服务器主机准备
jumpserver(管理端) 192.168.1.25 docker-ce jumpserver/jms_all:1.4.8镜像
backend-db(被管理的后端服务) 192.168.1.26 mariadb mariadb-server redis
backend(被管理的后端服务) 192.168.1.27
1.jumpserver管理端配置
1).配置dock的yum源
[root@localhost ~]# wget -O /etc/yum.repos.d/base.repo
https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
2)查看docker-ce的版本,为18年9月版最新版
[root@localhost ~]# yum list *docker-ce*
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
* base: mirrors.huaweicloud.com
* extras: mirrors.huaweicloud.com
* updates: mirrors.huaweicloud.com
Installed Packages
docker-ce.x86_64 3:18.09.7-3.el7 @docker-ce-stable
docker-ce-cli.x86_64 1:18.09.7-3.el7 @docker-ce-stable
Available Packages
docker-ce-selinux.noarch
3)安装 docker-ce
yum install docker-ce -y
4)启动docker服务
[root@localhost ~]# systemctl start docker
[root@localhost ~]# systemctl enable docker
5)启动dockerf服务后默认生成的目录及文件
[root@localhost ~]# ll /etc/docker/
total 4
-rw------- 1 root root 244 Jul 2 13:16 key.json
6)配置镜像加速器,将镜像的下载地址转向国内的阿里云
[root@localhost ~]# vim /etc/docker/daemon.json
{
"registry-mirrors":["https://9916w1ow.mirror.aliyuncs.com"]
}
7)保存配置正在重新动服务
[root@localhost ~]# systemctl restart docker
8)查看docker的镜像下载地址
[root@localhost ~]# docker info
9)下载镜像文件
[root@localhost ~]# docker pull jumpserver/jms_all:1.4.8
……
Using default tag: latest
latest: Pulling from jumpserver/jms_all
8ba884070f61: Downloading[===> ]5.389MB/75.4MB
6b54480a4844: Downloading [===> ] 16.62MB/244.6MB
e6e1e1d12d27: Downloading [==> ] 9.1MB/162.5MB
2aaff2cdbbad: Waiting
3cdd227b7107: Waiting
3e28c9c2ba8d: Waiting
10)查看镜像文件是否下载完成
[root@localhost ~]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
jumpserver/jms_all 1.4.8 e9274ba449e8 3 months ago 1.31GB
2.backend-db端安装数据库等配置
1)准备yum源,提供新版本mariadb数据库安装yum源
[root@backend-db ~]#yum install centos-release-openstack-rocky.noarch -y
2)查看mariadb的版本
[root@backend-db ~]# yum list *mariadb*
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
* base: mirror.jdcloud.com
* centos-qemu-ev: mirrors.tuna.tsinghua.edu.cn
* extras: mirrors.tuna.tsinghua.edu.cn
* updates: mirrors.tuna.tsinghua.edu.cn
Installed Packages
mariadb.x86_64 3:10.1.20-2.el7 @centos-openstack-rocky
mariadb-common.x86_64 3:10.1.20-2.el7 @centos-openstack-rocky
mariadb-config.x86_64 3:10.1.20-2.el7 @centos-openstack-rocky
mariadb-errmsg.x86_64 3:10.1.20-2.el7 @centos-openstack-rocky
mariadb-libs.x86_64 3:10.1.20-2.el7 @centos-openstack-rocky
mariadb-server.x86_64 3:10.1.20-2.el7 @centos-openstack-rocky
Available Packages
mariadb-bench.x86_64 3:10.1.20-2.el7 centos-openstack-rocky
mariadb-connect-engine.x86_64 3:10.1.20-2.el7 centos-openstack-rocky
mariadb-devel.i686 1:5.5.60-1.el7_5 base
mariadb-devel.x86_64 3:10.1.20-2.el7 centos-openstack-rocky
mariadb-embedded.i686 1:5.5.60-1.el7_5 base
mariadb-embedded.x86_64 3:10.1.20-2.el7 centos-openstack-rocky
mariadb-embedded-devel.i686 1:5.5.60-1.el7_5 base
mariadb-embedded-devel.x86_64 3:10.1.20-2.el7 centos-openstack-rocky
mariadb-libs.i686 1:5.5.60-1.el7_5 base
mariadb-server-galera.x86_64 3:10.1.20-2.el7 centos-openstack-rocky
mariadb-test.x86_64
3)安装mariadb数据库
[root@backend-db ~]# yum install mariadb-server -y
4)启动mysql数据库并添加创建jumpserver数据库和添加授权用户
[root@backend-db ~]# systemctl enable mariadb
[root@backend-db ~]# systemctl start mariadb
create database jumpserver default charset 'utf8';
grant all on jumpserver.* to 'jumpserver'@'%' identified by 'centos123';
5)安装redis数据库
[root@backend-db ~]# yum install redis -y
6)配置redis配置文件
[root@backend-db ~]# vim /etc/redis.conf
……
bind 192.168.1.26 #监听本机ip地址
……
requirepass centos123 #修改redis的连接密码
……
7)启动redis服务
[root@backend-db ~]# systemctl enable redis
[root@backend-db ~]# systemctl start redis
3.在jumpserver管理端启动jumpserver服务
1)创建映射文件目录
[root@localhost ~]# mkdir /opt/mysql -pv
[root@localhost ~]# mkdir /opt/jumpserver -pv
2)生成容器随机秘钥
[root@localhost ~]#if [ "$SECRET_KEY" = "" ]; then SECRET_KEY=`cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 50`; echo "SECRET_KEY=$SECRET_KEY"
>> ~/.bashrc; echo $SECRET_KEY; else echo $SECRET_KEY; fi
[root@localhost ~]# if [ "$BOOTSTRAP_TOKEN" = "" ]; then BOOTSTRAP_TOKEN=`cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 16`;
echo "BOOTSTRAP_TOKEN=$BOOTSTRAP_TOKEN" >> ~/.bashrc; echo $BOOTSTRAP_TOKEN; else echo $BOOTSTRAP_TOKEN; fi
3)填写jumpserver服务的一些连接参数并启动此服务
[root@localhost ~]#docker run --name usa -d \ #容器的名称为usa
-v /opt/mysql:/var/lib/mysql \ #将宿主主机/opt/mysql路径,映射到容器/var/lib/mysql路径
-v /opt/jumpserver:/opt/jumpserver/data/media \ #将宿主主机/opt/jumpserver路径,映射到容器/opt/jumpserver/data/media路径
-p 80:80 \ #-p为端口映射选项,访问本机80端口时会被映射到容器的80端口,
-p 2222:2222 \
-e SECRET_KEY=S5ROTQj9vckA31G8BGBnQEQ2wxcyRQ0MYE40OE7njpJdK1yeap \ #传递秘钥参数
-e BOOTSTRAP_TOKEN=EL8qi4sLXCTIiVH9 \ #传递引导启动口令参数
-e DB_HOST=192.168.1.26 \ #传递连接mysql数据库主机
-e DB_PORT=3306 \ #mysql数据库端口
-e DB_USER=jumpserver \ #mysql数据库中授权的用户
-e DB_PASSWORD=centos123 \ #mysql数据库中用户密码
-e DB_NAME=jumpserver \ #mysql数据库中创建的数据库名称
-e REDIS_HOST=192.168.1.26 \ #指定连接redis数据库的主机
-e REDIS_PORT=6379 \ #redis启用的端口
-e REDIS_PASSWORD=centos123 \ #redis数据库登录的密码
jumpserver/jms_all:1.4.8 #jumpserver服务的版本
4)查看容器服务是否正常启动
[root@localhost ~]# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
0eec322a30b3 jumpserver/jms_all:1.4.8 "entrypoint.sh" 4 hours ago Up About an hour 0.0.0.0:80->80/tcp, 0.0.0.0:2222->2222/tcp usa
5)查看容器日志文件是否报错
[root@localhost ~]# docker logs -f 0eec322a30b3
若出现访问 ConnectionRefusedError: ……http//127.0.0.1:8080 …. refused…..报错
则需要修改docker容器中tomcat的server.xml配置文件
[root@localhost conf]# vim /var/lib/docker/devicemapper/mnt/84d4fd5a5ee81f77b948c8919a2f12c1577d5161a668d2dcbad4425c3d8287d9
/rootfs/config/tomcat8/conf/server.xm
将defaultHost="localhost"改为defaultHost="192.168.1.25"
将
6)再次查看容器日志文件是否报错
[root@localhost ~]# docker logs -f 0eec322a30b3
7)日志无报错即可通过浏览器访问
4.登录jumpserver服务web端进行虚拟机管理操作
1)登录admin管理界面
2)创建一个develop组
3)创建一个用户curry,将curry添加到develop组里面,角色为普通用户,然后提交
4)点击更新,给curry用户添加登录密码
填写curry用户密码然后提交
进入curry用户界面
6)创建一个管理用户(用来管理资产虚拟主机,此用户必须要有资产虚拟主机的root身份,其中的密码为ssh登录虚拟主机的密码)
7)创建资产(指的是被管理的虚拟主机)
填入虚拟主机名、ip地址及管理用户
点击主机名,进入资产详情页面
点击测试,检测被管理的虚拟主机是否能ping通,如下结果表明测试成功
8)创建一个过滤器
9)创建一个系统用户(此用户名在登录虚拟主机后会被自动创建,为虚拟主机登录的默认普通用户,非管理员用户,权限比较小)
10)创建授权规则,将资产添加到develop组中,是的此组中的用户可以访问此资产虚拟主机
11)登录curry用户界面,点击web终端
可以看到被授权的终端虚拟机,点击虚拟终端即可在命令窗口操作终端
12)再设置过滤器
点击规则
设置命令过滤禁止规则
13)此时再一次登录curry页面登录虚拟主机时,执行这些命令将会被禁止,如下所示
14)回到admin的web端,在会话管理下的历史会话可以打开录像回放列表,记录虚拟主机的所有操作过程的录像
15)录像回放
16)再创建一个资产
17)在资产授权中将此资产也添加到develop组中
18)登录curry界面并打开web终端可以看到操作两台虚拟主机