文档首页/ 应用平台 AppStage/ 运维中心用户指南/ 使用主机管理服务管理主机/ 将华为云堡垒机CBH纳管至运维中心VMS
更新时间:2024-09-13 GMT+08:00
查看PDF
分享

将华为云堡垒机CBH纳管至运维中心VMS

云堡垒机(Cloud Bastion Host,CBH)是华为提供的统一安全管控平台,通过统一运维登录入口,基于协议正向代理技术和远程访问隔离技术,实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计。

运维中心支持使用云堡垒机登录业务主机后台,如果您需要在运维中心直接登录业务主机,可以将云堡垒机纳管至运维中心VMS。本章节介绍纳管CBH堡垒机,将堡垒机纳管到对应的服务环境下。

在“未纳管主机”页面纳管弹性云服务器主机后,该主机会同时纳管到对应服务环境的CBH堡垒机下,可以在“弹性云服务器”页面使用CBH堡垒机登录业务主机

前提条件

  • 已获取服务运维岗位权限、基础运维岗位权限或运维管理员权限,权限申请操作请参见申请权限
  • 已获取CBH权限,如果CBH所属账号与AppStage开租账号一致,订购时进行服务授权会自动授权CBH权限,如果不一致,录入的华为账号需要添加CBH权限“CBH FullAccess”。
    • “AK-SK”方式:确认IAM用户所属用户组,并为用户组授权,具体操作请参见用户组授权
    • “授权委托”方式:修改委托权限,增加所需的权限,具体操作请参见修改委托

操作流程

  1. 步骤一:在CBH中配置:登录云堡垒机系统进行角色用户等的配置。
  2. 步骤二:在VMS中纳管:云堡垒机配置完成后,在VMS中纳管CBH堡垒机。

步骤一:在CBH中配置

  1. 登录云堡垒机系统
  2. 开启API配置。

    在云堡垒机系统“系统 > 系统配置 > 安全配置”页面,API配置模块开启对外开放API开关,如图1所示,具体操作请参见开启API配置

    图1 API配置

  3. 创建appstage-role角色。

    在云堡垒机系统“用户 > 角色”页面,创建appstage-role角色,并开启管理权限,如图2所示。然后配置角色权限,USBKey、动态令牌、应用服务器、应用发布和应用运维不配做,其余全部配置,如图3所示,具体操作请参见自定义角色

    图2 创建角色
    图3 配置角色权限

  4. 创建appstage-user用户。

    在云堡垒机系统“用户 > 用户管理”页面,按照如所示表1创建appstage-user用户, 具体操作请参见新建单个用户

    表1 配置用户

    参数名称

    配置说明

    登录名

    设置为“appstage-user”。

    认证类型

    选择“本地”。

    密码

    配置用户登录系统的密码。

    确认密码

    确认用户登录系统的密码。

    姓名

    设置为“AppStage”。

    手机

    输入手机号码。

    用户账号系统预留手机号码,用于手机短信登录或找回密码。

    邮箱

    输入邮箱地址。

    用户账号系统预留邮箱地址,用于通过邮箱接收系统消息通知。

    角色

    选择已创建的自定义角色“appstage-role”。

    所属部门

    选择“总部”。

    用户描述

    输入描述,如下:

    提供给AppStage对接的用户,只用于机机API调用,不能用于人机登录。

  5. (可选)可以为appstage-user用户配置多因子认证,具体操作请参见配置多因子认证
  6. 使用appstage-user用户登录云堡垒机系统。
  7. 创建appstage-user用户的Access Key。

    在云堡垒机系统,选择右上角用户名,单击“个人中心”,进入个人中心管理页面,创建Access Key,如图4所示。

    创建完成后即可单击用户Access Key后的“查看”,查看该用户的Access Key ID和Access Key Secret。

    图4 创建Access Key

步骤二:在VMS中纳管

  1. 进入AppStage运维中心
  2. 在顶部导航栏选择服务。
  1. 单击,选择运维 > 主机管理服务(VMS)
  1. 选择左侧导航栏的“堡垒机”,进入“堡垒机”页面。
  2. 单击“纳管堡垒机”。
  3. 配置纳管堡垒机参数,参数说明如表2所示,配置完成后,单击“确定”。

    表2 纳堡垒机参数说明

    参数名称

    参数说明

    部门

    选择需要纳管的部门,可选部门为在业务控制台已创建的部门。

    产品

    选择需要纳管的产品,可选产品为在业务控制台已创建的产品。

    服务

    选择需要纳管的服务,可选服务为在业务控制台已创建的服务。

    环境

    选择环境,为服务下的环境绑定堡垒机。

    一个环境只能绑定一个堡垒机,如果一个堡垒机需要绑定到其他环境或者其他服务的环境,可为堡垒机绑定环境

    公有云账号

    选择堡垒机所属的公有云账号。

    Region

    选择堡垒机所在的Region。

    如果选择不到对应Region,需要在“服务环境配置 > 账号列表”页面,单击对应账号后的“编辑”,然后单击“确定”,自动刷新该账号下的Region信息。

    堡垒机实例

    选择需要纳管的堡垒机实例。

    ak

    输入堡垒机ak,即已创建的appstage-user用户的Access Key ID。

    sk

    输入堡垒机的sk,即已创建的appstage-user用户的Access Key Secret。

为堡垒机绑定环境

  1. 进入AppStage运维中心
  2. 在顶部导航栏选择服务。
  1. 单击,选择运维 > 主机管理服务(VMS)
  1. 选择左侧导航栏的“堡垒机”,进入“堡垒机”页面。
  2. 单击已纳管的堡垒机所在行“操作”列的“绑定服务”。
  3. 选择部门、产品、服务和环境,为堡垒机绑定环境。

更多操作

您还可以进行以下操作。

表3 相关操作

操作名称

操作步骤

查看已绑定服务

在堡垒机列表,单击已纳管的堡垒机所在行“已绑定服务”列的“查看”。

取消纳管堡垒机
  1. 在堡垒机列表,单击待取消纳管的堡垒机所在行“操作”列的“取消纳管”。
  2. 单击“确定”。

修改已纳管堡垒机
  1. 在堡垒机列表,单击已纳管的堡垒机所在行“操作”列的“编辑”。
  2. 修改堡垒机弹性公网IP,输入ak、sk,然后单击“确定”。

相关文档