华为云用户手册

  • 策略概述 堡垒机 实例提供了控制策略的功能,可在堡垒机实例中提前配置部分策略,实现快速运维。 堡垒机支持访问控制、命令控制、数据库控制、改密和账户同步策略的预设。 表1 堡垒机支持预设的策略说明 支持预设的策略类型 策略说明 访问控制策略 访问控制策略用于控制用户访问资源的权限。 命令控制策略 命令控制策略用于控制用户访问资源的关键操作权限,实现Linux主机运维操作的细粒度控制。 数据库控制策略 数据库控制策略是用于拦截数据库会话敏感操作,实现数据库运维操作的细粒度控制。授权用户登录策略关联的数据库资源,当数据库运维会话触发规则,将会拦截数据库会话操作。 改密策略 改密策略用于对主机资源账户自动改密,并可针对多个主机资源账户同时定期改密,提高资源账户安全性。 改密策略支持以下功能项: 支持通过策略手动、定时、周期修改资源账户密码。 支持生成不同密码、相同密码,以及生成自定义相同密码。 账户同步策略 账户同步策略用于对主机资源账户自动同步,管理主机上资源账户,及时发现僵尸账户或未纳管账户,加强对资源的管控。 父主题: 策略管理
  • 批量验证账户组的资源账户 对已加入账户组的资源账户,可一键批量验证账户组内资源账户状态。 在账户组列表页面勾选需要验证的账户组,单击列表下方的“验证”,弹出验证配置框。 设置“连接超时”时间,以及“任务完成通知”。 默认“连接超时”时长为10秒。网络条件不佳时,可增加“连接超时”时长。 默认情况下,不发送任务完成通知。 可勾选“邮件通知”,验证完成后在任务中心查看验证结果详情。 单击“确定”,返回资源账户列表页面,即可查看资源“状态”栏结果。
  • 编辑资源账户组成员 方式一 在账户组页面单击账户组名称或“操作”列的“管理”进入账户组详情页面。 在账户组成员区域右侧单击“添加”,在弹窗中勾选需要加入组的资源账户。 可根据资源账户、关联资源、主机地址、应用地址搜索目标资源账户。 确认无误,单击“确定”,完成修改。 单击目标资源账户的名称或“操作”列的“查看”,可查看资源账户详细信息。 单击关联的资源名称可查看资源的详细信息。 单击目标资源账户“操作”列的“移除出组”,可将目标资源账户移除出当前账户组。 方式二:仅添加资源账户至账户组 在账户组列表页面单击目标账户组“操作”列的“添加成员”。 在弹窗中勾选需要加入组的资源账户。 可根据资源账户、关联资源、主机地址、应用地址搜索目标资源账户。 确认无误,单击“确定”,完成修改。
  • 约束限制 添加的主机和应用资源数量总和不能超过资产数。 支持对Windows Server2008 R2及以上的Windows系统版本的应用进行管理。 支持对Centos7.9系统的Linux服务器的应用进行管理。 Linux服务器仅支持调用Firefox浏览器应用和达梦管理工具V8。 Linux服务器和堡垒机之间需要开通的端口号:2376和35000~40000,且端口号不可修改。 Linux服务器的密码请联系华为云技术支持获取。 添加应用发布前,需已添加应用服务器。 Edge浏览器应用不支持配置自动登录账户。
  • 管理应用资源的资源账户 单击目标应用资源的名称或“操作”列的“管理”,进入应用资源详情页面。 在“资源账户”区域查看应用资源已关联的资源账户。 单击资源账户名称或“操作”列的“查看”,可查看目标资源账户的详细信息。 单击目标资源账户“操作”列的“移除”,可取消资源账户与当前应用资源的关联关系。 单击右侧“添加”,在弹窗中填写账户信息,为当前应用资源添加资源账户,参数详情请参见表3。 确认无误,单击“确定”,完成添加。
  • 加入资源账户组 将资源账户加入组后,可实现对资源账户的批量管理。 方式一 在资源账户列表单击目标资源账户名称或“操作”列的“管理”,进入资源账户详情页面。 在“账户加入的组”区域查看已加入的资源账户组信息。 单击“账户加入的组”区域右侧的“编辑”,在弹窗中可对资源账户加入的组进行加入或移除。 单击已加入的目标账户组名称或“操作”列的“查看”,可查看该资源账户组的全部信息。 单击已加入的目标账户组“操作”列的“移除该组”,可将目标资源账户组与当前资源账户取消关联关系。 方式二 在资源账户列表单击目标资源账户“操作”列的“加入组”。 在弹窗中可对资源账户加入的组进行加入或移除。
  • 导出资源账户信息 堡垒机支持批量导出资源信息,用于本地备份资源配置,以及便于快速管理资源基本信息。 为加强资源信息安全管理,支持加密导出资源信息。 导出的主机资源文件中包含主机基本信息、主机下所有资源账户信息、主机资源账户明文密码等。 导出的应用服务器文件中包含应用服务器基本信息、应用服务器账户信息、应用路径信息、服务器账户明文密码等。 导出的应用发布文件中包含应用发布基本信息、应用资源账户信息、应用资源账户明文密码等。 导出的资源账户文件中包含资源账户基本信息、关联资源信息、资源地址信息、资源账户明文密码等。 操作步骤 在资源账户列表页面,勾选需要导出的账户。 若不勾选,默认导出全部账户。 右上角单击,弹出导出资源账户确认窗口。 设置加密密码,将导出文件加密。 输入当前用户的密码,确保导出数据安全。 可选择csv或Excel导出格式。 单击“确认”,任务创建成功,单击“去下载中心”查看打包进度为100%时,单击“操作”列的“下载”,下载文件到本地,打开本地文件,即可查看导出的资源账户信息。
  • 删除资源账户 在资源账户列表页面,单击目标资源账户“操作”列的“删除”。 在弹窗中确认删除信息,确认无误单击“确认”,完成删除。 如需批量删除,勾选多个资源账户,单击列表查下方的删除进行操作。 如果删除的资源账户为某一资源的唯一资源账户,删除后将无法登录目标资源进行运维,请谨慎操作。 删除目标资源账户前,请确保目标资源没有正在执行或操作中的任务,删除后会立即生效,正在执行的操作或会话会立即中断,请谨慎操作。
  • 验证资源账户 资源账户状态用于标识纳管资源的账户密码是否正确,不能手动修改,只能通过验证账户更新。 资源账户支持“实时验证”和“自动巡检”验证功能。 资源账户验证是后台通过登录资源验证连通性,历史会话不记录该过程。 自动巡检 “自动巡检”在每月5号、15号、25号的凌晨一点,启动验证所有纳管的主机资源账户。验证完成后,系统管理员admin会收到验证结果消息(消息中心),不会生成任务。 实时验证 在资源账户列表页面,勾选指定账户,单击列表下方的“验证”,弹出验证配置框。 设置“连接超时”时间,以及“任务完成通知”。 默认“连接超时”时长为10秒。网络条件不佳时,可增加“连接超时”时长。 默认情况下,不发送任务完成通知。 可勾选“邮件通知”,验证完成后在任务中心查看验证结果详情。 单击“确定”,刷新“资源账户”列表页面,即可查看资源“状态”栏结果。 如需对某一资源账户组的所有资源账户进行批量验证,操作详情请参见资源账户组管理。 表1 资源账户状态说明 状态 说明 正常 经过“验证”,账号及密码正确,且能正常登录的资源账户,显示为“正常”状态。 异常 经过“验证”,账户或密码不正确,不能正常登录的资源账户,显示为“异常”状态。 未知 添加完资源账户后,未经过“验证”的资源账户,显示为“未知”状态。
  • 资源纳管类型 纳管资源类型丰富,包括Windows、Linux等主机资源,MySQL、Oracle等数据库资源,Kubernetes服务器以及Windows应用程序资源。 支持C/S架构运维接入,包括SSH、RDP、VNC、TELNET、FTP、SFTP、DB2、MySQL、SQL Server、Oracle、SCP、Rlogin协议类型主机资源。 支持B/S、C/S架构应用系统资源接入,可直接配置12+种Edge、Chrome、Oracle Tool等浏览器或客户端Windows服务器应用资源。 表2 堡垒机支持纳管的资源类型 支持纳管的资源类型 支持纳管的资源系统及协议类型 主机资源 支持的协议类型:SSH、RDP、VNC、TELNET、FTP、SFTP、SCP、Rlogin。 支持的操作系统类型:Linux、Windows、Cisco、Huawei、H3C、DPtech、Ruijie、Sugon、Digital China sm-s-g 10-600、Digital China sm-d-d 10-600、ZTE、ZTE5950-52tm、Surfilter、ChangAn。 应用资源 Windows支持类型:MySQL Tool、Edge、Firefox-Windows、Oracle Tool、Chrome、VNC Client、SQL Server Tool、SecBrowser、VSphere Client、Radmin、dbisql、Navicat for MySQL、Navicat for PgSQL、Other、IE。 Linux支持类型:DM Tool、KingbaseES Tool、Firefox-Linux、GBaseDataStudio for GBase8a。 数据库资源 支持的协议类型:Gaussdb、Postgresql、DB2、MySQL、SQL Server、Oracle、DM。 容器资源 目前仅支持Kubernetes服务器。
  • 资源纳管场景 堡垒机可纳管主机资源、应用资源、云服务(容器资源)以及数据库资源。 主机资源、数据库资源和应用资源纳管时支持批量导入和批量导出。 纳管应用资源、容器资源时需要先在堡垒机实例新建服务器与堡垒机实现连接,建立连接后再将连接的资源添加至堡垒机实例。 堡垒机除了能纳管在华为云资源外,在协议支持的情况下还可通过创建代理服务器的方式纳管线上非华为云资源和云下资源。 表1 堡垒机不同资源纳管说明 支持纳管的资源类型 纳管方式 主机资源 公网资源:在堡垒机实例通过新建、导入、自动发现进行连接纳管。 不同网络环境或专有网络环境资源:通过在堡垒机实例创建代理服务器实现纳管,目前仅支持SOCKS5代理。 应用资源 通过在堡垒机实例新建应用服务器,实现应用客户端与堡垒机实例的对接,随后在堡垒机实例新建应用资源实现纳管。 数据库资源 在堡垒机实例通过新建、导入、自动发现进行连接纳管。 容器资源 通过在堡垒机实例新建Kubernetes服务器,实现k8s的pod节点与堡垒机实例的对接,随后在堡垒机实例新建容器资源实现纳管。
  • 背景介绍 为加强用户账号登录管理,堡垒机支持通过配置登录开启或关闭多因子认证、设置账号使用有效期、设置登录时段限制、设置登录IP地址限制、设置登录MAC地址限制,管理用户账号登录权限,有效降低用户账号泄露等导致的安全风险。 多因子认证:指开启多因子认证后,用户登录时通过发送短信口令、动态令牌、USBKey等二次认证用户身份。 有效期:指用户账号的使用有效期,仅在限定时间内可登录。 登录时段限制:指用户账号限定登录星期和时刻。 登录IP地址限制:指限制指定来源IP地址的用户登录。 登录MAC地址限制:指在局域网内限制指定MAC地址的用户登录。
  • 约束限制 为正常使用“手机令牌”多因子认证,需确保系统时间与绑定手机时间一致,精确到秒。否则使用手机令牌登录时,口令将验证失败。 系统默认内置短信网关有短信发送频率和条数限制,为避免对“手机短信”多因子认证登录造成影响,可设置“自定义”短信网关,详情请参见短信网关配置。 由于MAC地址属于数据链路层,用于局域网寻址。MAC地址在传输过程中经过路由或主机,地址会发生变化,因此“登录MAC地址限制”仅在局域网生效。 若admin用户配置了多因子认证,无法登录系统取消多因子认证配置,请联系技术支持。
  • 资源账户组 多个资源账户加入一个“账户组”形成账户群组,通过对账户组授权可对资源账户进行批量授权、批量账户验证。 仅系统管理员admin或拥有“账户组”管理权限用户,可管理账户组,包括新建账户组、维护账户组资源,管理账户组信息、删除账户组等。 账户组与部门挂钩,不属于个人。当前登录用户新建的账户组默认放在登录用户部门下,不支持修改部门。 上级部门拥有“账户组”管理权限用户可查看下级部门的所有账户组信息,反之不能,同级之间的账户组可相互查看。 上级部门管理员为下级部门账户组添加资源账户时,可将上级部门的资源账户添加到下级部门的账户组,但是下级部门拥有“账户组”管理权限用户操作账户组时,只能查看资源账户列表,不能查看上级部门资源账户的详情信息。 下级部门拥有“账户组”管理权限用户将当前账户组中的上级部门资源账户移除后,将不能添加移除的上级部门资源账户。 一个资源账户可加入多个账户组。
  • 用户组 多个用户加入一个“用户组”形成用户群组,通过对用户组授权可对用户进行批量授权,具体的操作请参见新建访问控制策略并关联用户和资源账户。 仅系统管理员admin或拥有“用户”模块权限用户,可管理用户组,包括新建用户组、维护用户组成员,管理用户组信息、删除用户组等。 用户组与部门挂钩,不属于个人,当前登录用户新建的用户组默认放在登录用户部门下,不支持修改部门,上级部门有用户组权限的用户可以查看下级部门的所有用户组信息,反之不能,同级之间的用户组都能查看。 上级部门管理员向下级部门用户组添加用户时,可将上级部门的用户添加到下级部门用户组。 下级部门拥有“用户”模块管理权限的用户,查看用户组详情时,只能查看到用户组内上级部门用户成员列表,不能查看上级部门用户的详情信息。 下级部门拥有“用户”模块管理权限的用户,将当前用户组中的上级部门成员移除后,不能再添加移除的上级部门用户。 一个用户可加入多个用户组。
  • 登录用户 堡垒机系统具备集中管理用户功能,创建一个用户即创建一个堡垒机系统的登录账号。 系统管理员admin是系统默认用户,为系统第一个可登录用户,拥有系统最高操作权限,且无法删除和更改权限配置。 根据用户角色的不同,用户拥有不同的系统操作权限。 根据用户组的划分,可批量为同组用户授予资源运维的权限。 仅系统管理员admin或拥有“用户”模块权限的用户,可管理系统用户,包括新建用户、批量导入用户、批量导出用户、重置用户账号密码、移动用户部门、更改用户角色、加入用户组、配置用户登录权限、启用、禁用、批量管理用户等操作。
  • 用户角色 堡垒机实例预设有角色类型,通过角色来授权不同模块的查看、操作的权限。 堡垒机系统仅admin拥有自定义角色和修改角色的权限。 在创建用户后,可为不同用户绑定目标角色,实现权限的控制,一个用户仅能配置一个角色。 实例角色默认包括部门管理员、策略管理员、审计管理员和运维员,默认角色不可删除,但可修改默认角色的权限范围。 同时也支持自定义角色配置权限范围,但仅admin可自定义新角色或编辑默认角色的权限范围。 表1 系统默认角色说明 参数 说明 部门管理员 部门的运维管理员,主要负责堡垒机系统的管理。除用户管理和角色管理模块之外,部门管理员拥有其他全部模块的配置权限。 策略管理员 用户权限策略管理员,负责主机运维的权限策略管理。主要负责策略权限的配置,拥有用户组管理、资源组管理和访问策略管理等模块的配置权限。 审计管理员 运维结果审计管理员,查询管理系统审计数据。主要负责查阅和管理系统的审计数据,拥有实时会话、历史会话和系统日志等模块的配置权限。 运维员 访问系统的普通用户和操作人员。主要负责资源的运维,拥有主机运维、应用运维和工单授权管理的权限。
  • 部门概述 “部门”是用于划分组织结构,标识用户和资源的组织。系统默认有一个部门“总部”,仅可在“总部”基础上创建部门分支,且“总部”不可删除。 根据部门划分用户组织结构后,下级部门用户不能查看上级部门信息,包括上级部门组织结构、用户、主机资源、应用资源、应用发布服务器、资源账户,以及上级部门配置的策略信息和运维审计数据。 不同部门的用户,仅同部门和上级部门管理员可管理用户。 仅系统管理员admin或拥有“部门”模块权限的用户,可管理系统部门组织结构,包括新建部门、编辑部门、删除部门、查询部门用户和查询部门资源等。 图1 部门管理 父主题: 实例部门管理
  • 绑定手机令牌 登录堡垒机系统。 选择右上角用户名,单击“个人中心”,进入个人中心管理页面。 图1 个人中心页面 选择“手机令牌”页签,进入个人手机令牌管理页面。 按照界面提示和实际令牌类型,执行绑定操作。 绑定前务必将堡垒机时间和手机时间保持一致。 微信小程序手机令牌 打开手机微信,依次按照操作指导,获取绑定动态口令,输入6位“动态密码”,验证通过绑定手机令牌。 APP版手机令牌 打开已安装好的手机令牌APP,扫描页面操作指导步骤2的二维码,获取绑定动态口令,输入6位“动态密码”,验证通过绑定手机令牌。 “手机令牌”页签更新为已绑定手机令牌页面。
  • 修改个人密码 登录堡垒机系统。 选择右上角用户名,单击“个人中心”,进入个人中心管理页面。 图1 个人中心页面 在“基本信息”页签,单击“修改密码”,弹出修改密码窗口。 图2 修改个人密码 输入当前密码,并自定义新密码。 新密码要求: 长度范围:8~32个字符。 规则要求:可设置英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(!@$%^-_=+[{}]:,./?~#*),且需同时至少包含其中三种。 不能包含用户名或倒序的用户名。 确认无误,单击“确定”,返回个人基本信息页面。 退出登录,再次登录新密码即生效。
  • 我的日志 选择“我的日志”页签,可查看个人“系统登录日志列表”、“系统操作日志列表”和“资源登录日志列表”。 个人用户不能清理个人日志,日志仅能由有系统管理权限的用户统一管理,详细说明请参见数据维护。 系统登录日志列表 主要包括登录时间、登录用户来源IP、登录方式、登录结果等信息。 系统操作日志列表 主要包括操作时间、操作用户来源IP、操作的模块、操作内容、操作结果等信息。 资源登录日志列表 主要包括资源名称、资源协议类型、资源账户、登录资源用户来源IP、登录起止时间、会话时长等信息。 图6 我的日志列表
  • 查看消息提醒 登录堡垒机系统。 单击右上角,展开消息中心小窗口。 可查看最新三条未读消息。 图1 消息中心小窗口 单击“查看更多”,进入消息中心列表页面。 图2 消息中心列表 查询消息。 在搜索框中输入关键字,根据消息标题内容快速查询消息。 查看消息列表。 消息按发生时间顺序倒序排列,可查看全部已读、未读的消息 。 查看消息详情。 单击目标消息名称,进入消息详情页面。 可查看消息基本信息。 图3 查看消息详情
  • 标记消息提醒 登录堡垒机系统。 单击右上角,展开消息中心小窗口。 可查看最新三条未读消息。 图6 消息中心小窗口 单击“查看更多”,进入消息中心列表页面。 图7 消息中心列表 标记一条或多条消息。 选一条或多条消息,单击左下角“标为已读”,弹出标记消息确认窗口。 单击“确定”,返回消息列表页面,目标消息状态更新为“已读”。 标记全部消息。 单击“全部已读”,弹出标记消息确认窗口。 单击“确定”,返回消息列表页面,全部消息状态更新为“已读”。
  • 操作步骤 登录堡垒机系统。 单击右上角,展开任务中心小窗口。 可查看最新三条“执行中”任务。 图1 任务中心小窗口 单击“查看更多”,进入任务中心列表页面。 图2 任务中心列表 查询任务。 在搜索框中输入关键字,根据任务标题内容快速查询任务。 查看任务列表。 在任务列表可以查看到正在进行的任务、已完成的任务和被停止的任务。 查看任务详情。 单击目标任务名称,进入任务详情页面。 可查看任务基本信息和任务执行结果。 图3 查看任务详情。
  • 关注资源 呈现当前用户可管理用户、主机、应用、应用服务器的统计数据,以及未处理告警消息的数量。 用户角色需分别获取“用户管理”、“主机管理”、“应用发布”、“应用服务器”模块管理权限,以及开启角色管理权限,即可查看系统控制板统计信息。当角色权限只有其中一个时,默认不显示统计控制板。 用户 呈现当前用户可管理用户数。单击用户模块,跳转到用户列表页面,可管理当前用户列表。 主机 呈现当前用户可管理主机资源数。单击主机模块,跳转到主机列表页面,可管理当前主机资源列表。 应用 呈现当前用户可管理应用发布资源数。单击应用模块,跳转到应用列表页面,可管理当前应用资源列表。 应用服务器 呈现当前用户可管理应用服务器数。单击应用服务器模块,跳转到应用服务器列表页面,可管理当前应用服务器列表。 告警 呈现当前用户未处理告警消息数。单击告警模块,跳转到消息中心页面,可管理当前消息列表。
  • 通过MSTSC客户端登录堡垒机 用户获取资源运维权限后,可通过MSTSC客户端直接登录进行运维操作。 打开本地远程桌面连接(MSTSC)工具。 在弹出的对话框中,“计算机”列,输入“堡垒机IP:53389”。 图1 配置计算机 单击“连接”,在登录页面完成登录。 username:堡垒机用户登录名@Windows主机资源账户名@Windows主机资源IP:Windows远程端口(默认3389),例如admin@Administrator@192.168.1.1:3389。 “Windows主机资源账户名”必须是已添加到堡垒机中的资源账户,且登录方式是”自动登录“,否则无法识别Windows主机资源账户,且无法生成运维审计文件。不支持实时会话运维。如何添加主机资源账户,请参考添加资源账户章节。 password:输入当前堡垒机的用户密码。
  • 操作步骤 启动浏览器,在Web地址栏中输入系统登录地址,进入系统登录页面。 登录地址:https://堡垒机实例EIP。例如,https://10.10.10.10。 受浏览器兼容性限制,当浏览器版本与堡垒机系统不匹配时,可能导致登录时获取不到验证信息,或登录后页面显示异常,建议使用推荐的浏览器及版本。推荐浏览器请参见使用限制。 在登录页面选择登录方式。 按选择的登录方式,依次填入登录名、静态密码、动态验证码等信息。
  • 步骤3:结束迁移 当完成迁移之后,可以结束迁移,结束迁移之后,会终止DRS迁移任务。数据将不会进行实例之间的同步,并且会释放迁移锁。TaurusDB实例开始计费,并且会进行一次全量备份。 您可以通过如下方法结束迁移。 在TaurusDB实例信息页面,单击“结束迁移”。 图15 结束迁移 在弹框中,确认需要结束的迁移实例信息,单击“是”。 图16 确认迁移结束实例信息 待结束迁移完成之后,TaurusDB实例就会和正常实例一样了。
  • 步骤2:业务流量切换 在TaurusDB实例信息页面,等待迁移状态到达“增量迁移中”,并且复制时延小于60秒时,进行业务流量切换。 图8 观察迁移状态和复制时延 单击“业务流量切换”。 在弹框中,确认迁移实例信息,单击“是”。 在TaurusDB实例信息页面,查看实例状态为“RDS一键迁移|vip切换中”。 业务切换完成,可以看到源实例和目标实例的读写状态发生了改变,读写内网地址也变成了RDS for MySQL的内网地址,数据复制方向也发生了变化。 图9 迁移完成后的读写状态和复制方向 图10 迁移成功后的IP信息 如果不想使用TaurusDB实例,也可以进行迁移恢复。您可以单击“迁移恢复”,在弹框中,确认恢复信息,单击“是”。 图11 迁移恢复 图12 迁移恢复弹框 迁移恢复完成之后,迁移信息又恢复到了迁移之前的状态。 图13 迁移恢复后的读写状态和复制方向 图14 迁移恢复后的IP信息
  • 操作场景 创建TaurusDB数据库实例时,系统默认开启自动备份策略。实例创建成功后,您可根据业务需要设置自动备份策略。TaurusDB按照用户设置的自动备份策略对数据库进行备份。 TaurusDB的备份操作是实例级的,而不是数据库级的。当数据库故障或数据损坏时,可以通过备份恢复数据库,从而保证数据可靠性。由于开启备份会损耗数据库读写性能,建议您选择业务低峰时间段启动自动备份。 设置自动备份策略后,会按照策略中的备份时间段和备份周期进行全量备份。实例在执行备份时,按照策略中的保留天数进行存放,备份时长和实例的数据量有关。 在进行全量备份的同时系统每5分钟会自动生成增量备份,用户不需要设置。生成的增量备份可以用来将库表数据恢复到指定时间点。
共100000条
提示

您即将访问非华为云网站,请注意账号财产安全