云服务器内容精选
-
约束限制 添加的主机和应用资源数量总和不能超过资产数。 支持对Windows Server2008 R2及以上的Windows系统版本的应用进行管理。 支持对Centos7.9系统的Linux服务器的应用进行管理。 Linux服务器仅支持调用Firefox浏览器应用和达梦管理工具V8。 Linux服务器和 堡垒机 之间需要开通的端口号:2376和35000~40000,且端口号不可修改。 Linux服务器的密码请联系华为云技术支持获取。 添加应用发布前,需已添加应用服务器。 Edge浏览器应用不支持配置自动登录账户。
-
操作步骤 启动浏览器,在Web地址栏中输入系统登录地址,进入系统登录页面。 登录地址:https://堡垒机实例EIP。例如,https://10.10.10.10。 受浏览器兼容性限制,当浏览器版本与堡垒机系统不匹配时,可能导致登录时获取不到验证信息,或登录后页面显示异常,建议使用推荐的浏览器及版本。推荐浏览器请参见使用限制。 在登录页面选择登录方式。 按选择的登录方式,依次填入登录名、静态密码、动态验证码等信息。
-
约束限制 目前仅SSH、RDP协议主机,支持通过Web运维上传/下载文件。 Web运维不能通过执行rz/sz命令等方式上传/下载文件,仅能通过“文件传输”操作上传/下载文件。 Linux主机资源支持在客户端执行命令方式传输文件,例如在SSH客户端执行rz/sz命令上传/下载文件。但该方式不能被CBH系统记录上传/下载的具体文件,不能达到对全程安全审计的目的。 支持下载一个或多个文件,不支持下载文件夹。 不支持断点续传,文件上传或下载过程请勿终止或暂停。 不支持传输大小超过1G的超大文件,建议分批次上传/下载文件,或通过FTP客户端传输文件。 空间不足会导致上传失败,需清理磁盘或扩充磁盘容量。
-
配置Windows 10服务器相关参数 登录Windows 10服务器。 启动winRM服务。 搜索“组件服务”,进入“组件服务”页面。 在左侧导航树中,选择“服务(本地)”,在右侧弹框中,找到“Windows Remote Management(WS-Management)”。 右键单击“Windows Remote Management(WS-Management)”,在弹窗中单击“启动”。 配置winRM。 以管理员身份运行cmd,执行以下命令: winrm qc (执行两次)回显后,根据提示输入y。 执行以下命令: winrm set winrm/config/service '@{AllowUnencrypted="true"}' 执行以下命令: winrm set winrm/config/service/auth '@{Basic="true"}' (如果已是管理员,可不执行该步骤)执行以下命令,添加用户到用户组。 例如,用户名为“appuser01”。 net localgroup "Remote Management Users" appuser01 /add 在power shell会话框中执行以下命令,添加防火墙命令。 New-NetFirewallRule -DisplayName "WinRM-5985" -Direction Inbound -LocalPort 5985 -Protocol TCP -Action Allow
-
后续管理 改密策略创建完成后,可在策略列表页面,管理已创建策略,包括管理关联资源、删除策略、启停策略、立即执行策略等。 若需补充关联资源,可单击“关联”,快速关联资源账户、账户组。 若需删除策略,可选择目标策略,单击“删除”,立即删除策略。 若需禁用策略改密,可勾选一个或多个“已启用”状态的策略,单击“禁用”,策略状态变更为“已禁用”,策略立即失效。 若需立即修改资源账户密码,可单击“立即执行”,立即执行改密任务。
-
约束限制 仅SSH,MySQL,SQL Server,Oracle,RDP和Telnet协议类型的主机,支持通过改密策略修改资源账户密码。 Windows主机资源需启用SMB服务,并放开主机安全组445端口,才能通过改密策略修改资源账户密码。 Windows 10不能使用SMB方式改密,关联Windows 10资源账户前,需配置winRM后进行改密策略的创建,可参照配置Windows 10服务器相关参数进行服务器相关参数的配置。
-
登录方式 用户账号配置多因子认证后,静态密码登录方式失效。 表2 登录方式说明 登录方式 登录说明 静态密码 输入用户登录名和密码。 手机短信 输入用户登录名和密码,单击“获取验证码”,并输入短信验证码。 手机令牌 输入用户登录名和密码,并输入手机令牌的动态验证码(每隔一段时间就会变化)。 USBKey 接入并选择已签发的USBKey,并输入对应的PIN码。 动态令牌 输入用户登录名和密码,并输入动态令牌的动态口令(每隔一段时间就会变化)。
-
认证类型 AD域、RADIUS、LDAP、Azure AD、SAML远程认证使用远程服务上的已有用户密码。 表3 认证类型说明 认证类型 认证说明 本地认证 用户登录密码为系统配置静态密码。 可选择多因子认证方式登录。 可重置用户密码、个人找回密码、个人修改密码。 AD域认证 用户登录密码为AD域用户密码。 可选择多因子认证方式登录。 不能通过系统修改用户密码。 RADIUS认证 用户登录密码为RADIUS服务器用户密码。 可选择多因子认证方式登录。 不能通过系统修改用户密码。 LDAP认证 用户登录密码为LDAP服务器用户密码。 可选择多因子认证方式登录。 不能通过系统修改用户密码。 Azure AD认证 用户登录密码为Microsoft用户账号密码。 需跳转到Microsoft登录页面,输入用户账户信息登录。 不能选择多因子认证方式登录。 不能通过系统修改用户密码。 SAML认证 用户登录密码为SAML服务器用户密码。 可选择多因子认证方式登录。 不能通过系统修改用户密码。
-
开放端口要求 为避免网络故障或网络配置问题影响登录系统,请管理员优先检查网络ACL配置是否允许访问堡垒机,并参考表1配置实例安全组。 堡垒机跨版本升级会自动开放80、8080、443、2222共四个端口,升级完成后若不需要使用请第一时间关闭。 堡垒机主备实例跨版本升级还会自动开放22、31036、31679、31873共四个端口,升级完成后保持31679开放即可,其余端口若不需要使用请第一时间关闭。 表1 入/出方向规则配置参考 场景描述 方向 协议/应用 端口 通过Web浏览器登录堡垒机(HTTP、HTTPS) 入方向 TCP 80、443、8080 通过MSTSC客户端登录堡垒机 入方向 TCP 53389 通过SSH客户端登录堡垒机 入方向 TCP 2222 通过FTP客户端登录堡垒机 入方向 TCP 20~21 通过堡垒机的SSH协议远程访问Linux云服务器 出方向 TCP 22 通过堡垒机的RDP协议远程访问Windows云服务器 出方向 TCP 3389 通过堡垒机访问Oracle数据库 入方向 TCP 1521 通过堡垒机访问Oracle数据库 出方向 TCP 1521 通过堡垒机访问MySQL数据库 入方向 TCP 33306 通过堡垒机访问MySQL数据库 出方向 TCP 3306 通过堡垒机访问SQL Server数据库 入方向 TCP 1433 通过堡垒机访问SQL Server数据库 出方向 TCP 1433 通过堡垒机访问DB数据库 入方向 TCP 50000 通过堡垒机访问DB数据库 出方向 TCP 50000 通过堡垒机访问 GaussDB数据库 入方向 TCP 18000 通过堡垒机访问 GaussDB 数据库 出方向 TCP 18000 License注册许可服务器 出方向 TCP 9443 华为云服务 出方向 TCP 443 同一安全组内通过SSH客户端登录堡垒机 出方向 TCP 2222 短信服务 出方向 TCP 10743、443 DNS 域名 解析 出方向 UDP 53 通过堡垒机访问PGSQL数据库 入方向 TCP 15432 通过堡垒机访问PGSQL数据库 出方向 TCP 5432
-
通过MSTSC客户端登录堡垒机 用户获取资源运维权限后,可通过MSTSC客户端直接登录进行运维操作。 打开本地远程桌面连接(MSTSC)工具。 在弹出的对话框中,“计算机”列,输入“堡垒机IP:53389”。 图1 配置计算机 单击“连接”,在登录页面完成登录。 username:堡垒机用户登录名@Windows主机资源账户名@Windows主机资源IP:Windows远程端口(默认3389),例如admin@Administrator@192.168.1.1:3389。 “Windows主机资源账户名”必须是已添加到堡垒机中的资源账户,且登录方式是”自动登录“,否则无法识别Windows主机资源账户,且无法生成运维审计文件。不支持实时会话运维。如何添加主机资源账户,请参考添加资源账户章节。 password:输入当前堡垒机的用户密码。
-
云审计 支持的CBH实例操作 云审计服务(Cloud Trace Service,简称 CTS ),是华为 云安全 解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 开启了云审计服务后,系统开始记录 云堡垒机 实例的相关操作,云审计服务管理控制台将保存最近7天的操作记录。云审计服务支持的CBH实例操作参考表1。 表1 支持CBH实例操作列表 操作名称 资源类型 事件名称 创建堡垒机 cbh createInstance 删除堡垒机 cbh deleteInstance 重启堡垒机 cbh rebootCBH 启动堡垒机 cbh startCBH 关闭堡垒机 cbh stopCBH 提交堡垒机订单 cbh subscribeOrder 更新堡垒机订单状态 cbh updateCloudServiceType 更新堡垒机metadata信息 cbh updateMetadata 查询变更jobs cbh jobsAsynQuery 升级堡垒机 cbh upgradeInstance 变更堡垒机规格 cbh alterInstanceSpec 回退升级的堡垒机 cbh rollbackInstance 重置Admin密码 cbh resetPassword 重置Admin登录方式 cbh resetLoginMethod 变更堡垒机网络实例 cbh changeNetworkOfCBH 父主题: 审计实例关键操作
-
操作步骤 使用root账号登录Linux服务器。 在Linux服务器中,下载Linux环境app_publisher_x86_64_xxx.tar.gz(xxx为版本号)压缩包。 表1 app_publisher组件版本说明 堡垒机版本 支持架构 app_publisher组件版本 下载地址 V3.3.26.0 X86和Arm V1.0.0 软件包下载地址 V3.3.30.0 X86和Arm V1.1.0 软件包下载地址 V3.3.38.0 X86 V1.2.0_CentOS7 软件包下载地址 Arm V1.2.0_UOS20 软件包下载地址 V3.3.40.0 X86 V1.3.0_CentOS7 软件包下载地址 Arm V1.3.0_UOS 软件包下载地址 V3.3.43.0 X86 V1.4.0_CentOS7 软件包下载地址 Arm V1.4.0_UOS 软件包下载地址 V3.3.46.0 X86 V1.5.0_CentOS7 软件包下载地址 Arm V1.5.0_UOS 软件包下载地址 V3.3.52.0 X86 1.6.1_EulerOS 软件包下载地址 Arm 1.6.1_EulerOS 软件包下载地址 X86 1.6.1_CentOS7 软件包下载地址 Arm 1.6.1_UOS 软件包下载地址 V3.3.60.0 X86 1.7.0_EulerOS 软件包下载地址 Arm 1.7.0_EulerOS 软件包下载地址 Arm 1.7.0_UOS 软件包下载地址 在Linux服务器中,执行以下命令,将app_publisher_x86_64_xxx.tar.gz(xxx为版本号)压缩包进行解压。 # tar -xvf app_publisher_*.tar.gz # cd app_publisher 环境之前是否已安装过firefox应用发布服务器 是,执行以下命令,把之前安装的firefox docker镜像删除。 # docker rmi 127.0.0.1:5000/psm-firefox:0.2 删除后,继续执行步骤 5。 否,执行步骤 5。 执行以下命令,部署脚本。 # /bin/bash install.sh 执行以下命令,检查服务状态。 # service docker status active (running)表示应用发布服务器安装成功。 创建share目录(仅针对堡垒机V3.3.26.0版本)。 # mkdir /opt/autorun/share (可选)重启应用发布服务器。
-
操作步骤 使用管理员账号登录服务器。 在服务器中,下载RemoteaProxyInstaller_xxx.zip(xxx为版本号)压缩包。 下载RemoteaProxy1.1.11.0版本(适配3.3.26-3.3.61.0的堡垒机版本) 服务器需要有公网访问权限(绑定弹性EIP)。 在应用服务器中,将RemoteaProxyInstaller_xxx.zip(xxx为版本号)压缩包进行解压。 双击“RemoteaProxyInstaller_xxx.msi”(xxx为版本号)启动安装。 安装时请选择默认的安装路径。 安装完成后,单击“关闭”。
-
操作步骤 使用管理员账号登录服务器。 在服务器中,下载RemoteaProxyInstaller_xxx.zip(xxx为版本号)压缩包。 下载RemoteaProxy1.1.11.0版本(适配3.3.26-3.3.61.0的堡垒机版本) 服务器需要有公网访问权限(绑定弹性EIP)。 在应用服务器中,将RemoteaProxyInstaller_xxx.zip(xxx为版本号)压缩包进行解压。 双击“RemoteaProxyInstaller_xxx.msi”(xxx为版本号)启动安装。 安装时请选择默认的安装路径。 安装完成后,单击“关闭”。
-
操作步骤 使用管理员账号登录服务器。 在服务器中,下载RemoteaProxyInstaller_xxx.zip(xxx为版本号)压缩包。 下载RemoteaProxy1.1.11.0版本(适配3.3.26-3.3.61.0的堡垒机版本) 服务器需要有公网访问权限(绑定弹性EIP)。 在应用服务器中,将RemoteaProxyInstaller_xxx.zip(xxx为版本号)压缩包进行解压。 双击“RemoteaProxyInstaller_xxx.msi”(xxx为版本号)启动安装。 安装时请选择默认的安装路径。 安装完成后,单击“关闭”。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
