华为云用户手册

基础配置 选择是否需要对接企业已有的Windows AD域？ 首次购买桌面后，您的选择将不支持变更（对接AD域或取消对接AD域），请慎重选择。 选择“不对接AD”，执行2，配置 云桌面 基础设施，购买桌面任务提交成功后，将为您部署云桌面服务。 开通服务成功后，通过华为自有的账号认证系统进行用户认证，可在云桌面控制台进行用户账号管理。 选择“对接AD”，前往配置AD域，详情请参考对接AD域，保存配置信息后，将为您部署云桌面服务。 开通服务成功后，通过企业已有的统一AD进行用户认证和用户账号管理。 配置桌面信息，如表1 基础配置所示。 表1 桌面信息 参数名称 说明 样例 计费方式 选择包年/包月计费方式。 包年/包月 区域 不同区域的桌面之间内网互不相通，且需分区域管理桌面，推荐将桌面创建在同一区域。 说明： 区域是云桌面的物理数据中心所在的位置，区域不同即物理数据中心距离用户的物理距离不同，网络延迟不同。为了降低时延、提高访问速度，请就近选择靠近您业务的区域。 - 项目 根据实际情况选择项目。 说明： 如果无合适的项目，可单击，选择“新建项目”，进入创建项目页面，参考创建子项目。 - 可用分区 可用区是在同一区域下，电力、网络隔离的物理区域。可用区之间内网互通，不同可用区之间物理隔离，一个可用区发生故障后不会影响同一区域下的其他可用区。 说明： 如果您需要较高的容灾能力，建议您将桌面创建在不同的可用分区内。 随机分配 - CPU架构 根据实际情况选择CPU架构。 例如，UOS桌面使用鲲鹏计算；Windows桌面使用X86计算。 x86计算 套餐类型 根据实际需求选择套餐类型及规格。 尊享版 尊享办公-2U4G 配置镜像。 镜像类型：根据实际需求选择镜像类型。 公共镜像是云桌面提供的常见的标准操作系统镜像，所有用户可见，包括操作系统及预装的应用。公共镜像具有高度稳定性，皆为正版授权，您也可以根据实际需求自助配置应用环境及相关软件。目前Windows公共镜像为市场镜像。 私有镜像是基于已有云桌面或外部镜像文件创建的个人镜像，仅用户自己可见。包含操作系统、预装的公共应用以及用户的私有应用。选择私有镜像创建云桌面，可以节省您重复配置云桌面的时间。 云桌面支持Windows操作系统和UOS操作系统的公共镜像，以及通过Windows镜像生成的桌面转成的私有镜像和Windows镜像文件创建的弹性云服务器转成的私有镜像。如需使用私有镜像购买桌面，请参考桌面转镜像、制作Windows桌面私有镜像制作私有镜像。 操作系统：选择支持列表支持列表中支持的操作系统类型。 配置磁盘，用户根据需求选择需要配置的磁盘，如图1所示。 图1 云硬盘配置信息 磁盘类型性能说明可参考云硬盘产品介绍。 高IO：是指由SAS存储提供资源的磁盘类型。 超高IO： 是指由SSD存储提供资源的磁盘类型。 通用型SSD：是指由通用型SSD存储提供资源的磁盘类型。 创建桌面成功后，磁盘会持续计费直到桌面被删除。 磁盘大小需以10的整数倍订购。 最多配置10个数据盘，请根据实际需要配置大小。 设置购买时长，评估所需费用。 根据需要选择购买时长。此处显示为一台桌面的费用。如果所选时长带有标识，表示所选套餐在当前时长时有优惠。单击“优惠详情”可查看具体优惠信息。 单击“下一步：高级配置”。 进入“高级配置”页面。

后续操作 新桌面创建成功后，配套登录信息默认通过邮件发送给授权的终端用户，终端用户可以参考邮件激活账号，下载客户端并开始配置、使用云桌面。管理员可根据企业网络要求参考配置云桌面访问公网、配置云桌面访问内网，限制桌面网络交互。 如果对接Windows AD域，且Windows AD服务器上已创建了OU，可参见OU管理在管理控制台中创建对应的OU。 如果需要调整自动续费请参考自动续费在管理控制台续费管理页面进行相关操作。

高级配置 配置网络，如图2所示。 图2 配置网络信息 单击“”，依次选择“VPC”和“子网”。 配置桌面池弹性伸缩的自动创建方式。 接入时创建：用户接入且当前没有空闲桌面时，系统自动创建新的桌面。 自动创建最多x台：购买池桌面和接入时自动创建最大数量根据用户剩余配额决定，请根据实际需要进行配置。 预创建：当桌面空闲数量低于阈值时自动创建指定数量的新桌面。 当空闲桌面低于x台时：桌面池中空闲桌面数量。 预创建x台：预创建桌面数量。 所有预创建桌面最多x台：预创建桌面总数量的阈值。 例如：配置为当空闲桌面低于5台时，预创建10台，所有的预创建桌面最多10台。 表示空闲桌面低于5台时，系统预创建10台桌面，当空闲桌面再次低于5台时，系统检测预创桌面达到阈值，则无法继续创建。 自动创建的桌面为按需桌面。 无按需套餐类型的桌面池不支持自动创建，如：企业版。 配置池桌面断连解绑 断连解绑：当客户端用户断开桌面后，桌面可以保留一段时间。超过断连保留时长后，桌面自动和用户解绑并重置。 断连保留时长范围：10~43200分钟。 桌面自动解绑后重置桌面，请及时保存桌面数据，避免数据丢失。 （可选）单击“高级”，配置标签信息。如表2 标签命名规则所示。 如果您需要使用同一标签识别多种云资源，即所有服务均可在标签输入框下拉选择同一标签，建议在TMS中创建预定义标签。 如果您需要了解更多关于标签的信息，请参考《标签管理服务TMS用户指南》。 最多可以添加20个标签。 表2 标签命名规则 参数 规则 标签键 长度不超过36个字符。 标签的键可以包含任意语种字母、数字、空格和_.:=+-@，但首尾不能含有空格，不能以_sys_开头。 标签值 长度不超过43个字符。 标签的值可以包含任意语种字母、数字、空格和_.:/=+-@。 单击“下一步：分配桌面”。 进入“分配桌面”页面。 根据所需选择命名规则。 如需创建新的命名规则，请参考桌面命名规则创建桌面规则。

基础配置 配置桌面信息，如表1 基础配置所示。 表1 桌面信息 参数名称 说明 样例 计费方式 选择包年/包月计费方式。 包年/包月 区域 不同区域的桌面之间内网互不相通，且需分区域管理桌面，推荐将桌面创建在同一区域。 说明： 区域是云桌面的物理数据中心所在的位置，区域不同即物理数据中心距离用户的物理距离不同，网络延迟不同。为了降低时延、提高访问速度，请就近选择靠近您业务的区域。 - 项目 根据实际情况选择项目。 说明： 如果无合适的项目，可单击，选择“新建项目”，进入创建项目页面，参考新建项目。 - 池名称 自定义桌面池名称。 - 池类型 选择“动态池”或者“静态池”。 具体概念解释请参见《产品介绍》文档中的“相关概念”章节。 动态池 描述 输入当前桌面池的备注信息，用于标注桌面池的用途。 - 可用分区 可用区是在同一区域下，电力、网络隔离的物理区域。可用区之间内网互通，不同可用区之间物理隔离，一个可用区发生故障后不会影响同一区域下的其他可用区。 说明： 如果您需要较高的容灾能力，建议您将桌面创建在不同的可用分区内。 随机分配 CPU架构 根据实际情况选择CPU架构。 例如，UOS桌面使用鲲鹏计算；Windows桌面使用X86计算。 x86计算 套餐类型 根据实际需求选择套餐类型及规格。 尊享版 尊享办公-2U4G 配置镜像。 镜像类型：根据实际需求选择镜像类型。 公共镜像是云桌面提供的常见的标准操作系统镜像，所有用户可见，包括操作系统及预装的应用。公共镜像具有高度稳定性，皆为正版授权，您也可以根据实际需求自助配置应用环境及相关软件。目前Windows公共镜像为市场镜像。 私有镜像是基于已有云桌面或外部镜像文件创建的个人镜像，仅用户自己可见。包含操作系统、预装的公共应用以及用户的私有应用。选择私有镜像创建云桌面，可以节省您重复配置云桌面的时间。 云桌面支持Windows操作系统和UOS操作系统的公共镜像，以及通过Windows镜像生成的桌面转成的私有镜像和Windows镜像文件创建的弹性云服务器转成的私有镜像。如需使用私有镜像购买桌面，请参考桌面转镜像、制作Windows桌面私有镜像制作私有镜像。 操作系统：选择支持列表中支持的操作系统类型。 配置磁盘，用户根据需求选择需要配置的磁盘，如图1所示。 图1 云硬盘配置信息 磁盘类型性能说明可参考云硬盘产品介绍。 高IO：是指由SAS存储提供资源的磁盘类型。 超高IO： 是指由SSD存储提供资源的磁盘类型。 通用型SSD：是指由通用型SSD存储提供资源的磁盘类型。 创建桌面成功后，磁盘会持续计费直到桌面被删除。 磁盘大小需以10的整数倍订购。 最多配置10个数据盘，请根据实际需要配置大小。 设置购买桌面台数及购买时长，评估所需费用。 根据需要选择购买桌面台数及购买时长。如果所选时长带有标识，表示所选套餐在当前时长时有优惠。单击“优惠详情”可查看具体优惠信息。 单击“下一步：高级配置”。 进入“高级配置”页面。

进入购买页面 登录管理控制台。 在“桌面管理”下，选择“桌面池”，单击“购买桌面池”。 进入“购买桌面池”页面。 首次购买桌面池提示授权说明： IMS服务权限 云桌面支持镜像制作，因此需要访问 镜像服务 的权限。 云服务管理员权限 云桌面支持定时重建和弹性扩容，因此需要租户管理员权限。 VPC服务权限 云桌面支持创建的网络运行在虚拟私有云，因此需要访问虚拟私有云的权限。 同意授权后，将在 统一身份认证 服务为您创建名为 workspace_admin_trust 的委托，为保证服务正常使用，在使用定时任务、桌面池期间，请不要删除或者修改 workspace_admin_trust 委托。详见系统委托说明章节。

准备软件 制作私有镜像需准备的软件如表1所示。 表1 所需软件包 软件包名称 软件包说明 获取方式 操作系统ISO镜像文件 用于安装用户桌面的操作系统。 请根据所需获取对应的操作系统版本。 1060_ARM版本 点此获取 点此获取校验文件 1060_X86版本 点此获取 点此获取校验文件 1050_ARM版本 点此获取 点此获取校验文件 1050_X86版本 点此获取 点此获取校验文件 须知： 操作系统的ISO镜像文件需为从正规渠道获取的官方纯净镜像。非官方镜像或私有定制镜像，对操作系统做了很多未知的修改，可能导致模板制作失败，或者与HDP不兼容导致无法使用，请勿使用此类镜像。 FusionSphere_OpenStack_Image_Tool-xxx.zip 用于制作镜像。 点此获取 点此获取校验文件 Cloud-Init 说明： 仅操作系统为1060版本需要安装。 在使用镜像创建云服务器时，可初始化 云服务器配置 。 ARM： 点此获取 点此获取校验文件 X86： 点此获取 点此获取校验文件 HDPSysAgentPackage_Linux_Server_Release.zip SysAgent安装包。 ARM 点此获取 点此获取校验文件 X86： 点此获取 点此获取校验文件 Workspace_HDP_LinuxDesktop_xx.x.x.iso 用于安装HDA。 点此获取 点此获取校验文件 系统补丁 操作系统补丁。 自备 应用程序 请用户根据个人需求准备应用软件（如办公、实时通讯等软件）。 自备 外设驱动程序 请用户根据个人需求准备外设驱动程序。 自备 auto_fix_metrics.sh 修复网卡路由表 点此获取 点此获取校验文件 auto_fix_metrics.service 点此获取 点此获取校验文件 父主题： 制作UOS操作系统桌面私有镜像

准备软件 制作私有镜像需准备的软件如表1所示。 表1 所需软件包 软件包名称 软件包说明 获取方式 操作系统ISO镜像文件： Kylin-Desktop-V10-SP1-General-xxx-X86_64.iso Kylin-Desktop-V10-SP1-General-xxx-ARM64.iso 用于安装用户桌面的操作系统。 ARM： 点此获取 点此获取校验文件 X86： 点此获取 点此获取校验文件 须知： 非官方镜像或私有定制镜像，对操作系统做了很多未知的修改，可能导致模板制作失败，或者与HDP不兼容导致无法使用，请勿使用此类镜像。 FusionSphere_OpenStack_Image_Tool-xxx.zip 用于制作镜像。 点此获取 点此获取校验文件 Workspace_HDP_LinuxDesktop_xx.x.x.iso 用于安装HDA。 点此获取 点此获取校验文件 HDPSysAgentPackage_Linux_Server_Release.zip SysAgent安装包。 ARM： 点此获取 点此获取校验文件 X86: 点此获取 点此获取校验文件 libpam-systemd_245.4-4kylin3.11k36.2_arm64.deb 银河麒麟 V10 SP1 2203 云版本（鲲鹏）版本屏蔽睡眠休眠功能所需的安装包。 请联系麒麟厂商获取。 libsystemd0_245.4-4kylin3.11k36.2_arm64.deb systemd_245.4-4kylin3.11k36.2_arm64.deb systemd-container_245.4-4kylin3.11k36.2_arm64.deb systemd-sysv_245.4-4kylin3.11k36.2_arm64.deb systemd-timesyncd_245.4-4kylin3.11k36.2_arm64.deb 父主题： 制作麒麟操作系统桌面私有镜像

使用前必读 本文旨在帮助您了解 云堡垒机 （Cloud Bastion Host，CBH）入手使用的基本流程，帮助您更快上手操作。 通过Web浏览器、SSH客户端登录云 堡垒机 系统，依次创建用户、添加资源、配置权限策略，授予用户运维资源权限。 用户获取资源管理权限后，通过云堡垒机登录资源。 审计用户运维会话，以及审计用户登录系统和系统操作。 云堡垒机基础使用流程如图1所示。 图1 使用流程 表1 使用流程简介 操作步骤 说明 登录云堡垒机系统 成功购买CBH实例后，获取登录地址登录云堡垒机系统。 admin是系统第一个可登录用户，用户密码为自定义设置的密码。 创建用户 创建CBH系统用户，一个用户对应一个系统登录账号。 添加资源 添加资源信息，并纳管资源账户。 添加资源，可纳管资源包括Linux主机、Windows主机、数据库、应用系统等。 添加资源后，可纳管资源账户，实现自动登录资源进行运维管控。 配置运维权限 创建访问控制权限。 策略授权用户访问资源后，用户才有权限登录相应资源，才能对资源进行运维操作。 登录运维资源 授权用户通过CBH系统登录相应资源，不同资源类型可选择不同登录方式。 审计运维会话 在系统Web页面审计用户系统登录和操作，以及审计用户运维会话。

背景介绍 云堡垒机支持Web浏览器、SSH客户端和MSTSC客户端三种登录方式。 Web浏览器登录：支持系统管理和资源运维功能。建议系统管理员admin或管理人员使用Web浏览器登录进行系统管理和授权审计。 SSH客户端登录：在不改变用户原来使用SSH客户端习惯的前提下，可对授权资源进行运维管理。运维人员可选择使用SSH客户端直接登录运维资源。 MSTSC客户端登录：在不改变用户原来使用MSTSC客户端习惯的前提下，可对授权资源进行运维管理。运维人员可选择使用MSTSC客户端直接登录运维资源。

通过MSTSC客户端登录云堡垒机 用户获取资源运维权限后，可通过MSTSC客户端直接登录进行运维操作。 打开本地远程桌面连接（MSTSC）工具。 在弹出的对话框中，“计算机”列，输入“堡垒机IP:53389”。 图2 配置计算机 单击“连接”，在登录页面完成登录。 username：堡垒机用户登录名@Windows主机资源账户名@Windows主机资源IP:Windows远程端口（默认3389），例如admin@Administrator@192.168.1.1:3389。 “Windows主机资源账户名”必须是已添加到堡垒机中的资源账户，且登录方式是”自动登录“，否则无法识别Windows主机资源账户，且无法生成运维审计文件。不支持实时会话运维。如何添加主机资源账户，请参考添加资源账户章节。 password：输入当前堡垒机的用户密码。

通过Web浏览器登录云堡垒机 启动浏览器，在Web地址栏中输入CBH系统登录地址，进入系统登录页面。 登录地址：https://云堡垒机实例EIP或私网IP。例如，https://10.10.10.10。 未绑定EIP时，可通过私网IP登录，需确保用户本地网络与云堡垒机私网网络通畅。 登录方式可选用 IAM 或本地登录，IAM登录堡垒机详情请参见：如何使用IAM登录云堡垒机。 受浏览器兼容性限制，当浏览器版本与云堡垒机系统不匹配时，可能导致登录时获取不到验证信息，或登录后页面显示异常，建议使用推荐的浏览器及版本。推荐浏览器，请参见使用限制。 选择登录认证方式。 图1 云堡垒机系统登录界面 系统所有用户可选择配置“手机短信”、“手机令牌”、“USBKey”和“动态令牌”多因子认证，详情请参考配置多因子认证。 配置多因子认证后，“密码登录”方式认证失效。 表1 Web浏览器登录验证说明 登录方式 登录说明 登录方式配置说明 密码登录 输入云堡垒机系统的用户登录名和密码。 默认登录方式。 “AD域认证”、“RADIUS认证”、“LDAP认证”或“Azure AD认证”用户登录密码为远程服务器用户密码，详情请参见远程认证配置。 手机短信 输入云堡垒机系统的用户登录名和密码，单击“获取验证码”，并输入短信验证码。 需要已经为用户账号配置可用手机号码。 手机令牌 输入云堡垒机系统的用户登录名和密码，并输入手机令牌的动态验证码（每隔一段时间就会变化）。 说明： 需确保用户登录系统时间与手机时间一致，精确到秒，否则会提示验证码错误。 需用户先绑定手机令牌，再由管理员配置多因子认证，否则用户无法登录系统，详情请参考绑定手机令牌。 USBKey 插入并选择已签发过的USBKey，并输入对应的PIN码。 需已为用户签发USBKey，详情请参考签发USBKey。 动态令牌 输入云堡垒机系统的用户登录名和密码，并输入动态令牌的动态口令（每隔一段时间就会变化）。 需已为用户签发动态令牌，详情请参考签发动态令牌。 单击“登录”，成功登录云堡垒机系统进行管理和运维操作。 系统管理员admin为CBH系统第一个可登录用户，拥有系统最高操作权限，且无法更改权限配置，请妥善保管账号信息。 在首次登录系统成功后，请所有用户按照系统提示修改密码和绑定手机号码，否则无法进入系统运行页面。登录系统后，可在个人中心修改用户基本信息。

配置说明 表2 用户信息说明 参数 说明 登录名 自定义登录系统的用户名。 创建后不可修改，且系统内“登录名”唯一不能重复。 认证类型 选择登录系统的认证方式。 本地：系统默认认证方式，即通过系统自身的账号管理系统进行身份认证。 AD域：通过Windows AD域服务器对用户进行身份认证。 LDAP：通过LDAP协议，由第三方认证服务器对用户进行身份认证。 RADIUS：通过RADIUS协议，由第三方认证服务器对用户进行身份认证。 Azure AD：基于SAML配置，由Azure平台对登录用户进行身份认证。 密码/确认密码 用户登录系统的密码。 姓名 自定义用户姓名，便于区分不同的用户。 手机 用户系统预留手机号码。可通过手机短信验证登录身份或找回密码。 邮箱 用户系统预留邮箱地址。可通过邮箱收取系统 消息通知 。 角色 选择用户的角色，一个用户仅能选择一个角色。 仅admin是可自定义角色或编辑默认角色的权限范围。 缺省情况下，系统角色包括部门管理员、策略管理员、审计管理员和运维员。 部门管理员：负责部门系统管理，除“用户管理”和“角色管理”模块之外，部门管理员拥有其他全部模块的配置权限。 策略管理员：负责策略权限的配置，拥有“用户组管理”、“资源组管理”和“访问策略管理”等模块的配置权限。 审计管理员：负责系统和运维数据的审计，拥有“实时会话”、“历史会话”和“系统日志”等模块的配置权限。 运维员：系统普通用户和资源操作人员，拥有“主机运维”、“应用运维”和“授权工单”模块的操作访问权限。 所属部门 选择用户所属部门组织。 用户描述 （可选）对用户情况的简要描述。

入门实践 当您配置完云堡垒机（CBH）后，可以根据自身业务的业务场景使用CBH提供的一系列常用实践。 表1 常用最佳实践 实践 描述 变更规格 变更堡垒机规格 当使用的云堡垒机规格不能满足实际需求时，您可以选择对云堡垒机的规格进行变更规格。 系统策略 数据库控制策略：高危命令二次审批 云堡垒机支持通过执行命令运维数据库，包括数据删除、修改、查看等运维操作。为确保数据库敏感信息的安全，避免关键信息的丢失和泄露，本文针对运维用户访问和运维数据库关键信息，详细介绍了如何设置数据库高危操作的复核审批，以及如何实现关键信息的重点监控。 等保合规 云堡垒机等保合规相关项 为客户提供一站式的安全解决方案，帮助客户快速、低成本完成安全整改，轻松满足等保合规要求。 系统运维 跨云跨VPC线上线下统一运维 针对您的服务器资源分布在跨VPC、线下IDC机房、非华为云等跨网络域的场景，华为云堡垒机提供了通过网络代理服务器进行运维的方案，便于您在没有搭建网络专线的情况下，纳管各网络域的各类服务器资源，从而通过华为云堡垒机统一管理、运维您的各类工作负载。 运维审计 使用堡垒机对安全事故进行事后追溯 华为云堡垒机可以管控所有的操作，并对所有的操作都进行详细记录。针对会话的审计日志，支持在线查看、在线播放和下载后离线播放。目前支持字符协议（SSH、TELNET）、图形协议（RDP、VNC）、文件传输协议（FTP、SFTP、SCP）、数据库协议（DB2、MySQL、Oracle、SQL Server）和应用发布的操作审计。其中，字符协议和数据库协议能够进行操作指令解析，还原操作指令；文件传输能够记录传输的文件名称和目标路径。

变更规格注意事项 软件版本要求 变更规格到专业版，系统软件版本需在V3.2.16.0及以上，否则变更规格后的专业版功能不能生效。 如果系统软件版本在V3.2.16.0以下，请先升级软件版本。 系统数据备份与还原 变更规格前请务必备份系统重要数据，以免因变更规格失败而导致系统数据丢失。 变更规格后请根据实际需求将备份数据重新载入系统，还原系统配置。 变更规格时间 整个变更规格过程包括变更规格前准备、后台变更规格、变更规格后验证，共需60min左右。后台变更规格全程需30min左右，期间CBH系统需要关闭，会导致业务中断。 为了减少变更规格对系统运行的影响，请尽量选择在业务量较低时进行变更规格操作。

变更规格限制 变更规格范围涉及系统功能版本和资产规格，详细版本规格请参见云堡垒机规格版本。 功能版本：仅能从标准版升级到专业版，不能从专业版到标准版。 资产规格：涉及资产数、并发数、CPU、内存、数据盘等规格配置。仅能从低规格变更规格到高规格，不能缩容。 变更规格不涉及实例绑定的EIP带宽、流量等配置。 系统盘默认为100GB，变更规格不影响系统盘，仅涉及数据盘。 历史版本仅有标准版功能，如果需变更规格到专业版，请单击华为云管理控制台右上方的“工单”，填写工单反馈云堡垒机历史版本变更规格需求，联系技术支持。 变更规则： 标准版：大于自身资产数量的所有支持的基础版以及大于等于自身资产数量的专业版； 专业版：大于自身资产数量的所有支持的专业版； 表1 变更支持的版本规格 变更规格前版本规格 变更规格后版本规格 10标准版 10专业版 20标准版、20专业版 50标准版、50专业版 100标准版、100专业版 200标准版、200专业版 500标准版、500专业版 1000标准版、1000专业版 2000标准版、2000专业版 5000标准版、5000专业版 10000标准版、10000专业版 10专业版 20专业版 50专业版 100专业版 200专业版 500专业版 1000专业版 2000专业版 5000专业版 10000专业版 20标准版 20专业版 50标准版、50专业版 100标准版、100专业版 200标准版、200专业版 500标准版、500专业版 1000标准版、1000专业版 2000标准版、2000专业版 5000标准版、5000专业版 10000标准版、10000专业版 20专业版 50专业版 100专业版 200专业版 500专业版 1000专业版 2000专业版 5000专业版 10000专业版 50标准版 50专业版 100标准版、100专业版 200标准版、200专业版 500标准版、500专业版 1000标准版、1000专业版 2000标准版、2000专业版 5000标准版、5000专业版 10000标准版、10000专业版 50专业版 100专业版 200专业版 500专业版 1000专业版 2000专业版 5000专业版 10000专业版 100标准版 100专业版 200标准版、200专业版 500标准版、500专业版 1000标准版、1000专业版 2000标准版、2000专业版 5000标准版、5000专业版 10000标准版、10000专业版 100专业版 200专业版 500专业版 1000专业版 2000专业版 5000专业版 10000专业版 200标准版 200专业版 500标准版、500专业版 1000标准版、1000专业版 2000标准版、2000专业版 5000标准版、5000专业版 10000标准版、10000专业版 200专业版 500专业版 1000专业版 2000专业版 5000专业版 10000专业版 500标准版 500专业版 1000标准版、1000专业版 2000标准版、2000专业版 5000标准版、5000专业版 10000标准版、10000专业版 500专业版 1000专业版 2000专业版 5000专业版 10000专业版 1000标准版 1000专业版 2000标准版、2000专业版 5000标准版、5000专业版 10000标准版、10000专业版 1000专业版 2000专业版 5000专业版 10000专业版 2000标准版 2000专业版 5000标准版、5000专业版 10000标准版、10000专业版 2000专业版 5000专业版 10000专业版 5000标准版 5000专业版 10000标准版、10000专业版 5000专业版 10000专业版 10000标准版 10000专业版

设置代理服务器 在需要对跨网络域的服务器进行管理运维前，需要在对端网络域中配置一台网络代理服务器。将该代理服务器与业务服务器通过内网进行互通，再将代理服务器到云堡垒机网络进行互通，即可完成云堡垒机到业务服务器之间跨域的网络互联。 该部分操作是达成堡垒机跨域纳管主机资源的前提。 为代理服务器启用网络代理服务 登录代理服务器，进行代理服务器（3proxy）设置。 步骤二至步骤四中的命令，均已CentOS7为例。如需CentOS8代码示例，请参见CentOS8配置代理示例。 上传3proxy压缩包并解压后，进入对应目录执行以下命令： bash install.sh 输入如下命令，添加3proxy用户 /etc/3proxy/add3proxyuser.sh myuser mypassword 重启代理服务3proxy systemctl restart 3proxy socks5代理协议（端口：1080）没有加密功能，如果通过代理服务器运维使用了非加密的协议类型，请务必在安全组设置中禁止非必要的IP访问。 如果需要加密传输或数据安全的考量，在选择出入方向规则时建议选择有加密的协议类型：SSH、RDP、SFTP、SCP、Rlogin。 为代理服务器配置安全组规则 进行代理服务器入方向规则配置，允许堡垒机访问代理服务器，协议端口及源地址填写规则请见图2。 图2 入方向规则配置 在“协议端口”中填写socks5代理服务器默认的“1080”端口。 在“源地址”中填写堡垒机的IP地址。 进行代理服务器出方向规则配置，允许代理服务器访问待纳管的业务服务器，源地址填写规则请见图3。 图3 出方向规则配置

CentOS8配置代理示例 执行如下命令，安装3proxy软件包 yum install -y epel-release yum install -y 3proxy 执行如下命令，进行极简配置 nscache 65536 timeouts 1 5 30 60 180 1800 15 60 #设置用户名：在users指令后输入您需要设置的用户名，本章节以test为例 密码：在CL指令后输入您需要设置的用户名，本章节以test为例。 users test:CL:test daemon log /var/log/3proxy/3proxy.log logformat "- +_L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T" archiver gz /bin/gzip %F rotate 30 external 0.0.0.0 internal 0.0.0.0 auth strong allow test maxconn 20 socks flush 启动服务 systemctl start 3proxy

对历史会话进行审计 登录控制台。进入“历史会话”页面，具体操作步骤详见查看历史会话。 根据您业务出现安全问题的一些信息，在“高级搜索框”中输入相关信息进行检索。 图1 高级搜索 根据搜索完后的结果，在“操作”列单击“详情”，进入“会话详情”页面，对历史操作指令、文件传输情况进行排查，如图2所示。 图2 运维记录 根据上述步骤您就可以根据操作指令的情况，排查出是哪个步骤出现了问题，为您的事件追溯提供了便利性。当然您也可以使用会话回放功能，通过播放运维视频，来查看具体的操作情况，如图3所示，具体操作步骤请参见管理会话视频。 图3 运维会话回放 华为云堡垒机还为您提供实时会话监控功能，让您可以实时查看高危操作的运维界面，如果出现危险指令可立即切断运维人员的操作，确保业务的安全。具体请参见云堡垒机实时会话章节。

安全计算环境：身份鉴别 等保条例：应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换； 本条款主要考察如下三点： 是否对登录用户进行身份识别和鉴别使用浏览器访问堡垒机页面，证明需要对用户身份进行鉴别之后才可正常使用产品功能。 图4 云堡垒机登录界面 身份标识是否具有唯一性：每名用户创建必须填写姓名、手机号、邮箱及角色，并且一名用户只能配置一个角色。详见：云堡垒机创建用户。 图5 创建用户 身份鉴别信息是否具有复杂度要求并定期更换：云堡垒机支持“手动执行”、“定时执行”、“周期执行”三种改密执行方式，还支持“生成不同密码”、“生成相同密码”、“指定相同密码”三种改密方式。具体操作详见云堡垒机改密策略。 图6 改密策略 等保条例：应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现; 云堡垒机采用多因子认证的登录方式，具体登录认证的方法有：手机短信、手机令牌、USBkey和动态令牌登录四种方式。具体操作详见：云堡垒机配置多因子认证。 图7 配置多因子认证 等保条例：应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施； 云堡垒机可配置用户登录安全锁，可设置锁定方式、锁定时长、可尝试密码次数等。具体操作详见：云堡垒机配置用户登录安全锁。 图8 登录安全锁

安全审计 等保条例：应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计； 云堡垒机支持查看实时会话、查看历史会话及查看查看系统日志的功能。 您可以在系统日志中查看系统登录日志，具体可细分为登录时间、登录用户、来源IP、日志内容、登录方式、登录结果和备注等内容。 图12 系统登录日志 等保条例：审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息； 可以在系统操作日志中详细查看每个账号对堡垒机做了哪些操作，具体记录到用户、时间、来源IP、模块、日志内容、结果。如图13所示 图13 系统操作日志

访问控制 等保条例：应授予管理用户所需的最小权限，实现管理用户的权限分离； 云堡垒机支持对用户的操作权限进行限制，分别为三大类：访问控制策略、命令控制策略和数据库控制策略。 云堡垒机可以对登录用户角色的一些操作权限进行控制，详细细粒度划分见图9，比如您可以对运维主管的账号授予删除和修改代理服务器的权限。 图9 角色权限细粒度 您可以对各个账户进行访问控制，具体可细分到文件管理、上行剪切板、下行剪切板、显示水印、控制登录时间和上传下载文件，并且可以对登录的角色进行IP的黑白名单限制。如图10所示 图10 访问控制策略 等保条例：应对登录的用户分配账户和权限； 云堡垒机支持对用户进行角色分配和用户组分配，具体操作详见：云堡垒机用户角色管理和云堡垒机用户组管理。 对于长期不登录或过期的账户，应及时删除。云堡垒机可以设定僵尸用户判定时间，超过此时间的账户就会被禁用。 图11 僵尸用户判定规则设定

等保三级相关条款 该最佳实践将主要聚焦于满足以下等保条例的考察内容： 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计； 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息； 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等； 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换； 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施； 当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现 应对登录的用户分配账户和权限； 应重命名或删除默认账户，修改默认账户的默认口令； 应及时删除或停用多余的、过期的账户，避免共享账户的存在； 应授予管理用户所需的最小权限，实现管理用户的权限分离； 应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则； 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计； 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

查看监控指标数据 以采集弹性云服务器的监控指标为例，查看弹性云服务器对应的命名空间、指标ID、维度的Key和Value。 在支持监控的服务列表页面查看对应的监控指标参考文档。 在参考文档中查看命名空间，弹性云服务器对应的命名空间为“SYS.E CS ”。 查看监控指标的指标ID和测量对象（维度），例如监控指标CPU使用率的指标ID为“cpu_util”，测量对象为“云服务器”。 查看维度的Key和Value，云服务器维度的Key和Value分别为instance_id和云服务器ID。

logalarm 插件类型 ALARM 功能说明 监控指定日志文件，配置日志匹配关键字，并按照配置参数的要求，生成告警并上报到HCW。 参数配置 collect_file_path #日志文件采集路径 消息样例及含义说明 插件按照配置参数的要求上报日志告警数据，日志告警数据样例： { "id": "Log_030104014395", #单位： | 类型：string | 说明：告警ID "use_custom_id":"" #单位： | 类型：string | 说明：是否使用用户自定义告警ID "alarm_name": "Interface getSC() success rate abnormal", #单位： | 类型：string | 说明：告警名称(支持配置变量{{$log_info}}，上报告警时会替换成匹配到的最后一条ERROR日志；支持配置变量{{$all_matching_log}}，上报告警时会替换成匹配到的所有ERROR日志，当alarm_name配置了变量{{$all_matching_log}}时，若产生告警且后续周期又匹配到了告警，新匹配到的告警会在原告警ID的基础上，产生一个新的告警，并上报到监控系统，告警清除时会清除当前告警和后续产生的告警；当alarm_name配置为空时，会读取文件中的所有内容，逐行检测并上报告警。） "alarm_level": "critical", #单位： | 类型：string | 说明：告警级别（notice 提示、minor 一般、major 严重、critical 致命） "key_word": "-ERROR .*getSC", #单位： | 类型：string | 说明：日志匹配关键字，支持正则表达式 "match_file": "/opt/huawei/test/error.log", #单位： | 类型：string | 说明：日志文件绝对路径，支持变量、通配符，配置多个地址时需要使用逗号分隔 "matches": 2, #单位： | 类型：long | 说明：最大匹配次数 "number_of_match_period": 30, #单位： | 类型：long | 说明：匹配周期数，与matches和key_word组合使用（30个周期内匹配2次以上，则产生告警；30个周期内匹配2次或者2次以下，则清除告警。） "number_of_nodata_period": 10, #单位： | 类型：long | 说明：无数据上报的周期数, 单独使用，与matches和key_word无关联（10个周期内有数据则产生告警，10个周期内无数据上报则清除告警。） "description": "test" #单位： | 类型：string | 说明：告警详情，进一步丰富告警信息 }

CDN账单中使用量类型与资源ID的对照关系 表1 对照关系表 规格 账单使用量类型 资源ID 进制 中国大陆 请求次数 {UUID}-wsa-Request - 流量 {UUID} 1024 中国大陆峰值带宽 {UUID} 1000 中国大陆95峰值带宽 {UUID} 1000 中国大陆日峰值月平均带宽 {UUID} 1000 海外及其它地区 海外及其它地区请求次数 {UUID}-wsa-Request-ov - 海外及其它地区流量 {UUID}OverseaFlux 1024 海外及其它地区峰值带宽 {UUID}OverseaBandwidth 1000 海外及其它地区95峰值带宽 {UUID}OverseaBandwidth 1000 海外及其它地区日峰值月平均带宽 {UUID}OverseaBandwidth 1000 海外分区计费 海外区域.亚太其它带宽 {UUID}OverseaAsiapacificBandwidth 1000 海外区域.港澳台日韩带宽 {UUID}OverseaEastasiaBandwidth 1000 海外区域.欧洲带宽 {UUID}OverseaEuropeBandwidth 1000 海外区域.印度带宽 {UUID}OverseaIndiaBandwidth 1000 海外区域.中东非洲带宽 {UUID}OverseaMeAfricaBandwidth 1000 海外区域.北美洲带宽 {UUID}OverseaNorthAmericaBandwidth 1000 海外区域.大洋洲带宽 {UUID}OverseaOceaniaBandwidth 1000 海外区域.南美洲带宽 {UUID}OverseaSouthAmericaBandwidth 1000 海外区域.亚太其它流量 {UUID}OverseaAsiapacificFlux 1024 海外区域.港澳台日韩流量 {UUID}OverseaEastasiaFlux 1024 海外区域.欧洲流量 {UUID}OverseaEuropeFlux 1024 海外区域.印度流量 {UUID}OverseaIndiaFlux 1024 海外区域.中东非洲流量 {UUID}OverseaMeAfricaFlux 1024 海外区域.北美洲流量 {UUID}OverseaNorthAmericaFlux 1024 海外区域.大洋洲流量 {UUID}OverseaOceaniaFlux 1024 海外区域.南美洲流量 {UUID}OverseaSouthAmericaFlux 1024 UUID基于账号维度生成，同一账号不同资源ID中的UUID相同。 只有开通了海外分区计费的用户才会有海外分区资源ID。 中国大陆的带宽和流量对应的资源ID相同，无法通过资源ID识别计费方式。

访问控制 虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为边缘服务构建了一个逻辑上完全隔离的专有区域，您可以在自己的逻辑隔离区域中定义虚拟网络，为边缘业务构建一个逻辑上完全隔离的专有区域。您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性，方便管理、配置内部网络，进行安全、快捷的网络变更。同时，您可以自定义安全组内与组间边缘业务的访问规则，加强边缘业务的安全保护。 安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的边缘业务提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当边缘业务加入该安全组后，即受到这些访问规则的保护。 如何设置虚拟私有云和安全组，请参见边缘网络。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

审计与日志 云审计 服务（Cloud Trace Service， CTS ），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务后，CTS可记录CloudPond的操作事件用于审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 IEC支持审计的操作事件，请参见支持审计的关键操作。 查看审计日志，请参见查看IEC审计事件。 父主题： 安全

监控安全风险 云监控服务 ，为用户提供一个针对边缘实例、带宽等资源的立体化监控平台。使用户全面了解IEC上的资源使用情况、业务的运行状况，并及时收到异常告警做出反应，保证业务顺畅运行。 用户开通 云监控 后， CES 可以查看带宽、弹性公网IP的使用情况，也可以创建和设置告警规则，自定义监控目标与通知策略，及时了解虚拟私有云的状况，从而起到预警作用。 CES的详细介绍，请参见CES功能介绍。 IEC支持的监控指标，请参见支持的监控指标。 查看监控指标步骤，请参见查看监控指标。 父主题： 安全

数据保护技术 CloudPond整体上继承华为云数据安全治理要求，详见华为云数据安全白皮书。 数据安全传输：数据在CloudPond和中心云之间传输数据时均进行了加密。 数据安全使用：建议用户对数据进行识别和分类；对敏感的数据默认加密；使用安全组、网络ACL（Access Control Lists）对资源实施网络访问控制。此外建议您使用云审计服务（Cloud Trace Service，CTS），对用户访问数据的行为进行审计。 数据安全销毁：当用户停止使用CloudPond前，请先对CloudPond上需要保留的数据进行转储。和用户退订使用中心云上的资源一样，CloudPond上存储的数据会以符合业界标准的方式被安全的删除，确保删除的数据永远无法恢复。 父主题： 安全