平台实操指南|如何在骞云平台配置和集成第三方堡垒机

发表时间:2024-04-28 18:13

引言

为方便用户快速了解骞云平台操作,结合客户使用场景,骞云科技将推出平台实操指南系列文章。
本文将以国内主流的某堡垒机为例,介绍如何在骞云运维管理平台配置和集成第三方堡垒机。

堡垒机的集成场景

堡垒机(也多称为运维审计系统)能够实现对云上资产运维过程的事先防范、事中控制和事后溯源,集中管控用户访问系统和资产的权限,并全程记录用户的操作行为、识别运维风险,帮助用户建立完善的运维管理与内控体系。


多客户都使用堡垒机来提供运维的安全准入,在使用骞云运维管理平台进行云资源的创建、编排、变更操作后,资源的安全访问也需要得到保障,因此骞云运维管理平台提供了将平台和堡垒机进行集成的能力。


当前大部分客户在堡垒机集成上有如下几个基本场景:


  • 同步资产:用户申请资源同时填写能够访问该资产的用户名称,平台在创建资源后,将资源注册到堡垒机和对应的申请人名下,平台删除资源后会执行资产注销操作;

  • 同步部门:将骞云平台的业务组(部门)同步到堡垒机的组织,包括创建、删除组织;

  • 同步应用系统:将骞云平台的应用系统同步对应到堡垒机的主机组和用户组;

  • 同步用户:将骞云平台的用户同步对应到堡垒机的用户,包括用户的创建和删除。

骞云平台与堡垒机的集成方案

骞云平台拥有开放的生态,有着强大的基于组件和低代码的集成与被集成能力,能够通过多种灵活的方案与其他系统集成。

骞云平台通过服务集成模块能力实现与堡垒机平台的集成,通过定义堡垒机服务的属性并将属性作为参数传递给操作脚本,将堡垒机服务抽象成为配置属性标准化的组件,实现可灵活自定义的堡垒机服务集成。



图片

组件之间存在继承关系,Bastion Host就是其他堡垒机集成的基类,基类的核心作用是定义堡垒机组件的通用操作,如:同步资产、同步用户和部门等。

图片

有了堡垒机场景的基类,就可以灵活定义具体的堡垒机服务的实现。按需自定义堡垒机集成组件的属性(参数),规范堡垒机资产对接时需要填写的对应的用户、部门和资源组等。添加和编辑对应的操作的脚本内容,实现堡垒机的使用场景的集成涵盖。

图片

堡垒机属性自定义

图片

堡垒机操作脚本定义

图片

垒机实际操作场景

*更多骞云平台的云服务组件化能力,可以查阅官网的相关技术资料介绍。

堡垒机对接的配置步骤

基于平台的组件服务集成,骞云平台提供对任意堡垒机的对接能力。那么这些能力是如何运用到客户的堡垒机使用场景上的呢?接下来我们可以对接一个堡垒机服务,并形成资源注册、用户和组织同步的功能配置。

首先需要对接堡垒机平台实现连接认证。通过服务集成菜单,添加堡垒机对接入口,一般需要堡垒机地址、用户名、密码信息。对接堡垒机平台成功后,可以进行堡垒机实例的注册,配置在哪些区域启用新注册的堡垒机。

*P.S.通过上述步骤在堡垒机组件中定义的其他属性,也可在此进行配置填写,实现数据库堡垒机等高级场景。

图片

骞云平台的一大优势是,平台支持配置多个堡垒机,从而满足不同的数据中心、区域,使用不同堡垒机的场景。平台在创建资源后,能够将数据中心A的资源自动注册到堡垒机上,在平台删除资源后会亦会自动执行资产注销操作。
在堡垒机资产能够自动同步后,为了实现堡垒机的用户访问控制和权限管理,又要如何将资产自动同步到对应的用户和组织下呢?依赖于骞云平台一个很强大的功能:事件驱动集成能力,平台可以将资产自动同步注册到堡垒机对应的用户和组织下。在作业、事件等流程配置里,可以调用上述对接的堡垒机,添加堡垒机资产同步任务,将平台创建完成的资产同步注册到堡垒机。

图片

类似的,可以配置用户和应用系统的同步事件。

图片

经过这样配置,用户在骞云平台创建的资产,都会自动同步到堡垒机系统上对应的用户和组织下,确保了数据的准确性、实时性,也避免了大量的人工操作。

本文介绍了骞云平台和堡垒机集成的最基本场景,我们将会在下一篇介绍一些深度集成的能力,从而带来更好的用户体验。

  • 集成骞云平台和堡垒机系统的UI交互,让用户在通过骞云平台进行资源访问时,平滑无感地过渡到堡垒机的UI;
  • 用户提权的自服务和自动化;
  • 数据库堡垒机的实现,联动数据库审计平台;

敬请期待!


 
 
 联系方式
咨询电话:400-669-7728