CN113992494A - 一种云平台创建堡垒机并自动纳管云主机的方法 - Google Patents
一种云平台创建堡垒机并自动纳管云主机的方法 Download PDFInfo
- Publication number
- CN113992494A CN113992494A CN202111586524.XA CN202111586524A CN113992494A CN 113992494 A CN113992494 A CN 113992494A CN 202111586524 A CN202111586524 A CN 202111586524A CN 113992494 A CN113992494 A CN 113992494A
- Authority
- CN
- China
- Prior art keywords
- cloud host
- bastion
- machine
- service
- creating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/042—Network management architectures or arrangements comprising distributed management centres cooperatively managing the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Abstract
本发明涉及一种云平台创建堡垒机并自动纳管云主机的方法,该方法包括:获取堡垒机的部署文件;根据所述部署文件,生成堡垒机镜像文件;根据所述堡垒机镜像文件,创建对应的堡垒云主机,再根据所述堡垒云主机的主机信息,创建业务云主机;将所述业务云主机自动纳管至所述堡垒云主机。本发明无需手动部署堡垒机,而是通过堡垒机镜像文件生成已经部署好堡垒机程序的堡垒云主机,并且能实现对业务云主机的自动纳管。
Description
技术领域
本发明涉及云计算技术领域,尤其涉及一种云平台创建堡垒机并自动纳管云主机的方法。
背景技术
近年来,随着国家层面鼓励企业上云,越来越多的企业选择将相关业务部署在云上,除了使用阿里云,腾讯云等公有云之外,也有不少企业选择使用开源的openstack自建私有云平台。而随着公司业务的发展,云平台上云主机越来越多,运维人员越来越多,如果没有一套好的机制,很容易产生运维混乱等一系列问题,如云主机权限管理混乱,云主机登录账户管理混乱,无法做审计等问题。
于是,堡垒机便诞生了,它承担起了运维人员在运维过程中的唯一入口,运维人员不再直接登录到云主机上进行维护,而是登录到堡垒机,再从堡垒机登录到指定云主机上进行维护。堡垒机纳管了所有的云主机,能对所有云主机资产进行统一管控,运维人员不再需要记住一堆云主机的账户信息,并且通过精细化的授权管理,可以细化到指定运维人员对某个云主机的权限。堡垒机还具有命令过滤功能,能忽略一些可能引起严重后果的命令。同时,堡垒机也可以对运维人员的操作进行审计,以录像的形式回溯运维人员的操作。
虽然市面上已经有不少堡垒机产品,但都无法与云平台紧密结合,大多需要手动在云主机上部署,较为麻烦;而虽然一些公有云平台提供有堡垒机产品,但创建完堡垒机后,还是需要手动将云主机的远程连接信息一台台录入到系统里。如果需要管理的业务云主机很多,单纳管这些业务云主机就要耗费很长时间。因此,如何实现堡垒机对业务云主机的自动化纳管是亟待解决的问题。
发明内容
有鉴于此,有必要提供一种云平台创建堡垒机并自动纳管云主机的方法,用以克服现有技术中对业务云主机的纳管过程复杂、智能化程度不高的问题。
本发明提供一种云平台创建堡垒机并自动纳管云主机的方法,包括:
获取堡垒机的部署文件;
根据所述部署文件,生成堡垒机镜像文件;
根据所述堡垒机镜像文件,创建对应的堡垒云主机,再根据所述堡垒云主机的配置信息,创建业务云主机;
将所述业务云主机自动纳管至所述堡垒云主机。
进一步地,所述根据所述部署文件,生成堡垒机镜像文件,包括:
将所述部署文件集成至预设工具的镜像制作脚本中;
初始化所述镜像制作脚本,生成预设格式的所述堡垒机镜像文件:
将所述堡垒机镜像文件上传至指定的镜像服务中,且上传的同时给所述堡垒机镜像文件添加属性标签,以标志所述堡垒机镜像文件是用于创建堡垒机的镜像。
进一步地,所述根据所述堡垒机镜像文件,创建对应的堡垒云主机,再根据所述堡垒云主机的配置信息,创建业务云主机,包括:
根据所述堡垒机镜像文件,调用云平台对应的计算服务API接口,创建所述堡垒云主机;
根据所述堡垒云主机进行相应的配置,基于生成的所述配置信息创建所述业务云主机。
进一步地,所述根据所述堡垒机镜像文件,调用云平台对应的计算服务API接口,创建所述堡垒云主机,包括:
根据选择的所述堡垒机镜像文件,生成所述堡垒云主机的元数据和属性数据,调用对应的所述计算服务API接口,创建所述堡垒云主机;
根据所述堡垒机镜像文件,结合所述元数据和所述属性数据,部署对应的堡垒机。
进一步地,所述根据选择的所述堡垒机镜像文件,生成所述堡垒云主机的元数据和属性数据,调用对应的所述计算服务API接口,创建所述堡垒云主机,包括:
根据所述堡垒机镜像文件的属性标签,随机生成堡垒机API服务认证密钥,并将所述堡垒机API服务认证密钥写入至所述堡垒云主机的所述元数据和所述属性数据;
调用对应的所述计算服务API接口,创建所述堡垒云主机。
进一步地,所述根据所述堡垒机镜像文件,结合所述元数据和所述属性数据,部署对应的堡垒机,包括:
在所述堡垒云主机创建完成后,自动运行所述堡垒云主机中的所述堡垒机镜像文件中集成的所述镜像制作脚本;
所述镜像制作脚本从所述元数据和所述属性数据中获取所述堡垒机API服务认证密钥,将所述堡垒机API服务认证密钥注册至对应的所述堡垒机;
将所述堡垒机与预设的外网IP地址绑定,其中,所述业务云主机通过所述外网IP地址调用所述堡垒机对应的堡垒机API接口。
进一步地,所述根据所述堡垒云主机进行相应的配置,基于生成的所述配置信息创建所述业务云主机,包括:
根据选择纳管的堡垒机的内网IP地址和外网IP地址,生成定制化脚本;
将所述定制化脚本注入至创建所述业务云主机的配置选项中,创建所述业务云主机;
当所述业务云主机创建完成后,基于所述定制化脚本,将所述业务云主机对应纳管的堡垒机的内网IP地址和外网IP地址配置至远程连接白名单中。
进一步地,所述将所述业务云主机自动纳管至所述堡垒云主机,包括:
从所述业务云主机对应纳管的堡垒机的属性数据中,确定对应的堡垒机API服务认证密钥和堡垒机API接口;
检测对应纳管的堡垒机的所述堡垒机API接口,判断所述业务云主机和对应纳管的堡垒机之间的网络连通情况,根据所述网络连通情况选择调用所述业务云主机的内网IP地址或外网IP地址;
获取所述业务云主机的相关主机信息,并根据所述相关主机信息调用所述堡垒机API接口,将所述业务云主机自动纳管至对应的所述堡垒云主机中。
进一步地,所述相关主机信息包括所述业务云主机的内网IP地址、外网IP地址、用户名称、用户密码和远程登录密钥中的至少一种,所述获取所述业务云主机的相关主机信息,并根据所述相关主机信息调用所述堡垒机API接口,将所述业务云主机自动纳管至对应的所述堡垒云主机中,包括:
根据所述业务云主机的内网IP地址或外网IP地址、用户名称和用户密码和远程登录密钥中的至少一种,生成调用参数;
根据所述调用参数,调用对应纳管的堡垒机的所述堡垒机API接口中的第一接口,将所述业务云主机添加至对应纳管的堡垒机的资产中。
进一步地,所述获取所述业务云主机的相关主机信息,并根据所述相关主机信息调用所述堡垒机API接口,将所述业务云主机自动纳管至对应的所述堡垒云主机中,还包括:
调用对应纳管的堡垒机的所述堡垒机API接口中的第二接口,创建管理用户,其中,所述管理用户用于创建对应纳管的堡垒机上的系统用户,所述系统用户为在堡垒机中登录所述业务云主机的普通用户。
与现有技术相比,本发明的有益效果包括:首先,对部署文件进行有效的获取;然后,根据部署文件,生成堡垒机镜像文件;进而,基于堡垒机镜像文件,创建对应的堡垒云主机,创建业务云主机时输入堡垒机相关的配置信息即可;最后,通过调用堡垒机对应的API,实现对业务云主机的自动纳管。综上,本发明无需手动部署堡垒机,而是通过堡垒机镜像文件生成已经部署好堡垒机程序的堡垒云主机,并且能实现对业务云主机的自动纳管,可以实现在openstack平台上快速创建堡垒机,并且创建业务云主机时,能够自动纳管到堡垒机平台中,不再需要手动录入这些云主机的远程连接信息,极大的减轻了运维负担。
附图说明
图1为本发明提供的云平台创建堡垒机并自动纳管云主机的方法的应用系统一实施例的场景示意图;
图2为本发明提供的云平台创建堡垒机并自动纳管云主机的方法一实施例的流程示意图;
图3为本发明提供的图2中步骤S2一实施例的流程示意图;
图4为本发明提供的图2中步骤S3一实施例的流程示意图;
图5为本发明提供的图4中步骤S31一实施例的流程示意图;
图6为本发明提供的图5中步骤S311一实施例的流程示意图;
图7为本发明提供的图5中步骤S312一实施例的流程示意图;
图8为本发明提供的图4中步骤S32一实施例的流程示意图;
图9为本发明提供的图2中步骤S4一实施例的流程示意图;
图10为本发明提供的图9中步骤S43一实施例的流程示意图;
图11为本发明提供的云平台创建堡垒机并自动纳管云主机的装置一实施例的结构示意图。
具体实施方式
下面结合附图来具体描述本发明的优选实施例,其中,附图构成本申请一部分,并与本发明的实施例一起用于阐释本发明的原理,并非用于限定本发明的范围。
在本发明的描述中,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。此外,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
在本发明的描述中,提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,所描述的实施例可以与其它实施例相结合。
本发明提供了一种云平台创建堡垒机并自动纳管云主机的方法,基于镜像文件,创建对应的堡垒机云主机,为进一步提高堡垒机对业务云主机的纳管的自动化提供了新思路。以下分别进行详细说明:
本发明实施例提供了一种云平台创建堡垒机并自动纳管云主机的方法的应用系统,图1为本发明提供的云平台创建堡垒机并自动纳管云主机的方法的应用系统一实施例的场景示意图,该系统可以包括服务器100,服务器100中集成有云平台创建堡垒机并自动纳管云主机的装置,如图1中的服务器。
本发明实施例中服务器100主要用于:
获取堡垒机的部署文件;
根据所述部署文件,生成堡垒机镜像文件;
根据所述堡垒机镜像文件,创建对应的堡垒云主机,再根据所述堡垒云主机的配置信息,创建业务云主机;
将所述业务云主机自动纳管至所述堡垒云主机。
本发明实施例中,该服务器100可以是独立的服务器,也可以是服务器组成的服务器网络或服务器集群,例如,本发明实施例中所描述的服务器100,其包括但不限于计算机、网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云服务器。其中,云服务器由基于云计算(Cloud Computing)的大量计算机或网络服务器构成。
可以理解的是,本发明实施例中所使用的终端200可以是既包括接收和发射硬件的设备,即具有能够在双向通信链路上,执行双向通信的接收和发射硬件的设备。这种设备可以包括:蜂窝或其他通信设备,其具有单线路显示器或多线路显示器或没有多线路显示器的蜂窝或其他通信设备。具体的终端200可以是台式机、便携式电脑、网络服务器、掌上电脑(Personal Digital Assistant,PDA)、移动手机、平板电脑、无线终端设备、通信设备、嵌入式设备等,本实施例不限定终端200的类型。
本领域技术人员可以理解,图1中示出的应用环境,仅仅是与本发明方案一种应用场景,并不构成对本发明方案应用场景的限定,其他的应用环境还可以包括比图1中所示更多或更少的终端,例如图1中仅示出2个终端,可以理解的,该云平台创建堡垒机并自动纳管云主机的方法的应用系统还可以包括一个或多个其他终端,具体此处不作限定。
另外,如图1所示,该云平台创建堡垒机并自动纳管云主机的方法的应用系统还可以包括存储器300,用于存储数据,如部署文件、堡垒机镜像文件、业务云主机等。
需要说明的是,图1所示的云平台创建堡垒机并自动纳管云主机的方法的应用系统的场景示意图仅仅是一个示例,本发明实施例描述的云平台创建堡垒机并自动纳管云主机的方法的应用系统以及场景是为了更加清楚的说明本发明实施例的技术方案,并不构成对于本发明实施例提供的技术方案的限定,本领域普通技术人员可知,随着云平台创建堡垒机并自动纳管云主机的方法的应用系统的演变和新业务场景的出现,本发明实施例提供的技术方案对于类似的技术问题,同样适用。
本发明实施例提供了一种云平台创建堡垒机并自动纳管云主机的方法,结合图2来看,图2为本发明提供的云平台创建堡垒机并自动纳管云主机的方法一实施例的流程示意图,包括步骤S1至步骤S4,其中:
在步骤S1中,获取堡垒机的部署文件;
在步骤S2中,根据所述部署文件,生成堡垒机镜像文件;
在步骤S3中,根据所述堡垒机镜像文件,创建对应的堡垒云主机,再根据所述堡垒云主机的配置信息,创建业务云主机;
在步骤S4中,将所述业务云主机自动纳管至所述堡垒云主机。
在本发明实施例中,首先,对部署文件进行有效的获取;然后,根据部署文件,生成堡垒机镜像文件;进而,基于堡垒机镜像文件,创建对应的堡垒云主机和业务云主机,利用堡垒机镜像文件将堡垒云主机和业务云主机进行有效的对应配置;最后,对业务云主机进行相应的配置,实现自动纳管。其中,需要说明的是,本发明基于堡垒机镜像文件的建立,制作的镜像文件中,已经安装有堡垒机程序,通过该镜像生成的云主机会自动运行堡垒机程序。
作为优选的实施例,结合图3来看,图3为本发明提供的图2中步骤S2一实施例的流程示意图,上述步骤S2具体包括步骤S21至步骤S23,其中:
在步骤S21中,将所述部署文件集成至预设工具的镜像制作脚本中;
在步骤S22中,初始化所述镜像制作脚本,生成预设格式的所述堡垒机镜像文件;
在步骤S23中,将所述堡垒机镜像文件上传至指定的镜像服务中,且上传的同时给所述堡垒机镜像文件添加属性标签,以标志所述堡垒机镜像文件是用于创建堡垒机的镜像。
在本发明实施例中,利用镜像制作脚本对堡垒机镜像文件进行制作和标记,保证堡垒机镜像文件起到对应的镜像作用。其中,预设格式优选为qcow2格式或者raw格式。
在本发明一个具体的实施例中,以openstack平台为例,预设工具为扩展openstack官方镜像构建工具disk image builder,堡垒机镜像文件的制作流程如下:
通过扩展openstack官方镜像构建工具disk image builder,将开源堡垒机的部署文件集成到disk image builder中的镜像制作脚本中,并集成初始化镜像制作脚本,其中,镜像制作脚本用于部署堡垒机以及创建private token,private token用于后续自动化纳管云主机的授权认证;
将初始化镜像制作脚本制作成一个qcow2格式或者raw格式的堡垒机镜像文件;
将制作好的堡垒机镜像文件上传到openstack平台中的镜像服务,在上传堡垒机镜像文件的同时需要添加属性标签–property os_jumpserver=yes,用于标志该堡垒机镜像文件是一个用于创建堡垒机的镜像。
作为优选的实施例,结合图4来看,图4为本发明提供的图2中步骤S3一实施例的流程示意图,上述步骤S3具体包括步骤S31至步骤S32,其中:
在步骤S31中,根据所述堡垒机镜像文件,调用云平台对应的计算服务API接口,创建所述堡垒云主机;
在步骤S32中,根据所述堡垒云主机进行相应的配置,基于生成的所述配置信息创建所述业务云主机。
在本发明实施例中,基于堡垒机镜像文件,创建对应的堡垒云主机,利用堡垒云主机的相应配置,创建业务云主机,便于后续的自动纳管。
作为优选的实施例,结合图5来看,图5为本发明提供的图4中步骤S31一实施例的流程示意图,上述步骤S31具体包括步骤S311至步骤S312,其中:
在步骤S311中,根据选择的所述堡垒机镜像文件,生成所述堡垒云主机的元数据和属性数据,调用对应的所述计算服务API接口,创建所述堡垒云主机;
在步骤S312中,根据所述堡垒机镜像文件,结合所述元数据和所述属性数据,部署对应的堡垒机。
在本发明实施例中,基于堡垒机镜像文件,生成对应的元数据和属性数据,从而创建堡垒云主机,而进一步地,结合元数据和属性数据,在堡垒云主机上进行堡垒机的部署。
作为优选的实施例,结合图6来看,图6为本发明提供的图5中步骤S311一实施例的流程示意图,上述步骤S311具体包括步骤S3111至步骤S3112,其中:
在步骤S3111中,根据所述堡垒机镜像文件的属性标签,随机生成堡垒机API服务认证密钥,并将所述堡垒机API服务认证密钥写入至所述堡垒云主机的所述元数据和所述属性数据;
在步骤S3112中,调用对应的所述计算服务API接口,创建所述堡垒云主机。
在本发明实施例中,利用其属性标签,随机生成堡垒机API服务认证密钥,从而写入对应的元数据和属性数据,便于后续的权限认证,再调用对应的API接口,有效创建堡垒云主机。
作为优选的实施例,结合图7来看,图7为本发明提供的图5中步骤S312一实施例的流程示意图,上述步骤S312具体包括步骤S3121至步骤S3123,其中:
在步骤S3121中,在所述堡垒云主机创建完成后,自动运行所述堡垒云主机中的所述堡垒机镜像文件中集成的所述镜像制作脚本;
在步骤S3122中,所述镜像制作脚本从所述元数据和所述属性数据中获取所述堡垒机API服务认证密钥,将所述堡垒机API服务认证密钥注册至对应的所述堡垒机;
在步骤S3123中,将所述堡垒机与预设的外网IP地址绑定,其中,所述业务云主机通过所述外网IP地址调用所述堡垒机对应的堡垒机API接口。
在本发明实施例中,在部署过程中,利用元数据和属性数据中获取的API服务认证密钥注册至对应的堡垒机,并将每一个堡垒机与对应的预设的外网IP地址绑定,完成在堡垒云平台上的堡垒机的部署。
作为更具体的实施例,用户依据实际应用需求,选择堡垒机与预设的外网IP地址绑定与否。在本发明实施例中,用户可以选择将堡垒机与预设的外网IP地址绑定,也可选择不绑定,保证应用的灵活性。
在本发明一个具体的实施例中,仍以openstack平台为例,堡垒机部署的流程如下:
在openstack管理平台的horizon模块上创建堡垒机云主机,在选择镜像时,选择上述制作成功的堡垒机镜像文件;
horizon模块接收到创建云主机请求时,通过镜像属性判断出这是一个堡垒机镜像,会自动生成一个随机的堡垒机的private token(API服务认证密钥),并将该privatetoken(API服务认证密钥)写入到堡垒云主机的元数据以及属性中,紧接着调用nova API创建云主机;
堡垒云主机创建完,启动时,会自动运行制作镜像时集成的镜像制作脚本,自动部署堡垒机,并从元数据中获取到private token(API服务认证密钥),并注册到堡垒机中;
为堡垒机绑定外网IP,并在安全组放通80端口,用于后续创建业务云主机时,通过该地址调用堡垒机的API实现自动纳管云主机。
作为优选的实施例,结合图8来看,图8为本发明提供的图4中步骤S32一实施例的流程示意图,上述步骤S32具体包括步骤S321至步骤S323,其中:
在步骤S321中,根据选择纳管的堡垒机的内网IP地址和外网IP地址,生成定制化脚本;
在步骤S322中,将所述定制化脚本注入至创建所述业务云主机的配置选项中,创建所述业务云主机;
在步骤S323中,当所述业务云主机创建完成后,基于所述定制化脚本,将所述业务云主机对应纳管的堡垒机的内网IP地址和外网IP地址配置至远程连接白名单中。
在本发明实施例中,在创建业务云主机时,根据其对应纳管的堡垒机的内网IP地址和/或外网IP地址,生成定制化脚本,并将定制化脚本注入至业务云主机的配置选项,即可自动将堡垒机的内网IP地址和/或外网IP地址配置至对应的远程连接白名单。
需要说明的是,当堡垒机绑定了对应的外网IP地址,即可根据其对应的内网IP地址和外网IP地址,生成对应的定制化脚本;当堡垒机未绑定了对应的外网IP地址,即可根据其对应的内网IP地址,生成对应的定制化脚本。
其中,在创建堡垒云主机时,必定会有一个内网IP地址,而外网IP地址是可选的,如果业务云主机与堡垒机内网互通,则会使用业务云主机的内网IP地址来添加资产到堡垒机,否则使用外网IP地址。
作为优选的实施例,结合图9来看,图9为本发明提供的图2中步骤S4一实施例的流程示意图,上述步骤S4具体包括步骤S41至步骤S43,其中:
在步骤S41中,从所述业务云主机对应纳管的堡垒机的属性数据中,确定对应的堡垒机API服务认证密钥和堡垒机API接口;
在步骤S42中,检测对应纳管的堡垒机的所述堡垒机API接口,判断所述业务云主机和对应纳管的堡垒机之间的网络连通情况,根据所述网络连通情况选择调用所述业务云主机的内网IP地址或外网IP地址;
在步骤S43中,获取所述业务云主机的相关主机信息,并根据所述相关主机信息调用所述堡垒机API接口,将所述业务云主机自动纳管至对应的所述堡垒云主机中。
在本发明实施例中,基于业务云主机对应纳管的堡垒机的属性数据,判断两者之间的网络连通情况,从而调用对应的API接口,进行自动纳管。
作为优选的实施例,结合图10来看,图10为本发明提供的图9中步骤S43一实施例的流程示意图,上述步骤S43具体包括步骤S431至步骤S432,其中:
在步骤S431中,根据所述业务云主机的内网IP地址或外网IP地址、用户名称和用户密码和远程登录密钥中的至少一种,生成调用参数;
在步骤S432中,根据所述调用参数,调用对应纳管的堡垒机的所述堡垒机API接口中的第一接口,将所述业务云主机添加至对应纳管的堡垒机的资产中。
在本发明实施例中,根据业务云主机的相关信息,有效调用堡垒机的API接口中的第一接口,进行有效的纳管。
作为优选的实施例,上述步骤S43具体还包括:
调用对应纳管的堡垒机的所述堡垒机API接口中的第二接口,创建管理用户,其中,所述管理用户用于创建对应纳管的堡垒机上的系统用户,所述系统用户为在堡垒机中登录所述业务云主机的普通用户。
在本发明实施例中,调用API接口中的第二接口,进行管理用户的创建,以便对系统用户的管理。
在本发明一个具体的实施例中,仍以openstack平台为例,业务云主机的纳管过程如下:
扩展horizon模块创建业务云主机页面,添加对应纳管的堡垒机选择下拉框,让租户创建业务云主机时,能选择将该业务云主机纳管到堡垒云主机的哪个堡垒机中;
创建业务云主机时,在堡垒机下拉框中选择创建完成的堡垒机,绑定外网IP可选(即外网IP地址可选);horizon模块会使用堡垒机的内外网IP生成定制化脚本注入到创建业务云主机的配置选项中,用于业务云主机创建完成后,通过定制化脚本将堡垒机内外网IP内网IP地址和/或外网IP地址)配置到业务云主机的远程连接白名单中;
创建完业务云主机后,horizon模块会从对应堡垒机的属性中获取到堡垒机的private token(API服务认证密钥),以及堡垒机的 API的地址,调用远程连接连通性检测API接口,判断堡垒机与业务云主机的内网IP相通还是外网IP相通,优先使用内网IP;
horizon模块使用业务云主机的IP地址以及创建业务云主机时填写的用户名密码或密钥作为参数,调用堡垒机资产创建API接口将业务云主机添加到堡垒机资产中,并调用堡垒机管理用户创建API接口创建管理用户。
在本发明一个具体的实施例中,horizon模块获取到业务云主机的相关信息后,首先调用 assets_assets_create 接口(第一接口),来将业务云主机纳管为堡垒机中的资产,然后调用assets_admin-users_create 接口(第二接口)创建管理用户,管理用户是用来创建堡垒机上系统用户的,管理用户一般是root用户,系统用户是堡垒机用户用来登录业务云主机的普通用户,管理用户和系统用户是jumpserver堡垒机特有的概念,有些堡垒机产品没有这些相关的概念。
本发明实施例还提供了一种云平台创建堡垒机并自动纳管云主机的装置,结合图11来看,图11为本发明提供的云平台创建堡垒机并自动纳管云主机的装置一实施例的结构示意图,云平台创建堡垒机并自动纳管云主机的装置1100包括:
获取单元1101,用于获取堡垒机的部署文件;
处理单元1102,用于根据所述部署文件,生成堡垒机镜像文件;还用于根据所述堡垒机镜像文件,创建对应的堡垒云主机,再根据所述堡垒云主机的配置信息,创建业务云主机;
自动纳管单元1103,用于将所述业务云主机自动纳管至所述堡垒云主机。
云平台创建堡垒机并自动纳管云主机的装置的各个单元的更具体实现方式可以参见对于上述云平台创建堡垒机并自动纳管云主机的方法的描述,且具有与之相似的有益效果,在此不再赘述。
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时,实现如上所述的云平台创建堡垒机并自动纳管云主机的方法。
一般来说,用于实现本发明方法的计算机指令的可以采用一个或多个计算机可读的存储介质的任意组合来承载。非临时性计算机可读存储介质可以包括任何计算机可读介质,除了临时性地传播中的信号本身。
计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言,特别是可以使用适于神经网络计算的Python语言和基于TensorFlow、PyTorch等平台框架。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
本发明实施例还提供了一种计算设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时,实现如上所述的云平台创建堡垒机并自动纳管云主机的方法。
根据本发明上述实施例提供的计算机可读存储介质和计算设备,可以参照根据本发明实现如上所述的云平台创建堡垒机并自动纳管云主机的方法具体描述的内容实现,并具有与如上所述的云平台创建堡垒机并自动纳管云主机的方法类似的有益效果,在此不再赘述。
本发明公开了一种云平台创建堡垒机并自动纳管云主机的方法,首先,对部署文件进行有效的获取;然后,根据部署文件,生成堡垒机镜像文件;进而,基于堡垒机镜像文件,创建对应的堡垒云主机和业务云主机,利用堡垒机镜像文件将堡垒云主机和业务云主机进行有效的对应配置;最后,对业务云主机进行相应的配置,实现自动纳管。
本发明技术方案,无需手动部署堡垒机,而是通过堡垒机镜像文件生成已经部署好堡垒机程序的堡垒云主机,且同时创建对应的业务云主机,保证堡垒机对业务云主机的自动纳管,可以实现在openstack平台上快速创建堡垒机,并且创建业务云主机时,能够自动纳管到堡垒机平台中,不再需要手动录入这些云主机的远程连接信息,极大的减轻了运维负担。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种云平台创建堡垒机并自动纳管云主机的方法,其特征在于,包括:
获取堡垒机的部署文件;
根据所述部署文件,生成堡垒机镜像文件;
根据所述堡垒机镜像文件,创建对应的堡垒云主机,再根据所述堡垒云主机的配置信息,创建业务云主机;
将所述业务云主机自动纳管至所述堡垒云主机。
2.根据权利要求1所述的云平台创建堡垒机并自动纳管云主机的方法,其特征在于,所述根据所述部署文件,生成堡垒机镜像文件,包括:
将所述部署文件集成至预设工具的镜像制作脚本中;
初始化所述镜像制作脚本,生成预设格式的所述堡垒机镜像文件:
将所述堡垒机镜像文件上传至指定的镜像服务中,且上传的同时给所述堡垒机镜像文件添加属性标签,以标志所述堡垒机镜像文件是用于创建堡垒机的镜像。
3.根据权利要求1所述的云平台创建堡垒机并自动纳管云主机的方法,其特征在于,所述根据所述堡垒机镜像文件,创建对应的堡垒云主机,再根据所述堡垒云主机的配置信息,创建业务云主机,包括:
根据所述堡垒机镜像文件,调用云平台对应的计算服务API接口,创建所述堡垒云主机;
根据所述堡垒云主机进行相应的配置,基于生成的所述配置信息创建所述业务云主机。
4.根据权利要求3所述的云平台创建堡垒机并自动纳管云主机的方法,其特征在于,所述根据所述堡垒机镜像文件,调用云平台对应的计算服务API接口,创建所述堡垒云主机,包括:
根据选择的所述堡垒机镜像文件,生成所述堡垒云主机的元数据和属性数据,调用对应的所述计算服务API接口,创建所述堡垒云主机;
根据所述堡垒机镜像文件,结合所述元数据和所述属性数据,部署对应的堡垒机。
5.根据权利要求4所述的云平台创建堡垒机并自动纳管云主机的方法,其特征在于,所述根据选择的所述堡垒机镜像文件,生成所述堡垒云主机的元数据和属性数据,调用对应的所述计算服务API接口,创建所述堡垒云主机,包括:
根据所述堡垒机镜像文件的属性标签,随机生成堡垒机API服务认证密钥,并将所述堡垒机API服务认证密钥写入至所述堡垒云主机的所述元数据和所述属性数据;
调用对应的所述计算服务API接口,创建所述堡垒云主机。
6.根据权利要求5所述的云平台创建堡垒机并自动纳管云主机的方法,其特征在于,所述根据所述堡垒机镜像文件,结合所述元数据和所述属性数据,部署对应的堡垒机,包括:
在所述堡垒云主机创建完成后,自动运行所述堡垒云主机中的所述堡垒机镜像文件中集成的所述镜像制作脚本;
所述镜像制作脚本从所述元数据和所述属性数据中获取所述堡垒机API服务认证密钥,将所述堡垒机API服务认证密钥注册至对应的所述堡垒机;
将所述堡垒机与预设的外网IP地址绑定,其中,所述业务云主机通过所述外网IP地址调用所述堡垒机对应的堡垒机API接口。
7.根据权利要求3所述的云平台创建堡垒机并自动纳管云主机的方法,其特征在于,所述根据所述堡垒云主机进行相应的配置,基于生成的所述配置信息创建所述业务云主机,包括:
根据选择纳管的堡垒机的内网IP地址和外网IP地址,生成定制化脚本;
将所述定制化脚本注入至创建所述业务云主机的配置选项中,创建所述业务云主机;
当所述业务云主机创建完成后,基于所述定制化脚本,将所述业务云主机对应纳管的堡垒机的内网IP地址和外网IP地址配置至远程连接白名单中。
8.根据权利要求1所述的云平台创建堡垒机并自动纳管云主机的方法,其特征在于,所述将所述业务云主机自动纳管至所述堡垒云主机,包括:
从所述业务云主机对应纳管的堡垒机的属性数据中,确定对应的堡垒机API服务认证密钥和堡垒机API接口;
检测对应纳管的堡垒机的所述堡垒机API接口,判断所述业务云主机和对应纳管的堡垒机之间的网络连通情况,根据所述网络连通情况选择调用所述业务云主机的内网IP地址或外网IP地址;
获取所述业务云主机的相关主机信息,并根据所述相关主机信息调用所述堡垒机API接口,将所述业务云主机自动纳管至对应的所述堡垒云主机中。
9.根据权利要求8所述的云平台创建堡垒机并自动纳管云主机的方法,其特征在于,所述相关主机信息包括所述业务云主机的内网IP地址、外网IP地址、用户名称、用户密码和远程登录密钥中的至少一种,所述获取所述业务云主机的相关主机信息,并根据所述相关主机信息调用所述堡垒机API接口,将所述业务云主机自动纳管至对应的所述堡垒云主机中,包括:
根据所述业务云主机的内网IP地址或外网IP地址、用户名称和用户密码和远程登录密钥中的至少一种,生成调用参数;
根据所述调用参数,调用对应纳管的堡垒机的所述堡垒机API接口中的第一接口,将所述业务云主机添加至对应纳管的堡垒机的资产中。
10.根据权利要求9所述的云平台创建堡垒机并自动纳管云主机的方法,其特征在于,所述获取所述业务云主机的相关主机信息,并根据所述相关主机信息调用所述堡垒机API接口,将所述业务云主机自动纳管至对应的所述堡垒云主机中,还包括:
调用对应纳管的堡垒机的所述堡垒机API接口中的第二接口,创建管理用户,其中,所述管理用户用于创建对应纳管的堡垒机上的系统用户,所述系统用户为在堡垒机中登录所述业务云主机的普通用户。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111586524.XA CN113992494B (zh) | 2021-12-23 | 2021-12-23 | 一种云平台创建堡垒机并自动纳管云主机的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111586524.XA CN113992494B (zh) | 2021-12-23 | 2021-12-23 | 一种云平台创建堡垒机并自动纳管云主机的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113992494A true CN113992494A (zh) | 2022-01-28 |
| CN113992494B CN113992494B (zh) | 2022-03-11 |
Family
ID=79734079
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111586524.XA Active CN113992494B (zh) | 2021-12-23 | 2021-12-23 | 一种云平台创建堡垒机并自动纳管云主机的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113992494B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114747180A (zh) * | 2022-01-29 | 2022-07-12 | 中远海运科技股份有限公司 | 面向云主机和云堡垒机实现云主机权限联动的方法 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160132529A1 (en) * | 2009-04-24 | 2016-05-12 | Swish Data Corporation | Systems and methods for cloud safe storage and data retrieval |
| CN110365692A (zh) * | 2019-07-23 | 2019-10-22 | 秒针信息技术有限公司 | 一种服务器登录方法及系统 |
| CN110890979A (zh) * | 2019-11-14 | 2020-03-17 | 光通天下网络科技股份有限公司 | 堡垒机自动部署方法、装置、设备及介质 |
| US10785294B1 (en) * | 2015-07-30 | 2020-09-22 | EMC IP Holding Company LLC | Methods, systems, and computer readable mediums for managing fault tolerance of hardware storage nodes |
| CN112527379A (zh) * | 2020-12-01 | 2021-03-19 | 深圳市证通电子股份有限公司 | 基于Guacamole的堡垒机应用运维方法、装置、设备及介质 |
| CN112667293A (zh) * | 2019-10-16 | 2021-04-16 | 中移(苏州)软件技术有限公司 | 一种部署操作系统的方法、装置及存储介质 |
| US11010191B1 (en) * | 2020-07-02 | 2021-05-18 | Ryan L. Hornbeck | Platform-independent interface for generating virtualized multi-service hardware systems and infrastructure |
| CN112954040A (zh) * | 2021-02-04 | 2021-06-11 | 深圳融安网络科技有限公司 | 嵌入应用发布服务器的方法、系统、设备及存储介质 |
| WO2021189852A1 (zh) * | 2020-09-07 | 2021-09-30 | 平安科技(深圳)有限公司 | 私有域名自动化测试方法、装置、设备及存储介质 |
-
2021
- 2021-12-23 CN CN202111586524.XA patent/CN113992494B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160132529A1 (en) * | 2009-04-24 | 2016-05-12 | Swish Data Corporation | Systems and methods for cloud safe storage and data retrieval |
| US10785294B1 (en) * | 2015-07-30 | 2020-09-22 | EMC IP Holding Company LLC | Methods, systems, and computer readable mediums for managing fault tolerance of hardware storage nodes |
| CN110365692A (zh) * | 2019-07-23 | 2019-10-22 | 秒针信息技术有限公司 | 一种服务器登录方法及系统 |
| CN112667293A (zh) * | 2019-10-16 | 2021-04-16 | 中移(苏州)软件技术有限公司 | 一种部署操作系统的方法、装置及存储介质 |
| CN110890979A (zh) * | 2019-11-14 | 2020-03-17 | 光通天下网络科技股份有限公司 | 堡垒机自动部署方法、装置、设备及介质 |
| US11010191B1 (en) * | 2020-07-02 | 2021-05-18 | Ryan L. Hornbeck | Platform-independent interface for generating virtualized multi-service hardware systems and infrastructure |
| WO2021189852A1 (zh) * | 2020-09-07 | 2021-09-30 | 平安科技(深圳)有限公司 | 私有域名自动化测试方法、装置、设备及存储介质 |
| CN112527379A (zh) * | 2020-12-01 | 2021-03-19 | 深圳市证通电子股份有限公司 | 基于Guacamole的堡垒机应用运维方法、装置、设备及介质 |
| CN112954040A (zh) * | 2021-02-04 | 2021-06-11 | 深圳融安网络科技有限公司 | 嵌入应用发布服务器的方法、系统、设备及存储介质 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114747180A (zh) * | 2022-01-29 | 2022-07-12 | 中远海运科技股份有限公司 | 面向云主机和云堡垒机实现云主机权限联动的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113992494B (zh) | 2022-03-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110515573B (zh) | 投屏方法、装置、系统和计算机设备 | |
| US9959198B1 (en) | Simulated testing of API | |
| US8863008B2 (en) | Automatic removal of sensitive information from a computer screen | |
| CN106164904A (zh) | 客户端侧个人语音web导航 | |
| US11436819B2 (en) | Consolidation and history recording of a physical display board using an online task management system | |
| US9692607B2 (en) | Communication terminal, communication management system, communication management method, recording medium storing communication management program | |
| CN106027487A (zh) | 一种硬件设备的访问管理方法及系统 | |
| KR20150036323A (ko) | 비즈니스 데이터 시스템에서 테넌트들에 대한 보안 및 데이터 격리 기법 | |
| US10678413B2 (en) | Application for auto deletion of images | |
| EP3224778A1 (en) | Actionable souvenir from real-time sharing | |
| CN106254319B (zh) | 一种轻应用登录控制方法和装置 | |
| US20190020698A1 (en) | Collaborative Platform for Communication, Application Development and Use | |
| KR20190069574A (ko) | 무선 네트워크 유형 검출 방법과 장치, 및 전자 디바이스 | |
| US11882154B2 (en) | Template representation of security resources | |
| CN113992494B (zh) | 一种云平台创建堡垒机并自动纳管云主机的方法 | |
| CN114594934A (zh) | 一种可视化页面生成方法、装置、设备及介质 | |
| CN103812982B (zh) | 一种跨操作系统实现计算机监控测试手机客户端的方法和系统 | |
| US9128886B2 (en) | Computer implemented method, computer system, electronic interface, mobile computing device and computer readable medium | |
| CN113515395B (zh) | 一种基于多云管理平台的应用接入方法及装置 | |
| US20210084194A1 (en) | Contextual masking of objects in social photographs | |
| US10802948B2 (en) | Integrated testing data provisioning and conditioning system for application development | |
| CN109388558A (zh) | 一种管理电子设备的方法、装置、设备及存储介质 | |
| US20120239783A1 (en) | Remote operation system and remote operation method for terminal | |
| US9699018B2 (en) | Communication terminal, communication management system, communication management method, and recording medium storing communication management program | |
| CN115774742A (zh) | 私有云的数据存储新增方法、装置、设备、介质及产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A method of creating a fortress machine on the cloud platform and automatically hosting the virtual machine Effective date of registration: 20221230 Granted publication date: 20220311 Pledgee: Agricultural Bank of China Limited Hubei pilot Free Trade Zone Wuhan Area Branch Pledgor: Wuhan Maiyi Information Technology Co.,Ltd. Registration number: Y2022420000406 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right |