应用场景
当企业的资产分布在腾讯云和其他云平台时,每个云平台分布不同的资产,通过运维安全中心(堡垒机)可以帮助企业实现不同云平台的统一管理,确保只有经过授权的人员能够访问相应的资产。
混合云管理能力的优势在于:
统一管理:通过运维安全中心(堡垒机)提供统一运维入口,实现对所有网络环境资产的统一登录管理。
性价比高:相同网络环境中只需部署一台代理节点,无需独立部署堡垒机系统,降低部署和运营成本。
细粒度授权:支持基于用户、资产、账号、操作权限等维度进行细粒度授权,确保用户所拥有的权限是企业客户所需的访问资产、完成工作任务的最小化权限。
功能限制
网络域插件仅支持安装于 Linux 服务器。
安装网络域插件的服务器需配置公网 IP,或支持 NAT 转发方式出公网。
操作步骤
步骤1:购买网络域
1. 进入运维安全中心(堡垒机)控制台 开通服务,选择需要调整网络域的实例,单击实例右侧的更多 > 调整网络域。
2. 在调整网络域弹窗中,根据实际需求购买网络域数量,单击确定。
步骤2:配置网络域
1. 进入运维安全中心(堡垒机)控制台 开通服务,切换至网络域页面,单击新建。
2. 在新建网络域弹窗中,配置相关参数,单击确定。
参数名称 | 详情 |
接入堡垒机资源 ID | 此网络域所属的运维安全中心(堡垒机)实例。当资产绑定到此运维安全中心(堡垒机)和此网络域时,运维安全中心(堡垒机)将通过此网络域的客户端发起连接。 |
网络域名称 | 网络域和资产中展示的名称。推荐使用良好的命名表达此网络域所属环境信息。 |
IP | 允许网络域客户端(bh-gateway-client)连接到运维安全中心(堡垒机)实例的公网 IP 白名单。可配置单 IP 或者网段 CIDR,每行一条数据。多个IP 需属于相同网络环境(统一 VPC 或局域网)。 |
步骤3:安装网络域
网络域配置好后,处于断开状态。需要下载安装脚本,部署到目标网络域内一台或多台可访问到运维安全中心(堡垒机)公网 IP 的服务器上。
说明:
一个网络域的客户端可安装在此网络域下的一台或多台服务器上提供服务,推荐至少配置两台服务器提供高可用。请确保客户端未安装在不同网络域下,避免部分服务器可访问,部分服务器不可访问的情况发生。
1. 进入运维安全中心(堡垒机)控制台 开通服务,切换至网络域页面,选择需要进行安装操作的网络域,单击操作栏中的下载安装脚本。
2. 上传安装脚本到服务器上后,执行脚本。
3. 通过
ps aux | grep bh_gateway_client 检查是否正常启动。
4. 查看
/var/log/tsecbh/bh_gateway.log 日志文件,判断网络域服务器是否正常连接到运维安全中心(堡垒机)实例。
5. 刷新控制台上网络域页面,该网络域状态应为已连接。
步骤4:配置资产
说明:
资产托管到运维安全中心(堡垒机)时,需要指定所属的网络域,若资产与运维安全中心(堡垒机)实例属于同一 VPC 下,请选择资产默认网络域。
资产属于其他网络域时,请根据实际情况配置网络域。
1. 进入运维安全中心(堡垒机)控制台 资产管理,选中需要配置网络域的主机资产,单击托管资产。
2. 在托管资产弹窗中,根据实际情况配置网络域,单击确定。
3. 后续通过访问权限将资产授权给运维人员之后,运维人员即可正常访问,并且用户的所有操作行为都将被运维安全中心(堡垒机)记录。
