五步轻松配置腾讯云堡垒机

背景：堡垒机说明文档常以功能点为线索介绍，部份用户在实际配置中并不清楚各功能点间的关系，本文将介绍如何实现堡垒机的基本业务功能。

一、名词介绍

1、堡垒机：是集用户（Account）管理、授权（Authorization）管理、认证（Authentication）管理和综合审计（Audit）于一体的集中运维管理系统。俗称运维跳板机，主要用于对服务器运维人员进行操作审计和控制，达到降低运维风险的目的。

2、资源机：指需要纳入堡垒机管理范围的服务器，如：CVM、数据库、网络设备等。

3、资源账号：指登录资源机使用的账号，如：root、adminstrator等

4、用户：指堡垒机内建立给的运维人员账号，服务器运维人员使用该账号登录堡垒机，访问授权的资源机。

5、角色：用于堡垒机管理功能的授权，如：配置一个角色同时具有审计和运维权限

6、工作组：是堡垒机的最小授权单位，可以将资源机、用户和策略关联在一起。

二、堡垒机配置

我们使用admin账号登录堡垒机后，首先需要在左侧(下图红框区域)新建组织结构，如下图所示：，若您需要综合的汇总用户管理、资源管理、计划管理及角色管理，或业务及组织结构需要多层级的创建子集时，可以新增综合组。综合组操作指引：https://cloud.tencent.com/document/product/1025/32049

堡垒机主界面

1、新建工作组

我们可以在组织结构根目录或者在综合组下新建工作组，这边在综合组下新建一个名为工作组-开发 的工作组，您可以使用项目名称或职能来命名，如：XX项目、运维部等。

新建工作组-图1

操作方法：鼠标点击图1左侧菜单综合组，使综合组字体为蓝色选中状态，然后点击上方的【+】号，名称写“工作组-开发”，类型选择工作组，点击【确定】，如下图所示：。即可看到左侧菜单中出现了刚新建的工作组

新建工作组-图2

工作组操作文档：https://cloud.tencent.com/document/product/1025/43729

2、新建资源

选中综合组，点击上方【资源管理】，点击【新建】，如下图所示：，（这里您也可以用数据同步的功能来添加同账号下的 CVM 资源，数据同步操作文档：https://cloud.tencent.com/document/product/1025/44529）

新建资源-图1

选择资源类型，资源版本，资源名称，管理IP（这里视堡垒机与您资源的网络情况可以输入资源机的内网或外网IP），点击【保存】，如下图所示：

新建Linux资源

新建资源-Linux-图1

点击【管理配置】，输入连接的账号和密码，选择连接协议，点击【保存并获取账号】，如下图所示。系统将使用配置的账号到资源机上拉取资源机上的账号列表。(注：如果您的资源机使用的端口非默认端口，请在访问协议中进行相应修改)

新建资源-Linux-图2

新建windows资源

新建windows资源时，要特别注意NLA选项，该选项的勾选状态需要与资源机上的状态保持一致，否则会导致web工具登录失败的情况。

新建资源-windows-图1

windows资源机上的网络级别身份验证也需要开启

新建资源-windows-图2

点击【管理配置】，输入连接的账号和密码，选择连接协议，点击【保存并获取账号】，如下图所示。系统将使用配置的账号到资源机上拉取资源机上的账号列表。

新建资源-windows-图3

3、新建用户

接下来我们在综合组下，新建一个运维用户，选中缩合组，点击导航栏上【用户管理】，点击【新建】，如下图所示：

新建用户-图1

输入用户ID、用户名称、口令，勾选运维用户，输入移动电话和邮箱地址，点击【保存】，即可，如下图所示：

新建用户-图2

用户编辑功能请参看：https://cloud.tencent.com/document/product/1025/32076

4、新建资源账号策略

点击组织架构最上层目录 “测试公司”，在上方导航栏中点击【策略管理】，点击下方的【资源账号策略】，如下图所示：

新建资源账号策略-图1

点击【新建】，如下图所示：

新建资源账号策略-图2

输入策略名称，关联账号中输入需要代填密码的账号名称(如：root、administrator)，点击【点击添加关联信息】，点击【存存】，如下图所示：，这边输入的账号

新建资源账号策略-图3

若Linux系统使用密钥登录，在输入关联账号后，关联秘密处选择需要关联的密钥，然后点击【点击添加关联信息】，点击【保存】，如下图所示：

新建资源账号策略-图4

注：关联密钥默认是空的，您可以在右上角的【系统管理】-》【安全配置】-》【全局秘钥配置】中进行配置，如下图所示：

新建资源账号策略-图5

5、工作组绑定资源、用户和策略

经过以上4步的基本配置，接下来我们可以给运维用户进行相应的授权了。

5.1绑定用户

点击左侧组织架构中的工作组-开发，点击【绑定用户】，点击【绑定】，如下图所示：

工作组-绑定用户-图1

勾先需要绑定的用户，点击【确定&关闭】，如下图所示：（注意：已绑定的账号不能重复绑定，否则会报错）

工作组-绑定用户-图2

5.2 绑定资源

点击【绑定资源】，点击【绑定】，如下图所示：

工作组-绑定资源-图1

勾选需要绑定到工作组中的资源，点击【确定&关闭】，如下图所示：（这里要注意已经绑定该工作组的资源，系统不会自动过滤，同一个资源在绑定同一个工作组时只可以添加一次，重复绑定会报错）

工作组-绑定资源-图2

5.3 绑定资源账号策略

点击【绑定策略】，在资源账号策略中选择我们刚刚建好的免密码登录策略，点击【保存】，如下图所示：，其他审计策略为空时默认审计所有行为。

工作组-绑定资源账号策略-图1

至此我们的运维用户授权配置完成了，可以使用运维账号登录堡垒机测试看下。

三、测试验证

打开堡垒机登录页面，使用刚刚建的运维用户登录堡垒机，如下图所示：

测试-登录-图1

点击左上角的电脑图标，下载并安装单点登录工具(标准版)，如下图所示：

测试-下载单点登录工具-图2

关闭浏览器，安装单点登录工具后，重新打开浏览器，登录运维账号，点击【导航栏运维】，【授权列表】，【登录】，如下图所示：

测试-登录资源-图3

在配置登录页面，选择相应的协议，windows系统选择RDP，账号这边因为我们前面绑定了资源账号策略，这边会显示我们绑定的资源账号和密码(密码显示为......)，选择登录的工具，这边使用web，点击【登录】即可，如下图所示：

测试-登录配置-图4

四、堡垒机其他配置参考链接

密钥登录配置

https://cloud.tencent.com/developer/article/1749716

https://cloud.tencent.com/developer/article/1749723

短信验证登录配置

https://cloud.tencent.com/developer/article/1764555