实例管理
购买实例
租户通过本功能完成对服务实例的创建、维护和管理。
菜单路径
产品与服务 → 安全(云御) → 云堡垒机 CBH → 服务列表 → 点击购买云堡垒机
操作步骤
登录服务控制台。
点击 产品与服务 → 安全(云御) → 云堡垒机 CBH → 服务列表,进入实例操作界面。
点击"购买云堡垒机",填写基本信息。 如下表所示:
| 属性 | 属性说明 |
|---|---|
| 服务名称 | 服务实例的名称。名称只能包含中文、数字、字母和"-",长度不超过 36。 |
| 计费模式 | 包年/包月:包年包月是预付费模式,按订单的购买周期计费,适用于可预估资源使用周期的场景。 |
| 区域 | 不同区域之间内网互不相通,请就近选择靠近您业务的区域,可减少网络延时,提高访问速度。 |
| 选择产品 | 选择已经定义好的产品 |
| 选择规格 | 选择对应产品下的规格 |
| 选择网络 | 选择已经定义好的网络 |
| 选择子网 | 选择已经定义好的网络对应的子网 |
| 选择安全组 | 选择已经定义好的安全组 |
| 时长 | 选择购买服务实例的时长 |
注:安全组需要放开的端口如下:
| 访问控制方向 | 协议 | 端口号 | 用途 |
|---|---|---|---|
| 入方向 | TCP | 443 | 单点登录页面&授权管理 |
| 入方向 | TCP | 2222 | SSH 访问 |
| 入方向 | TCP | 2121 | FTP 访问 |
| 入方向 | TCP | 20000-21000 | FTP 数据传输端口 |
| 入方向 | TCP | 1521 | 数据库访问 |
| 入方向 | TCP | 33306 | Mysql 协议代理服务 |
| 入方向 | TCP | 1433 | MSsql 协议代理服务 |
| 入方向 | TCP | 50000 | DB2 协议代理服务 |
| 入方向 | UDP | 69 | TFTP 服务 |
| 入方向 | UDP | 161 | SNMP 服务 |
| 出方向 | TCP | any | TCP 协议运维 |
| 出方向 | UDP | any | 域名解析 |
- 确认无误后,点击"立即购买",进入订单确认页, 支付成功后即完成一个云堡垒机的购买 。
开机
操作步骤
登录服务控制台。
点击 产品与服务 → 安全(云御) → 云堡垒机 CBH → 服务列表,进入实例操作界面。
开启单个实例:勾选需要开机的实例,在列表顶部单击"开机",或在右侧操作栏中单击"更多"-"开机"。
开启多个实例:勾选所有需要开机的实例,在列表顶部单击"开机",即完成批量开机。
关机
操作步骤
登录服务控制台。
点击 产品与服务 → 安全(云御) → 云堡垒机 CBH → 服务列表,进入实例操作界面。
关闭单个实例:勾选需要关机的实例,在列表顶部单击"关机",或在右侧操作栏中单击"更多"-"关机"。
关闭多个实例:勾选所有需要关机的实例,在列表顶部单击"关机",即完成批量关机。
重启
操作步骤
登录服务控制台。
点击 产品与服务 → 安全(云御) → 云堡垒机 CBH → 服务列表,进入实例操作界面。
重启单个实例:勾选需要重启的实例,在列表顶部单击"重启",或在右侧操作栏中单击"更多"-"重启"。
重启多个实例:勾选所有需要重启的实例,在列表顶部单击"重启",即完成批量重启。
弹性公网 IP
操作步骤
登录服务控制台。
点击 产品与服务 → 安全(云御) → 云堡垒机 CBH → 服务列表,进入实例操作界面。
绑定 eip:在实例列表右侧操作栏中,单击"更多"-"弹性公网 Ip"-"绑定"。
解绑 eip:在实例列表右侧操作栏中,单击"更多"-"弹性公网 Ip"-"解绑"。
续费
操作步骤
登录服务控制台。
点击 产品与服务 → 安全(云御) → 云堡垒机 CBH → 服务列表,进入实例操作界面。
在需要续费的实例的操作栏中,点击"更多"选择"续费",跳转到续费订单界面。
选择续费的时长,点击"去支付"。
支付成功,完成续费。
管理实例
操作步骤
登录服务控制台。
点击 产品与服务 → 安全(云御) → 云堡垒机 CBH → 服务列表,进入实例操作界面。
管理单个实例:在右侧操作栏中,单击"管理",即可登录到实例管理界面进行操作。
实例详情
操作步骤
登录服务控制台。
点击 产品与服务 → 安全(云御) → 云堡垒机 CBH → 服务列表,进入实例操作界面。
点击需要查看详情的实例 ID 进入 。详情中的基本操作如下表所示
表 2 基本操作
| 操作名称 | 操作 | 详解 |
|---|---|---|
| 虚拟网络 | 点击“刷新” | 刷新虚拟网络名称 |
| 子网 | 点击“刷新” | 刷新子网名称 |
| 安全组 | 点击“刷新” | 刷新安全组名称 |
搜索实例
操作步骤
登录服务控制台
点击 产品与服务 → 安全(云御) → 云堡垒机 CBH → 服务列表,进入实例操作界面。
在上方的搜索框中输入要搜索的实例的名称、ID 或内网 IP,点击"搜索"按钮。
产品登录
产品单点登录
具有 admin 权限的云平台用户,可通过实例的单点登录功能登录云堡垒机系统,登录后创建资产、用户和控制策略,操作步骤如下:
登录服务控制台。
点击 产品与服务 → 安全(云御) → 云堡垒机 CBH → 服务列表,进入实例操作界面。
管理单个实例:在右侧操作栏中,单击"管理",即可登录到实例管理界面进行操作。
IP 地址登录
实例创建成功后超级管理员和运维人员可通过 IP 地址登录管理,登录方式有:
- 通过租户的 VPN 网关连接进入租户 VPC 内部后,通过实例 IP 地址登录。
为云堡垒机创建 EIP(适用于公有云场景),通过 EIP 登录云堡垒机。
为云堡垒机创建 FIP(使用于政务云场景),通过 VPN 连接进入云中心后,通过 FIP 登录云堡垒机。
默认超级管理员用户名为 admin 密码为 Inspurcloud@1234%
系统配置
超级管理员登录云堡垒机后可添加运维管理人员用户账号、添加运维目标设备、创建运维管理的策略。
创建部门
创建部门后,可实现分部门管理(属于某一部门的管理员可对本部门的账号、资产、策略进行配置,其他部门的人员不可见)。
添加用户
进入[用户/用户管理],点击页面右上方的\<新建>按钮,进入新建用户页面,如图:
进入[用户新建]界面,编辑用户信息,其中"*"标记的红色部分为必填项。其中需要注意的是新密码和确认密码的填写需要保存一致;点击\<随机生成>,可以自动生成随机密码;点击复制密码,可以将密码复制到粘贴板。填写好所有必填项信息后,点击\<确定>按键完成创建。如图:
部门管理员:针对本部门的资产/用户/策略具有配置权限。
策略管理员:具有策略配置的权限。
审计管理员:具有审计结果查看权限。
运维员:仅具备使用云堡垒机进行运维操作权限。
添加资产
进入[资源/主机管理],点击\<新建>,如图:
进入新建主机,其中"*"为必填项,编辑主机的基本信息,进入[新建主机]界面,首先填写主机基本信息,输入主机参数,其中"*"标记的红色部分为必填项,"主机名称"允许填写中文、数字、英文字母等,"协议类型"可选 SSH、RDP、VNC、TELNET、FTP、SFTP,"主机 IP"填写需要被云堡垒机管控的主机 IP 地址,"端口"根据所选主机类型可自动填写,也可修改,"所属部门" 为主机归属部门。其余为非必填项,如图:
如果新建 RDP 主机,选择 RDP 协议后,会出现 RDP 剪切板选项,该选项用于在登录 RDP 资源之后,决定是否允许用户将远程 RDP 主机里的文本复制到本地,RDP 剪切板未开启时,禁止远程和本地之间的数据传输,如图:
如果新建的是 RDP 和 SSH 主机,会出现文件管理选项,如图:
填写好主机基本信息后,点击\<下一步>,添加主机账户信息,如图:
除了密码登录方式,云堡垒机对 Linux 主机还支持 SSH Key 密钥代理登录方式,用户可通过第三方工具(例如 putty)或 Linux 系统命令 ssh-keygen 生成密钥对。将生成的公钥导入被管控主机的登录账户目录下的 authorized_keys 文件内(如/root/.ssh/authorized_keys),私钥内容和私钥对应的 passphrase 填写到云堡垒机系统中的资源账户内,如图:
创建访问控制策略
进入[策略/访问控制策略],点击\<新建>,如图所示。弹出新建访问控制策略弹窗。
在新建访问控制策略弹窗中输入策略名称,可设置策略有效期、上传、下载、文件管理、RDP 剪切板、登录时段限制、IP 限制,设置完成后,点击下一步进行关联用户和用户组,如图所示。关联用户或用户组后点击下一步进行关联账户或账户组,如图 所示。关联完成后点击确定完成新建策略。
关联用户时可以输入用户的登录名、姓名、手机、邮箱、角色、部门进行查询;关联用户组时可以输入用户组名称进行查询。
关联账户时可以使用账户的账户名、关联资源、主机地址、数据库 IP、启动参数、类型、登录方式、部门进行查询;关联账户组时可以使用账户组名称进行查询。
进入[策略/访问控制策略],选择某策略,点击\<更多>,弹出下拉列表,如图,点击\<插入>,弹出新建访问控制策略弹窗,该新建策略的优先级在选择策略的上方。
点击双人授权候选人,弹出编辑双人授权候选人弹窗,如图。可选的用户为当前操作用户本部门及上级部门的部门管理员,admin 也包含在可选范围。可以输入用户的登录名、姓名、手机、邮箱进行查询。
运维操作
运维人员通过运维账户通过 IP 地址登录至云堡垒机运维管理页面
进入[运维/主机运维],选择搜索项(可选的搜索项主机名称、主机地址),在输入框内输入关键词点击搜索,如图所示。
进入[运维/主机运维],点击\<登录配置下载>,将运维资源导出成 xshell 或者是 secure
CRT 配置,如图所示。
进入[运维/主机运维],点击\<登录>,登录主机资源的 H5 会话,如图所示。
除了支持单个登录,还支持多台主机同时登录,勾选多台需要批量登录的主机,点击下方的\<批量登录>,如图所示。
进入[运维/主机运维],勾选几台主机,点击下方的\<添加标签>或者是\<删除标签>,可以批量添加或者批量删除标签,如图所示。
H5 页面登录---登录字符协议类型主机
进入[运维/主机运维],登录 SSH 或 TELNET 协议主机,如图所示。
SSH 或 TELNET 协议主机 h5 会话的登录,支持文件传输。支持在云主机上上传、下载、编辑、删除文件或者文件夹;支持新建文件夹;也支持在主机网盘的上传、下载、新建、编辑、修改文件夹和文件。
SSH 或 TELNET 协议主机 h5 会话的登录,支持协同分享。如图所示,创建者可以将当前会话的链接复制,发送给协助者。协助者可以通过该链接登录创建者的会话中,如图所示。
在会话协同中,没有会话控制权限的用户可以点击【申请控制】,向当前的控制者发送控制申请,申请控制当前会话的权限,如图所示:
SSH 或 TELNET 协议主机 h5 会话的登录,支持设置预置命令,如图所示。输入命令名称,命令内容,点击添加保存预置命令,如图所示:
点击某个预设命令,命令填写到远端机器,按回车执行命令,如图:
H5 页面登录---登录图像协议类型主机
进入[运维],登录 RDP、VNC 或应用发布资源,如图所示:
图像协议类型主机 h5 会话的登录,支持文件传输。如图所示,与 SSH 类似,区别在于 RDP 的目标地址只有:主机网盘。
图像协议类型主机 h5 会话的协同分享,参考 H5 登录字符协议类型主机的协同分享。
SSH 客户端登录
通过 SSH 客户端(putty,SecureCRT、xshell、MAC terminal、linux terminal、secure shell client)登录云堡垒机,可以在不改变用户原来使用 SSH 客户端习惯的前提下对授权资源进行运维管理,并且支持云堡垒机系统的命令拦截策略和运维审计功能。如图,主机 IP 填写云堡垒机地址,端口为 2222,登录用户名写云堡垒机账户,登录密码写的是云堡垒机密码。
除了使用密码登录之外,还支持公钥方式登录云堡垒机。用户可以先在云堡垒机登录个人中心,添加公钥,如下图。然后用户可以通过私钥登录云堡垒机而无需再记住密码。在登录客户端时,选择在用户身份验证设置中,选择 Public Key,输入云堡垒机用户名,选择对应的私钥登录云堡垒机,如图:
除了使用云堡垒机账户密码直接登录的方式外,还支持使用 API 的登录方式登录云堡垒机指定的资源登录账户,如图所示。登录用户名输入:主账号\@从账号\@主机地址:端口,例如说 admin\@root@192.168.1.100:22,登录密码输入云堡垒机密码。除了使用密码登录之外,还支持公钥方式登录云堡垒机。公钥登录方式如同上面的非 API 登录方式所示。
修改云堡垒机 SSH 运维端口,可在系统->系统配置->端口配置->SSH/SFTP 端口中更改,如图所示。配置完端口后需要重启云堡垒机。
进入非 API 登进云堡垒机的界面,可以使用快捷命令操作云堡垒机,如图所示。输入命令:l,列举 ssh 资源;输入命令:i,列举 telnet 资源;输入命令:s,搜索资源的 IP、名称、标签;输入命令:k,展示最近登录的 10 个历史会话;输入命令:x,语言切换;输入命令:h,展示帮助信息;输入命令:e,退出登录。
SFTP 客户端登录
云堡垒机支持使用 API 的登录方式登录 sftp 协议类型主机,如图所示。登录 IP 填写云堡垒机 IP,登录端口填写:2222(端口可以在后面修改),登录用户名输入:主账号\@从账号\@主机地址:端口,例如说 admin\@root@192.168.1.144:22,登录密码输入云堡垒机密码。除了使用密码登录之外,还支持公钥方式登录云堡垒机。公钥登录方式同上面的 ssh 客户端公钥登录方式所示。
修改 sftp 登录端口,可在系统->系统配置->端口配置->SSH/SFTP 端口中更改,如图所示。配置完端口后需要重启云堡垒机。
SFTP 在根目录上,可以通过特殊的列表项"!UTF-8"或"!gb18030"来进行切换使用不同的编码,如图所示。
FTP 客户端登录
云堡垒机支持登录 FTP 协议类型主机,如图 1 所示。主机 IP、用户名、密码在登录 FTP 主机运维的登录弹窗获取,如图 2 所示。
图 1
图 2
修改 FTP 登录端口,可在系统->系统配置->端口配置-> FTP 端口中更改,如图所示。配置完端口后需要重启云堡垒机。
FTP 在根目录上,可以通过特殊的列表项"!UTF-8"或"!gb18030"来进行切换使用不同的编码,如图所示。
运维审计
实时会话
实时会话列表
进入[审计/实时会话],如图所示。点击搜索项,弹出搜索项下拉列表,可使用资源名称、资源账户、用户、来源 IP 进行搜索。点击\<详情>,进入对应会话详情页面;点击\<监控>,进入实时会话监控页面;点击\<中断>,中断对应会话。点击列表下方\<中断>,批量中断所有选中的会话。
点击\<高级搜索>,弹出高级搜索框,如图所示。可使用资源名称、资源账户、用户、来源 IP、主机地址、起始时间、截止时间、会话时长范围、操作指令、双人授权、双人授权用户、会话协同、会话协同用户进行搜索。
列表可使用协议类型进行筛选;可使用开始时间和会话时长进行排序。
实时监控
进入[审计/实时会话],点击\<监控>,如图所示为字符协议实时监控。
监控页面右上方展示会话相关信息:资源名称、主机类型、主机地址、资源账户、运维用户、开始时间。[运维记录]中展示运维用户操作指令的记录,可用命令进行查询,可用允许执行、动态授权、拒绝执行进行筛选。[文件传输]中展示运维用户上传文件、下载文件、创建文件夹、重命名文件(夹)、删除文件(夹)的操作,可用文件(夹)名称进行查询,可用上传文件、下载文件、创建文件夹、重命名文件(夹)、删除文件(夹)进行筛选。[参与用户]中展示监控用户和协同用户的登录名、姓名、开始监控(协同)时间。
下方工具栏中,点击\<截屏>图标,将页面截屏并保存为 PNG 格式下载;点击\<中断>图标,中断当前会话;点击\<全屏>图标,页面变为全屏显示。
监控页面右上方展示会话相关信息:资源名称、主机类型、主机地址、应用参数、资源账户、运维用户、开始时间。[运维记录]中展示键盘输入和剪贴板复制粘贴操作,可用键盘输入、剪切板内容进行查询,可用键盘输入、剪切板进行筛选。[文件传输]中展示上传文件、下载文件、创建文件夹、重命名文件(夹)、删除文件(夹),可用文件(夹)名称进行查询,可用上传文件、下载文件、创建文件夹、重命名文件(夹)、删除文件(夹)进行筛选。[参与用户]中展示监控用户和协同用户的登录名、姓名、开始监控(协同)时间。
下方工具栏中,点击\<截屏>图标,将页面截屏并保存为 PNG 格式下载;点击\<中断>图标,中断当前会话;点击\<全屏>图标,页面变为全屏显示。[鼠标左键][鼠标中键][鼠标右键][Control 键][Shift 键][Alt 键]等图标,当运维用户点击对应按键时,相应的图标会亮起。
历史会话
历史会话列表
进入[审计/历史会话],如图、所示。点击\<详情>进入历史会话详情页面;点击\<播放>进入历史会话播放页面;点击\<下载>下载 M4V 格式的审计视频文件。点击\<导出>导出 XLSX 格式历史会话记录。
使用类型和结束状态进行列表筛选;使用起止时间、会话时长进行列表排序。
点击搜索项弹出搜索项下拉列表;点击\<高级搜索>弹出高级搜索框,可使用资源名称、资源账户、用户、来源 IP、主机地址、起始时间、截止时间、会话时长范围、操作指令、双人授权、双人授权用户、会话协同、会话协同用户进行搜索。
历史会话播放
可以播放不同资源(包括图形协议主机或者应用发布资源)的历史会话。
进入[审计/历史会话],点击\<播放>,如图所示,为字符协议历史会话播放页面。
[运维记录]中展示运维用户操作指令的记录,可用命令进行查询,可用允许执行、动态授权、拒绝执行进行筛选;点击\<定位>图标后,可定位到当前操作指令进行播放。[文件传输]中展示运维用户上传文件、下载文件、创建文件夹、重命名文件(夹)、删除文件(夹)的操作,可用文件(夹)名称进行查询,可用上传文件、下载文件、创建文件夹、重命名文件(夹)、删除文件(夹)进行筛选。[参与用户]中展示监控用户和协同用户的登录名、姓名、开始监控(协同)时间。
下方工具栏中,点击\<截屏>图标,将页面截屏并保存为 PNG 格式下载;点击\<播放列表>图标,右侧切换为播放列表;点击\<全屏>图标,页面变为全屏显示。点击\<暂停/播放>图标,暂停或播放视频;点击\<上一个>图标,播放上一个视频;点击\<下一个>图标,播放下一个视频;点击\<播放速度>图标,选择播放速度,包括:正常速度、2X 速度、4X 速度、8X 速度、16X 速度。[播放时间]显示格式为当前时间/会话时长。
如图所示,为图形协议历史会话播放页面。
监控页面右上方展示会话相关信息:资源名称、主机类型、主机地址、应用参数、资源账户、运维用户、开始时间。[运维记录]中展示键盘输入和剪贴板复制粘贴操作,可用键盘输入、剪切板内容进行查询,可用键盘输入、剪切板进行筛选;点击\<定位>图标后,可定位到当前操作指令进行播放。[文件传输]中展示上传文件、下载文件、创建文件夹、重命名文件(夹)、删除文件(夹),可用文件(夹)名称进行查询,可用上传文件、下载文件、创建文件夹、重命名文件(夹)、删除文件(夹)进行筛选。[参与用户]中展示监控用户和协同用户的登录名、姓名、开始监控(协同)时间。
下方工具栏中,点击\<截屏>图标,将页面截屏并保存为 PNG 格式下载;点击\<播放列表>图标,右侧切换为播放列表;点击\<全屏>图标,页面变为全屏显示。[鼠标左键][鼠标中键][鼠标右键][Control 键][Shift 键][Alt 键]等图标,当当前时间运维用户点击对应按键时,相应的图标会亮起。点击\<暂停/播放>图标,暂停或播放视频;点击\<上一个>图标,播放上一个视频;点击\<下一个>图标,播放下一个视频;点击\<播放速度>图标,选择播放速度,包括:正常速度、2X 速度、4X 速度、8X 速度、16X 速度。[播放时间]显示格式为当前时间/会话时长。
