背景信息
在线下的办公网访问云上的生产网一是个网络隔离和权限管控的难题,如何最小化安全风险的同时提升日常的运维体验,是每个企业都企图解决的痛点。现在通过 iOA 零信任安全管理系统与云防火墙联合使用,避免了云上与线下复杂的网络打通和配置,实现了即开即用的便捷接入体验,并且同时支持基于身份的访问控制和审计。
概述
有端运维需要用户客户端设备登录 iOA 账号,受控资产支持服务器、Web 服务和数据库。
步骤一:接入准备工作
前提条件
步骤1:启用零信任运维实例
零信任运维实例(以下简称运维实例)负责提供整合 iOA 的连接器与零信任网关通信,打通资产与运维实例之间的网络通信。在启用运维实例之前,您需要先根据购买的配额及资产所属地域进行规划,确认需要开启的运维实例所在地域。确定地域后,详情请参见 启用零信任运维实例。
注意:
使用 iOA 有端运维请务必绑定运维 IP,否则将无法使用所有有端运维功能。
步骤2:接入资产网络
在启用零信任运维实例后,还需要将实例与资产之间的网络打通以实现网络流向的匹配。云防火墙提供以 VPC 粒度进行接入的快捷操作,仅需开启对应地域下的 VPC 开关即可完成接入,详情请参见 以 VPC 粒度进行资产接入。
注意:
由于实例规格限制,每个实例仅支持接入9个 VPC。
步骤3:接入身份信息
注意:
iOA 目录接入仅支持以组织维度进行接入,接入后不会默认分配权限,请放心操作。
步骤二:资产配置工作
在接入准备工作中,您已经完成了网络的打通、身份的接入,接下来您需要对接入的资产配置相关运维参数。
服务器类型资产
注意:
资产列表中,仅限在前述接入资产网络中启用了 VPC 下的资产才可进行远程运维。
Web 服务类型资产
注意:
Web 服务添加后无需绑定域名即可使用内网有端运维,请使用真实服务地址访问即可。
数据库类型资产
数据库资产会自动拉取云上您拥有的相关 PaaS 服务,现有支持类型包括 MySQL、MariaDB、Redis、CKafka、ElasticSearch 五种数据库类型。您可以根据情况点击同步资产重新拉取数据库资产进行同步,详情请参见 数据库管理。
说明:
云防火墙无需配置数据库运维信息,所有信息以对应产品控制台为准,配置权限后可直接通过数据库地址进行连接。
步骤三:权限配置工作
权限本质上就是基于身份和资产的三元组白名单,因此无论是从权限规则本身的视角,还是资产视角,或是身份视角,都可以对权限进行管理和添加。
从权限规则本身的视角进行权限管理或者添加权限,详情请参见 规则视角。
从身份的视角对拥有权限的资产进行管理或编辑,详情请参见 身份视角。
从资产的视角对拥有权限的用户或组织进行管理或编辑,请前往各个资产类型的管理页面。