在业务控制台已创建的部门。
产品
选择需要纳管的产品,可选产品为在业务控制台已创建的产品。
服务
选择需要纳管的服务,可选服务为在业务控制台已创建的服务。
环境
选择环境,为服务下的环境绑定堡垒机。
一个环境只能绑定一个堡垒机,如果一个堡垒机需要绑定到其他环境或者其他服务的环境,可为堡垒机绑定环境。
公有云账号
选择堡垒机所属的公有云账号。
Region
选择堡垒机所在的Region。
如果选择不到对应Region,需要在“服务环境配置 > 账号列表”页面,单击对应账号后的“编辑”,然后单击“确定”,自动刷新该账号下的Region信息。
堡垒机实例
选择需要纳管的堡垒机实例。
ak
输入堡垒机ak,即已创建的appstage-user用户的Access Key ID。
sk
输入堡垒机的sk,即已创建的appstage-user用户的Access Key Secret。
为堡垒机绑定环境
- 进入AppStage运维中心。
- 在顶部导航栏选择服务。
- 单击,选择 。
- 选择左侧导航栏的“堡垒机”,进入“堡垒机”页面。
- 单击已纳管的堡垒机所在行“操作”列的“绑定服务”。
- 选择部门、产品、服务和环境,为堡垒机绑定环境。
更多操作
您还可以进行以下操作。
操作名称 |
操作步骤 |
---|---|
查看已绑定服务 |
在堡垒机列表,单击已纳管的堡垒机所在行“已绑定服务”列的“查看”。 |
取消纳管堡垒机 |
|
修改已纳管堡垒机 |
|