华为云用户手册

  • 约束与限制 使用智能终端安全服务需要安装HiSec Endpoint Agent,终端需要满足的安装条件如表1所示。 表1 终端约束与限制 硬件要求 操作系统要求 CPU 内存 硬盘 2核CPU 4GB及以上 可用磁盘空间不少于10GB Windows 7 专业版、旗舰版、企业版 (32/64位) Windows 10(32位/64位) Windows 11(64位) 银河麒麟桌面操作系统V10及以上 统信桌面操作系统V20以上 2核CPU 4GB及以上 可用磁盘空间不少于10GB Windows Server 2012 R2及以上(64位) CentOS 7及以上 RedHat 8及以上 Euler 2.0及以上 Debian 10及以上 SUSE 12/15 Ubuntu16/18/20/22(X86/ARM) Huawei Cloud EulerOS 2.0 标准版(64位) 同一终端不建议同时安装多个终端安全软件,否则可能会造成彼此之间功能相互干扰。下载完成后请在30天内安装,超期会导致终端注册失败。 父主题: 产品介绍
  • 委托MSP管理 背景信息 用户根据自身实际情况,选择合适的MSP(服务渠道商)进行代维授权。通过MSP进行日常运维,可以降低企业人力投入成本。 操作步骤 使用租户帐号登录华为乾坤控制台。 单击右上角帐号,选择“委托”进入委托界面。 单击“创建”,根据表 委托参数设置参数。 图1 委托MSP页面 表1 委托参数 参数 说明 受托方标识 如果当前租户帐号由MSP创建,界面默认填充对应MSP的标识。 如果当前租户帐号是自注册,请向被委托的MSP获取唯一标识码(MSP帐号界面右侧唯一ID)。 委托列表 可以委托给MSP代维的服务列表及对应的执行权限。 当委托角色选择为“边界防护与响应管理员”时,MSP对业务有操作权限。 当委托角色选择为“边界防护与响应审计员”时,MSP对业务仅有查看权限。 当委托角色选择为“边界防护与响应开放接口操作员”时,MSP对开放接口业务有使用权限。 默认全部选择,单击服务卡片上的“自定义角色”可以选择委托的角色。 委托到期时间 选择委托到期时间,到达该时间后,本次委托将自动结束。 说明 委托说明,此处填写的内容将在MSP的审批流程中显示。 单击“确定”。 在弹出的授权清单界面,确认风险,勾选“我已阅读代操作授权风险告知协议并明确该操作的风险”,单击“确定”。 在MSP审批同意后,将与MSP建立委托关系。 父主题: MSP身份开通
  • V5版本 对于《华为乾坤安全云服务天关和防火墙上云清单》中支持 云日志 审计服务的V5天关/防火墙,请参照以下命令进行配置。 此处以天关为例介绍配置方法,防火墙与天关相同。 使用管理员帐号登录天关的Web界面。 详细登录方法请参见1。 单击页面右下角的“CLI控制台”。 进入系统视图。 system-view 配置设备与资产通信的IP地址和端口号。请先参见获取天关/防火墙侧的IP地址获取IP地址。 cloud-service audit-log ip 10.1.1.1 port 514 #10.1.1.1为天关侧与资产通信的地址,端口默认:514 (可选)查看配置结果。 display current-configuration | include cloud 退出系统视图。 quit 输入save命令,保存配置信息,确保设备重启后配置仍然生效。 系统显示确认信息,请输入“y”。 save # 默认保存到vrpcfg.zip文件中,该文件为系统下一次启动的配置文件 (可选)进入系统视图,查看系统下次启动使用的配置文件。 system-view display startup
  • 云杉版本 对于《华为乾坤安全云服务天关和防火墙上云清单》中支持云日志审计服务的云杉天关/防火墙,请参照以下命令进行配置。 此处以天关为例介绍配置方法,防火墙与天关相同。 使用管理员帐号登录天关的Web界面。 详细登录方法请参见1。 单击页面右下角的“CLI控制台”。 进入系统视图。 system-view 配置设备接收系统日志的IP,端口,VPN和限速。请先参见获取天关/防火墙侧的IP地址获取IP地址。 sec-log server source ipv4 10.1.1.1 port 514 vpn-instance public car 3000 #10.1.1.1为天关侧与资产通信的地址,端口默认:514 进入安全遥测视图。 security-telemetry 配置采集的数据类型。 collect syslog #使能采集系统日志 配置目标组。 destination-group audit-log-destination-group #创建数据的发送目标 ca-certificate default_ca.cer #指定验证接收数据的目标系统的CA证书 ipv4-address 114.116.233.217 port 30205 #指定华为乾坤日志采集器IP和端口 配置传感器组。 sensor-group audit-log-sensor-group #创建传感器组 select syslog #指定采集系统日志向目标上报 配置订阅任务。 subscription audit-log-subscription #创建订阅任务 destination-group audit-log-destination-group #关联目标组 sensor-group audit-log-sensor-group #关联传感器组 local-certificate default_local.cer #指定本地证书,用于标识设备身份。 (可选)查看配置结果。 display current-configuration | include sec-log 退出系统视图。 quit 输入save命令,保存配置信息,确保设备重启后配置仍然生效。 系统显示确认信息,请输入“y”。 save # 默认保存到vrpcfg.zip文件中,该文件为系统下一次启动的配置文件 (可选)进入系统视图,查看系统下次启动使用的配置文件。 system-view display startup
  • 操作步骤 打开华为乾坤APP。 登录华为乾坤APP。 如果尚未注册华为乾坤帐号 新用户注册 输入手机号码+验证码+密码进行注册。帐号名由系统自动生成,可以登录华为乾坤APP,在“我的”页签单击头像进行查看。 验证码登录 输入手机号码+验证码进行登录,首次登录会自动注册华为乾坤帐号。 如果已经注册华为乾坤帐号 使用密码登录 网站控制台注册的租户帐号可以用于登录华为乾坤APP。 新用户注册场景下,可以输入帐户名+密码进行登录。 使用验证码登录 输入手机号码+验证码进行登录。 使用华为乾坤APP(首页) 华为乾坤APP功能持续上新中,下图为示例界面,如果示例界面和下载安装后APP的界面略有差异,请以软件实际安装的界面为准。 首页总览 华为乾坤APP“首页”功能布局如表1所示。 表1 首页功能布局 序号 功能描述 1 点击查看地图:直观显示各站点的设备数量和安全信息。 2 我的站点:站点设备信息,可以切换站点,并展示各站点的拓扑。 3 网络体验:网络质量信息,可以切换站点,显示网络环境各评估维度的得分。 4 安全态势:安全告警趋势动态信息,单击安全告警类型(如外部攻击),可查看并处置安全告警。 5 发现:华为乾坤最新资讯。 6 工具:网络实用工具。 7 我的:用户中心,支持工单创建查询等操作。 添加设备:首次登录后请先根据提示扫码或者手动输入设备SN码添加设备,可以连续添加多台设备。首次添加设备后APP将设备添加到默认站点中。 创建站点:当您确定已录入全部设备后,请点击“下一步”选择或创建站点,默认站点名称为“我的网络”,直接点击“下一步”会创建默认站点。 设备连线:请根据指示完成设备的连线和初始配置。 当APP中已有站点时,如果需要新增其他站点,可以点击右上角的“+”或者点击“我的站点”模块内的“创建站点”新增站点(请以实际界面为准),然后根据提示在新增站点中添加设备。 如果站点中已有设备,请点击右上角的“+”,点击“扫描添加设备”添加新设备。 如果扫描后未能成功添加设备,可以使用手动输入的方式添加设备。 此处以添加AP为例,不同设备添加过程可能存在少许差异,请根据实际界面操作。 只有添加AP时,才提示编辑WiFi。 查看网络体验: 点击APP“首页”的“网络体验”进入网络体验的“概览”界面。点击“全部站点”可以切换站点,上方根据您选择的站点显示网络环境各评估维度的得分,下方显示设备信息和接入用户的信息。 点击“网络体验”中的“设备”或“接入用户”分别进入网络体验对应的界面。 “设备”界面:点击“全部站点”可以切换站点,您也可以筛选设备的状态以及设备类型,下方显示您筛选设备的相关信息。 “接入用户”界面:点击“全部站点”可以切换站点,下方显示接入用户的相关信息。 查看安全态势:点击APP“首页”的“安全态势”进入安全态势的“总览”界面。“总览”界面显示全部事件的数量,最多可以查看近30天内的威胁事件信息、资产风险等级、威胁事件类型。 安全态势的“总览”界面可以展示近30天或近7天或近24小时的安全态势,此处以近30天为例,点击“近7天”也可切换至近7天的安全态势信息。 处置威胁事件:点击下方“事件”可切换至“威胁事件”界面。“威胁事件”界面根据事件的状态、时间、级别显示相应的信息,点击“威胁事件”名称可以对其处置。 此处以处置“外部攻击源”为例,“失陷主机”和“恶意文件”处置方法与处置“外部攻击源”一致,可以参考处置“外部攻击源”。 查看资产:点击下方“资产”可切换至“资产”界面。“资产”界面根据资产的等级和状态显示相应的信息,点击具体的资产名称可查看资产具体信息。 查看站点拓扑:在首页进入站点后,点击右上角“查看拓扑”进入设备的“真实拓扑”界面,可以直观的体现设备之间的连接情况。手指滑动可以放大和缩小界面,点击右侧“还原”按钮可还原至初始大小。 WIFI管理:您可以在AP上创建Wi-Fi,创建完成后即可连接此Wi-Fi接入网络。 Wi-Fi调优:优化Wi-Fi的网络速度。 视频测速:分别使用720P/1080P/4K测试当前Wi-Fi播放视频的流畅情况。 您也可以在“工具”界面使用此功能。 升级管理:对当前在线的设备进行版本升级。 黑白名单:可以为天关创建和编辑IP黑名单、 域名 黑名单和白名单。 此处以创建“IP黑名单”为例,“域名黑名单”和“白名单”操作方法与创建“IP黑名单”相近,可以参考创建“IP黑名单”。 漫游测试:测试Wi-Fi覆盖率,比如在A房间已安装一个AP,在B房间测试Wi-Fi的信号强度、时延等,以决定在B房间是否也要安装一个AP。 您也可以在“工具”界面使用此功能。 Wi-Fi测速:测试当前连接Wi-Fi的下载速度、上传速度、网络延时。 您也可以在“工具”界面使用此功能。 Wi-Fi体检:从覆盖测试、业务体验、网络安全维度全面评估Wi-Fi的使用体验,并提示用户当前Wi-Fi可优化项。 您也可以在“工具”界面使用此功能。 设备密码:修改当前站点所有设备的admin账户的密码,忘记设备admin账户密码时,可以使用此功能重置密码。 AP指示灯:打开或者关闭AP指示灯,通过打开或者关闭AP指示灯可以快速找到AP所在的位置 。 AP计算器:快速计算网络覆盖需要的AP数量。 您也可以在“工具”界面使用此功能。 AP诊断:对未上云AP进行诊断,如果诊断结果是设备正常,您可以扫描设备上云,如果异常请根据提示修复。 下图示例中AP的模式为云管理模式,如果AP为非云管理模式,APP会提示用户切换云管理模式。 您也可以在“工具”界面使用此功能。 终端拨测:测试某个地点的Wi-Fi综合性能指标,包括信号强度、时延、网页连通性,互联网性能(上传/下载的速度)、Wi-Fi干扰等。 iobox:快速搜索和连接附近的蓝牙信号。 您也可以在“工具”界面使用此功能。 使用华为乾坤APP(工具)。 华为乾坤APP功能持续上新中,下图为示例界面,如果示例界面和下载安装后APP的界面略有差异,请以软件实际安装的界面为准。 工具总览 表2 功能布局 序号 功能名称 功能描述 1 Wi-Fi测速 测试当前连接Wi-Fi的下载速度、上传速度、网络延时。 2 Wi-Fi体检 从覆盖测试、业务体验、网络安全维度全面评估Wi-Fi的使用体验,并提示用户当前Wi-Fi可优化项。 3 AP计算器 快速计算网络覆盖需要的AP数量。 4 AP诊断 对未上云AP进行诊断,如果诊断结果是设备正常,您可以扫描设备上云,如果异常请根据提示修复。 5 漫游测试 测试Wi-Fi覆盖率,比如在A房间已安装一个AP,在B房间测试Wi-Fi的信号强度、时延等,以决定在B房间是否也要安装一个AP。 6 视频测速 分别使用720P/1080P/4K测试当前Wi-Fi播放视频的流畅情况。 7 IOBOX 快速搜索和连接附近的蓝牙信号。 8 安全报表 查看乾坤云服务月报的相关信息。 9 扫码查看端口 可以通过扫码或手动输入SN码的方式添加设备。 10 Ping 输入IP地址检测网络的连通情况。 11 Tracert 网络诊断工具,探测数据包从源地址到目的地址经过的路由器IP地址
  • 操作步骤 打开华为乾坤APP。 使用MSP帐号登录华为乾坤APP。 使用华为乾坤APP。 华为乾坤APP功能持续上新中,如果示例界面和下载安装后APP的界面略有差异,请以软件实际安装的界面为准。 华为乾坤APP功能布局如表 功能布局所示。 表1 功能布局 序号 功能描述 1 所有代维租户的安全设备和网络设备统计信息。 单击安全设备图标,可以查看安全设备详细信息;暂不支持查看网络设备详细信息。 2 所有代维租户的待办事件,默认显示待办事件数最多的5个租户信息;单击全部,可以查看所有代维租户,单击代维租户,查看该代维租户下的所有代办事件。 单击“处理”快速查看代维租户的威胁事件、设备离线告警和套餐过期提醒信息。 可以通过电话/邮件/微信和租户进行沟通;也可以通过“进入代维模式”进入华为乾坤APP租户界面。 3 代维租户的套餐状态。 单击“全部”快速查看所有代维租户的套餐信息。 可以通过电话/邮件和租户进行套餐续费知会;也可以通过“进入代维模式”进入华为乾坤APP租户界面。 4 华为乾坤的待办事件,包含代维租户的威胁事件、设备离线告警和委托申请信息。 5 华为乾坤最新资讯。 6 用户中心,支持工单创建查询等操作。
  • 后续操作 接收人管理: 搜索:在列表左上方搜索框内输入接收人名称,单击左侧或者按回车键直接搜索。 消息接收配置:单击接收人列表中“消息接收配置”,可以为当前接收人设置接受的消息类型等。 修改接收人信息:单击接收人列表中“修改”,可以修改接收人相关信息,包括名称、手机号、邮箱等。 删除接收人: 单个删除:单击接收人列表中“删除”,可以删除当前接收人。 批量删除:选中需要删除的接收人,单击列表右上方“删除”。
  • 站点配置 前提条件 登录华为乾坤控制台后成功创建了站点,并拥有“设备生命周期管理服务”中站点管理相关权限。 背景信息 创建站点后,用户根据实际情况将设备纳入到同一站点中,并对设备拓扑调整、业务配置,确保站点正常运行。 操作步骤 站点设备拓扑操作。 站点的设备拓扑图一般由设备和链路组成。如果站点还未添加设备,请先跳转步骤3,然后进行站点设备拓扑操作。 安全站点 查看设备拓扑。可以查看设备拓扑概况。将鼠标悬停在链路上,可以查看当前链路信息。 查看设备详情。鼠标悬停在设备拓扑中任意安全设备图标,单击弹窗中“详情”,或右击安全设备,单击“查看详情”。具体参见设备详情。 删除设备。右击安全设备,单击“删除设备”,可以删除当前设备。 云管理网络站点 云管理网络场景下站点设备拓扑操作比网络安全场景更复杂些,具体如表1所示。 表1 设备拓扑操作 操作名称 操作说明 拓扑管理 站点首页右上角提供了拓扑管理菜单,支持调同步数据、页面刷新周期、手动刷新、恢复拓扑默认布局、其他优化配置。 拓扑调整 站点首页右下角提供了绘图区域菜单,支持调整拓扑位置、查看图例、设置全屏展示、放大/缩小绘图区域。 设备搜索 站点首页提供了设备搜索框,支持快速搜索目标设备。在设备搜索的结果页面单击,可在拓扑中高亮标记设备,快速定位到该设备。 设备查看和编辑 设备状态不同显示颜色也不同,比如设备异常有告警显示成红色。 当设备数量较多时,默认聚合展示,可单击展开。 鼠标停留在设备图标上,显示设备摘要信息。单击“详情”进入设备管理页面,相关操作参见设备。 链路查看 鼠标停留在链路线上,会出现设备互联信息,如本端端口、远端端口等。 业务网配置 拓扑图左侧展示了有线或无线网的“业务网”配置情况: 无论是有线或无线场景,单击子网按钮,进入子网配置修改页面。其中,无线子网指的是修改SSID配置参数。 图1 云管理网络站点设备拓扑 (可选)站点添加设备。具体操作介绍可参见添加设备。 (可选)站点业务配置。 进入站点首页,单击页面右上角“站点配置”进入业务配置页面。 图2 业务配置页面 查看站点配置结果。 在站点配置页面,单击“配置结果”,进入站点配置结果页面。 在站点配置结果页面,查看配置向设备下发情况。 如果当前设备未上线,“设备配置状态”显示为预配置。 如果当前设备上线,但配置下发失败,可单击“失败重下发”或“全量下发”,重新下发配置。 图3 配置结果页面 单击展开配置结果详情,单击指定特性条目的按钮,可查看该特性配置结果详情。 设置设备本地用户帐号和密码。 使用默认的用户帐号 网络站点开局过程中,会自动在纳管的设备上生成admin用户和accampus用户。用户密码是平台随机生成的,因此在登录设备Web/CLI界面之前,请单击本地用户列表中按钮重置密码。 默认情况下,平台自动创建admin用户和accampus用户。其中admin帐号是设备本地预置帐号,accampus帐号是平台与设备侧交互的专用帐号,若只需要手动登录设备,建议使用admin或其他帐号。 admin用户帐号会同时对串口生效。 通过CoAP协议纳管的设备(如S210系列)仅支持admin帐号。 如需要删除用户,不推荐删除admin用户。 删除用户之前,请确保已经新建其他管理员用户帐号,避免无法登录设备Web/CLI界面。 自定义用户帐号 单击本地用户列表右上角“创建”,在弹出的“创建本地用户”页面按表 本地用户配置的部分参数说明配置参数,完成后单击“确定”。 表2 本地用户配置的部分参数说明 参数 说明 用户名 设备本地用户账号的用户名。 密码 设备本地用户账号的密码。 用户角色 包括监控用户、管理用户两种,二选一,不同角色有不同的网络设备管理权限。 不同级别的用户登录后,只能使用等于或低于自身级别的命令。 监控用户:1级用户。 管理用户:15级用户。 服务类型 本地用户账号服务的协议类型,包括HTTP(S)、SSH和Terminal三种,支持多选。 HTTP(S):如果勾选该选项,则可以使用该用户通过浏览器以HTTP(S)协议登录设备的WebUI界面。 SSH:如果勾选该选项,则可以使用该用户通过SSH客户端登录设备的命令行界面。 Terminal:如果勾选该选项,则可以使用该用户通过终端,即Console口登录设备命令行界面。 说明: 登录方式为Telnet和FTP时存在安全风险,建议使用STelnet和SFTP,此时,用户服务类型配置为SSH。 缺省情况下,HTTP采用随机生成的自签名证书支持HTTPS。由于自签名证书存在安全风险,因此建议用户替换为官方授权的数字证书。 对分布式AP生效 本地用户账号对分布式AP是否生效的控制开关。注意,默认分布式AP不支持用户角色和服务类型。 设置管理VLAN。 设置自协商。只有开启该功能后,本站点内的自协商管理VLAN才能生效。 单击列表右上方“自协商”,在弹出的页面开启“自协商管理VLAN”并单击“应用”。 防火墙和交换机设备的所有物理接口默认开启“管理VLAN自协商”,这些接口的下行网元可通过自协商自动切换管理VLAN。 如需在特定设备某些接口上关闭该功能,请进入该设备“接口”页面选中接口,在“高级”参数中将“管理VLAN自协商”设置为“OFF”。 如果站点中交换机设备的某个Eth-Trunk口上开启“Eth-Trunk自协商”开关(缺省关闭),则对该Eth-Trunk的所有成员接口,下行直连交换机的对应物理口将自动加入Eth-Trunk0,并通过自协商的管理VLAN接入上行网络。 图4 自协商配置 修改管理VLAN。 选择设备条目,单击按钮或者单击列表右上方“修改”,阅读风险提示后单击“确定”进入修改管理VLAN页面。 以FW配置为例 ,参数说明请参见表3,单击“确定”。 配置管理VLAN属于高危操作,请谨慎操作。因为修改管理VLAN将导致设备暂时离线并重新上线,请确保配置正确,否则会导致设备脱管。 图5 修改管理VLAN 表3 管理VLAN参数表 参数 说明 自协商管理VLAN(仅防火墙和交换机) 下行网元连到当前设备时,可以通过协商机制将管理VLAN切换为该VLAN,使其能从DHCP服务器获取IP地址,从而注册到华为乾坤。 取值范围1~4094。 无线自协商管理VLAN(仅交换机) 下行无线设备连到当前设备时,可以通过协商机制将管理VLAN切换为该VLAN,使其能从DHCP服务器获取IP地址,从而注册到华为乾坤控制台。 取值范围1~4094,不能与“自协商管理VLAN”值相同。 管理VLAN(仅交换机和AP) 为当前设备指定管理VLAN,配置管理VLAN后,华为乾坤可以通过管理VLAN的VLANIF接口连接到当前设备,实现网管集中管理设备。 用户可以使用默认的管理VLAN,也可以自定义管理VLAN。 默认:默认的管理VLAN为1。 自定义:管理VLAN ID取值范围为1~4094。 上行口PVID使能(仅交换机) 接口缺省VLAN标识,即PVID,指的是二层接口上的缺省VLAN ID(每个二层接口上有且只有一个VLAN ID 作为PVID)。在接口收到流量,并且该流量不携带任何VLAN ID信息时,该接口认为这些流量属于PVID对应的VLAN。缺省情况下,所有接口的PVID均为 VLAN 1。 开启该开关后,上行口的PVID将会设置为“管理VLAN ID”中配置的VLAN ID。 如果当前设备的上行口为Access口,缺省VLAN即为该接口允许通过的VLAN,修改该接口允许通过的VLAN即为修改该接口的缺省VLAN。 如果当前设备的上行口为Trunk口,该接口允许多个VLAN通过,但只能有一个缺省VLAN,修改接口允许通过的VLAN,不会修改接口的缺省VLAN。 上行口自动放行(仅交换机) 开启该开关后, 如果当前设备的上行口为Trunk口,会自动将管理VLAN加为允许通过的VLAN。 修改或清除管理VLAN后,如果当前设备的上行口为Trunk口,上行口中已允许通过VLAN中将保留原管理VLAN。 如上行口不再需要允许通过此原有管理VLAN,可在交换机接口页面删除。 如果当前设备的上行口为Access,会自动将管理VLAN作为缺省VLAN ID。 IP获取方式(仅交换机和AP) 配置管理IP地址的获取方式。对于交换机,仅当“管理VLAN”为自定义时才支持此功能。 动态:动态获取管理IP地址。 静态:手工设置管理IP地址,需配置IP地址、掩码和网关地址等。 说明: 通过静态获取IP方式时,AP设备还需配置DNS服务。 父主题: 站点管理
  • 后续操作(可选) 已部署的实例,支持查看创建实例、删除实例、升级实例、添加组织、扩容节点、创建通道、节点加入通道等操作记录。左侧操作状态栏会展示已有操作记录的状态,操作状态类型包括:进行中、升级中、删除中、成功和失败(截图仅供参考,请以实际环境为准)。 图2 操作记录 系统将保留最近三天的操作记录。 登录 区块链 服务管理控制台,单击左侧导航栏中的“实例管理”。 单击“操作记录”,查看各个资源的操作记录。 您可以按资源名称关键词搜索操作记录,还可以在资源所在行进行“操作详情”及“删除”操作。 部署 BCS 的集群节点支持增加反亲和标签,在您需要将应用部署到区块链集群中时作区分隔离,以保证系统正常工作。 登录CCE控制台。 在“集群管理”页面,单击集群名称进入集群信息页面。 选择“节点管理”,在“节点”页签,勾选节点,单击“标签与污点管理”。 在弹出的窗口中,在“批量操作”下方单击“新增批量操作”,然后选择“添加/更新”。填写需要增加标签的键为“nodeScope”,值为“userApplication”。 单击“确定”。 标签添加成功后,再次单击“标签与污点管理”,在“节点数据”下方单击“查看”即可显示已经添加的标签。
  • 计费周期 前端监控按上报量计费,计费周期为24小时。假设您是2024/11/06 16:29:30开始使用前端监控,则计费周期如下。 第一个计费周期为:2024/11/07 01:00:00开始结算2024/11/06 16:29:30 ~ 2024/11/06 23:59:59之间的上报量。 第二个计费周期为:2024/11/08 01:00:00开始结算2024/11/07 00:00:00 ~ 2024/11/07 23:59:59之间的上报量。
  • 操作流程 盘古NLP大模型SFT任务创建流程见表1。 表1 盘古NLP大模型SFT任务创建流程 操作步骤 说明 步骤1:导入数据至盘古平台 本样例场景实现将存储在OBS的文本数据导入至盘古平台,并上线为原始数据集。 步骤2:加工文本类数据集 本样例场景帮助用户利用数据集加工算子处理原始数据集。 步骤3:标注文本类数据集 本样例场景帮助用户高效完成数据标注任务,提升标注数据的可靠性和可用性。 步骤4:评估文本类数据集 本样例场景帮助用户利用数据集评估标准评估和优化数据质量。 步骤5:发布文本类数据集 本样例场景实现将处理好的数据集发布为模型训练可用的数据集。 步骤6:训练NLP大模型 本样例场景实现NLP大模型的训练操作。 步骤7:压缩NLP大模型 本样例场景实现NLP大模型的压缩操作。压缩是指通过减少模型的参数量或计算复杂度,在尽量保持模型性能的前提下,减小其存储需求和推理时间,从而提升模型的部署效率,尤其在资源受限的环境中具有重要意义。常见的压缩方法包括剪枝、量化、知识蒸馏等。 步骤8:部署NLP大模型 本样例场景实现NLP大模型的部署操作。
  • 盘古NLP大模型能力与规格 盘古大模型平台为用户提供了多种规格的模型,以满足不同场景和需求。不同模型在处理上下文token长度和功能上有所差异,以下是当前支持的模型清单,您可以根据实际需求选择最合适的模型进行开发和应用。 表1 盘古NLP大模型规格 模型支持区域 模型名称 可处理最大Token长度 说明 西南-贵阳一 Pangu-NLP-N1-Chat-32K-20241030 32K 盘古NLP大模型,此版本是2024年10月发布的十亿级模型版本,支持8K序列长度训练,4K、32K序列长度推理。基于Snt9B3卡可单卡推理部署,此模型版本支持全量微调、LoRA微调、INT8量化、断点续训、在线推理和能力调测特性。 Pangu-NLP-N1-Chat-128K-20241030 128K 此版本是2024年10月发布的十亿级模型版本,支持128K序列长度在线推理。基于Snt9B3卡支持8卡推理部署,此模型版本仅支持预置模型版本,不支持SFT后模型版本做128K序列长度推理部署。 Pangu-NLP-N2-Base-20241030 - 此版本是2024年10月发布的百亿级模型版本,支持模型增量预训练。基于Snt9B3卡支持32卡起训,预训练后的模型版本需要通过SFT之后,才可支持推理部署。 Pangu-NLP-N2-Chat-32K-20241030 32K 此版本是2024年10月发布的百亿级模型版本,支持8K序列长度训练,4K、32K序列长度推理。基于Snt9B3卡可支持32卡起训,支持4卡推理部署,此模型版本支持全量微调、LoRA微调、INT8量化、断点续训、在线推理、能力调测、边缘部署特性。 在选择和使用盘古大模型时,了解不同模型所支持的操作行为至关重要。不同模型在预训练、微调、模型评测、在线推理和能力调测等方面的支持程度各不相同,开发者应根据自身需求选择合适的模型。以下是盘古NLP大模型支持的具体操作: 表2 盘古NLP大模型支持的能力 模型 预训练 微调 模型压缩 在线推理 能力调测 Pangu-NLP-N1-Chat-32K-20241030 - √ √ √ √ Pangu-NLP-N1-Chat-128K-20241030 - - - √ √ Pangu-NLP-N2-Base-20241030 √ - - - - Pangu-NLP-N2-Chat-32K-20241030 - √ √ √ √ 父主题: 模型能力与规格
  • 盘古科学计算大模型能力与规格 盘古大模型平台为用户提供了多种规格的模型,以满足不同场景和需求。不同模型在处理上下文token长度和功能上有所差异,以下是当前支持的模型清单,您可以根据实际需求选择最合适的模型进行开发和应用。 表1 盘古科学计算大模型规格 模型支持区域 模型名称 说明 西南-贵阳一 Pangu-AI4S-Ocean_24h-20241030 此版本在Studio上首次发布,用于海洋基础要素预测,支持在线推理、能力调测特性,可以Snt9B3部署,可支持1个推理单元部署推理。 Pangu-AI4S-Ocean_Regional_24h-20241030 此版本在Studio上首次发布,用于区域海洋基础要素预测,支持预训练、微调、在线推理、能力调测特性,基于Snt9B3支持1个训练单元训练及1个推理单元部署。 Pangu-AI4S-Ocean_Ecology_24h-20241030 此版本在Studio上首次发布,用于海洋生态要素预测,支持在线推理、能力调测特性,基于Snt9B3部署,可支持1个推理单元部署推理。 Pangu-AI4S-Ocean_Swell_24h-20241030 此版本在Studio上首次发布,用于海浪预测,支持在线推理、能力调测特性,基于Snt9B3部署,可支持1个推理单元部署推理。 Pangu-AI4S-Weather_Precip-20241030 此版本在Studio上首次发布,用于降水预测,支持在线推理、能力调测特性,基于Snt9B3部署,支持1个推理单元部署推理。 Pangu-AI4S-Weather_1h-20241030 此版本在Studio上首次发布,用于天气基础要素预测,时间分辨率为1小时,支持预训练、微调、在线推理、能力调测特性,基于Snt9B33,支持1个训练单元训练及1个推理单元部署。 Pangu-AI4S-Weather_3h-20241030 此版本在Studio上首次发布,用于天气基础要素预测,时间分辨率为3小时,支持预训练、微调、在线推理、能力调测特性,基于Snt9B3,支持1个训练单元训练及1个推理单元部署。 Pangu-AI4S-Weather_6h-20241030 此版本在Studio上首次发布,用于天气基础要素预测,时间分辨率为6小时,支持预训练、微调、在线推理、能力调测特性,基于Snt9B3,支持1个训练单元训练及1个推理单元部署。 Pangu-AI4S-Weather_24h-20241030 此版本在Studio上首次发布,用于天气基础要素预测,时间分辨率为24小时,支持预训练、微调、在线推理、能力调测特性,基于Snt9B3,支持1个训练单元训练及1个推理单元部署。 在选择和使用盘古大模型时,了解不同模型所支持的操作行为至关重要。不同模型在预训练、微调、模型评测、模型压缩、在线推理和能力调测等方面的支持程度各不相同,开发者应根据自身需求选择合适的模型。以下是盘古科学计算大模型支持的具体操作: 表2 盘古科学计算大模型支持的操作 模型 预训练 微调 模型压缩 在线推理 能力调测 Pangu-AI4S-Ocean_24h-20241030 - - - √ √ Pangu-AI4S-Ocean_Regional_24h-20241030 √ √ - √ √ Pangu-AI4S-Ocean_Ecology_24h-20241030 - - - √ √ Pangu-AI4S-Ocean_Swell_24h-20241030 - - - √ √ Pangu-AI4S-Weather_Precip-20241030 - - - √ √ Pangu-AI4S-Weather_1h-20241030 √ √ - √ √ Pangu-AI4S-Weather_3h-20241030 √ √ - √ √ Pangu-AI4S-Weather_6h-20241030 √ √ - √ √ Pangu-AI4S-Weather_24h-20241030 √ √ - √ √ 父主题: 模型能力与规格
  • API流控 数字内容生产线服务对服务端API设置了调用次数限制,避免出现短时间内重复调用API,服务中断的情况。 表1 API流控限制 接口分类 接口名称 单租户接口流控 (华北-北京四) 单租户接口流控 (华东-上海一) 单租户接口流控 (亚太-新加坡) 数字资产管理 创建资产 10次/秒 5次/秒 5次/秒 查询资产列表 20次/秒 10次/秒 10次/秒 更新资产 10次/秒 5次/秒 5次/秒 删除资产 10次/秒 5次/秒 5次/秒 查询资产详情 20次/秒 10次/秒 10次/秒 恢复被删除的资产 10次/秒 5次/秒 5次/秒 批量资产操作 1次/秒 1次/秒 1次/秒 查询资产概要 20次/秒 10次/秒 10次/秒 查询资产复制信息 20次/秒 10次/秒 10次/秒 复制资产 4次/秒 3次/秒 3次/秒 文件管理 创建文件并获取上传URL 10次/秒 5次/秒 5次/秒 删除文件 10次/秒 5次/秒 5次/秒 确认文件已上传 10次/秒 5次/秒 5次/秒 创建大文件 10次/秒 5次/秒 5次/秒 视频制作剧本管理 创建视频制作剧本 10次/秒 5次/秒 5次/秒 查询视频制作剧本列表 20次/秒 10次/秒 10次/秒 查询视频制作剧本详情 20次/秒 10次/秒 10次/秒 更新视频制作剧本 10次/秒 5次/秒 5次/秒 删除视频制作剧本 10次/秒 5次/秒 5次/秒 复制视频制作剧本 10次/秒 5次/秒 5次/秒 数字人视频制作管理 查询视频制作任务列表 20次/秒 10次/秒 10次/秒 分身数字人视频制作管理 创建分身数字人视频制作任务 5次/秒 3次/秒 3次/秒 查询分身数字人视频制作任务详情 20次/秒 10次/秒 10次/秒 取消等待中的分身数字人视频制作任务 5次/秒 3次/秒 3次/秒 数字人名片制作管理 创建数字人名片制作 5次/秒 3次/秒 3次/秒 查询数字人名片制作任务列表 20次/秒 10次/秒 10次/秒 查询数字人名片制作任务详情 20次/秒 10次/秒 10次/秒 更新数字人名片制作 5次/秒 3次/秒 3次/秒 删除数字人名片制作任务 5次/秒 3次/秒 3次/秒 照片数字人视频制作管理 创建照片分身数字人视频制作任务 5次/秒 3次/秒 3次/秒 查询照片分身数字人视频制作任务详情 20次/秒 10次/秒 10次/秒 取消等待中的照片分身数字人视频制作任务 5次/秒 3次/秒 3次/秒 创建照片检测任务 5次/秒 3次/秒 3次/秒 查询照片检测任务详情 20次/秒 10次/秒 10次/秒 智能直播间管理 创建智能直播间 5次/秒 3次/秒 3次/秒 查询智能直播间列表 20次/秒 10次/秒 10次/秒 查询智能直播剧本详情 20次/秒 10次/秒 10次/秒 更新智能直播间信息 5次/秒 3次/秒 3次/秒 删除智能直播间 4次/秒 3次/秒 3次/秒 创建智能直播间互动规则库 4次/秒 3次/秒 3次/秒 查询智能直播间互动规则库列表 20次/秒 10次/秒 10次/秒 更新智能直播间互动规则库 4次/秒 3次/秒 3次/秒 删除智能直播间互动规则库 4次/秒 3次/秒 3次/秒 直播任务管理 启动数字人智能直播任务 4次/秒 3次/秒 3次/秒 查询某个智能直播间下直播任务列表 20次/秒 10次/秒 10次/秒 查询数字人智能直播任务详情 20次/秒 10次/秒 10次/秒 结束数字人智能直播任务 4次/秒 3次/秒 3次/秒 控制数字人直播过程 4次/秒 3次/秒 3次/秒 查询租户所有数字人直播任务列表 10次/秒 5次/秒 5次/秒 上报直播间事件 4次/秒 3次/秒 3次/秒 直播商品管理 创建商品 4次/秒 3次/秒 3次/秒 查询商品列表 20次/秒 10次/秒 10次/秒 更新商品 4次/秒 3次/秒 3次/秒 查询商品详情 20次/秒 10次/秒 10次/秒 删除商品 4次/秒 3次/秒 3次/秒 商品资产组合配置 4次/秒 3次/秒 3次/秒 智能交互数字人对话管理 创建智能交互对话 5次/秒 3次/秒 - 查询智能交互对话列表 20次/秒 10次/秒 10次/秒 查询智能交互对话详情 20次/秒 10次/秒 10次/秒 更新智能交互对话信息 5次/秒 3次/秒 - 删除智能交互对话 5次/秒 3次/秒 - 智能交互数字人对话任务管理 创建对话链接 5次/秒 3次/秒 - 启动数字人智能交互任务 5次/秒 3次/秒 - 结束数字人智能交互任务 5次/秒 3次/秒 - 查询数字人智能交互任务 20次/秒 10次/秒 10次/秒 智能交互数字人应用管理 创建应用 5次/秒 3次/秒 - 查询应用列表 20次/秒 10次/秒 10次/秒 查询应用详情 20次/秒 10次/秒 10次/秒 修改应用 5次/秒 10次/秒 - 删除应用 5次/秒 3次/秒 - 智能交互数字人鉴权码管理 创建一次性鉴权码 20次/秒 10次/秒 - 智能交互数字人激活码管理 创建激活码 5次/秒 3次/秒 - 查询激活码列表 20次/秒 10次/秒 10次/秒 查询激活码详情 20次/秒 10次/秒 10次/秒 修改激活码 5次/秒 3次/秒 - 重置激活码 5次/秒 3次/秒 - 删除激活码 5次/秒 3次/秒 - 智能交互数字人知识库技能管理 创建知识库技能 4次/秒 3次/秒 3次/秒 查询知识库技能列表 20次/秒 10次/秒 10次/秒 修改知识库技能 4次/秒 3次/秒 3次/秒 查询知识库技能详情 20次/秒 10次/秒 10次/秒 删除知识库技能 4次/秒 3次/秒 3次/秒 导出知识库技能 1次/秒 1次/秒 1次/秒 智能交互数字人知识库意图管理 创建知识库意图 4次/秒 3次/秒 3次/秒 查询知识库意图列表 20次/秒 10次/秒 10次/秒 查询知识库意图详情 20次/秒 10次/秒 10次/秒 修改知识库意图 4次/秒 3次/秒 3次/秒 删除知识库意图 4次/秒 3次/秒 3次/秒 创建知识库意图和问法 4次/秒 3次/秒 3次/秒 智能交互数字人知识库问法管理 创建知识库问法 4次/秒 3次/秒 3次/秒 查询知识库问法列表 20次/秒 10次/秒 10次/秒 查询知识库问法详情 20次/秒 10次/秒 10次/秒 修改知识库问法 4次/秒 3次/秒 3次/秒 删除知识库问法 4次/秒 3次/秒 3次/秒 批量创建知识库问法 1次/秒 1次/秒 1次/秒 批量修改知识库问法 1次/秒 1次/秒 1次/秒 智能交互数字人欢迎词管理 创建欢迎词 4次/秒 3次/秒 3次/秒 查询欢迎词列表 20次/秒 10次/秒 10次/秒 查询欢迎词详情 20次/秒 10次/秒 10次/秒 修改欢迎词 4次/秒 3次/秒 3次/秒 删除欢迎词 4次/秒 3次/秒 3次/秒 修改欢迎词功能开关 4次/秒 3次/秒 3次/秒 查询欢迎词功能开关 20次/秒 10次/秒 10次/秒 智能交互数字人热点问题管理 创建热点问题 4次/秒 3次/秒 3次/秒 查询热点问题列表 20次/秒 10次/秒 10次/秒 查询热点问题详情 20次/秒 10次/秒 10次/秒 修改热点问题 4次/秒 3次/秒 3次/秒 删除热点问题 4次/秒 3次/秒 3次/秒 智能交互数字人热词记录管理 创建热词记录 4次/秒 3次/秒 3次/秒 查询热词记录列表 20次/秒 10次/秒 10次/秒 查询配置热词记录详情 20次/秒 10次/秒 10次/秒 修改热词记录 4次/秒 3次/秒 3次/秒 删除热词记录 4次/秒 3次/秒 3次/秒 修改热词功能开关 4次/秒 3次/秒 3次/秒 查询热词功能开关 20次/秒 10次/秒 10次/秒 智能交互数字人委托管理 查询委托 20次/秒 10次/秒 10次/秒 创建委托 1次/秒 1次/秒 - 删除委托 1次/秒 1次/秒 - 分身形象制作管理 创建分身数字人模型训练任务 10次/秒 3次/秒 3次/秒 查询分身数字人模型训练任务列表 20次/秒 10次/秒 10次/秒 查询分身数字人模型训练任务详情 20次/秒 10次/秒 10次/秒 删除分身数字人模型训练任务 10次/秒 3次/秒 3次/秒 更新分身数字人模型训练任务 10次/秒 3次/秒 3次/秒 租户执行分身数字人模型训练任务命令 10次/秒 3次/秒 3次/秒 声音制作任务管理 查询用户配置的个性化音频时长 20次/秒 10次/秒 10次/秒 创建基础版语音训练任务 10次/秒 3次/秒 3次/秒 创建进阶版语音训练任务 10次/秒 3次/秒 3次/秒 创建高级版语音训练任务 10次/秒 3次/秒 3次/秒 查询语音训练任务列表 20次/秒 10次/秒 10次/秒 提交语音训练任务 10次/秒 3次/秒 3次/秒 查询语音训练任务详情 20次/秒 10次/秒 10次/秒 删除语音训练任务 10次/秒 3次/秒 3次/秒 查询任务操作日志 20次/秒 10次/秒 10次/秒 获取语音文件上传地址 20次/秒 10次/秒 10次/秒 获取语音训练任务审核结果 20次/秒 10次/秒 10次/秒 设置任务批次 10次/秒 3次/秒 3次/秒 确认在线录音结果 10次/秒 3次/秒 3次/秒 获取在线录音确认结果 20次/秒 10次/秒 10次/秒 语音合成 管理 创建 TTS 试听任务 5次/秒 3次/秒 3次/秒 获取TTS试听文件 20次/秒 10次/秒 10次/秒 创建TTS语音异步任务 5次/秒 3次/秒 3次/秒 获取音频语音文件 20次/秒 10次/秒 10次/秒 3D数字人风格管理 查询数字人风格列表 20次/秒 10次/秒 - 3D数字人风格化照片建模 创建照片建模任务 2次/秒 2次/秒 - 照片建模任务列表查询 20次/秒 10次/秒 - 照片建模任务详情查询 20次/秒 10次/秒 - 基于图片URL创建照片建模任务 2次/秒 2次/秒 - 3D数字人语音驱动 创建语音驱动任务 2次/秒 2次/秒 - 获取语音驱动任务列表 20次/秒 10次/秒 - 创建语音驱动表情动画任务 2次/秒 2次/秒 - 获取语音驱动表情数据 20次/秒 10次/秒 - 获取语音驱动数据 20次/秒 10次/秒 - 3D数字人视频驱动 创建视频驱动任务 2次/秒 2次/秒 - 查询视频驱动任务列表 20次/秒 10次/秒 - 查询视频驱动任务详情 20次/秒 10次/秒 - 停止视频驱动任务 2次/秒 2次/秒 - 控制数字人驱动 2次/秒 2次/秒 - 表2 API流控限制 接口分类 接口名称 单租户接口流控 系统流控 租户管理 查看租户资源用量信息 10次/秒 20次/秒 查看租户资源列表 10次/秒 20次/秒 统计时间段内资源数量 10次/秒 20次/秒
  • 审计 云堡垒机 系统用户个人数据的所有操作,包括增加、修改、查询和删除,云 堡垒机 系统都会记录审计日志,并可备份到远程服务器或本地电脑。拥有审计权限用户可以查看并管理下级管理部门用户账号的日志,系统管理员Admin拥有系统最高权限,可查看并管理登录系统全部用户账号操作记录。 基于用户身份系统唯一标识,从用户登录系统开始,全程记录用户在系统的操作行为,监控和审计用户对目标资源的所有操作,实现对安全事件的实时发现与预警: 表1 云堡垒机审计功能特性 功能特性 功能详情 系统行为审计 系统操作行为全纪录,针对操作失误、恶意操作、越权操作等行为告警通知。 系统登录日志 详细记录登录系统的方式、登录用户、用户来源IP、登录时间等信息。支持一键导出全部系统登录日志。 系统操作日志 系统操作行为全程记录,覆盖所有系统操作事件。支持一键导出全部系统操作日志。 系统报表 集中可视化呈现用户在系统的操作统计信息,包括用户启用状态、用户与资源创建、用户登录方式、异常登录、会话控制等信息。 支持一键导出系统报表,并可定周期以邮件方式自动推送系统报表。 告警通知 通过配置系统告警,针对系统操作和系统环境制定不同告警方式和告警级别,以邮件方式和系统消息方式推送告警通知,以便及时发现系统异常和用户异常操作。 资源运维审计 全程记录用户的运维操作,支持多种运维审计技术和审计形式,可随时审计用户操作行为,识别运维风险,为安全事件追溯和分析提供依据。 运维审计技术 Linux命令审计 基于字符协议(SSH、TELNET)的命令操作审计,记录命令运维全程,支持解析字符操作命令,还原操作指令,根据输入、输出结果关键字搜索快速定位回放。 Windows操作审计 基于图形协议(RDP、VNC)终端和应用发布的行为操作审计,远程桌面的操作全纪录,包括键盘操作、功能键操作、鼠标操作、窗口指令、窗口切换、剪切板拷贝等。 数据库命令审计 基于数据库协议(DB2、MySQL、Oracle、SQL Server)的命令操作审计,记录从SSO单点登录数据库到数据库命令操作全程,支持解析数据库操作指令,100%还原操作指令。 文件传输审计 基于远程桌面的文件传输操作审计,以及基于文件传输协议(FTP、SFTP、SCP)的传输操作审计,对Web浏览器或客户端文件传输全程审计,记录传输的文件名称和目标路径。 运维审计形式 实时监控 实时查看正在进行的运维会话,支持监控和中断实时会话。 历史日志 运维操作全程记录,详细记录历史运维会话信息,支持一键导出历史会话日志。 会话视频 支持对Linux命令审计、Windows操作审计全程录像记录,回放录像视频。 支持生成视频文件,一键下载会话视频。 运维报表 集中可视化呈现运维统计信息,包括运维时间分布、资源访问次数、会话时长、双人授权、命令拦截、字符数命令、传输文件数等信息。 支持一键导出运维报表,并可定周期以邮件方式自动推送系统报表。 日志备份 通过配置日志备份,可将历史会话日志远程备份至Syslog服务器、FTP/SFTP服务器、OBS桶,实现系统日志容灾备份。
  • 数据保护技术 云堡垒机实例不直接采集用户个人数据。实例创建成功后,登录云堡垒机系统需创建用户账号,创建登录系统用户账号涉及个人数据采集。 为了确保您的个人数据(例如云堡垒机系统登录名、密码、手机号码等)不被未经过认证、授权的实体或者个人获取,云堡垒机通过加密传输、加密存储个人数据、控制个人数据访问权限以及记录操作日志等方法防止个人数据泄露,保证您的个人数据安全。 收集范围: 云堡垒机收集及产生的个人数据如下表所示: 服务 类型 收集方式 是否可修改 是否必须 云堡垒机实例 登录名 在创建用户账号时由系统管理员配置登录名 否 是 登录名是用户的身份标识信息 密码 在管理员创建用户、重置用户密码时配置密码 在用户登录系统前重置密码、登录系统后修改密码时输入密码 是 是 用户登录云堡垒机系统时使用 邮箱 在管理员创建用户时配置邮箱 在用户登录系统后修改邮箱时输入邮箱 是 是 接收系统邮件通知 手机号 在管理员创建用户时配置手机号 在用户登录系统后修改手机时输入手机号 是 是 接收系统手机短息通知 在忘记密码时通过手机验证码重置密码 传输方式: CBH支持HTTP和HTTPS两种传输协议,为保证数据传输的安全性,推荐您使用更加安全的HTTPS协议。 存储方式: 云堡垒机通过安全的加密算法对用户个人敏感 数据加密 后进行存储。 登录名:不属于敏感数据,明文存储 密码、邮箱、手机:加密存储 访问权限控制: 云堡垒机系统用户个人数据通过加密存储,系统管理员及上级管理员需通过安全码才能查看用户的手机、邮箱。但用户密码对所有人(包括本人)都不明文可见。 二次认证: 云堡垒机系统用户账号配置用户登录限制“多因子认证”后,用户在登录系统时开启登录验证功能,需要二次认证(二次认证方式支持“手机短信”、“手机令牌”、“USBKey”、“动态令牌”),有效保护用户敏感信息。 父主题: 安全
  • 身份认证 用户访问CBH实例的方式有Web Console和SSH两种方式,其中,Web Console可以对堡垒机实例进行相关的资源配置和命令下发等完整功能,而SSH只能对堡垒机纳管的实例进行运维操作。 用户登录Web Console和SSH使用的账号和口令均为创建堡垒机时设置的账号和口令,此外,Web Console同样支持手机短信、手机令牌、USBKey、动态令牌的方式进行登录。详细登录步骤请参见云堡垒机系统登录方式。
  • 访问控制 CBH支持安全组、 Web应用防火墙 、ACL、VPC对堡垒机实例的访问进行权限控制。 表1 CBH支持的访问控制方式 访问控制方式 简要说明 详细介绍 权限控制 VPC 虚拟私有云(Virtual Private Cloud)是用户在华为云上申请的隔离的、私密的虚拟网络环境。用户可以基于VPC构建独立的云上网络空间,配合弹性公网IP、云连接、云专线等服务实现与Internet、云内私网、跨云私网互通,帮助打造可靠、稳定、高效的专属云上网络 VPC介绍 安全组 安全组是一个逻辑上的分组,为同一个VPC内具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当实例加入该安全组后,即受到这些访问规则的保护。 安全组介绍 Web应用防火墙 华为云Web应用防火墙WAF对网站业务流量进行多维度监测和防护,结合深度机器学习智能识别恶意请求特征和防御未知威胁,全面避免网站被黑客恶意攻击和入侵。 WAF介绍
  • 资产识别与管理 CBH服务已对接 RMS 服务,在华为云控制台右上角单击资源-我的资源便可查看用户所拥有的资源,例如弹性云服务器(E CS )、虚拟私有云(VPC)、 对象存储服务 (OBS)以及云堡垒机服务(CBH)等服务,通过RMS,可以查看各资源的详情,例如ECS的状态、规格等等。 云堡垒机支持添加SSH、RDP、VNC、TELNET、FTP、SFTP、DB2、MySQL、SQL Server、Oracle、SCP、Rlogin等协议类型的主机资源,包括Linux主机、Windows主机和数据库等,支持通过单个添加和批量导入的方式添加主机资源。此外,CBH支持纳管用户的应用服务器,支持添加Chrome、Edge、Firefox、SecBrowser、Oracle Tool 、MySQL、SQL Server Tool、dbisql、VNC Client、VSphere Client、Radmin等应用。 推荐的安全配置:在操作CBH服务前,请仔细阅读安全声明,避免出现网络安全事件。 父主题: 安全
  • 责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击,华为云在遵从法律法规业界标准的基础上,以安全生态圈为护城河,依托华为独有的软硬件优势,构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任,如图1所示。 华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身,也包括运维运营安全,以及更广义的安全合规遵从。 租户:负责云服务内部的安全,安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统,虚拟防火墙、API网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施,包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题: 安全
  • 支持使用的第三方客户端 云堡垒机需通过第三方客户端登录CBH系统,以及调用第三方客户端,实现安全运维管理。 表4 登录CBH支持的客户端及版本 登录方式 支持使用的客户端 版本 Web浏览器登录 Edge 44及以上版本 说明: Edge浏览器上传大文件限制:文件上传到主机,支持单个文件最大4G。 Chrome 52.0及以上版本 Safari 10及以上版本 Firefox 50.0及以上版本 SSH客户端登录 SecureCRT 8.0及以上版本 Xshell 5及以上版本 Mac Terminal 2.0及以上版本 表5 运维过程支持调用的客户端 运维方式 资源协议类型/应用类型 支持调用的客户端 数据库运维 (主机运维方式) MySQL Navicat 11、12、15、16 MySQL Administrator 1.2.17 MySQL CMD DBeaver22、23 SQL Server Navicat 11、12、15、16 S SMS 17 Oracle Toad for Oracle 11.0、12.1、12.8、13.2 Navicat 11、12、15、16 PL/SQL Developer 11.0.5.1790 DBeaver22、23 DB2 DB2 CMD命令行 11.1.0 文件传输运维 SFTP Xftp、WinSCP、FlashFXP FTP Xftp、WinSCP、FlashFXP、FileZilla 应用发布运维 MySQL Tool MySQL Administrator Oracle Tool PL/SQL Developer SQL Server Tool SSMS dbisql dbisql Chrome Chrome Edge Edge Firefox Firefox VNC Client VNC Viewer SecBrowser SecBrowser VSphere Client VSphere Client Radmin Radmin
  • 支持管理的资源 您购买的非华为云或者云下服务器,只要与华为云云堡垒机网络互通并且协议互相支持,就可以通过云堡垒机纳管相应服务器。 支持的主机类型 支持SSH、RDP、VNC、TELNET、FTP、SFTP、SCP、Rlogin协议类型的Windows或Linux主机。 支持的数据库类别 关系型数据库(Relational Database Service,RDS)。 弹性云服务器(Elastic Cloud Server ,ECS)的自建数据库。 支持的数据库类型及版本 表2 支持的数据库引擎及版本 数据库引擎 引擎版本 MySQL 5.5,5.6,5.7,8.0 Microsoft SQL Server 2014、2016、2017、2019、2022 Oracle 10g、11g、12c、19c、21c DB2 DB2 Express-C PostgreSQL 11、12、13、14、15 GaussDB 2、3 支持应用管理的服务器类型及版本 仅支持对Windows服务器和Linux上的应用进行管理 ,且支持的服务器系统版本如表3。 表3 支持的应用服务器类型及版本 系统类型 系统版本 Windows Windows Server 2008 R2及以上版本 Linux CentOS7.9 目前仅X86版本云堡垒机支持应用运维,Arm版本云堡垒机不支持应用运维。
  • 网络访问限制 不支持跨区域(Region)直接使用。 云堡垒机实例与系统资源(系统内管理的弹性云服务器、云数据库等)必须在同一区域内。 虽跨区域跨VPC可通过云连接(Cloud Connect,CC)、虚拟专用网(Virtual Private Network,VPN)等构建跨区域网络,但受限于网络的不稳定性,不建议跨区域使用云堡垒机纳管资源。 不支持跨VPC直接使用。 云堡垒机实例与系统资源必须在同一个VPC的子网内,才能直接连接访问。 跨VPC情况下,可通过对等连接打通两个VPC之间网络。 云堡垒机实例与系统资源的安全组,必须允许相互访问。 系统资源必须处于实例所属安全组允许访问的范围内,且资源所属安全组必须允许实例私有IP访问。 如果实例与系统资源处于不同的安全组,系统默认不能访问。需要在实例的安全组添加“入”的访问规则。 实例的安全组默认端口有443和2222,默认支持Web浏览器和SSH客户端访问。若需其他访问方式,需用户手动添加目标端口。 具体端口限制详见表1。 只允许通过IP地址和端口访问CBH系统。 表1 入/出方向规则配置参考 场景描述 方向 协议/应用 端口 通过Web浏览器登录堡垒机(HTTP、HTTPS) 入方向 TCP 80、443、8080 通过MSTSC客户端登录堡垒机 入方向 TCP 53389 通过SSH客户端登录堡垒机 入方向 TCP 2222 通过FTP客户端登录堡垒机 入方向 TCP 20~21 通过堡垒机的SSH协议远程访问Linux云服务器 出方向 TCP 22 通过堡垒机的RDP协议远程访问Windows云服务器 出方向 TCP 3389 通过堡垒机访问Oracle数据库 入方向 TCP 1521 通过堡垒机访问Oracle数据库 出方向 TCP 1521 通过堡垒机访问MySQL数据库 入方向 TCP 33306 通过堡垒机访问MySQL数据库 出方向 TCP 3306 通过堡垒机访问SQL Server数据库 入方向 TCP 1433 通过堡垒机访问SQL Server数据库 出方向 TCP 1433 通过堡垒机访问DB数据库 入方向 TCP 50000 通过堡垒机访问DB数据库 出方向 TCP 50000 通过堡垒机访问 GaussDB数据库 入方向 TCP 18000 通过堡垒机访问GaussDB数据库 出方向 TCP 18000 License注册许可服务器 出方向 TCP 9443 华为云服务 出方向 TCP 443 同一安全组内通过SSH客户端登录堡垒机 出方向 TCP 2222 短信服务 出方向 TCP 10743、443 DNS域名解析 出方向 UDP 53 通过堡垒机访问PGSQL数据库 入方向 TCP 15432 通过堡垒机访问PGSQL数据库 出方向 TCP 5432
  • 功能详情及版本差异 标准版和专业版的基础功能均支持身份认证、权限控制、账户管理、操作审计,主要功能差异为自动化运维、数据库运维审计两个增强功能。 详细版本功能差异,请参见表2 不同版本功能差异说明。 表2 功能详情及版本差异 功能模块 功能项 功能描述 标准版 专业版 个人中心 账户基本信息 查看当前登录用户的详细信息,同时支持对姓名、手机、邮箱以及密码的修改操作。 √ √ 手机令牌 提供手机令牌绑定和生成动态密码的指导。 √ √ SSH公钥管理 查看所有公钥信息,可添加并管理SSH公钥。 √ √ 权限管理 查看当前用户所拥有的权限。 √ √ 操作日志 当前登录用户的登录、操作以及资源登录的所有操作记录。 √ √ 系统基本信息 系统桌面 按照不同维度呈现了堡垒机的运行情况,包括会话、工单、登录情况、运维情况、主机类型、应用类型、系统状态等多维度的数据图表统计。 √ √ 下载中心 提供部分远端登录工具和本地播放工具的下载。 √ √ 消息中心 配置告警后,触发告警后会生成告警信息。 √ √ 系统基本信息 呈现系统的ID、凭证、版本、发行日期等信息,支持凭证、HA Key的更新,服务码的获取。 √ √ 认证管理 账户多因子登录认证 登录堡垒机支持账户密码、手机令牌、手机短信、USBKey、动态令牌的方式。 账户密码:申请堡垒机时生成的账户和密码,首次登录堡垒机只能使用该方式登录。 手机令牌:在堡垒机配置手机号码后,在移动端或小程序注册后使用生成的动态密码进行登录。 手机短信:在堡垒机配置手机号码后,登录时可使用随机验证码进行登录。 USBKey:需提前获取到正确的USBKey及密令,在堡垒机配置关联账户后可使用该方式登录。 动态令牌:需提前获取到正确的令牌和密钥,在堡垒机配置关联账户后可使用该方式登录。 √ √ 账户远程认证配置 可通过远程认证,将局域的账户与堡垒机进行对接,在堡垒机实现对局域账户的统一管理。 支持AD域、RADIUS、LDAP、Azure AD、SAML远程认证。 √ √ 系统账户 用户管理 对登录堡垒机的账户进行管理,包括账户的创建、导入、导出、删除、用户组配置以及对账户登录限制的管理。 √ √ 用户组管理 将用户进行分组管理,通过对用户组授权实现对用户的批量授权,支持新建、删除、修改编辑用户组信息。 √ √ 角色管理 将用户关联角色,赋予用户对应角色的操作访问权限,包含部门管理员、策略管理员、审计管理员、运维员,但仅admin账户可自定义新增角色和修改角色所属权限。 √ √ 资源账户管理 资源账户在堡垒机实例中用来登录资源进行运维,一个资源可以创建多个资源账户,资源账户的账户和密码须与资源的原账户密码保持一致,否则可能登录资源失败,无法在堡垒机运维。 √ √ 资源账户组管理 将资源账户进行分组管理,通过对账户组授权实现对资源账户的批量授权、批量验证,支持新建、删除、维护账户组资源以及账户组信息管理。 √ √ 系统资源 主机资源管理 通过新建、自动发现、导入或克隆实现对主机资源的纳管,纳管后可对主机资源所有信息进行查看,实现对资源的运维。 √ √ 应用资源管理 先创建应用服务器后,再通过文件导入、新建实现对应用资源的纳管,纳管后可对应用资源所有信息进行查看,以实现对资源的运维。 √ √ 云服务资源管理 先创建Kubernetes服务器后,再通过新建实现对容器节点资源的纳管,纳管后可对容器资源所有信息进行查看,以实现对资源的运维。 × √ 资源系统类型管理 系统类型可通过标签形式区分被纳管的资源,实现对资源的管理,同时可用于服务器改密,存放改密参数,执行改密策略时,会以系统类型执行脚本。 √ √ 系统策略 访问控制策略 用于控制用户或用户组访问资源的权限,将用户或用户组与策略绑定,用户或用户组就受限于策略的约束限制,包括传输、文件管理、登录时间段限制等,同时也可绑定资源账户。 √ √ 命令控制策略 用于控制用户或用户组执行命令或命令集的机制,将指定命令或命令集按照预设的执行机制绑定用户或用户组,用户在执行策略内的命令时将直接触发绑定的策略机制,同时也可绑定资源账户。 支持自定义命令集。 √ √ 数据库控制策略 用于控制用户或用户组执行规则或规则集的机制,将指定规则或规则集按照预设的执行机制绑定用户或用户组,用户在执行策略内的规则或规则集时将直接触发绑定的策略机制,同时也可绑定资源账户。 支持自定义规则集。 × √ 改密策略 用于为服务器资源的改密预设改密机制,通过将资源账户与策略绑定,在执行改密时,将为资源账户绑定的所有资源执行改密策略机制。 √ √ 账户同步策略 用于相对于主机资源账户信息的拉取或推送预设执行机制,通过将资源账户与策略绑定,在执行资源账户同步时,将为资源账户绑定的所有资源执行策略的机制。 × √ 资源运维 主机资源运维 可通过浏览器、客户端登录主机资源,进行协同分享、文件传输、文件管理和预制命令的运维操作。 √ √ 应用资源维护 仅支持通过浏览器登录应用资源,进行协同分享、文件传输和文件管理的运维操作。 √ √ 云服务资源运维 仅支持通过浏览器登录容器资源,进行协同分享的运维操作。 × √ 运维脚本管理 在堡垒机导入和编辑需要执行的脚本,完成一些复杂或重复性的任务,提升运维效率。 × √ 快速运维 在堡垒机直接执行预设的命令、脚本以及文件传输、执行日志操作可实现对资源快速运维。 × √ 运维任务管理 可按照手动、定时、定期的执行方式自定义命令、脚本、文件传输的运维任务,同时可对所有操作进行记录。 × √ 系统审计 实时会话审计 针对当前正在运行中的所有会话进行记录,可查看目标会话所对应的资源、类型、账户、来源IP等信息。 √ √ 历史会话审计 针对已关闭的所有历史会话进行记录,可查看目标会话所对应的资源、类型、账户、来源IP等信息。 √ √ 系统日志审计 对堡垒机系统的登录和操作进行详细记录,包括时间、账户、来源IP、涉及模块及操作详情。 √ √ 运维报表审计 对运维操作的时间、资源访问次数、会话时长、来源IP访问情况、会话协同、双人授权、命令拦截、字符命令数、传输文件数按照时间、用户、资源的维度进行全量统计。 √ √ 系统报表审计 对用户的系统操作控制、资源操作、源IP、登录方式、异常登录、会话、状态维度分别进行数据统计。 √ √ 系统工单 访问授权工单管理 无权限访问目标资源时,可通过工单申请绑定资源账户在固定运维时间周期内对目标资源进行文件传输、管理、键盘审计等操作权限。 √ √ 命令控制工单管理 无权限执行命令运维资源时,可通过工单申请绑定资源账户在固定运维时间周期内执行预设的命令。 √ √ 数据库授权工单管理 无权限执行数据库资源操作时,可通过工单申请绑定资源账户在固定运维时间周期内对目标数据库执行预设的指定命令。 × √ 工单审批管理 呈现所有发起的工单信息,并在该页面执行工单的审批操作。 √ √ 工单配置 可对工单的申请范围、提交方式、生效时间以及审批流程进行自定义设置。 √ √ 系统配置 安全配置 对密码错误次数、僵尸用户、密码修改周期、登录超时、证书、代理安全层、手机令牌信息、USBKey信息、国密、巡检、到期提醒、会话限制等进行配置。 √ √ 网络配置 可查看堡垒机的网络接口列表、DNS以及默认网关详情,可对静态路由进行配置操作。 √ √ HA配置 如果堡垒机为主备实例,可通过HA设置启用或禁用的状态。 √ √ 端口配置 呈现运维和控制台的端口默认信息,如有自定义需求可进行修改,通常不建议修改。 √ √ 外发配置 可配置不同的外发方式,包括邮件、短信和LTS方式,邮件和短信配置后可推送告警信息,LTS在安装Agent后可将堡垒机日志发送至服务器。 √ √ 告警配置 支持对不同维度的消息类型的告警方式、告警等级的配置,包括登录情况、用户的操作、资源操作事件、运维操作等。 √ √ 系统风格管理 支持对堡垒机默认的图标和logo进行自定义修改。 √ √ 堡垒机维护 数据存储维护 可查看系统和数据磁盘的使用情况,可对网盘空间进行修改,可自定义日志的保存周期,进行自动或手动删除。 √ √ 日志备份维护 可自定义配置将日志备份至本地、syslog服务器、FTP/SFTP服务器或OBS服务器。 √ √ 系统维护 可查看系统当前的运行状态,对系统地址、时间等信息进行自定义设置,可操作系统备份及还原,查看授权许可信息,以及网络和系统的诊断操作。 √ √
  • 规格差异 云堡垒机支持10、20、50、100、200、500、1000、2000、5000、10000资产规格配置,不同规格云堡垒机配置差异,请参见表1 不同规格配置说明。 表1 不同规格配置说明 资产数 最大并发数 CPU 内存 系统盘 数据盘 10 10 4核 8GB 100GB 200GB 20 20 4核 8GB 100GB 200GB 50 50 4核 8GB 100GB 500GB 100 100 4核 8GB 100GB 1000GB 200 200 4核 8GB 100GB 1000GB 500 500 8核 16GB 100GB 2000GB 1000 1000 8核 16GB 100GB 2000GB 2000 1500 8核 16GB 100GB 2000GB 5000 2000 16核 32GB 100GB 3000GB 10000 2000 16核 32GB 100GB 4000GB 表 不同规格配置说明中的“并发数”是基于字符协议客户端运维(如SSH客户端、MySQL客户端)的并发数,基于图形协议运维(如H5 Web运维、RDP客户端运维)的并发数只有该值的1/3。
  • 第三方软件 云堡垒机使用了以下第三方软件: 云堡垒机系统Web浏览器登录方式,建议使用浏览器和版本请参见表1。 表1 建议使用浏览器及版本 浏览器 版本 说明 Edge 44及以上版本 上传大文件限制:H5运维界面,文件上传到主机,支持单个文件最大4G。 Chrome 52.0及以上版本 - Safari 10及以上版本 - Firefox 50.0及以上版本 - 软件下载方式包含: 管理员用户账号成功登录云堡垒机系统后,单击桌面右上角“下载中心”, 单击相应软件下载。 运维用户账号成功登录云堡垒机系统后,单击桌面右上角“下载中心”, 单击相应软件下载。
  • 收集范围 云堡垒机收集及产生的个人数据如表1所示: 表1 个人数据范围列表 服务 类型 收集方式 是否可修改 是否必须 云堡垒机实例 登录名 在创建用户账号时由系统管理员配置登录名 否 是 登录名是用户的身份标识信息 密码 在管理员创建用户、重置用户密码时配置密码 在用户登录系统前重置密码、登录系统后修改密码时输入密码 是 是 用户登录云堡垒机系统时使用 邮箱 在管理员创建用户时配置邮箱 在用户登录系统后修改邮箱时输入邮箱 是 是 接收系统邮件通知 手机 在管理员创建用户时配置手机号 在用户登录系统后修改手机时输入手机号 是 是 接收系统手机短息通知 在忘记密码时通过手机验证码重置密码
  • CBH实例权限 默认情况下,管理员创建的 IAM 用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 CBH实例部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区域级项目”,然后在指定区域(如华北-北京1)对应的项目(cn-north-1)中设置相关权限,并且该权限仅对此项目生效;如果在“所有项目”中设置权限,则该权限在所有区域项目中都生效。访问CBH实例时,需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对CBH实例,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。CBH实例支持的授权项请参见权限及授权项。 如表1所示,包括了CBH实例的所有系统权限。 表1 CBH实例系统权限 系统角色/策略名称 描述 类别 依赖关系 CBH FullAccess 云堡垒机实例的所有权限(支付权限除外)。 系统策略 无 CBH ReadOnlyAccess 云堡垒机实例只读权限,拥有该权限的用户仅能查看云堡垒机服务,不具备服务配置和操作权限。 系统策略 无 您在赋予账号企业项目级的CBH FullAccess权限时,还需要授予账号IAM项目级别的CBH ReadOnlyAccess权限,这样才可以在Console控制台正常使用CBH服务的各项功能。 如表2列出了CBH实例常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 CBH FullAccess CBH ReadOnlyAccess 创建云堡垒机 √ x 变更云堡垒机规格(变更规格) √ x 查询云堡垒机列表 √ √ 升级云堡垒机软件版本 √ x 查询ECS配额 √ x 绑定或解绑EIP √ x 重启云堡垒机 √ x 启动云堡垒机 √ x 关闭云堡垒机 √ x 查看云堡垒机可用区 √ x 检测当前配置是否支持创建IPv6云堡垒机 √ x 检测云堡垒机与License中心之间网络是否连通 √ x 修改云堡垒机网络,确保与License中心网络连通 √ x
  • CBH FullAccess策略内容 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cbh:*:*", "vpc:subnets:get", "vpc:publicIps:list", "vpc:vpcs:list", "vpc:securityGroups:get", "vpc:firewallGroups:get", "vpc:firewallPolicies:get", "vpc:firewallRules:get", "vpc:ports:get", "vpc:publicips:update", "vpc:securityGroups:create", "vpc:firewallRules:create", "vpc:firewallPolicies:addRule" "ecs:cloudServerFlavors:get", "evs:types:get" ] } ] }
  • CBH ReadOnlyAccess策略内容 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cbh:*:list*", "vpc:publicIps:list", "vpc:vpcs:list", "vpc:securityGroups:get", "vpc:subnets:get" ] } ] }
共100000条