一、概述

行云堡垒标准化单机部署提供在线和离线两种安装方式，其中在线安装方式仅支持web界面部署，离线安装能够同时支持web界面部署和命令行部署。若要进行K8S集群方式部署，请访问 K8S集群部署

二、环境准备

2.1、硬件要求

1）CPU内存：建议至少8核16G；磁盘空间最低建议：500GB；

2）依据纳管设备数和最大并发会话数适当提高硬件配置，依据后续审计日志存储要求，适当增加存储空间；

3）更详细的配置需求指引请参考《行云堡垒部署环境资源需求指引》。

2.2、网络要求

1）服务器开放81、80端口（http）/443端口（https）访问；

注：81端口为安装端口在安装完成后可进行关闭。

2）如果需要使用本地工具、跳板机功能，则需按需对外开放 8021（FTP）、8022（SSH）、8389(RDP)、8900（VNC）等端口的访问；

3）为了方便后续对堡垒机系统的运维，建议在确保安全的前提下开放服务器的SSH端口（默认为22，可修改为其它端口）；

4）如需管理公有云主机、发送短信、邮件服务等，那么服务器需具备公网访问能力。

2.3、操作系统要求

1）操作系统：行云堡垒基于容器化部署，支持业界常见的一些Linux发行版操作系统，下面以CentOS7.9操作系统为例来介绍安装过程。操作系统以原生纯净的CentOS7.9的ISO进行安装，操作系统安装时建议选择“基础设施服务器”来安装；

2）Centos7.9操作系统下载地址： https://dl.cloudbility.com/product/CentOS-7-x86_64-Minimal-2009.iso

3）行云堡垒的安装必须由root用户执行。

2.4、安装包下载

行云堡垒安装包下载地址： https://www.cloudbility.com/download.html

注：在线安装无需提前下载离线安装包。

三、安装

前文提到，我们提供了在线和离线两种安装方式，其中离线方式又支持Web界面和命令行的安装模式；因此，下面以在线安装（Web界面）、离线安装（Web界面）、离线安装（命令行）这三种方式分别进行介绍，请您根据实际情况选择一种方式即可。

3.1、在线安装（Web界面）

3.1.1 获取在线安装链接

在行云堡垒的下载界面，找到“在线安装”，复制其链接；

3.1.2 执行安装命令

SSH进入要安装的服务器，执行安装命令，以下方式选择一种即可：

a) 默认安装（注：默认不启用IPV6，默认最新版，默认安装路径/opt）：

curl -sSL https://dl.cloudbility.com/products/pam/release/quick_install_cloudbility.sh | bash

b) 启用IPV6：

curl -sSL https://dl.cloudbility.com/products/pam/release/quick_install_cloudbility.sh | ENABLE_IPV6=1 bash

c) 指定版本安装（注：这里以指定7.4.0.0为例）：

curl -sSL https://dl.cloudbility.com/products/pam/release/quick_install_cloudbility.sh | VERSION=7.4.0.0 bash

d) 指定安装路径（注：这里以指定/data目录为例）：

curl -sSL https://dl.cloudbility.com/products/pam/release/quick_install_cloudbility.sh | PROJECT_ROOT_DIR=/data bash

注：以上安装方式的参数可进行多选，例如：

curl -sSL … | ENABLE_IPV6=1 VERSION=7.4.0.0 PROJECT_ROOT_DIR=/data bash

此过程需要下载安装文件，需要较长的时间，请耐心等待；待脚本执行完毕，根据提示信息，将其中的链接地址复制下来，使用浏览器访问，进行后续安装。

3.1.3 安装配置

访问提示链接，点击“立即开始安装行云堡垒“。

a) 指定部署方式（此案例使用“标准部署“可依据实际情况选择不同部署方式）；

b) 配置安装信息（此案例使用默认内置中间件，可依据实际情况选择外部中间件）；

c) 正在安装；

d) 安装完成。

3.2、离线安装（web界面）

3.2.1 上传安装包

下面以7.4.0.0，amd64平台为例进行说明。 将下载的安装包文件cloudbility_full_install_7.4.0.0_amd64.tar.gz上传至任意目录。（以拷贝到/opt目录为例）

3.2.2 解压安装包文件

cd /opt && tar zxf cloudbility_full_install_7.4.0.0_amd64.tar.gz

3.2.3 执行安装命令

cd cloudbility_full_install_7.4.0.0_amd64/ && ./clbctl install cloudbility –launch-WebUI

a) 可选配置：启用IPv6，指定安装路径，指定行云堡垒HTTP、HTTPS端口；

b) 待脚本执行完毕，根据提示使用浏览器访问，完成后续安装；

c) 后续安装：参考3.1.3 安装配置。

3.3、离线安装（命令行）

此安装方式目前仅支持单机部署，若需集群部署请使用web界面安装。 下面以安装7.4.0.0，amd64平台为例进行说明。

3.3.1 上传安装包

将下载的安装包文件cloudbility_full_install_7.4.0.0_amd64.tar.gz上传至任意目录。

（以拷贝到/opt目录为例）

3.3.2 解压安装包文件

cd /opt && tar zxf cloudbility_full_install_7.4.0.0_amd64.tar.gz

3.3.3 执行安装命令

cd cloudbility_full_install_7.4.0.0_amd64/ && ./clbctl install cloudbility

a) 可选配置：启用IPV6，指定安装路径，指定行云堡垒HTTP、HTTPS端口。

b) 可选配置：使用外部服务PostgresQL、MongoDB、Redis、InfluxDB、MinIO（存储）；

此案例使用默认内置中间件，可依据实际情况选择外部中间件。

c) 待脚本执行完毕，根据提示使用浏览器访问，完成初始化配置；

参照“四、初始化配置“。

四、初始化配置

4.1、设置访问方式

指定您访问行云堡垒所需要使用的IP地址（建议先默认即可，初始化完成可以在管理控制台->系统设置中的访问方式中进行修改）；

4.2、设置账号信息

指定初始化的团队名称、管理员昵称、管理员账号及登录密码；

注意：管理员账户是前台门户网址“http://行云堡垒IP”中的团队管理员，同时也是管理控制台“http://行云堡垒IP/console”的管理员。

五、导入License许可

在行云堡垒安装完毕后，默认已经有15天的使用时长许可，如需变更使用时长或使用配额，请在管理控制台的“系统设置”- “许可管理”中，先“导出服务器标识”，将此标识文件发送给商务客服，客服会根据标识文件生成新的License文件；然后点击“导入许可”，将新License信息上传，点击“确认”按钮，如果License许可合法，则将成功更换。

六、卸载行云堡垒

如果在安装过程中出现异常，需要重新安装，建议先执行卸载命令，将之前安装的组件卸载干净后再重新安装，卸载方式为使用root身份在系统任意路径，执行：

clbctl uninstall

七、正式使用指引

初始化完成后，请使用Edge、谷歌、火狐等对HTML5支持较好的浏览器来正式访问行云堡垒。

7.1、行云堡垒正式使用指引

所有用户在使用行云堡垒时，都将在门户网站中进行操作。

门户网址：http://行云堡垒IP/

使用指引：http://行云堡垒IP/help

7.2、管理控制台使用指引

管理控制台是针对于系统的全局管理平台。其中包括业务管理、系统管理、控制台管理等模块：

（1）业务管理：行云堡垒是一个多租户（团队）的管理模型，因此需要在管理控制台中管理不同团队、团队用户和设置用户登录的认证设置等功能；

（2）系统管理：用于对整个系统的全局设置（访问配置、系统参数、门户双因子认证、短信网关、邮件服务器配置等功能、中转服务设置、数据备份等重要功能）；

（3）控制台管理：用于管理后台的用户和角色并记录后台的相关日志。

管理控制台地址：http://行云堡垒IP/console