操作场景
在不同网络范围内安装 bh-gateway-client,可以实现对 IDC 内网资产、其他云平台内网资产、公网资产的统一管理。
操作步骤
网络域购买
运维安全中心(堡垒机)实例购买部署成功后,会创建默认网络域,默认网络域为运维安全中心(堡垒机)实例所部署的 VPC。
当用户需要创建其他网络时,首先需要购买网络域扩展包。
1. 登录 运维安全中心(堡垒机)控制台,单击立即进入,进入运维安全中心(堡垒机)控制台。
2. 在左侧导航选择开通服务,单击 Tab 栏中的服务列表选项。
3. 在服务列表页面,选择需要调整网络域的实例,单击实例右侧的更多 > 调整网络域。
4. 在调整网络域弹窗中,根据实际需求购买网络域数量。
网络域配置
1. 登录 运维安全中心(堡垒机)控制台,单击立即进入,进入运维安全中心(堡垒机)控制台。
2. 在左侧导航选择开通服务,单击 Tab 栏中的网络域选项。
3. 在网络域页面,单击新建,弹出新建网络域弹窗。
4. 在新建网络域弹窗中,配置相关参数,单击确定。
参数名称 | 详情 |
接入堡垒机资源 ID | 此网络域所属的运维安全中心(堡垒机)实例。当资产绑定到此运维安全中心(堡垒机)和此网络域时,运维安全中心(堡垒机)将来通过此网络域的客户端发起连接。 |
网络域名称 | 网络域和资产中展示的名称。推荐使用良好的命名表达此网络域所属环境信息。 |
IP | 允许网络域客户端(bh-gateway-client)连接到运维安全中心(堡垒机)实例的公网 IP 白名单。可配置单 IP 或者网段 CIDR,每行一条数据。多个IP 需属于相同网络(统一 VPC 或局域网)。 |
客户端安装
网络域配置好后,处于断开状态。需要下载安装脚本,部署到目标网络域内,一台或多台可访问到运维安全中心(堡垒机)公网 IP 的服务器上。
1. 登录运维安全中心(堡垒机)控制台,单击立即进入,进入运维安全中心(堡垒机)控制台。
2. 在左侧导航选择开通服务,单击 Tab 栏中的网络域选项。
3. 选择需要进行安装操作的网络域,单击操作栏中的下载安装脚本。
4. 上传安装脚本到服务器上后,执行脚本。
5. 通过
ps aux | grep bh_gateway_client 检查是否正常启动。
6. 查看
/var/log/tsecbh/bh_gateway.log 日志文件,判断 Client 是否正常链接到运维安全中心(堡垒机)实例。
7. 刷新控制台上网络域页面,该网络域状态应为已连接。
说明:
一个网络域的客户端可安装在此网络域下的一台多台服务器上提供服务,推荐至少配置两台服务器提供高可用。请确保客户端未安装在不同网络域下,导致部分服务器可访问,部分服务器不可访问的情况发生。
资产配置
说明:
资产绑定运维安全中心(堡垒机)实例时,需要指定所属的网络域,若资产与运维安全中心(堡垒机)实例属于同一 VPC 下,请选择资产默认网络域。
资产属于其他网络域时,请根据实际情况配置网络域。
1. 登录 运维安全中心(堡垒机)控制台,单击立即进入,进入运维安全中心(堡垒机)控制台。
2. 在左侧导航选择开通服务,单击 Tab 栏中的主机资产选项。
3. 在主机资产页面,选中需要配置网络域的主机资产,单击修改堡垒机服务。
4. 在修改堡垒机服务弹窗中,根据实际情况配置网络域,单击确定。
