背景:
服务器的管理停留在xshell 登陆管理的时代,主机设备数量少,单人操作的时候还能满足使用。现在的主机数量不多不少也有大几十台。然后就面临的多人的登陆与管理。过去都是直接给账户密码。但这样就会面临操作审计的问题。虽然给的机器都是测试环境的,但是追溯操作人,审计也还是大问题。另外就是数据库的远程操作。小伙伴都使用navicat操作。也会面临很多的问题: 首位还是操作审计,其次就是远程IP的信任,添加安全组这中操作就很烦人。迫切的需要一个中间操作的设备,就是堡垒机。jumpserser是一款优秀的堡垒机。很早之前就尝试使用过。比如当时疫情开始的时候远程办公。由于一些公司保密原因,只允许远程操作公司电脑进行工作,不允许用户上传下载,当时就使用了jumpserver管理(windows环境)。最近又看了一眼jumpserver的文档,发现支持了kubernetes and mysql的管理。正好体验一下呢!
(资料图片)
jumpserver的简单安装
前提准备:
参照官方文档:https://docs.jumpserver.org/zh/v3/
腾讯云cvm rocky9操作系统为例:
关于操作系统 rocky9 腾讯云服务器:
数据库的创建and授权:
早些时候创建的TDSQL-C数据库,创建了数据库and 用户,并授权,如下:
创建用户设置密码并授权:
创建redis 数据库 and设置密码:
在线安装:
自定义主机名:
首先先自定义一下主机名,个人习惯。也可以忽略
hostnamectl set-hostname jumpserver
执行一键安装脚本
主线版本现在是v2 v3。这里直接安装了V3.10版本(latest,当前最新吧).当然了可以自定义初始化先把mysql, redis设置为咱们前面开通的。这里偷懒了。先一键安装,后面再去修改!
https://docs.jumpserver.org/zh/v3/installation/setup_linux_standalone/online_install/
curl -sSL https://resource.fit2cloud.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash
等待安装配置docker.下载docker 镜像,初始化数据库并启动容器:
等待容器running:
docker psjmsctl status
这个时候已经默认可以web登陆了(当然了dns默认解析到了此CVM,域名方式访问)。不先进入系统,先做一下自定义配置再进入系统........
自定义配置:
mysql and redis使用外部配置:
自定义修改config.txt中mysql redis配置:
vim /opt/jumpserver/config/config.txt
重启所有服务:
jmsctl命令拿来用了:
jmsctl restart
jmsctl status
有强迫症不想看到jms_mysql jms_redis服务?
jmsctl statusdocker stop jms_mysql jms_redis
web访问并修改默认密码:
浏览器访问自定义域名,默认用户名密码应该是admin admin?
修改自定义密码:
重新登陆控制台:
登陆页面显示不安全.......继续强迫症https!
https证书配置:
参照:https://kb.fit2cloud.com/?p=152
先上传证书到 /opt/jumpserver/config/nginx/cert/目录下:
修改/opt/jumpserver3/config/config.txt 开启https访问:
jmsctl restartjmsctl status
https方式访问web地址:
控制台基本是如下这样(图后截的忽略):
jumpserver的简单使用:
比较关心常用的资产管理:
尝试一下主机and数据库and 云服务(kubernetes)的管理!
主机为例:
创建资产
创建-选择平台Linux(资产IP为10.0.4.18):
输入名称 IP/主机 节点选择默认的/Default
添加账号,密码方式选择了ssh密钥:
资产授权:
点击权限管理-资产授权,对10.0.4.18资源进行授权
点击提交:
切换到工作台验证:
左侧边栏,点击工作台切换:
web终端登陆验证:
继续添加一个node
开始以为一个账户可以用于多个资产尝试了一下失败了.....创建资产的时候还看到了模板,就想创建一个模板尝试一下:
首先创建一个账号模板:
创建10.0.4.68的资产选择账号模板:
web cli登陆验证:
普通用户权限忽略了就先
数据库的添加管理:
创建数据库资产与用户
资产管理-资产列表-数据库:
创建数据库资产,mysql为例(资源IP10.0.4.39):
添加资源,添加用户,提交:
测试数据库连接
点击更多-测试。可以看到jumpserver与数据库正常连接:
资产授权这里你也可能会有跟我一样的疑惑:
特意尝试了一下不添加资产but选定defult节点:
但是其实也是可以访问的,左侧边栏-工作台-web终端:
web-cli or navicat操作数据库:
通过web-cli操作数据库:
mysql的后台针对的是web-cli还是。当然了navicat可以生成一个5分钟的临时用户!
随便用navicat登陆临时账户,操作几条命令看看:
当然了一直连着还好,断开超时后,就无法登陆了!
会话审计
控制台左侧边栏-审计台
会话审计-会话记录and命令记录:
命令可以追溯:
当然了 如果能有web版的navicat这样的页面就更好了!能追溯到命令与操作人不用去每次给用户开安全组添加信任IP,这样我已经很知足了.......唯一不满的是命令记录不能按照资产进行分类!
云服务的添加管理:
参照:https://baijiahao.baidu.com/s?id=1752070936393562982&wfr=spider&for=pc
确定集群连接url
根据集群config文件 获取连接url:
K8S集群管理权限的SA,并且绑定cluster-admin角色
参照: https://www.i7ti.cn/1410.html
cat jumpserver-admin.yaml
apiVersion: v1kind: ServiceAccountmetadata: name: jumpserver-admin namespace: kube-system---kind: ClusterRoleBindingapiVersion: rbac.authorization.k8s.io/v1metadata: name: jumpserver-adminsubjects: - kind: ServiceAccount name: jumpserver-admin namespace: kube-systemroleRef: kind: ClusterRole name: cluster-admin #此处绑定集群管理员权限,请根据自身需求绑定权限,这里只是举个例子 apiGroup: rbac.authorization.k8s.io
kubectl apply -f jumpserver-admin.yaml
获取token令牌:
kubectl get secret -n kube-system |grep "jumpserver-admin"kubectl describe secret jumpserver-admin-token-zb8vm -n kube-system
注:以上操作在kubernetes控制台节点操作!
创建云服务资产
jumpserver控制台操作
资产管理-资产列表-云服务-新建-选择平台-kubernetes
输入自定义名称 URL 节点等配置
添加账号,输入上一步获取的token,提交:
这里是没有测试的提交资源后:
资产授权:
输入相关配置,提交:
web cli终端测试连接:
切换控制台到工作台:
web终端:
连接名为develop的kubernetes集群:
随便选择一个clusternet-system namespace下pod 连接一下:
普通用户的测试:
注:以kubernetes云服务为例!
创建普通用户
上面的步骤都是超级用户admin操作的,现在创建一个普通用户:
控制台-用户管理-用户列表-创建用户:
普通用户-zhangpeng创建-提交
创建用户组develop,将zhangpeng用户加入用户组:
注意:将zhangpeng用户在default用户组中剔除(前面好多授权针对的是用户组,创建新的组方便区分)
kubernetes相关资源创建:
网上所有的文章基本都是错的,关于普通用户的,比如:JumpServer:提升Kubernetes集群管理安全。但是普通用户的方式是不完整的。下面操作一下,请参照:k8s结合jumpserver做kubectl权限控制 用户在多个namespaces的访问权限 rbac权限控制 !
创建serviceaccountkubectl create sa develop-zhangpeng -n develop-xxxkubectl get sa -n develop-xxxxkubectl describe secrets/develop-zhangpeng-token-cddqx -n develop-xxxx网上很多的文章都是只绑定了namespace级别的资源,but jumpserver不能直接到namespace级别。故需要绑定一下集群级别的资源权限:
cat jumpserver-admin-get-auth.yaml
其实这里就是设置对k8s集群的一些权限的apiVersion: rbac.authorization.k8s.io/v1 # apikind: ClusterRole # 资源类型metadata: # 元数据 ClusterRole 不受ns的限制,所以不用写ns name: jumpserver-admin-get-auth # ClusterRole 的名称,能区分就行rules:- apiGroups: # apiGroups 就是api资源组,你kubectl get apiservice 就可以看到集群所有的api组 - "" # 我这里代表为空,就是api组里面有一个v1. 这样的 resources: # 就是k8s资源的名称。kubectl api-resources 这个命令可以查看到,第一列是资源名称,就是可以写在这里的。 # 第二列是简写,kubectl get 后面的可以简写。 # 第三列是APIGROUP组 # 第四列是是否属于NAMESPACED资源,就是你可以在ns下面看到的资源 # 第五列是kind的时候写的名称 # 资源还分子资源,后期会写一篇专门的文章介绍 - namespaces/status # 这个是ns状态 - namespaces # 这个是ns - persistentvolumes # pv verbs: # verbs是定义动作的 - get # 就是可以查看ns的权限 - list - watch- apiGroups: - "" resources: # 这里定义的是可以查看node的权限,更新node的权限。 - nodes - nodes/status verbs: - get - list - watch - patch - update- apiGroups: - "storage.k8s.io" resources: # 这里定义的是可以查看sc的权限,因为我们有后端的存储集群,他们可以对sc的所有权限 - storageclasses - storageclasses/status resourceNames: # 因为sc属于集群资源,不同的业务方需要对自己的sc才有 全部权限。 - axersc # 所有这里可以指定对哪一个sc有全部权限 verbs: - create - delete - deletecollection - get - list - patch - update - watch
创建clusterrole apply yaml文件:
kubectl apply -f jumpserver-admin-get-auth.yaml
把上面定义的集群权限ClusterRole绑定给sa develop-zhangpeng:
cat jumpserver-admin-get-auth-clusterrolebinding.yaml
apiVersion: rbac.authorization.k8s.io/v1kind: ClusterRoleBinding # ClusterRoleBinding 用于绑定集群权限的metadata: name: jumpserver-admin-get-auth # 名称 ClusterRoleBinding 不受ns的限制,所以没有nsroleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole # 上面定义的ClusterRole名称 name: jumpserver-admin-get-authsubjects:- kind: ServiceAccount # 上面定义的sa名称 name: develop-zhangpeng namespace: develop-xxxx
kubectl apply -f jumpserver-admin-get-auth-clusterrolebinding.yaml
namespace资源的绑定cat jumpserver-admin-auth.yaml
apiVersion: rbac.authorization.k8s.io/v1kind: ClusterRolemetadata: name: jumpserver-admin-authrules:- apiGroups: - "" resources: # 对pod的一些权限。 - pods/attach - pods/exec # exec pod - pods/portforward # 设置pod的转发 - pods/proxy - secrets # secrets的权限 - services/proxy verbs: - get - list - watch- apiGroups: - "" resources: - serviceaccounts # sa的权限 verbs: - impersonate- apiGroups: - "" resources: - pods - pods/attach - pods/exec - pods/portforward - pods/proxy verbs: - create - delete - deletecollection - patch - update- apiGroups: - "" resources: - configmaps - endpoints - persistentvolumeclaims - replicationcontrollers - replicationcontrollers/scale - secrets - serviceaccounts - services - services/proxy verbs: - create - delete - deletecollection - patch - update- apiGroups: - apps resources: - daemonsets - deployments - deployments/rollback - deployments/scale - replicasets - replicasets/scale - statefulsets - statefulsets/scale verbs: - create - delete - deletecollection - patch - update- apiGroups: - autoscaling resources: - horizontalpodautoscalers verbs: - create - delete - deletecollection - patch - update- apiGroups: - batch resources: - cronjobs - jobs verbs: - create - delete - deletecollection - patch - update- apiGroups: - extensions resources: - daemonsets - deployments - deployments/rollback - deployments/scale - ingresses - networkpolicies - replicasets - replicasets/scale - replicationcontrollers/scale verbs: - create - delete - deletecollection - patch - update- apiGroups: - policy resources: - poddisruptionbudgets verbs: - create - delete - deletecollection - patch - update- apiGroups: - networking.k8s.io resources: - ingresses - networkpolicies verbs: - create - delete - deletecollection - patch - update- apiGroups: - metrics.k8s.io resources: - pods verbs: - get - list - watch- apiGroups: - "" resources: - configmaps - endpoints - persistentvolumeclaims - pods - replicationcontrollers - replicationcontrollers/scale - serviceaccounts - services verbs: - get - list - watch- apiGroups: - "" resources: - bindings - events - limitranges - pods/log - pods/status - replicationcontrollers/status - resourcequotas - resourcequotas/status verbs: - get - list - watch- apiGroups: - apps resources: - controllerrevisions - daemonsets - deployments - deployments/scale - replicasets - replicasets/scale - statefulsets - statefulsets/scale verbs: - get - list - watch- apiGroups: - autoscaling resources: - horizontalpodautoscalers verbs: - get - list - watch- apiGroups: - batch resources: - cronjobs - jobs verbs: - get - list - watch- apiGroups: - extensions resources: - daemonsets - deployments - deployments/scale - ingresses - networkpolicies - replicasets - replicasets/scale - replicationcontrollers/scale verbs: - get - list - watch- apiGroups: - policy resources: - poddisruptionbudgets verbs: - get - list - watch- apiGroups: - networking.k8s.io resources: - ingresses - networkpolicies verbs: - get - list - watch- apiGroups: - authorization.k8s.io resources: - localsubjectaccessreviews verbs: - create- apiGroups: - rbac.authorization.k8s.io resources: - rolebindings - roles verbs: - create - delete - deletecollection - get - list - patch - update - watch
kubectl apply -f jumpserver-admin-auth.yaml
rolebingding 绑定sa:
cat jumpserver-admin-auth-rolebinding.yaml
apiVersion: rbac.authorization.k8s.io/v1kind: RoleBindingmetadata: name: jumpserver-admin-auth namespace: develop-xxxxroleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: jumpserver-admin-authsubjects:- kind: ServiceAccount name: develop-zhangpeng namespace: develop-xxxxx
kubectl apply -f jumpserver-admin-auth-rolebinding.yaml
创建普通账号
账户管理-账号列表-添加账号develop-zhangpeng。密码方式令牌方式,复制kubernetes集群中刚创建的develop-zhangpeng的token!
资产授权:
权限管理-资产授权-创建资产授权规则:
注意授权这里的用户组!
登陆普通用户测试:
开了一个火狐浏览器登陆了普通用户zhangpeng(看设置的密码策略,可能第一次要修改密码!这里就直接忽略了)
切换到工作台:
出现资源列表default资源树:
可以点击一下其他资产,默认是没有账户,无权限的:
点击develop kubernetes资源,点击连接:
进入集群验证一下权限:
点击clusternet-system namespace or其他命名空间默认应该都是无权限的!只能打开develop-xxxx空间下的pod的shell:
这里和普通的namespace的授权是不一样的。一般的创建了用户权限绑定namespace就好了。但是在jumpserver这里一定要记得集群的权限!
强调的:
用户 用户组的创建区分账户模板的使用kubernetes普通用户的授权资产后面进行更详细的划分其他的:ldap集成,存储使用对象存储。至于邮件的修改就忽略了。远程应用都是企业版的功能也忽略了kubernetes的纳管有点意犹未尽:是纳管了,可是用户还需要实时看日志阿?我觉得我还是不会用jumpserver纳管kubernetes......关键词:
(责任编辑:黄俊飞)推荐内容
- 当前要闻:jumpserver的简单安装使用
- 酒干倘卖无的意思是?|天天关注
- 焦点日报:美国一男子,因为在停尸房睡着
- 力生制药:2022年度净利润约9361万元 同
- 全球热资讯!信托业务三分类新规已正式下
- 全球动态:奥比中光:多模态的应用目前主
- 【新要闻】鸣神大社地牢开启方式
- 中东部局地降温猛烈 南方大规模强降雨伴
- 多谢款待是什么意思_环球今日报
- 靠一身功夫,她在海外圈粉几十万!
- 【当前热闻】高力洞察-对话ChatGPT, 探
- 每日精选:瑞银瑞信合并衍生局:在华券商
- 环球快消息!贝佳斯白泥怎么使用?贝佳斯
- 美国召回细菌污染的滴眼液,已致3人死亡1
- 什么是快闪活动
- 金钼股份(601958):3月22日北向资金增
- 环球热点评!【报名通知】德胜社区教育学
- 2023国家粮食和物资储备局垂直管理系统事
- 当前视点!gta4 抢劫任务攻略,gta4自由
- 高淳固城:读健康书籍 享书香银龄|焦点
- 中盐化工:氯碱化工拟以增资扩股方式收购
- 强对流天气蓝色预警!湖南南部等地部分地
- 当前速讯:中国稀土:稀土商品价格近期波
- tbc黑石深渊怎么去_魔兽黑石深渊怎么去
- S9小组赛选手表现分级,蒜头王远超预期,
- 热门看点:【中考复习指南】物理:利用专
- 世界滚动:建业新生活(09983.HK):3月21
- 平方千米和公顷的进率是是多少_平方千米
- 金山办公:2022年营收38.85亿,订阅业务
- 当前时讯:东京喵喵青山_东京喵喵PartII
- 林芝地区行政公署办公室_关于林芝地区行
- 广发银行网上银行安全控件_广发银行网上
- 赤壁市工商联赴义乌开展招商引资和异地赤
- 每日关注!三七互娱(002555)3月20日主力
- 环球今亮点!我懂你要的自由别再惯性找借
- 【环球播资讯】影视股集体走高!光线传媒
- 热消息:整体家居定制_关于整体家居定制
- 当前观察:别再被骗了,自考根本没人说实
- 沪指午后震荡走低 贵金属逆势走强!
- 瞰云南 春风又绿金沙江畔
- 精彩看点:食肉恐龙主要吃什么_食肉恐龙
- 十年又十年——美国谎言将伊拉克推向战乱
- 颞骨骨折有什么后果图片_颞骨骨折有什么
- 车厘子怎么放冰箱?
- 空降兵驻鄂某部迎来千余名入伍新兵-焦点
- 什么是预应力混凝土连续钢构桥_什么是预
- 怎么理解文化这个概念(文化的含义是什么
- 今日视点:德化世平医卫防护用品有限公司
- 【热闻】男子求职想找双休工作被HR怼:成
- 世界热议:女吊丝是甚意思_什么是吊丝
- 耶拿派断片是什么意思_耶拿派|每日快报
- 楚留香传奇之侠影留香 环球快消息
- 每日焦点!乳胶漆有甲醛吗_乳胶漆有甲醛吗
- 阿胶糕的配料有哪些_250克阿胶糕的配料表
- 巴沙鱼有危害吗_巴沙鱼禁止的原因
- 热点在线丨316l的化学成分_316l材质化学成分
- 外国网友热议FPX的BP好臭,不尊重版本!
- 世界热头条丨衡水的特产美食_衡水的特产
- 怎么制作字幕模板_如何制作字幕文件_今日
- 观潮者 | “数智化”养猪:大国农业的
- 中盐化工:氯碱化工拟以增资扩股方式收购
- 强对流天气蓝色预警!湖南南部等地部分地
- 当前速讯:中国稀土:稀土商品价格近期波
- tbc黑石深渊怎么去_魔兽黑石深渊怎么去
- S9小组赛选手表现分级,蒜头王远超预期,
- 热门看点:【中考复习指南】物理:利用专
- 世界滚动:建业新生活(09983.HK):3月21
- 平方千米和公顷的进率是是多少_平方千米
- 金山办公:2022年营收38.85亿,订阅业务
- 当前时讯:东京喵喵青山_东京喵喵PartII
- 林芝地区行政公署办公室_关于林芝地区行
- 广发银行网上银行安全控件_广发银行网上
- 赤壁市工商联赴义乌开展招商引资和异地赤
- 每日关注!三七互娱(002555)3月20日主力
- 环球今亮点!我懂你要的自由别再惯性找借
- 【环球播资讯】影视股集体走高!光线传媒
- 热消息:整体家居定制_关于整体家居定制
- 当前观察:别再被骗了,自考根本没人说实
- 沪指午后震荡走低 贵金属逆势走强!
- 瞰云南 春风又绿金沙江畔
- 精彩看点:食肉恐龙主要吃什么_食肉恐龙
- 十年又十年——美国谎言将伊拉克推向战乱
- 颞骨骨折有什么后果图片_颞骨骨折有什么
- 车厘子怎么放冰箱?
- 空降兵驻鄂某部迎来千余名入伍新兵-焦点
- 什么是预应力混凝土连续钢构桥_什么是预
- 怎么理解文化这个概念(文化的含义是什么
- 今日视点:德化世平医卫防护用品有限公司
- 【热闻】男子求职想找双休工作被HR怼:成
- 世界热议:女吊丝是甚意思_什么是吊丝
- 耶拿派断片是什么意思_耶拿派|每日快报
- 楚留香传奇之侠影留香 环球快消息
- 每日焦点!乳胶漆有甲醛吗_乳胶漆有甲醛吗
- 阿胶糕的配料有哪些_250克阿胶糕的配料表
- 巴沙鱼有危害吗_巴沙鱼禁止的原因
- 热点在线丨316l的化学成分_316l材质化学成分
- 外国网友热议FPX的BP好臭,不尊重版本!
- 世界热头条丨衡水的特产美食_衡水的特产
- 怎么制作字幕模板_如何制作字幕文件_今日
- 观潮者 | “数智化”养猪:大国农业的
- 网商宝怎么开通-网商宝|焦点快播
- 2023长郡十八校高三联考英语答案解析及试
- 曝45岁跳水女王伏明霞净身出户!71岁身价
- 傅林江:代建,是红海还是蓝海?——代建
- 巴啦啦小魔仙51集完整版视频 巴啦啦小魔
- 观速讯丨保证安全的技术措施和组织措施_
- 九年义务教育免费 世界今日报
- 中公高科: 关于中公高科养护科技股份有
- 曾打造《驯龙高手3》等作品:梦工厂宣布
- 天天头条:大连清明节扫墓规定2023
- 关于劳动的诗歌_劳动最光荣儿歌歌词|最新
- 二十四小时快报:国内商品期货早盘开盘普
- 价格战背景下 车企更应扼守质量底线 天
- 世界观察:冀中能源:目前玻纤价格处于低
- 天天动态:戎马倥偬的读音是什么_戎马倥偬
- 【全球速看料】太火了!6-7折深圳人才房
- 盖洛普民意测验 天天精选
- 最新资讯:小露珠的梦阅读理解及答案_小
- 权益法下长期股权投资的初始投资成本小于
- 关注!bZ4X车主致信广汽丰田董事长|世界