华为云用户手册

实例配置概述 系统配置包括安全、网络、端口、外发、认证、工单、告警、审计、HA备份等配置。为确保系统安全运行，默认仅系统管理员admin可修改系统配置，整体管理系统运行状况。 安全配置，详情请参见登录安全管理。 网络配置，详情请参见系统网络配置。 端口配置，详情请参见系统端口配置。 外发配置，详情请参见系统外发配置。 用户有效期倒计时邮件：配置完成后在到期前5天才会发送邮件。 认证配置，详情请参见远程认证配置。 工单配置，主要介绍工单配置的基本模式、高级模式、审批流程等，详情请参考工单配置管理。 告警配置，详情请参见系统告警配置。 系统风格，详情请参见系统风格变更。 父主题： 实例配置

示例三：建立固定流程的会签审批工单 前提条件 已完成部门、用户、角色和资源等项的规划和设置。部门设置请参考部门，用户和角色设置请参考用户，资源设置请参考资源。 工单审批流程设置如表3所示，具体操作请参考工单配置。 表3 工单配置参数说明 参数 内容 审批流程 固定流程 审批形式 会签审批 审批节点 3 签核流程 用户提起工单电子流，申请访问非用户所属部门的资源。 工程部管理员User B和User C均拥有审批权，两者都批准则该环节审批通过，任意一人驳回则该环节审批不通过。工程部管理员审批通过后，下一环节将由财务部管理员User D进行审批，以此类推，直到财务部管理员User E审批通过后，用户即可获得相应的权限。审批过程中任意一个环节驳回，则该工单审批不通过，用户不能获取相应的权限。 拥有admin管理员权限的账号可在任意节点审批或驳回任意工单，且结果为最终结果。

示例二：按资源所属部门申请资源，建立分级流程工单 前提条件 已完成部门、用户、角色和资源等项的规划和设置。部门设置请参考部门，用户和角色设置请参考用户，资源设置请参考资源。 工单审批流程设置如表2所示，具体操作请参考工单配置。 表2 工单配置参数说明 参数 值 审批流程 分级流程 审批形式 多人审批 审批节点 用户所属部门-部门管理员 审批级数 3 审批流程 用户提起工单电子流，按资源所属部门申请访问资源。 镇管理员User D进行审批，审批通过则由县管理员User E进行下一环节的审批，审批不通过则工单被驳回。以此类推，直到市管理员User F审批通过后，用户即可获得相应的权限。审批的过程中任意一个环节驳回，则该工单审批不通过，用户不能获取相应的权限。 拥有admin管理员权限的账号可在任意节点审批或驳回任意工单，且结果为最终结果。

示例一：按用户所属部门申请资源，建立分级流程工单 前提条件 已完成部门、用户、角色和资源等项的规划和设置。部门设置请参考部门，用户和角色设置请参考用户，资源设置请参考资源。 工单审批流程设置如表1所示，具体操作请参考工单配置。 表1 工单配置参数说明 参数 值 审批流程 分级流程 审批形式 多人审批 审批节点 用户所属部门-部门管理员 审批级数 3 审批流程 用户提起工单电子流，按用户所属部门申请访问资源。 大队管理员User A和User B均拥有审批权，只要任意一人批准，则该环节审批通过，任意一人驳回，则该环节审批不通过。大队管理员审批通过后，下一环节将由村管理员User C进行审批。以此类推，直到镇管理员User D审批通过后，用户即可获得相应的权限。审批过程中任意一个环节驳回，则该工单审批不通过，用户不能获得相应的权限。 拥有admin管理员权限的账号可在任意节点审批或驳回任意工单，且结果为最终结果。

后续管理 提交工单申请后，相关管理员即可在“消息中心”收到提醒，查看详细工单内容。并可在工单审批页面收到工单，可对工单进行批准或驳回操作。 提交工单申请后，若需修改已提交的工单，可单击“撤回”，取消已提交的工单申请，工单状态变为“已撤回”。 创建工单后，若需查看工单和修改工单信息，可单击“管理”，进入工单详情页面查看和修改工单信息。 “审批中”状态的工单仅能查看工单详情信息，不能修改工单内容。“已撤回”和“待提交”状态的工单才能被修改。 若已提交的工单已过期，可单击“删除”，管理工单列表。亦可勾选多条工单，单击列表左下角删除，批量删除工单。 删除后工单信息不能找回，请谨慎操作。

用户状态 呈现僵尸账户和密码强度的用户账号数量。 僵尸账户是当前未登录时间超过14天的已生效用户，按未登录天数统计。 默认呈现TOP5僵尸账户信息。可选择查看TOP5、TOP10、TOP20的僵尸账户。 在“详细数据”区域，可查看上一次成功登录的时间、用户登录名、来源IP、操作、操作结果等信息。 密码强度则是对系统内用户密码强度的划分，分为高、中、低三个等级。 在“详细数据”区域，可查看上一次改密的用户登录名、密码强度、上次改密时间，以密码强度由低至高排列。 密码强度的划分具体按照以下规则： 高：8位及以上，包含大写字母、小写字母、数字、特殊字符。 中：8位及以上，包含大写字母、小写字母、数字、特殊字符中的两种或三种。 低：8位及以上，包含大写字母、小写字母、数字、特殊字符中的一种，或8位以下。

约束限制 趋势图最多呈现连续180天的运维数据变化趋势。 默认按小时呈现当天运维数据变化趋势。 筛选周期时间在同一月且在同一周时，仅可选择按天呈现趋势图。 筛选周期时间跨月且在同一周时，可选择按天和按月呈现趋势图。 筛选周期时间在同一月且跨周时，仅可选择按天和按周呈现趋势图。 筛选周期时间跨月且跨周时，仅可选择按天、按周和按月呈现趋势图。 趋势图可选择线状图、柱状图、饼状图形式。 表示线状图形式。 表示柱状图形式。 仅命令拦截动作趋势图可呈现饼状图形式。 默认呈现运维时间段内总的趋势图。 支持按目标用户呈现运维统计趋势图，最多可选择5个目标用户。 支持按目标资源呈现运维统计趋势图，最多可选择5个目标资源。

约束限制 应用运维仅支持通过Web浏览器方式登录进行运维。 支持复制/粘贴大量字符不乱码，本地到远端最多8万字符，远端到本地最多100万字节。 文件管理 不支持批量编辑文件或文件夹。 文件传输 系统默认支持上传最大100G的单个文件，但实际上传单个文件大小，受“个人网盘空间”大小和使用浏览器限制。 空间不足会导致上传失败，需清理磁盘或扩充磁盘容量。 不支持下载文件夹。 应用运维的目标地址只有“主机网盘”。

配置SSO单点客户端 以Navicat客户端为例，示例配置客户端路径。 打开本地SsoDBSettings单点登录工具。 图1 单点登录工具界面 在“Navicat路径”栏后，单击路径配置。 根据本地Navicat客户端安装的绝对路径，选中Navicat工具的exe文件后，单击“打开”。 图2 查找本地工具绝对路径 返回SsoDBSettings单点登录工具配置界面，可查看已选择的Navicat客户端路径。 图3 确认配置路径 单击“保存”，返回 堡垒机 “主机运维”列表页面，即可登录数据库资源。

约束限制 仅FTP、SFTP、SCP协议主机支持通过Web浏览器登录，且登录资源的客户端工具的版本要求如下： 表1 工具支持情况 协议主机 登录资源的客户端工具的版本要求 SFTP协议 Xftp 6及以上、WinSCP 5.14.4及以上、FlashFXP 5.4及以上 FTP协议 Xftp 6及以上、WinSCP 5.14.4及以上、FlashFXP 5.4及以上、FileZilla 3.46.3及以上 表2 客户端运维支持服务器情况 算法类型 SSH客户端运维 Key exchange diffie-hellman-group-exchange-sha256 diffie-hellman-group-exchange-sha1 diffie-hellman-group14-sha1 diffie-hellman-group1-sha1 ecdh-sha2-nistp521 ecdh-sha2-nistp384 ecdh-sha2-nistp256 Encryption aes128-ctr aes192-ctr aes256-ctr aes128-cbc aes192-cbc aes256-cbc 3des-cbc blowfish-cbc arcfour128 arcfour256 HMAC hmac-md5 hmac-md5-96 hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 Host Key ssh-rsa ssh-dss rsa-sha2-256 rsa-sha2-512 ecdsa-sha2-nistp256 ecdsa-sha2-nistp384 ecdsa-sha2-nistp521

约束限制 仅SSH、TELNET和Rlogin协议主机支持通过SSH客户端登录，其中Rlogin协议主机仅支持SSH客户端登录。 支持SSH协议客户端工具：SecureCRT 8.0及以上版本、Xshell 5及以上版本、PuTTY、MAC Terminal 2.0及以上版本。 不同算法类型不同场景支持的服务器情况如下： 表1 SSH运维支持服务器情况 算法类型 H5页面运维 SSH客户端运维 Key exchange diffie-hellman-group-exchange-sha256 diffie-hellman-group-exchange-sha1 diffie-hellman-group14-sha1 diffie-hellman-group1-sha1 ecdh-sha2-nistp256 ecdh-sha2-nistp384 ecdh-sha2-nistp521 curve25519-sha256 curve25519-sha256@libssh.org diffie-hellman-group14-sha256 diffie-hellman-group-exchange-sha256 diffie-hellman-group-exchange-sha1 diffie-hellman-group14-sha1 diffie-hellman-group1-sha1 ecdh-sha2-nistp521 ecdh-sha2-nistp384 ecdh-sha2-nistp256 Encryption aes128-ctr aes192-ctr aes256-ctr aes128-cbc aes192-cbc aes256-cbc 3des-cbc blowfish-cbc arcfour128 arcfour cast128-cbc 3des-cbc rijndael-cbc@lysator.liu.se aes128-ctr aes192-ctr aes256-ctr aes128-cbc aes192-cbc aes256-cbc 3des-cbc blowfish-cbc arcfour128 arcfour256 HMAC hmac-md5 hmac-md5-96 hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 hmac-ripemd160 hmac-ripemd160@openssh.com hmac-md5 hmac-md5-96 hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 Host Key ssh-rsa ssh-dss ecdsa-sha2-nistp256 ecdsa-sha2-nistp384 ecdsa-sha2-nistp521 ssh-ed25519 ssh-rsa ssh-dss rsa-sha2-256 rsa-sha2-512 ecdsa-sha2-nistp256 ecdsa-sha2-nistp384 ecdsa-sha2-nistp521

SSH/TELNET协议类型主机会话 表2 Linux运维操作说明 参数 说明 编码 字符协议支持多种编码格式。 复制/粘贴 选中字符，按“Ctrl+C”进行复制，按“Ctrl+V”进行粘贴。 预置命令 对于字符较长，且经常输入的命令，可以提前预置。 终端类型 字符协议支持切换终端类型，包括Linux和Xterm两种类型。 群发键 开启群发可同时对多个会话进行命令输入。 字体大小 设置字体大小：大、中、小。 复制窗口 可复制当前会话窗口。 全屏 可开启窗口全屏。 图6 SSH主机会话窗口

RDP/VNC协议类型主机会话 表3 Windows主机运维操作说明 参数 说明 复制/粘贴 远程文本：选中字符， 需按两次“Ctrl+C”复制，按“Ctrl+V”粘贴。 远程机器文件：选中文本或图像，“Ctrl+B”复制，“Ctrl+G”粘贴。 说明： Web浏览器运维支持复制/粘贴大量字符不乱码，本地到远端最多8万字符，远端到本地最多100万字节。 分辨率 可切换当前操作界面分辨率，切换途中会重新创建连接。 切换鼠标 可分别切换为本地鼠标和远程鼠标。 Windows键 适用于Win快捷键操作。 锁屏键 “Ctrl+Alt+Delete”。 复制窗口 可复制当前会话窗口。 全屏 可开启窗口全屏。 图7 RDP主机会话窗口

配置Windows 10服务器相关参数 登录Windows 10服务器。 启动winRM服务。 搜索“组件服务”，进入“组件服务”页面。 在左侧导航树中，选择“服务（本地）”，在右侧弹框中，找到“Windows Remote Management(WS-Management)”。 右键单击“Windows Remote Management(WS-Management)”，在弹窗中单击“启动”。 配置winRM。 以管理员身份运行cmd，执行以下命令： winrm qc （执行两次）回显后，根据提示输入y。 执行以下命令： winrm set winrm/config/service '@{AllowUnencrypted="true"}' 执行以下命令： winrm set winrm/config/service/auth '@{Basic="true"}' （如果已是管理员，可不执行该步骤）执行以下命令，添加用户到用户组。 例如，用户名为“appuser01”。 net localgroup "Remote Management Users" appuser01 /add 在power shell会话框中执行以下命令，添加防火墙命令。 New-NetFirewallRule -DisplayName "WinRM-5985" -Direction Inbound -LocalPort 5985 -Protocol TCP -Action Allow

后续管理 改密策略创建完成后，可在策略列表页面，管理已创建策略，包括管理关联资源、删除策略、启停策略、立即执行策略等。 若需补充关联资源，可单击“关联”，快速关联资源账户、账户组。 若需删除策略，可选择目标策略，单击“删除”，立即删除策略。 若需禁用策略改密，可勾选一个或多个“已启用”状态的策略，单击“禁用”，策略状态变更为“已禁用”，策略立即失效。 若需立即修改资源账户密码，可单击“立即执行”，立即执行改密任务。

约束限制 仅SSH，MySQL，SQL Server，Oracle，RDP和Telnet协议类型的主机，支持通过改密策略修改资源账户密码。 Windows主机资源需启用SMB服务，并放开主机安全组445端口，才能通过改密策略修改资源账户密码。 Windows 10不能使用SMB方式改密，关联Windows 10资源账户前，需配置winRM后进行改密策略的创建，可参照配置Windows 10服务器相关参数进行服务器相关参数的配置。

自定义关联命令 命令控制策略关联的自定义的命令，关联命令后，在执行相关命令或参数时，触发拦截和允许操作。 自定义关联命令大小写敏感，严格按照设置的关联命令进行审核和过滤，若执行命令与设置命令不一致，则不能触发策略规则。详细设置说明和示例，请参考如下说明： 支持单命令格式。 如设置拒绝执行查询命令，即设置关联命令为ls，执行单命令操作时触发策略规则。 支持命令路径格式。 如设置动态授权查询日志，即设置关联命令为ls /var/log/，执行命令参数操作时触发策略规则。此时若执行ls /var/log，则无法触发策略拦截规则。 支持命令带“*”通配符，“*”表示任意多个字符。 如设置拒绝执行所有删除命令，即设置关联命令为rm *，执行命令加任意参数触发策略拦截，如执行rm -rf。此时若执行rm命令本身，则不会触发策略拦截规则。 支持命令带“?”通配符，“?”表示任意单个字符，输入几个“?”就代表几个未知字符。 如设置拒绝执行删除两个字符名称的文件或目录，即设置关联命令为rm -rf ??，执行命令加任意两个字符触发策略拦截，如执行rm -rf ts。此时若执行rm -rf test，则不会触发策略拦截规则。 支持命令带“[]”通配符，“[]”表示框内的任意字符、范围、取反（使用“|”或“^”取反）。 如设置动态授权删除带abcd名称的文件或目录，即设置关联命令为rm -rf [abcd]，执行命令加任意abcd字符触发策略拦截，如执行rm -rf cloud。此时若执行rm -rf test或rm -rf ABCD，则不会触发策略拦截规则。 父主题： 命令控制策略

后续管理 命令控制策略创建完成后，可在策略列表页面，管理已创建策略，包括管理关联用户或资源、删除策略、启停策略、策略排序等。 若需补充关联用户或资源，可单击“关联”，快速关联用户、用户组、资源账户、账户组。 若需删除策略，可选择目标策略，单击“删除”，立即删除策略。 若需禁用策略授权，可勾选一个或多个“已启用”状态的策略，单击“禁用”，策略状态变更为“已禁用”，策略授权立即失效。 若需排序策略优先等级，可选中策略行上下拖动策略，改变策略排序。

后续管理 访问控制策略创建完成后，可在策略列表页面，管理已创建策略，包括管理关联用户或资源、删除策略、启停策略、策略排序等。 若需补充关联用户或资源，可单击“关联”，快速关联用户、用户组、资源账户、账户组。 若需删除策略，可选择目标策略，单击“删除”，立即删除策略。 若需禁用策略授权，可勾选一个或多个“已启用”状态的策略，单击“禁用”，策略状态变更为“已禁用”，策略授权立即失效。 若需排序策略优先等级，可选中策略行上下拖动策略，改变策略排序。 若需线下管理策略，可单击“导出”，以 CS V格式导出全量访问控制策略详情。

策略概述 堡垒机实例提供了控制策略的功能，可在堡垒机实例中提前配置部分策略，实现快速运维。 堡垒机支持访问控制、命令控制、数据库控制、改密和账户同步策略的预设。 表1 堡垒机支持预设的策略说明 支持预设的策略类型 策略说明 访问控制策略 访问控制策略用于控制用户访问资源的权限。 命令控制策略 命令控制策略用于控制用户访问资源的关键操作权限，实现Linux主机运维操作的细粒度控制。 数据库控制策略 数据库控制策略是用于拦截数据库会话敏感操作，实现数据库运维操作的细粒度控制。授权用户登录策略关联的数据库资源，当数据库运维会话触发规则，将会拦截数据库会话操作。 改密策略 改密策略用于对主机资源账户自动改密，并可针对多个主机资源账户同时定期改密，提高资源账户安全性。 改密策略支持以下功能项： 支持通过策略手动、定时、周期修改资源账户密码。 支持生成不同密码、相同密码，以及生成自定义相同密码。 账户同步策略 账户同步策略用于对主机资源账户自动同步，管理主机上资源账户，及时发现僵尸账户或未纳管账户，加强对资源的管控。 父主题： 策略管理

编辑资源账户组成员 方式一 在账户组页面单击账户组名称或“操作”列的“管理”进入账户组详情页面。 在账户组成员区域右侧单击“添加”，在弹窗中勾选需要加入组的资源账户。 可根据资源账户、关联资源、主机地址、应用地址搜索目标资源账户。 确认无误，单击“确定”，完成修改。 单击目标资源账户的名称或“操作”列的“查看”，可查看资源账户详细信息。 单击关联的资源名称可查看资源的详细信息。 单击目标资源账户“操作”列的“移除出组”，可将目标资源账户移除出当前账户组。 方式二：仅添加资源账户至账户组 在账户组列表页面单击目标账户组“操作”列的“添加成员”。 在弹窗中勾选需要加入组的资源账户。 可根据资源账户、关联资源、主机地址、应用地址搜索目标资源账户。 确认无误，单击“确定”，完成修改。

批量验证账户组的资源账户 对已加入账户组的资源账户，可一键批量验证账户组内资源账户状态。 在账户组列表页面勾选需要验证的账户组，单击列表下方的“验证”，弹出验证配置框。 设置“连接超时”时间，以及“任务完成通知”。 默认“连接超时”时长为10秒。网络条件不佳时，可增加“连接超时”时长。 默认情况下，不发送任务完成通知。 可勾选“邮件通知”，验证完成后在任务中心查看验证结果详情。 单击“确定”，返回资源账户列表页面，即可查看资源“状态”栏结果。

约束限制 添加的主机和应用资源数量总和不能超过资产数。 支持对Windows Server2008 R2及以上的Windows系统版本的应用进行管理。 支持对Centos7.9系统的Linux服务器的应用进行管理。 Linux服务器仅支持调用Firefox浏览器应用和达梦管理工具V8。 Linux服务器和堡垒机之间需要开通的端口号：2376和35000~40000，且端口号不可修改。 Linux服务器的密码请联系华为云技术支持获取。 添加应用发布前，需已添加应用服务器。 Edge浏览器应用不支持配置自动登录账户。

管理应用资源的资源账户 单击目标应用资源的名称或“操作”列的“管理”，进入应用资源详情页面。 在“资源账户”区域查看应用资源已关联的资源账户。 单击资源账户名称或“操作”列的“查看”，可查看目标资源账户的详细信息。 单击目标资源账户“操作”列的“移除”，可取消资源账户与当前应用资源的关联关系。 单击右侧“添加”，在弹窗中填写账户信息，为当前应用资源添加资源账户，参数详情请参见表3。 确认无误，单击“确定”，完成添加。

加入资源账户组 将资源账户加入组后，可实现对资源账户的批量管理。 方式一 在资源账户列表单击目标资源账户名称或“操作”列的“管理”，进入资源账户详情页面。 在“账户加入的组”区域查看已加入的资源账户组信息。 单击“账户加入的组”区域右侧的“编辑”，在弹窗中可对资源账户加入的组进行加入或移除。 单击已加入的目标账户组名称或“操作”列的“查看”，可查看该资源账户组的全部信息。 单击已加入的目标账户组“操作”列的“移除该组”，可将目标资源账户组与当前资源账户取消关联关系。 方式二 在资源账户列表单击目标资源账户“操作”列的“加入组”。 在弹窗中可对资源账户加入的组进行加入或移除。

导出资源账户信息 堡垒机支持批量导出资源信息，用于本地备份资源配置，以及便于快速管理资源基本信息。 为加强资源信息安全管理，支持加密导出资源信息。 导出的主机资源文件中包含主机基本信息、主机下所有资源账户信息、主机资源账户明文密码等。 导出的应用服务器文件中包含应用服务器基本信息、应用服务器账户信息、应用路径信息、服务器账户明文密码等。 导出的应用发布文件中包含应用发布基本信息、应用资源账户信息、应用资源账户明文密码等。 导出的资源账户文件中包含资源账户基本信息、关联资源信息、资源地址信息、资源账户明文密码等。 操作步骤 在资源账户列表页面，勾选需要导出的账户。 若不勾选，默认导出全部账户。 右上角单击，弹出导出资源账户确认窗口。 设置加密密码，将导出文件加密。 输入当前用户的密码，确保导出数据安全。 可选择csv或Excel导出格式。 单击“确认”，任务创建成功，单击“去下载中心”查看打包进度为100%时，单击“操作”列的“下载”，下载文件到本地，打开本地文件，即可查看导出的资源账户信息。

删除资源账户 在资源账户列表页面，单击目标资源账户“操作”列的“删除”。 在弹窗中确认删除信息，确认无误单击“确认”，完成删除。 如需批量删除，勾选多个资源账户，单击列表查下方的删除进行操作。 如果删除的资源账户为某一资源的唯一资源账户，删除后将无法登录目标资源进行运维，请谨慎操作。 删除目标资源账户前，请确保目标资源没有正在执行或操作中的任务，删除后会立即生效，正在执行的操作或会话会立即中断，请谨慎操作。

验证资源账户 资源账户状态用于标识纳管资源的账户密码是否正确，不能手动修改，只能通过验证账户更新。 资源账户支持“实时验证”和“自动巡检”验证功能。 资源账户验证是后台通过登录资源验证连通性，历史会话不记录该过程。 自动巡检 “自动巡检”在每月5号、15号、25号的凌晨一点，启动验证所有纳管的主机资源账户。验证完成后，系统管理员admin会收到验证结果消息（消息中心），不会生成任务。 实时验证 在资源账户列表页面，勾选指定账户，单击列表下方的“验证”，弹出验证配置框。 设置“连接超时”时间，以及“任务完成通知”。 默认“连接超时”时长为10秒。网络条件不佳时，可增加“连接超时”时长。 默认情况下，不发送任务完成通知。 可勾选“邮件通知”，验证完成后在任务中心查看验证结果详情。 单击“确定”，刷新“资源账户”列表页面，即可查看资源“状态”栏结果。 如需对某一资源账户组的所有资源账户进行批量验证，操作详情请参见资源账户组管理。 表1 资源账户状态说明 状态 说明 正常 经过“验证”，账号及密码正确，且能正常登录的资源账户，显示为“正常”状态。 异常 经过“验证”，账户或密码不正确，不能正常登录的资源账户，显示为“异常”状态。 未知 添加完资源账户后，未经过“验证”的资源账户，显示为“未知”状态。

资源纳管类型 纳管资源类型丰富，包括Windows、Linux等主机资源，MySQL、Oracle等数据库资源，Kubernetes服务器以及Windows应用程序资源。 支持C/S架构运维接入，包括SSH、RDP、VNC、TELNET、FTP、SFTP、DB2、MySQL、SQL Server、Oracle、SCP、Rlogin协议类型主机资源。 支持B/S、C/S架构应用系统资源接入，可直接配置12+种Edge、Chrome、Oracle Tool等浏览器或客户端Windows服务器应用资源。 表2 堡垒机支持纳管的资源类型 支持纳管的资源类型 支持纳管的资源系统及协议类型 主机资源 支持的协议类型：SSH、RDP、VNC、TELNET、FTP、SFTP、SCP、Rlogin。 支持的操作系统类型：Linux、Windows、Cisco、Huawei、H3C、DPtech、Ruijie、Sugon、Digital China sm-s-g 10-600、Digital China sm-d-d 10-600、ZTE、ZTE5950-52tm、Surfilter、ChangAn。 应用资源 Windows支持类型：MySQL Tool、Edge、Firefox-Windows、Oracle Tool、Chrome、VNC Client、SQL Server Tool、SecBrowser、VSphere Client、Radmin、dbisql、Navicat for MySQL、Navicat for PgSQL、Other、IE。 Linux支持类型：DM Tool、KingbaseES Tool、Firefox-Linux、GBaseDataStudio for GBase8a。 数据库资源 支持的协议类型：Gaussdb、Postgresql、DB2、MySQL、SQL Server、Oracle、DM。 容器资源 目前仅支持Kubernetes服务器。

资源纳管场景 堡垒机可纳管主机资源、应用资源、云服务（容器资源）以及数据库资源。 主机资源、数据库资源和应用资源纳管时支持批量导入和批量导出。 纳管应用资源、容器资源时需要先在堡垒机实例新建服务器与堡垒机实现连接，建立连接后再将连接的资源添加至堡垒机实例。 堡垒机除了能纳管在华为云资源外，在协议支持的情况下还可通过创建代理服务器的方式纳管线上非华为云资源和云下资源。 表1 堡垒机不同资源纳管说明 支持纳管的资源类型 纳管方式 主机资源 公网资源：在堡垒机实例通过新建、导入、自动发现进行连接纳管。 不同网络环境或专有网络环境资源：通过在堡垒机实例创建代理服务器实现纳管，目前仅支持SOCKS5代理。 应用资源 通过在堡垒机实例新建应用服务器，实现应用客户端与堡垒机实例的对接，随后在堡垒机实例新建应用资源实现纳管。 数据库资源 在堡垒机实例通过新建、导入、自动发现进行连接纳管。 容器资源 通过在堡垒机实例新建Kubernetes服务器，实现k8s的pod节点与堡垒机实例的对接，随后在堡垒机实例新建容器资源实现纳管。