You need to enable JavaScript to run this app.
导航
云堡垒机
  • 文档首页
    • /云堡垒机/快速入门/数据库运维快速入门
数据库运维快速入门
最近更新时间:2024.12.30 20:30:57首次发布时间:2024.12.30 20:23:04
我的收藏

云堡垒机(Volcengine Bastion Host,VBH)是一款 4A 统一的运维安全审计平台,提供账号管理、授权控制、身份验证、安全审计等能力,保障企业的安全合规。本文以 MySql 数据库为例,为您介绍通过云堡垒机运维数据库资产的快速入门。

前提条件

  • 已经根据实际需要创建云堡垒机,详细介绍参见:创建云堡垒机
  • 已经准备待导入的数据库资产,例如:MySql。
  • 已经在访问控制中创建用户并配置运维人员相关权限(VBHOperateOnlyAccess),详细介绍参见:配置 IAM 权限

操作步骤

管理人员导入数据库资产和云堡垒机用户,并为运维人员授权数据库资产后,运维人员即可通过云堡垒机登录数据库资产,进行各种运维操作。

步骤一:云堡垒机开启数据库资产

云堡垒机默认关闭数据库资产管理功能,可在创建云堡垒机或实例更配时开启。开启后将将追加支持 Mysql 等数据库资产管理,并收取数据库管理费用,收费标准参见:计费项

  • 方式一:创建云堡垒机时,开启数据库资产管理功能。更多详细介绍参见:创建云堡垒机

alt

  • 方式二:针对已有云堡垒机,通过实例更配,开启数据库资产管理功能。更多详细介绍参见:实例更配

alt

步骤二:导入 RDS 数据库

  1. 登录 云堡垒机控制台
  2. 在左侧导航栏选择 云堡垒机
  3. 单击目标云堡垒机实例名称,进入云堡垒机管理页面。
  4. 在左侧导航栏,选择 资源管理 > 资产,并切换到 数据库 页签。
  5. 在数据库管理页面,单击 导入 RDS 数据库
  6. 选择当前 VPC 下需要导入的 RDS 数据库,并配置账号相关信息。完成后单击 确定,开始导入 RDS 数据库。

alt

配置项说明
选择数据库根据实际情况勾选待导入云堡垒机的目标数据库。本场景选择:MySQL。
新建账号新建账号开关,默认开启。推荐在导入 RDS 数据库时新建账号,否则云堡垒机无法正常登录数据库,依然需要在新建数据库后自行补充数据库账号信息。
数据库名称云堡垒机数据库列表中的显示,此方式可自动获取所选数据库的名称。
登录名云堡垒机登录数据库时使用的数据库账号名称,需确保与原数据库中配置的登录名一致。
认证方式云堡垒机登录数据库的认证方式,目前仅支持 密码
密码密码认证方式时需要配置。登录名对应的登录密码,需确保与原数据库中配置的密码一致。

验证密码

验证数据库登录名和密码的连通性,以保证云堡垒机可以访问到数据库。

注意

务必保证验证密码通过,否则可以成功新建数据库但云堡垒机无法正常登录该数据库。若验证失败,排查思路参考:验证数据库密码报错,该如何处理?

步骤三:导入 IAM 用户

  1. 管理人员登录 云堡垒机控制台
  2. 在左侧导航栏选择 云堡垒机
  3. 单击目标云堡垒机实例名称,进入云堡垒机管理页面。
  4. 在左侧导航栏,选择 用户管理 > 用户
  5. 在用户管理页面,单击 导入 IAM 用户
  6. 选择目标 IAM 用户,并配置登录有效时间,单击 确定,完成 IAM 用户导入。

alt

步骤四:授权数据库资产

  1. 管理人员登录 云堡垒机控制台
  2. 在左侧导航栏选择 云堡垒机
  3. 单击目标云堡垒机实例名称,在左侧导航栏选择 用户管理 > 用户
  4. 在用户管理列表,单击目标用户右侧操作列的 授权资产
  5. 单击 添加一行,配置待授权的资产和授权账号,完成后单击 确定,完成资产及其账号授权。

alt

配置项说明
用户默认展示当前选择的用户或用户组。
资产类型待授权资产的资产类型,每次只允许授权一种类型的一个多或多个资产。目前支持的资产类型包括:主机、主机组、数据库、数据库组。
添加资产单击 添加一行 按钮,选择待授权资产并配置授权账号,允许同时添加多行数据进行批量授权。

步骤五:通过命令行运维数据库

  1. 打开本地终端,根据如下格式执行命令,建立本地端口转发通道。例如:ssh -N -L 3306:b88f8e96-xxxx-xxxx-xxxx-140679ee76b8:3306 -p 2002 vbh@192.37.30.73 -vvv
ssh -N -L <本地 SSH 监听端口>:<数据库 ID>:<数据库端口> -p <云堡垒机 SSH 端口> <云堡垒机用户名>@<云堡垒机登录 IP> -vvv

说明

  • 若 <云堡垒机登录 IP> 使用私网 IP,请确保本地客户端与云堡垒机的网络连通性。
  • 不同类型数据库默认的 <本地 SSH 监听端口>、<数据库端口> 可能不同,请根据实际情况填写。例如:MySQL 数据库的默认端口为 3306;PostgreSQL 数据库的默认端口为 5432。

alt

  1. 根据提示输入云堡垒机用户的登录密码,建立连接。若连接已经建立,将不会有任何输出。

注意

建立连接后,请勿关闭终端窗口,否则可能导致连接中断。

  1. 打开一个新的终端窗口,执行 MySQL 数据库的连接命令,通过命令行方式连接数据库资产。MySQL 数据库的连接命令的格式如下,示例:mysql -uroot -P3306 -h 0.0.0.0
    mysql -u<数据库账号登录名> -P<本地监听端口> -h <本地监听地址>
    alt

更多说明

云堡垒机提供多种数据库的客户端和命令行运维方式,更多详细介绍参见:数据库运维