如何使用堡垒机做运维管理

发表时间:2021-05-26 14:22

以下产品操作教程我们分别为您准备了图文版视频版,您可根据实际需要自行选择查看。如您选择视频版,可直接下拉至文末进行观看!


根据本章节的教程,您可以了解如何使用骞云堡垒机来管理IT资产,全面审计运维操作,运维记录有源可溯;通过命令过滤规则控制执行命令,实现安全预防。
图片
步骤一:基础设施对接和存量纳管
在使用堡垒机进行虚拟机运维前,管理员需要先完成云平台的对接、逻辑资源池的创建,并将要管理的虚拟机资源添加到平台中。
图片
步骤二:安装和关联云网关
基础设施对接完成后,和堡垒机管理节点网络隔离的资源,需要安装云网关并在资源池中进行关联。该资源池中和云网关在同一连通网络中的虚拟机,将会通过云网关进行操作请求的转发和运维审计。该任务需要准备一台云网关主机,执行云网关安装脚本。
图片
步骤三:运维和会话审计管理
完成上述步骤后,管理员可以创建相应的命令过滤规则限制用户执行高危命令;最终用户可以通过Web SSH、VNC、RDP等多种运维协议远程访问主机,或者执行脚本;管理员和审计员可以对会话进行管理,可查看、终止在线会话,还可进行会话管理和下载命令等。


以下操作步骤以阿里云为例:

使用管理员账户登录骞云云堡垒机,当前用户为平台管理员角色。

步骤一:基础设施对接和存量纳管

1
对接云平台
在使用骞云堡垒机之前,需要对接您资源所在的云平台,获取读取资源的权限。需要确保对接的用户信息(AK)具备相关权限。

在【基础设施】-【云平台管理】-【阿里云】-「添加」,提供阿里云平台的相关信息:
  • 访问密钥ID:输入阿里云平台访问密钥ID;
  • 访问密钥:输入阿里云访问密钥;
  • 类型:选择公有云;
  • 站点:选择中国站;
  • 点击「验证」,验证成功则已成功连通,保存该云平台;若未保存成功,请检查阿里云平台的相关信息是否正确。
图片
该步骤完成后,云平台对接已经完成,可以通过平台访问和管理阿里云的资源。


2
创建资源池
资源池,抽象池化云平台的资源,方便管理资源的导入、同步和访问策略。一个云平台可以对应多个资源池。以阿里云为例:可一个VPC对应一个资源池。以vSphere为例,一个集群对应一个资源池。

在【基础设施】-【资源池管理】-「添加」-「阿里云」,填写阿里云资源池的相关信息:
  • 概况信息
    • 名称:填写该资源池的名称,如Aliyun上海A区;
    • 业务组:选择该资源池可被哪些业务组使用,可共享给平台上全部的业务组使用,也可仅开放给单独的一个或多个业务组;
    • 云平台入口:选择已经对接验证完成的阿里云平台;
    • 区域:选择资源所属地域及可用区,如华东二(上海),A区;
    • 资源组:不选。资源组,限定该资源池可以使用的网络资源,网络资源将根据选择的资源组进行过滤。留空表示不限定,留空后部署的云资源将放入默认资源组;
    • 网络类型:选择专有网络或者经典网络;
  • 其他资源
    • 计算:新建资源池时系统默认无限制;可自定义计算资源配额;
    • 存储:新建资源池时系统默认全选;可自定义选择需要的存储类型;
    • 网络:新建资源池时系统默认全选,专有网络下,安全策略组和虚拟交换机会从选择的区域、可用区、VPC、资源组进行过滤;可自定义选择需要的网络资源;
  • 点击「保存」,资源池创建成功。


3
导入资源
完成云平台对接和资源池创建后,就需要将已有的资源导入资源池中进行纳管,资源所在的相关区域、网络等需要满足资源池的限制才可以被导入。如,华东1(杭州)的资源池不能导入华东2(上海)的资源,只包含专有网络VPC1的资源池不能导入VPC2的资源。
纳管后可直接在【我的部署】中做相关的运维操作,无需再登入云平台。

方式一:资源池导入:
  • 【基础设施】-【资源池管理】- 点击资源池名称进入详情,在【云资源】Tab页面,点击「导入」,选择要导入的资源类型 Instance,「提交」;

  • 选择要导入资源的可用区,系统会显示所有可导的云主机,选择要导入的云主机,点击「申请」(已经导入过或不在资源池范围内的资源,将不会显示);

  • 导入请求提交后,可在【我的部署】-【服务部署】中查看导入进度。

图片
图片
方式二:云主机导入
  • 【我的部署】-【云主机】-点击「导入」,选择要导入的资源类型 Instance,提交请求;

  • 选择要导入资源的可用区,系统会显示所有可导的云主机,选择要导入的主机,点击「申请」(和方式一无差别);

  • 导入请求提交后,可在【我的部署】-【服务部署】中查看导入进度。

图片

图片
步骤二:安装和关联云网关

1
添加云网关
云网关,为平台及其所管理的各个云或网络隔离环境提供数据传递和通信功能。
公有云的VPC内部署云网关后,用户就可以通过云网关直接管理VPC内的所有资源。通过在不同的云,不同的区域配置不同的云网关,我们可以支持通过一套SmartCMP平台访问多云多中心上的各种云资源。

(1)准备一台安装云网关的主机,该主机需要的条件为:
  • 操作系统为CentOS或RHEL 7.x版本,至少2C4G;

  • 主机和其它需要管理的阿里云虚拟机在同一个网络内,能够互相连接(同一VPC内);

  • 主机需要能够访问公网(开通公网IP或绑定弹性IP)。

该主机可以在平台中被纳管,也可以未被纳管,不影响使用。
(2)获取云网关运行脚本
  • 【基础设施】-【云网关管理】-「添加」,设置云网关名称,「下一步」;
  • 点击「复制」,下载云网关安装脚本,「下一步」,「确定」;
  • 在准备好的云网关主机中运行该脚本,脚本运行成功后,刷新云网关管理列表页面,可查看该云网关主机的名称、IP地址,云网关状态更新为“在线”。

图片



2
关联云网关
云网关将转发资源池中处于同一网络下云主机的操作请求,并提供安全访问控制;对阿里云资源来说,云网关将转发资源池中同一VPC内虚拟机的运维请求,提供会话访问控制和操作审计。

【基础设施】-【资源池管理】- 点击阿里云资源池进入详情,在【概况】Tab页下,【网络连接与安全】中,关联云网关,「保存」资源池。
图片

步骤三:运维和会话审计管理


骞云堡垒机支持访问命令过滤。
运维操作,在【我的部署】中可以针对服务部署、云主机或云资源做相关的运维操作;
会话审计管理,在【会话管理】中进行相关规则的配置和会话命令审计,普通用户无法查看该菜单。

1
命令过滤规则
骞云堡垒机支持命令过滤,支持的命令包括Shell,PowerShell,SQL等。配置过程如下:
  • 管理员账户登录,在【会话管理】-【命令过滤】中,添加允许或拒绝的命令规则,用户在对主机做命令执行时,将不允许用户做拒绝的操作命令,用户可以执行允许的命令;

  • 可以通过多种维度对命令规则生效的云资源做过滤,符合条件的云资源在做运维操作时,才受到规则的限制。

图片

2
云资源操作运维
骞云堡垒机支持对各种云资源进行运维操作,包括云主机,数据库,Kubernetes等。
  • 普通用户(资源的所有者)登录,在【我的部署】-【云主机】中,选择要运维的云主机(普通用户登录时,只能看到所有者是自己的资源,可以对这些资源做运维操作;业务组管理员可以查看当前业务组下的所有资源;平台管理员可以查看平台纳管的所有资源)

    • 执行「Web SSH」,输入登录凭证连接云主机;
    • 执行「远程终端」,基于VNC或RDP的远程协议类型登录云主机(基于云平台的远程协议类型将不通过云网关进行转发);
    • 「执行脚本」,可通过脚本库,选择已有的脚本;或直接输入脚本内容直接执行;
  • 对数据库的SQL执行一样可以进行命令过滤和记录。
3
会话审计管理
  • 用户轨迹:管理员登录,在【会话管理】-【用户轨迹】中,可查看当前用户正在进行的活动会话和已结束的历史会话;
    • 活动会话:可以终止正在进行的活动会话;
    • 历史会话:查看已结束的历史会话,可以查看访问用户,主机相关的信息等;可下载记录文件查看命令;可录屏回放还原运维现场;



图片
  • 命令记录:管理员登录,在【会话管理】-【命令记录】中,可查看所有的用户操作记录,包括用户信息、主机信息和命令详情等;
图片
  • 访问配置:管理员登录,在【会话管理】-【访问配置】中,可配置会话录屏的启用状态和录像保留时间。

    图片

图片


【堡垒机】操作演示视频



登录骞云官网www.cloudchef.io

或扫描下方二维码
即刻体验骞云堡垒机的强大功能!

图片


 
 
 联系方式
咨询电话:400-669-7728