私有部署
方案3:免AK管理公有云资源

一、概述

通常,在管理公有云资源时,总要以Access Key作为资源访问凭据。这会导致需要在运维人员中传播Access Key,而Access Key作为一种涉密资源,对其进行广泛传播显然是与安全需求相背的。

行云管家支持了一种公有云安装方式,以这种方式安装行云管家,可以实现免AK管理公有云资源。

为实现免AK管理云资源,则要求行云管家部署于公有云环境中。

行云管家当前支持免AK管理阿里云资源及亚马逊AWS云资源。下面分别做介绍。

二、阿里云环境安装行云管家

2.1、准备阿里云RAM角色

1、以主账号登录阿里云,并进入控制台

2、鼠标移入页面右上角个人信息,展开面板,点击“访问控制”,进入访问控制页面

3、点击“RAM角色管理”,进入RAM角色管理页面

4、点击“新建RAM角色”,进入新建RAM角色页面

5、选择可信实体类型为“阿里云服务”,点击“下一步”

6、输入“角色名称”及“备注”,选择受信服务为“云服务器”,点击“完成”,即可完成RAM角色创建

请记录好“角色名称”,为后续免AK导入资源做准备

7、点击“关闭”,返回RAM角色管理页面

8、点击列表中角色右侧的“添加权限”,进入添加权限页面

9、点击左侧权限列表中的权限项,使其加入至“已选择”列表中,并点击“确定”,完成权限添加(这里,需要添加“AliyunOSSFullAccess”、“AliyunRAMFullAccess”、“AliyunECSFullAccess”、“AliyunCDNFullAccess”、“AliyunCloudMonitorFullAccess”共五项权限)

2.2、准备阿里云主机并授予角色权限

1、登录阿里云,并购买一台用于安装行云管家的云主机(ECS)

云主机操作系统要求为CentOS7(7.4-7.9),配置要求如:4vCPU、8GiB的计算网络增强型的ECS,存储中,系统盘选择“高效云盘”“40GiB”,选择一块数据盘为“高效云盘”“300GiB”,CPU数、内存及存储大小根据您要纳管的主机数及在行云管家中进行运维时的并发会话数来决定,可咨询行云管家技术支持以获得建议配置

2、云主机购买完成后,在阿里云控制台实例列表中,点击云主机实例右侧的“更多”,在弹出菜单中选择“实例设置”,再点击子菜单中的“授予/收回RAM角色”,弹出授予/收回RAM角色框

3、在授予/收回RAM角色框中,操作类型选择为“授予”,“RAM角色”选择为上述准备的RAM角色,点击“确定”即可完成云主机角色授予(参考:准备阿里云RAM角色

2.3、安装行云管家

1、SSH登录至上述云主机(ECS)(参考:准备阿里云主机

2、安装行云管家(传送门:安装行云管家

三、亚马逊AWS环境安装行云管家

3.1、准备AWS IAM角色

1、使用AWS主账号(或者是拥有AdministratorAccess管理策略权限的子账号)登录管理控制台,点击“服务”,在弹出页面中点击“安全&身份”中的“IAM”,进入IAM控制面板

2、进入IAM控制面板后,点击“角色”,进入角色页面

3、点击“添加角色”,打开添加角色页面

4、“受信任实体的类型”选择“AWS产品”,“使用此角色的服务”选择“EC2”,点击“下一步:权限”

5、在策略列表中勾选“AmazonS3FullAccess”、“IAMFullAccess”、“AmazonEC2FullAccess”、“CloudWatchFullAccess”四项权限策略,点击“下一步:标签”,进入下一页面

6、在“添加标签”页,点击“下一步:审核”,进入下一页面

7、在“审核”页,输入“角色名称”,点击“创建角色”即可成功创建角色,并返回角色列表页面

3.2、准备AWS云主机并授予角色权限

1、登录AWS,并购买一台用于安装行云管家的云主机(EC2)

云主机操作系统要求为CentOS7(7.4-7.9),配置要求如:通用型 t2.xlarge 4vCPU、16GiB的EC2,存储中,设置大小为40G的系统盘,一块大小为300G的数据盘,CPU数、内存及存储大小根据您要纳管的主机数及在行云管家中进行运维时的并发会话数来决定,可咨询行云管家技术支持以获得建议配置

2、云主机EC2购买完成后,在EC2实例列表中,勾选云主机,再点击“操作”,弹出菜单中选择“实例设置”,再点击子菜单中的“附加/替换IAM角色”,进入附加/替换IAM角色页面

3、在附加/替换IAM角色页面中,将“IAM角色”选择为上述准备的IAM角色,点击“应用”即可完成云主机角色授予(参考:准备AWS IAM角色

3.3、安装行云管家

1、SSH登录至上述云主机(EC2)(参考:准备AWS云主机

2、安装行云管家(传送门:安装行云管家