阿里云堡垒机操作

阿里云堡垒机虽然有自己的文档，但是没有从场景的角度去考虑，有些地方也说的不详细，这里以实际操作经验来说明(随着阿里平台的改变，部分界面功能可能会有变化)。

本文仅代表本人的经验和看法，读者需要对阿里云有一些操作经验。

1、首先登录阿里云管理平台，在安全(云盾)中选择堡垒机(安全管理)，选择购买堡垒机。在堡垒机的购买页面，选择云端服务器所在的地域、VPC、套餐。(截止本文时堡垒机不能跨地域和VPC，所以如果有多个区域和VPC需要管理，就需要购买多个堡垒机)

2、购买了堡垒机后，会自动创建堡垒机(需要一段时间)，创建好之后，需要进行堡垒机的设置

首先要做网络配置，在做网络配置之前，建议先创建一个堡垒机专用的交换机（因为这个交换机确定后不能修改，且不影响与同一个VPC内网络的连通），然后再到堡垒机的网络配置中选择VPC和对应的交换机。安全组可全选，因为只有被选中的安全组，才能被堡垒机访问。可开放对公网的访问。

设置好网络后，就可以对堡垒机进行管理了，点击管理，选择公网接入(这里如果没有通过专线及VPN打通，是无法进行内网接入的)

3、在堡垒机的管理界面，主要需要设置的就是资产、用户、授权组和设置，资产中有服务器和凭据。

服务器就是云端可被堡垒机访问到的所有服务器，建议从阿里云同步，同步的时候会读取阿里云所有服务器，可勾选后选择加入到堡垒机(数量和堡垒机的套餐相关)

凭据指的是被堡垒机管理的服务器端用户名和密码(和堡垒机用户无关)，这个需要在被管理的服务器上创建。新建凭据的名称可以自定义，登录名和密码就是服务器端创建的用户和密码，必须确保和服务器端一致。

用户指的是可以登录堡垒机的用户，只有登录了堡垒机之后，才能被授权管理相应的服务器。新建用户必须提供手机、密码和邮箱，姓名非必填。手机作为登录名，可实现双因子认证接收手机验证码。

授权组是对服务器、凭据和用户的授权组和。新建授权组只需要写组名，创建了之后，可选择用户、服务器和凭据进行授权的组合

4、设置是针对全局的参数来配置的，对所有服务器生效，所以需谨慎。