华为云堡垒机的配置主要包括创建实例、配置安全组、添加用户、设置访问规则等步骤,详细的配置指南:
- 创建堡垒机实例:
- 登录。
- 在页面左上角单击,选择区域,然后选择 “安全与合规> 云堡垒机”,进入云堡垒机实例管理页面。
- 单击 “购买云堡垒机”,进入购买页面。
- 选择实例计费模式,目前仅支持 “包年 / 包月”。
- 根据业务需求选择单机或主备实例类型。
- 选择堡垒机部署的可用区,主备实例可选择同一或不同可用区。
- 自定义实例名称,选择性能规格,根据需求选择存储扩展包。
- 选择虚拟私有云(VPC)和子网,分配 IPv4 地址,可选择自动或手动分配,还可选择弹性 IP(EIP),若购买时未绑定,后期可自行绑定。
- 设置默认用户名 “admin” 的登录密码,密码需符合长度和规则要求。
- 选择购买时长,可根据需要添加标签,完成后单击 “立即购买” 并确认订单。
- 配置安全组:
- 在创建堡垒机实例时可选择默认安全组 Sys - default,也可单击 “管理安全组” 创建或配置新的安全组。
- 若使用主备实例,需要在安全组入方向放通 22、31036、31679、31873 这四个端口。主备实例跨版本升级还会自动开放这四个端口,升级完成后保持 31679 开放即可,其余端口若不需要使用请第一时间关闭。
- HA 配置(主备实例):
- 主堡垒机配置:登录主堡垒机 console 页面(https:// 主堡垒机 VM IP),进入 “系统> 系统配置 > HA 配置”,修改 HA 状态为 “启用”,节点角色选 “主节点”,填写备堡垒机节点 IP 地址。登录备机获取 HA Key 并粘贴到主机 HA Key 一栏,填写浮动 IP 地址及掩码位数,选中浮动 IP 网口和 HA 心跳线网口,单击 “确定” 后重启主堡垒机。
- 备堡垒机配置:登录备堡垒机 console 页面(https:// 备堡垒机 VM IP),进入 “系统> 系统配置 > HA 配置”,修改 HA 状态为 “启用”。待主堡垒机重启完成后,从主堡垒机复制 “ha 群组验证秘钥” 粘贴到备机相应栏,填写主堡垒机节点 IP 地址和浮动 IP 地址及掩码位数,选中浮动 IP 网口和 HA 心跳线接口,点击 “确定” 后重启备堡垒机。
- HA 连通性检查:登录主堡垒机 console 页面,进入 “系统> 系统维护 > 网络诊断 > TCP 端口检测”,对备堡垒机节点的 TCP 端口 22、31036、31679、31873 进行连通性检测,若全部端口检测都成功,则 HA 配置成功。
- 添加用户:
- 登录华为云堡垒机控制台,进入堡垒机实例详情页,点击 “用户管理” 按钮。
- 点击 “添加用户” 按钮,填写用户信息,包括用户名、密码、权限等,用户权限可根据实际需求灵活配置。
- 配置访问规则:
- 在堡垒机实例详情页,点击 “访问控制” 按钮。
- 根据需要配置访问规则,例如允许或禁止特定的 IP 地址、协议等,以控制用户对堡垒机及通过堡垒机对后端资源的访问。
- 纳管资源:
- 云堡垒机支持直接管理同一区域同一 VPC 网络下的 ECS 等资源。若需管理同一区域不同 VPC 网络下的 ECS 等资源,要通过对等连接、VPN 或其他方式打通两个 VPC 间的网络。进入堡垒机系统后,找到资源管理相关功能模块,按照提示添加需要纳管的服务器等资源,输入资源的 IP 地址、用户名、密码等信息完成纳管。
