操作场景
在不同网络范围内安装 bh-gateway-client,可以实现对 IDC 内网资产、其他云平台内网资产、公网资产的统一管理。
操作步骤
网络域购买
运维安全中心(堡垒机)实例购买部署成功后,会创建默认网络域,默认网络域为运维安全中心(堡垒机)实例所部署的 VPC。
当用户需要创建其他网络时,首先需要购买网络域扩展包。
1. 登录 运维安全中心(堡垒机)控制台。
2. 在左侧导航栏中,选择开通服务 > 服务列表。
3. 在服务列表页面,选择需要调整网络域的实例,单击实例右侧的更多 > 调整网络域。
4. 在调整网络域弹窗中,根据实际需求购买网络域数量。
网络域配置
1. 登录 运维安全中心(堡垒机)控制台。
2. 在左侧导航栏中,选择开通服务 > 网络域。
3. 在网络域页面,单击新建,弹出新建网络域弹窗。
4. 在新建网络域弹窗中,配置相关参数,单击确定。
参数名称 | 详情 |
接入堡垒机资源 ID | 此网络域所属的运维安全中心(堡垒机)实例。当资产绑定到此运维安全中心(堡垒机)和此网络域时,运维安全中心(堡垒机)将来通过此网络域的客户端发起连接。 |
网络域名称 | 网络域和资产中展示的名称。推荐使用良好的命名表达此网络域所属环境信息。 |
IP | 允许网络域客户端(bh-gateway-client)连接到运维安全中心(堡垒机)实例的公网 IP 白名单。可配置单 IP 或者网段 CIDR,每行一条数据。多个IP 需属于相同网络(统一 VPC 或局域网)。 |
客户端安装
网络域配置好后,处于断开状态。需要下载安装脚本,部署到目标网络域内,一台或多台可访问到运维安全中心(堡垒机)公网 IP 的服务器上。
说明:
客户端可以安装在同一网络域内的一台或多台服务器上。建议至少配置两台服务器以确保高可用性。请注意,客户端不应跨网络域部署,以避免出现部分服务器可访问而其他服务器不可访问的情况。
客户端脚本必须安装在 Linux 机器上。
1. 登录 运维安全中心(堡垒机)控制台。
2. 在左侧导航栏中,选择开通服务 > 网络域。
3. 选择需要进行安装操作的网络域,单击操作栏中的下载安装脚本。
4. 上传安装脚本到服务器上后,执行脚本。
5. 通过
ps aux | grep bh_gateway_client 检查是否正常启动。
6. 查看
/var/log/tsecbh/bh_gateway.log 日志文件,判断 Client 是否正常连接到运维安全中心(堡垒机)实例。
7. 刷新控制台上网络域页面,该网络域状态应为已启用。
资产配置
说明:
资产绑定运维安全中心(堡垒机)实例时,需要指定所属的网络域,若资产与运维安全中心(堡垒机)实例属于同一 VPC 下,请选择资产默认网络域。
资产属于其他网络域时,请根据实际情况配置网络域。
1. 登录 运维安全中心(堡垒机)控制台。
2. 在左侧导航栏中,选择资产管理 > 主机资产。
3. 在主机资产页面,选中需要配置网络域的主机资产,单击托管资产。
4. 在托管资产弹窗中,根据实际情况配置网络域,单击确定。
