teleport是什么意思，了解teleport隐藏的那些堡垒机功能

大家好，关于teleport是什么意思很多朋友都还不太明白，今天小编就来为大家分享关于了解teleport隐藏的那些堡垒机功能的知识，希望对各位有所帮助！

前面介绍了安装部署teleport的教程，今天主要对teleport的一些功能做一下大致介绍，虽然整体界面好像没有jumpserver美观，也没有自动化运维功能（ansible批量发送命令），不过它也有自己的特色，例如上传下载功能就做的很实用，下载附件批量添加主机等。

官方文档:https://docs.tp4a.com/guide_asset/#_1

点击左侧菜单，展开“资产”项目，然后点击“主机及账号”，会打开主机管理页面，远程主机和远程登录账号的管理主要在此界面中操作

点击页面右上方的“添加主机”按钮，然后在弹出的对话框中根据你要添加的远程主机的信息选择和填写相关内容：

其中“连接模式”一项，如果此远程主机可以由teleport服务器直接连接，则可以选择“直接连接”模式，例如远程主机与teleport服务器处于同一个局域网中，或者远程主机是开放了远程连接端口的云端服务器等。

如果远程主机与teleport服务器之间需要通过其他网络设备进行端口映射方可连接的，则需要选择“端口映射”模式。在这种模式下，teleport服务器实际上连接的是配置的路由主机的地址和映射端口，而非远程主机地址。

主机信息填写完毕后，点击“确定”按钮即可完成主机的添加。

添加完主机后，还需要为此主机设置远程登录的账号，点击主机的账号数量，或者右侧操作菜单中的“管理远程账号”，会显示远程账号管理对话框。

然后点击“添加账号”按钮，弹出添加远程账号的对话框。需要注意的是，如果主机的连接模式使用端口映射模式，那么这里的“端口”项是无法更改的。

远程账号信息填写完毕后，可以使用对话框上的“测试连接”按钮来进行测试。

添加账号时，如果远程账号是Windows域用户，那么账号名称需要使用user@domain这样的形式，而不能使用domain\\user的形式。后者虽然可以正常远程登录使用，但会导致无法进行录像回放。因为teleport在回放RDP录像时，会下载录像文件到本地，文件名中会包含远程账号名称，而远程账号中的字符\\是操作系统的路径风格符，从而导致无法创建本地文件使得下载失败。

有时rdp客户端连接windows服务器失败，日志提示“协议不支持”。

被远程的服务器端打开计算机-属性-远程设置，将默认的“仅允许运行使用网络级别身份验证的远程桌面的计算机连接”，更改为“允许运行任意版本远程桌面的计算机连接”即可正常连接.

如果是SSH协议，那么认证方式可以选择“SSH私钥认证”，此时密码输入框将被替换为SSH私钥输入框。目前teleport仅支持RSA私钥，且私钥不能是密码加密后的。私钥的格式如下所示：

-----BEGINRSAPRIVATEKEY-----\nMIIEoAIBAAKCAQBki7kohX+oa0AELV8Oflrz545PQS47H5mh/sQ6KRHkt7bErVC3watQdeXFHrnH0uKbmglFS6MVni86/tltqxxt+dcgTBsNyFiuUtSQBlIIwBiqtpFl......\nJQKBgBWsgyj+So3nB8nVsRFawarouM+xfwN+12CeLrlHVxvOdJ5LBF+uhPUO75qGjU8XyGm54zSLsZfjyJ5IQu4WmiuEhzQagceML9x2INHHXE3w\n-----ENDRSAPRIVATEKEY-----\n

如果你使用的私钥不是以上格式，请用相关工具进行转换方可在teleport中使用。

注意，私钥对应的公钥应该预先部署在你的远程主机上了，具体操作可搜索“SSH免密码登录”。

2.3、TELNET协议

在添加telnet协议的远程账号时，如果使用用户名/密码认证方式，会要求填写“用户名预期提示”和“密码预期提示”两项内容。这是因为telnet本身是弱协议，也就是说它并没有明确定义用户如何登陆，何时输入用户名或者密码，不同的telnet服务有着各自不同的实现方式。比如说，有些telnet服务会显示Login:来提示用户输入用户名，而另一些则用username:进行提示，还有的用login:进行提示。而teleport在检测到对应的提示时，才能够正确填写相应的用户名和密码来完成自动登录。

所以，在添加telnet协议的远程账号之前，你需要手动连接一次你的telnet服务器，查看它的提示语，然后将其填写到预期提示的输入框中。

小技巧：默认的预期提示ogin:和assword:，其实是login:和password:去掉了第一个字母，是因为常见的telnet服务多数使用这两个提示语，但是一些首字母是大写，一些首字母是小写。跳过第一个字母则可以增加适配性。

3、批量添加主机和账号

在“资产-主机及账号”页面的右上角，点击“导入主机和账号”按钮，会弹出导入资产对话框。

点击图标上传你的资产信息文件。如果还没有准备资产信息文件，可以从对话框中的下载链接中下载一份进行修改。

资产信息文件是一个CSV格式（逗号分隔）的文本文件，你可以用Office2016及以上版本的Excel打开编辑，也可以用普通的文本编辑工具进行编辑，比如EditPlus、UltraEdit，或者NotePad++等。

注意：建议使用文本编辑工具进行编辑，某些版本的Excel会在保存时去掉部分逗号，导致最终文件格式不合法而无法导入。

3.1、资产文件格式

下面对资产信息文件进行详细说明。首先来看一个示例：

在资产信息文件中，#开头的行是注释，注释行和空行在导入时将被忽略。Teleport要求资产信息文件中，主机与账号各自独立成行，不能写到同一行上。正确的做法是，一行主机信息，后面紧跟着一到多行的账号信息。

下面详细解释各个字段的含义（除特别说明外，加粗字段是必填项）：

3.2、批量导入常见问题

1、主机分组管理

为便于管理（例如运维授权或者审计授权时），可以将主机进行分组。

分组操作非常简单，在“资产-主机分组管理”页面，点击右上角的“创建主机分组”按钮并填写分组名称，即可建立一个新的分组。

分组建立之后，点击某个分组的名称，即可进入对应分组的主机成员列表页面，管理此分组中的主机。在此页面中可以添加或者删除主机。

向分组中添加主机，或者删除分组，均不影响现存的主机数据，但如果此分组已经在运维策略或者审计策略中被授权了，那么删除分组会影响到分组中所有主机的授权。

2、账号分组管理

账号分组管理功能与主机分组的操作一致，此处不再赘述。

在teleport系统中，主机、账号、用户均可以进行分组管理，而且，每一项也可以属于多个分组。例如，一台运行数据库的Linux主机，可以属于“Linux”分组，同时可以属于“数据库”分组，还可以属于“阿里云ECS”分组。

灵活使用分组，可以高效快捷地管理主机、账号和用户，尤其是在管理大量资产时，利用分组可以大大减少管理难度。下面通过几个示例进行说明，当然，需要根据你的实际使用场景进行灵活处理。

某公司有大量虚拟主机，部分运行在云端，部分运行在自建机房，为了方便管理，可以从不同分类的维度创建一些主机分组来进行区分，例如：

这样可以在主机管理界面通过分组过滤器快速分拣出需要的主机列表。

2、运维授权管理

虽然teleport支持将主机授权给某个用户，从而使用户可以使用该主机上的任意一个账号进行远程连接、运维，但从日常使用场景来看，给运维人员分配的权限往往需要映射到具体的某台主机的某个账号上。

在实际工作中，会因为运维人员的经验、岗位等不同而为其分配不同的远程账号。例如，有经验的运维人员可以为其分配远程主机的root账号，而数据库运维人员会为其分配一些运行数据库服务的主机的dba账号。因此，可以从不同维度创建一些账号分组来进行方便授权操作，例如：

同样的，也可以对用户进行分组，比如：

因为teleport可按组进行授权，因此设置好授权策略并按分组进行授权之后，后续有主机、账号或者运维人员的变更时，只需要将其加入对应的一个或者多个组（或者从相应组的成员列表中移除），即可获得或失去对应的授权。

3、安装Teleport助手

windows下载地址：https://tp4a.com/static/download/teleport-assist-windows-3.2.2.exe\n

安装后点击SSH和RDP就可以了

如果要上传下载文件只需要直接拉进去就可以了，不过对于超过2G大小的文件还没测试过。

后面会分享更多devops和DBA方面的内容，感兴趣的朋友可以关注一下~

关于teleport是什么意思到此分享完毕，希望能帮助到您。