堡垒机支持应用的运维与管控。在进行应用运维之前,您需要在堡垒机中关联应用所在的服务器及客户端等相关配置。本文介绍如何在堡垒机添加并配置应用。
前提条件
已添加应用服务器。具体操作,请参见添加和部署应用服务器。
已添加远程客户端。具体操作,请参见添加远程客户端。
添加应用
登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。
在堡垒机实例列表,定位到目标实例,单击管理。
在左侧导航栏,选择。
在应用列表页签,单击新建应用,并在弹出面板中,参考下表配置参数,单击确定。
配置项
说明
应用名称
自定义名称。命名规则如下:
长度为1~128个字符。
不能以特殊字符开头。
只可包含特殊字符中的半角句号(.)、下划线(_)、短划线(-)、反斜线(\)以及空格。
所属应用服务器
选择访问应用的服务器。如何添加应用服务器,请参见添加和部署应用服务器。
关联远程客户端
选择访问应用的客户端。如何添加远程客户端,请参见添加远程客户端。
应用类型
系统会自动识别客户端应用类型。
目标地址
运维应用时需要自动打开的应用地址。目标地址仅在远程客户端类型选择为谷歌浏览器或火狐浏览器时支持设置。
运维访问限制
运维访问限制仅在远程客户端类型选择为谷歌浏览器时支持设置。
仅允许运维员访问与目标地址IP/域名相同的URL:开启后,运维Web应用时将检查打开的URL,只能打开与应用目标地址IP/域名相同的URL以及运维访问限制中配置允许的URL。
黑白名单:设置访问的URL黑白名单。
配置示例:如果您设置了
https://example.com作为目标地址,开启了“仅允许访问与目标地址IP/域名相同的URL”AND“黑名单”,并在黑名单中设置了https://example.com/help,则被授权该应用的运维员不能访问该网站/help资源目录下的内容,其他资源路径不受影响。
设置自动登录Web应用
如果应用关联的远程客户端是谷歌浏览器或者火狐浏览器,您可以在浏览器中配置应用代填脚本,并通过新建应用账户托管Web应用的用户名和密码,实现运维时自动登录Web应用。
有防机器人登录检测的网站不支持代填用户名和密码。
有登录验证码的网站代填完成后不支持自动登录,需手动输入验证码后登录。
获取并设置代填脚本
获取代填脚本的插件仅支持在谷歌浏览器上运行,但所获取的代填脚本可同时在谷歌浏览器和火狐浏览器的应用中使用。
登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。
在堡垒机实例列表,定位到目标实例,单击管理。
在左侧导航栏,选择。
在应用列表页签,定位到目标应用,在操作列,单击编辑。
在应用配置页签,单击下载浏览器插件,并在本地解压。
在谷歌浏览器扩展程序中,添加已解压的插件(extension文件夹),并打开运行。
在谷歌浏览器中打开需要代填的Web应用(登录页面),并点击扩展程序,单击开始。
下图为阿里云RAM用户登录页示意图:
按照页面提示,依次右键通过扩展程序添加用户名输入框、密码输入框和登录按钮。
添加用户名输入框示意图
添加密码输入框示意图
添加登录按钮示意图
添加完成后将自动在剪贴板生成脚本,您只需返回堡垒机应用配置页签,粘贴生成代填脚本,并单击更新即可。
新建应用账户
登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。
在堡垒机实例列表,定位到目标实例,单击管理。
在左侧导航栏,选择。
在应用列表页签,定位到目标应用,在操作列,单击编辑。
在应用账户页签,单击新建应用账户,并在弹出的面板设置Web应用登录名和密码,单击确定。
相关操作
编辑应用:如果需要修改应用名称、所属应用服务器等相关配置,请在操作列,单击编辑。
删除应用:如果业务场景变化不再需要维护某个应用,请在操作列,单击删除。