本帖最后由 Hacking 于 2023-1-13 10:54 编辑
1. 需求背景 随着云计算和大数据技术的发展,政府金融各单位业务逐渐往云上迁移,深信服安全资源池提供云平台安全能力,当客户配置了资源池,需要配置租户信息进行引流,需要在华为云平台和资源池维护两套资产信息,增加运维成本。 资源池4.0.13版本的云平台同步功能,同步华为云资产信息进行集中运维,统一了安全和计算资源,便于提高客户运维效率。
2. 实现方法 CSSP4.0.13版本的资源池安装云平台同步插件,新增云平台同步功能,将需要同步的华为云平台接入到资源池。同步华为云上的资产信息,当前只支持华为云6.3.1版本、6.5.0版本。
3. 配置指导 3.1. 配置思路 l 资源池安装云平台同步插件 l 接入需要同步的华为云平台 l 在资源池将华为云平台的资产同步到资源池 l 创建租户实例
3.2. 添加云平台连接 步骤1. 导入云平台同步插件 打开【资源池】->【插件管理】页面,点击新增插件或直接拖动插件安装包至页面虚框部分,即可实现插件的导入,插件导入后,将自动进行安装操作,执行结果可以在任务球中检查。导入成功后,页面将展示云平台对接插件的图标和版本等基本信息。
步骤2. 初始化插件,让云平台同步功能生效
步骤3. 新建云平台连接 在云平台同步页面中,点击左侧云平台列表的+号按钮,在新增云平台账号中输入云平台名称、账号等相关配置信息,可手动点击测试连通性验证账号密码等数据输入正确性。点击确定后即可新增云平台连接。
云平台名称:自定义输入的每个云平台的特定唯一称呼 云平台类型:只支持华为云 云平台版本号:支持华为云6.3.1、6.5.0版本 CMP主机IP:华为云管理平台唯一主机IP 用户名:云管理平台用户名 密码:云管理平台密码 内大网IP段:默认为11.64.0.0/16,目的是帮助插件精准区分内大网IP和弹性IP,如果云平台修改过内大网IP段,根据实际情况填写
3.3. 添加后的效果图 云平台同步 新增云平台成功后,页面左侧云平台列表中将以云平台名称展示创建的云平台,并自动同步云平台租户数据到资源池,展示在右侧云平台租户列表中。 同时将在【租户管理】->【租户】页面创建同名租户组,注意这时只是在资源池显示租户名实际租户资产未同步到资源池,需要创建租户实例才会同步资产信息到资源池平台的租户里面。 支持设置定时时间,周期自动获取云平台资产信息,同步更新云平台租户列表和云服务器列表。在页面顶端可选择定时同步时间,定时时间设置范围为5/10/30/60分钟,每次定时任务执行后,将在顶端展示最近同步时间。
3.4. 创建租户实例 在已成功执行云平台租户同步任务的前提下,云平台租户列表中勾选未同步状态的云平台租户,点击列表上方的创建租户实例即可使用列表中租户实例名称创建CSSP租户,租户实例名称支持点击蓝色名称后,弹窗手动编辑修改。 创建租户实例成功后云平台租户列表中对应云平台租户状态切换为已同步到云安全服务平台,在【租户管理】->【租户】页面中的云平台对应的租户组将新增该租户。租户实例自动取云平台租户下所有服务器的IP数据,以私有IP、弹性IP、内大网IP为集合创建对应的三个业务系统,支持手动编辑。 通过云平台创建的好的租户实例和手动直接在资源池创建的租户效果一致,可以进行引流操作。
4. 注意事项 l 内大网IP段默认为11.64.0.0/16,若内大网IP不是默认IP,请根据自身云平台内大网实际网段填写; l 最大支持创建20个云平台连接; l CMP主机IP只支持IPv4格式; l 同步创建的CSSP租户组无法手动删除和重命名,删除云平台后才能同步删除; l 租户实例创建后,只能在对应的CSSP租户组中,无法移动和修改分组,CSSP租户名称也无法修改; l 租户实例创建后,同步生成的私有IP、弹性IP、内大网IP三个业务系统无法在CSSP侧编辑、删除,只有在华为云中的对应服务器IP发生编辑或删除,且执行同步云资产任务后,租户实例的业务系统IP才能同步实现编辑和删除,但仍可手动增加、编辑自定义业务系统; l CSSP租户最多支持创建250个租户,所以在无自定义租户的情况下最多支持同步创建250个租户实例。CSSP租户中单个业务系统最多支持128行IP,所以所有同一类服务器IP最多支持包含128个IP; l 同步到云安全服务平台失败状态的云资产,重新勾选点击创建租户实例可重新下发创建任务; l 同步创建租户实例前,可根据需要自定义租户实例名称(长度在4-20个字符以内),下发创建租户实例后将以该名称创建CSSP租户实例。 |