操作指南

创建实例

操作步骤

1.登录到浪潮云服务控制台。

2.点击“产品与服务”选择“云堡垒机CSAS”,进入云堡垒机实例列表页面。

3.在实例列表页面,点击“+云堡垒机实例”,创建云堡垒机实例。 4.完成配置选择。

(1)选择堡垒机版本。堡垒机版本可以选择固定版本,也可以自定义版本。

资产 5 10 20 50 100 200 500 1000 自定义
用户 5 10 20 50 100 200 500 1000 自定义

(2)选择是否购买BGP外网。BGP外网的购买范围在“2-800Mb”。

(3)选择购买时长。购买时长可选择“1个月-9个月”、“1年-3年”。 5.点击“立即购买”,完成创建云堡垒机实例。

堡垒机实例展示与名称修改

操作步骤

1.登录到浪潮云服务控制台。

2.点击“产品与服务”选择“云堡垒机CSAS”,进入云堡垒机实例列表页面。

3.实例列表页面展示云堡垒机实例的ID/名称、运行状态、规格、有效期和操作。

4.点击“ID/名称”展示信息后边的修改图标,可进行实例名称的修改。

实例升配和续费

操作步骤

1.登录到浪潮云服务控制台。

2.点击“产品与服务”选择“云堡垒机CSAS”,进入云堡垒机实例列表页面。

3.在实例列表页面,点击“操作”中的“升配”,进入升配实例页面。

堡垒机状态监控

操作步骤

1.登录到浪潮云服务控制台。

2.点击“产品与服务”选择“云堡垒机CSAS”,进入云堡垒机实例列表页面。

3.在“实例列表”或“堡垒机管理”页面,点击名称,进入云堡垒机状态监控页面。 4.云堡垒机状态监控指标包含CPU利用率、IOPS、吞吐量、网络入带宽、网络出带宽;监控状态时长可选择:最近2小时、最近3小时、最近12小时。

堡垒机管理平台

操作步骤

1.登录到浪潮云服务控制台。

2.点击“产品与服务”选择“云堡垒机CSAS”,进入云堡垒机实例列表页面。

3.在“实例列表”页面选择“管理平台”,进入堡垒机管理平台的登录页面。(默认账号/密码为:admin/admin)

4.登录后进入堡垒机管理平台。

桌面

(1)桌面

1.1桌面展示云堡垒机系统状态信息、用户活动会话、待审批工单、主机应用统计等信息。统计控制板中可以查看到关于用户、主机、应用、应用服务器和告警的统计信息。点击某个统计控制板,即可跳转到相应的列表页面并进行相关操作。 1.2在桌面下的任务中心可以查看到正在正在进行的任务、完成的任务和停止的任务

1.3在桌面下的消息中心会看到各种类型的消息。单击界面右上角的“新建公告”,创建新的公告。公告创建成功后,将会在所有用户页面的顶部出现公告内容,点击“已阅”后公告不再出现。

1.4在桌面下的个人中心,可以修改当前用户的基本信息和登录密码,还能下载和重新生成个人私钥。

  • “手机令牌”用于当前用户绑定手机令牌。用户开启手机令牌登录方式后,就可以使用手机令牌生成的6位动态密码登录云堡垒机。

  • 添加SSH公钥,用户可以使用SSH客户端免密登录云堡垒机。

  • “我的权限”中展示管理员的权限列表。

  • “我的日志”中显示系统的登录日志信息。

1.5在桌面下的下载中心显示可供下载的工具列表。

部门

(2)部门

2.1“部门”用于划分组织结构,标识用户和资源等数据的组织。选择“部门”,单击页面右上角的新建,选择上级部门,并输入新建部门的名称。

2.2新建部门:选择部门,单击要修改的部门的名称,进入“部门详情”界面,单击基本信息区域的编辑,可以修改部门的基本信息。

2.3删除部门:选择“部门”。鼠标悬停到要删除的部门所在行,显示快捷删除,点击即可删除该部门。删除部门时,其下级部门和所有部门下的用户和资源会被同时删除。支持批量删除多个部门。

用户

(3)用户

3.1用户管理

  • 选择“用户 > 用户管理”。 单击右上角<新建>。单击“确定”,可以在用户列表中看到新建的用户。

  • 批量导入用户,选择“用户 > 用户管理”。单击界面右上角的“导入”。单击“点击下载”,下载模板文件到本地。然后按照模板文件中的配置项说明,填写要导入的用户配置信息。单击“点击上传”,选择要导入的模板文件。单击“确定”,可以在用户列表中看到新增的帐户。

  • 批量导出用户:选择“用户 > 用户管理” 勾选需要导出的运维用户。如果不勾选,默认导出全部用户。

  • 修改用户信息:选择“用户 > 用户管理”, 单击要修改的用户登录名,或者单击<管理>。

  • 删除用户:选择“用户 > 用户管理”。单击指定用户“操作”列的<删除>,可以删除该用户。

3.2用户组

  • 新建用户组:选择“用户 > 用户组” ,单击<新建>。

  • 单击“操作”列的<编辑组成员>,将用户加入到用户组中。

  • 在用户组列表中单击用户组的名称。在“用户组详情”页面中,可以看到已添加的用户列表。

3.3角色

  • 选择“用户 > 角色”。单击“新建”,创建一个新角色。单击“下一步”,配置角色的名称和管理权限。
  • 修改角色名称:选择“用户 > 角色” 单击要修改的角色名称,或单击<管理>。进入<角色详情>界面后,单击<角色权限>区域的<编辑>。

3.4多因子USB key

  • 选择“用户 > USBKey”, 单击<签发>,插入USBkey,关联用户,配置好PIN码,点击<确定>,完成签发USBKey。

3.5多因子动态令牌

  • 选择“用户 > 动态令牌” 单击“签发”,签发令牌。 配置令牌标识信息,单击<确定>,完成配置。

  • 导入令牌,单击<导入>,进行批量导入动态令牌。然后,单击<点击下载>,下载模板文件到本地。然后按照模板文件中的配置项说明,填写要导入的动态令牌配置信息。

  • 勾选需要导出的动态令牌。如果不勾选,默认导出全部动态令牌。单击<导出>,保存文件到本地。

资源

(4)资源

4.1主机管理

  • 新建运维主机:选择“资源>主机管理”;单击“新建”,配置运维主机的网络参数和基础信息;单击“下一步”配置运维主机的账号信息;单击“确定”,可以在主机列表中看到新建的运维主机;如需对某个主机进行修改,可以单击“操作”列的各项按钮。

  • 主机导入:选择“资源>主机管理”。单击界面右上角的<导入>,弹出配置界面。导入方式”选择“导入云主机”。

  • 主机导出:选择“资源 > 主机管理” 勾选需要导出的主机。如果不勾选,默认导出全部主机。单击<导出>,保存文件到本地。

4.2应用发布

  • 选择“资源 > 应用发布 > 应用服务器”,单击<新建>,配置应用服务器的属性。单击界面右上角的“导入”,弹出配置界面。

单击<点击上传>,选择要导入的模板文件。支持上传的文件类型:CSV、xls、xlsx。

覆盖已有应用服务器:如果选中此项,当应用服务器名称相同时,将覆盖应用服务器信息。

单击<确定>,可以在列表中看到新增的应用服务器。

  • 选择“资源 > 应用发布 > 应用列表”, 单击<新建>。配置好信息,点击<下一步>进入账户填写界面。

  • 导入应用发布选择“资源 > 应用发布 > 应用列表” 单击界面右上角的<导入>,弹出配置界面。

  • 选择“资源 > 应用发布 > 应用列表” 勾选需要导出的应用。如果不勾选,默认导出全部应用单击“导出”,保存文件到本地。

  • 选择“资源 > 应用发布 > 应用列表”。单击要修改的应用名称,或者单击<管理>。 进入“应用详情”页面后,单击<基本信息>区域的<编辑>,可以修改应用的基本信息。

4.3资源账户

  • 选择“资源 > 资源账户”,单击<新建>,配置资源账户的属性。

  • 如需针对某个账户进行修改,可以单击“操作”列的<管理>进行编辑。

4.4账户组

  • 选择“资源 > 账户组”。 单击<新建>。 配置账户组属性。

  • 点击<添加成员>,选择需要添加到账户组的账户。

  • 如需针对某个账户组进行修改,可以单击“管理”。

策略

(5)策略

5.1访问控制策略

  • 点击<新建>,在新建访问控制策略框配置权限,可以让指定的用户在指定的时间内访问指定的主机资源。且支持IP地址限制,文件传输,剪切板水印。

  • 编辑访问控制策略:选择“策略 > 访问控制策略”。 点击<管理>,进入策略详情,可对策略进行编辑。

5.2命令控制策略

  • 新建命令集:选择“命令集”页签,单击<新建>。单击<添加命令>, 选择要添加的命令集合或者单条命令。单击<确定>完成配置。

-进入策略列表页面,点击<新建>,配置策略属性;单击<下一步>,配置关联命令或命令集;关联用户和资源,点击<确定>,完成命令控制策略配置。

5.3改密策略

  • 点击“策略> 改密策略”,可查看到策略列表和改密日志。点击<新建>,选择执行方式、执行时间以及改密方式。点击下一步,关联需要执行的资源账户或账户组,点击<确定>完成改密策略配置。

  • 可在策略页面点击策略名称对应的<立即执行>,提示改密策略正在执行。

-改密策略执行后,点击<改密日志>查看改密详情。

5.4账户同步策略

  • 进入“策略>账户同步策略”。点击“新建”,创建账户同步策略。

  • 账户同步策略执行后,可在“执行日志”中查看详情。

5.5配置备份策略

  • 进入“策略> 配置备份策略”,点击<新建>执行方式分为手动执行,定时执行和周期执行,最后关联要执行的账户即可。

  • 执行完成后可在执行账户所在主机下的配置备份中查看该文件(支持下载到本地)。

  • 支持外置存储,使网络设备能够备份到用户自定义的FTP/TFTP服务器上。

  • 配置备份策略执行完成后,点击<执行日志>可在执行日志中查看详情。

运维

(6)运维

6.1主机运维

  • 选择“运维 >主机运维” ;点击资源主机对应的<登录>,进入会话框进行操作。

  • 单击右边的<协同分享>,可邀请同事参与此会话,一同进行操作。

  • 单击<邀请好友进入此会话>,可邀请同事参与会话。

复制链接,发送给拥有云堡垒机权限的账户,登录云堡垒机,打开新的浏览器窗口,粘贴链接。单击<立即进入>参与会话操作。

  • SSH客户端运维:打开SSH客户端,输入云堡垒机IP,端口2222,云堡垒机用户名;输入云堡垒机用户密码,单击“确定”,登录到堡垒机。

  • FTP/SFTP客户端:选择FTP协议资源点击<登录>。弹出登录配置;打开本地FTP或SFTP工具,填写主机地址、端口、用户、云堡垒机密码;堡垒机支持使用API的登录方式登录FTP、SFTP协议类型的主机。登录IP填写堡垒机IP,登录端口填写2222,登录用户名输入“主账号@从账号@主机地址”登录密码输入云堡垒机密码。

支持的FTP客户端种类:Xftp、WinSCP、FlashFXP FileZilla。支持的SFTP客户端种类:Xftp、WinSCP、FlashFXP。

6.2应用运维

  • 选择“运维 > 应用运维” 。单击<登录>,登录会话进行操作。

  • 单击右边的“协同分享”,可邀请同事参与此会话,一同进行操作。

  • 单击“邀请好友进入此会话”,可邀请同事参与会话。

6.3脚本管理

  • 选择“运维 > 脚本管理”;点击<新建>,进入新建脚本框,支持在线编辑或导入格式为Python和shell格式的脚本。

6.4快速运维

  • 选择“运维 > 快速运维”。

  • 填写需执行的命令、脚本和传输文件,点击<选择>执行的账户,最后点击<立即执行>,开始任务。

  • 执行完成后,点击<执行日志>可查看执行的详细信息。

6.5运维任务

-选择“运维 > 运维任务”;点击<新建>,选择执行方式,根据所选择的执行方式填写执行的时间周期。点击<下一步>选择要执行的账户,执行账户选择完成之后可添加任务步骤。

审计

(7)审计

7.1实时会话

  • 选择“审计 > 实时会话”。 单击<详情>,查看会话的详细信息。

  • 单击“监控”,可以实时查看用户的会话操作。

  • 单击“中断”,会话将强制断开连接。

7.2历史会话

  • 选择“审计 > 历史会话”,可查看历史会话信息。

7.3系统日志

  • 选择“审计 > 系统日志”;选择“系统登录日志”页签,单击页面右上角的<导出>,可以导出系统登录日志。

7.4运维列表

  • 选择“审计 > 运维报表”。 单击页面右上角的<报表自动发送>,弹出自动发送报表配置框。

报表通过邮件发送,使用前请配置好邮件服务器,填写审计管理员的邮箱。

  • 单击页面右上角的<报表导出>,弹出报表导出配置框。

7.5系统报表

  • 选择“审计 > 系统报表”。 点击可查看系统相关报表内容。支持将报表导出到本地。

  • 点击页面右上角的“报表自动发送”,弹出自动发送报表配置框。

  • 单击页面右上角的“报表导出”,弹出报表导出配置框。

工单

(8)工单

8.1访问授权工单

  • 选择“工单 > 访问授权工单”。 单击右上角的<新建>。单击<下一步>,选择申请的主机账户。

  • 上级管理员收到工单申请,进入“工单> 工单审批”进行审核或驳回操作。

8.2命令授权工单

  • 进入“工单> 命令授权工单”。管理员为用户配置命令控制策略后,当用户登录该资源并执行了策略中的命令,命令授权工单列表中就会自动生成一个命令授权工单。

  • 如果命令授权工单提交方式配置为手动提交,则需要在命令授权工单中手动点击提交,管理员审批同意后,该工单生效。

8.3工单审批

  • 选择“工单 > 工单审批”。 审批节点对列表中的工单进行审批,可以选择批准或驳回。工单被批准后,节点用户还可以执行撤销操作,收回资源的授权。

系统

(9)系统

9.1系统配置

安全配置

  • 选择“系统 > 系统配置 > 安全配置”。

  • 单击“用户锁定配置”、“密码策略配置”、“密码策略配置”、“Web证书配置”、“客户端登录配置”区域的<编辑>,可以配置相关参数。

网络配置

  • 选择“系统 > 系统配置 > 网络配置”。

  • “网络接口列表”可以添加、编辑、删除当前机器的相关网络接口,为后续用到网络接口的相关操作做准备。

  • 单击“DNS配置”区域的“编辑”,可以修改当前机器的首选DNS和备用DNS。DNS必须是有效的,否则无法解析。

  • 单击“静态路由配置”区域的“添加”,可以为当前机器添加静态路由,使当前机器可以访问其他网段的机器。

  • 单击“OpenVPN配置”区域的“编辑”,配置相关参数。

HA配置

  • 选择“系统 > 系统配置 > HA配置”。

  • 在“双机设备配置”中可以查看当前HA状态,默认为“禁用”。

  • 单击“HA状态”后的“启用”。单击“确定”,然后重启主节点。未重启时,“当前运行状态”显示为“单机”;重启完毕后,服务IP被检测到的时候,“当前运行状态”显示为“在线状态”,用户即可登录。此时主节点断开,备节点也可提供服务。

端口配置

  • 选择“系统 > 系统配置 > 端口配置”。

  • 单击“运维端口配置”、“Web控制台端口配置”、“SSH控制台端口配置”区域的<编辑>,可以配置相关参数。

外发配置

  • 选择“系统 > 系统配置 > 外发配置”。

  • “邮件配置”可以配置邮件服务器,为改密计划和消息告警等通知提供邮件发送服务。

  • “短信配置”包含两种类型:一种是云堡垒机内置的短信网关,由云堡垒机本身的短信网关来提供短信服务。另一种是自定义短信网关,输入正确的URL地址和API参数后,还可测试所填写服务器信息是否有效。

  • “SNMP Agent配置”包含两种类型,分别是SNMP v2c和SNMP v3。

认证配置

  • 选择“系统 > 系统配置 > 认证配置”。

  • 单击“AD认证配置”区域的“添加”,进入AD域新建页面。其中,AD认证的模式分为两种:认证模式和同步模式。

  • 单击“RADIUS认证配置”区域的“编辑”。 配置RADIUS认证的各项参数,并可对RADIUS用户进行有效性测试。

工单配置

  • 选择“系统 > 系统配置 > 工单配置”。

  • 单击“基本模式”区域的“编辑”。 设置用户可以查看的资源范围,以及命令授权工单的提交方式。

  • 单击“高级模式”区域的“添加”。 配置用户池和资源池。本项配置只针对于访问授权工单。

  • 单击“审批流程”区域的<编辑>。配置审批流程的各项参数。

告警配置

  • 选择“系统 > 系统配置 > 告警配置”。

  • 单击“告警方式配置”、“告警等级配置”区域的“编辑”,配置相关信息。

系统风格

  • 选择“系统 > 系统配置 > 系统风格”。

  • 语言配置:中文和英文;图标配置:可自定义配置系统图标和公司图标。

9.2数据维护

存储配置

  • 存储概览展示了云堡垒机的系统分区和数据分区的空间使用情况;网盘空间可编辑“个人网盘空间”和“网盘总空间”;单击 自动删除区域的“编辑”,配置相关参数;在手动删除区域下,为“删除(日期)前的数据”配置一个日期,单击“删除”,则该日期之前的数据都将被删除。

日志备份

  • 选择“系统 > 数据维护 > 日志备份”。

  • 本地备份区域新建,选择要备份的日志内容和时间范围,完成本地备份。

  • 单击“远程备份至syslog服务器”区域的“编辑”,将状态改为“开启”,配置相关信息。

  • 单击“远程备份至FTP/SFTP服务器”区域的“编辑”,将状态改为“开启”,配置相关信息。

9.3系统维护

系统状态

  • CPU/内存使用率、磁盘读写状态、网络收发状态展示的时间周期是5分钟、15分钟和1小时。

系统管理

  • 系统时间区域可以手动修改当前系统的时间,或者使用时间服务器同步当前系统的时间;系统升级过程中系统会自动重启;在系统工具区域,单击“重启”或“关机”后,输入正确的云堡垒机登录密码,可以对云堡垒机服务器进行重启或关机操作,单击“恢复出厂设置”后,输入正确的云堡垒机登录密码,即可恢复到云堡垒机的初始状态,所有的数据都会被清空;

配置备份与还原

  • 单击“+新建”,输入备注信息来区分备份文件。开启“自动备份”后,系统将在每天零点自动进行配置备份。

  • 单击“配置还原”区域 “点击上传”,选择本地的备份文件上传到云堡垒机服务器中。上传完成后,还原文件会显示在页面上,并出现确认还原的提示弹窗。单击“确定”,系统开始还原配置。

授权许可

  • 选择“系统 > 系统维护 > 授权许可”,显示系统当前授权信息。“授权资源数”显示当前系统最多可添加资源数(包含:主机、应用发布资源);“授权资源并发连接数”指可同时登录资源数(包含:主机、应用发布资源)。

网络诊断

  • 当云堡垒机登录主机失败时,可以先使用网络诊断判断云堡垒机与主机网络是否可达。如果不可达,先解决主机的网络问题;如果可达,则判断主机的用户名、密码、端口输入是否正确。

系统诊断

  • 选择“系统 > 系统维护 > 系统诊断”。

9.4关于系统

  • 选择“系统管理 > 关于系统”,查看系统版本信息。

堡垒机设置

操作步骤

1.登录到浪潮云服务控制台。

2.点击“产品与服务”选择“云堡垒机CSAS”,进入云堡垒机实例列表页面。

3.点击“堡垒机管理”,进入堡垒机管理页面。

4.“堡垒机管理”页面展示信息包含ID/名称、堡垒机运行状态、规格、虚拟私有网络、子网、IP地址、操作等信息。

5.支持列表刷新。

堡垒机重启

操作步骤

1.登录到浪潮云服务控制台。

2.点击“产品与服务”选择“云堡垒机CSAS”,进入云堡垒机实例列表页面。

3.点击“堡垒机管理”,进入堡垒机管理页面。

4.点击“重启”,进行堡垒机重启操作。

堡垒机开机

操作步骤

1.登录到浪潮云服务控制台。

2.点击“产品与服务”选择“云堡垒机CSAS”,进入云堡垒机实例列表页面。

3.点击“堡垒机管理”,进入堡垒机管理页面。

4.点击“开机”,进行堡垒机开机操作。

堡垒机关机

操作步骤

1.登录到浪潮云服务控制台。

2.点击“产品与服务”选择“云堡垒机CSAS”,进入云堡垒机实例列表页面。

3.点击“堡垒机管理”,进入堡垒机管理页面。

4.点击“关机”,进行堡垒机关机操作。

解绑公网IP

操作步骤

1.登录到浪潮云服务控制台。

2.点击“产品与服务”选择“云堡垒机CSAS”,进入云堡垒机实例列表页面。

3.点击“堡垒机管理”,进入堡垒机管理页面。

4.点击“解绑公网IP”。