云堡垒机-九游平台

什么是云堡垒机

云堡垒机（cloud bastion host，cbh）是华为云的一款4a统一安全管控平台，为企业提供集中的账号（account）、授权（authorization）、认证（authentication）和审计（audit）管理服务。

云堡垒机提供云计算安全管控的系统和组件，包含部门、用户、资源、策略、运维、审计等功能模块，集单点登录、统一资产管理、多终端访问协议、文件传输、会话协同等功能于一体。通过统一运维登录入口，基于协议正向代理技术和远程访问隔离技术，实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计。

快速配置云堡垒机

配置后可以实时收集和监控网络环境中每个组成部分的系统状态、安全事件和网络活动，保障网络和数据不受来自外部或内部用户的入侵和破坏，便于集中报警、及时处理及审计定责。

1. 。
2. 在控制台页面中选择“安全与合规 > 云堡垒机 cbh”，进入服务在右上角单击，购买后在实例“操作”列单击“远程登录”进入云堡垒机登录页面。
   

   • 首次以系统管理员admin登录系统，登录密码为购买实例时配置密码。系统管理员admin是系统默认用户，即第一个可登录用户，拥有系统最高操作权限，且无法删除和更改权限配置。
   • 系统所有用户首次登录系统后，请按照提示修改密码和绑定手机号码。
   图1 登录云堡垒机
   
3. 登录云堡垒机系统后，选择“用户 > 用户管理”，右上角单击“新建”，根据实际需求和界面提示创建运维用户。
   

   • 角色划分用户系统操作权限，默认有系统管理员、策略管理员、审计管理员和运维员四种角色。admin可以，分配系统操作权限。
   • “登录名”在整个cbh系统是唯一的，不能重复。
   • 创建用户成功后，可通过修改用户配置，配置用户登录云堡垒机系统的。
   图2 新建运维用户
   
4. 运维用户创建成功后，选择“资源 > 主机管理”，右上角单击“新建”，配置主机基本信息和网络参数。
   

   • “主机地址”为主机与云堡垒机网络通畅的ip地址，可选择主机的eip地址或私有ip地址，建议优先选择可用的私有ip地址。
   • 增强版支持以主机方式运维数据库，支持四种数据库类型mysql、sql server、oracle和db2。
   • 应用发布资源是通过windows远程访问应用实现运维，需先。
   • 创建资源成功后，需添加资源账户才能登录资源运维。资源账户的登录方式可选择以下几种：

     自动登录：系统纳管资源账户名和密码，再次登录资源时无需输入账户名和密码。

     手动登录：自动生成一个empty账户。登录资源时，需手工输入资源账户名和密码进行登录。

     提权登录：当用户登录提权资源账户时，自动切换身份到特权帐号。

   图3 新建主机
   
5. 单击“下一步”，配置运维主机账户信息，单击“确认”完成配置。
6. 运维用户和主机资源创建成功后，选择“策略 > 访问控制策略”，右上角单击“新建”配置访问控制权限。
   

   • 访问控制策略用于关联用户和资源，并赋予用户访问和操作资源的具体权限。cbh系统用户被赋予了资源访问控制权限，才能运维资源。
   • ip限制”是设置用户本地ip地址，用于限制或允许该ip地址的用户访问资源。
   图4 新建控制策略
   
7. 单击“下一步”，关联运维用户和主机资源，单击“确认”完成配置。
8. 访问控制策略配置成功后，使用运维用户登录云堡垒机系统，选择“运维 > 主机运维”。
9. 选择目标主机资源，单击“登录”，进行运维操作。
   

   • ssh、telnet和rlogin协议类型主机资源，可使用ssh客户端运维资源。
   • ftp、sftp和scp协议类型主机资源，需使用ftp/sftp/scp客户端运维资源。
   • mysql、sql server、oracle和db2协议类型的主机资源，需提前配置sso单点登录工具和数据库管理工具。通过sso单点登录工具调用数据库客户端，实现sso单点客户端运维资源。
   • ssh、rdp、vnc和telnet协议类型主机资源，支持直接通过web浏览器运维；应用发布资源仅能通过web浏览器远程访问进行运维。