一、概述

对于大量使用公有云的企业客户，可能希望利用云上的各类IaaS和PaaS资源来安装部署行云堡垒，这样可以充分利用各类云服务的弹性伸缩、高可用、海量存储的特性，以很低的代价来部署一套高可用的行云堡垒实例。目前，行云堡垒推荐广大用户在确保安全性的情况下，直接在云上部署，以这种方式来安装行云堡垒，除了前面提到的云服务各项优点外，还可以实现免AK管理公有云资源。行云堡垒当前支持免AK管理阿里云及亚马逊AWS云资源。

二、阿里云环境安装行云堡垒

2.1、准备阿里云RAM角色

1、以主账号登录阿里云控制台

2、鼠标移入页面右上角个人信息，展开面板，点击“访问控制”，进入访问控制页面

3、点击“RAM角色管理”，进入RAM角色管理页面

4、点击“新建RAM角色”，进入新建RAM角色页面

5、选择可信实体类型为“阿里云服务”，点击“下一步”

6、输入“角色名称”及“备注”，选择受信服务为“云服务器”，点击“完成”，即可完成RAM角色创建

请记录好“角色名称”，为后续免AK导入资源做准备

7、点击“关闭”，返回RAM角色管理页面

8、点击列表中角色右侧的“添加权限”，进入添加权限页面

9、点击左侧权限列表中的权限项，使其加入至“已选择”列表中，并点击“确定”，完成权限添加（这里，需要添加“AliyunOSSFullAccess”、“AliyunRAMFullAccess”、“AliyunECSFullAccess”、“AliyunCloudMonitorFullAccess”共四项权限）

2.2、准备阿里云主机并授予角色权限

1、登录阿里云，并购买一台用于安装行云堡垒的云主机（ECS）

云主机操作系统要求为CentOS7（7.4-7.9），配置要求请参考：【产品安装硬件要求】；

2、云主机购买完成后，在阿里云控制台实例列表中，点击云主机实例右侧的“更多”，在弹出菜单中选择“实例设置”，再点击子菜单中的“授予/收回RAM角色”，弹出授予/收回RAM角色框；

3、在授予/收回RAM角色框中，操作类型选择为“授予”，“RAM角色”选择为上述准备的RAM角色，点击“确定”即可完成云主机角色授予（参考：准备阿里云RAM角色）；

2.3、安装行云堡垒

1、SSH登录至上述云主机（ECS）；

2、安装行云堡垒【传送门：安装行云堡垒】；

三、亚马逊AWS环境安装行云堡垒

3.1、准备AWS IAM角色

1、使用AWS主账号（或者是拥有AdministratorAccess管理策略权限的子账号）登录管理控制台，点击“服务”，在弹出页面中点击“安全&身份”中的“IAM”，进入IAM控制面板

2、进入IAM控制面板后，点击“角色”，进入角色页面

3、点击“添加角色”，打开添加角色页面

4、“受信任实体的类型”选择“AWS产品”，“使用此角色的服务”选择“EC2”，点击“下一步:权限”

5、在策略列表中勾选“AmazonS3FullAccess”、“IAMFullAccess”、“AmazonEC2FullAccess”、“CloudWatchFullAccess”四项权限策略，点击“下一步:标签”，进入下一页面

6、在“添加标签”页，点击“下一步:审核”，进入下一页面

7、在“审核”页，输入“角色名称”，点击“创建角色”即可成功创建角色，并返回角色列表页面

3.2、准备AWS云主机并授予角色权限

1、登录AWS，并购买一台用于安装行云堡垒的云主机（EC2）

云主机操作系统要求为CentOS7（7.4-7.9），配置要求如：【产品安装硬件要求】；

2、云主机EC2购买完成后，在EC2实例列表中，勾选云主机，再点击“操作”，弹出菜单中选择“实例设置”，再点击子菜单中的“附加/替换IAM角色”，进入附加/替换IAM角色页面

3、在附加/替换IAM角色页面中，将“IAM角色”选择为上述准备的IAM角色，点击“应用”即可完成云主机角色授予（参考：准备AWS IAM角色）

3.3、安装行云堡垒

1、SSH登录至上述云主机（EC2）；

2、安装行云堡垒【传送门：安装行云堡垒】；