检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
当Windows远程桌面连接数超过最大限制时,用户将无法登录。堡垒机通过开启“admin console”,在远程桌面连接用户超限时,用户可挤掉已登录的用户,强制登录。 本小节主要介绍如何开启admin console配置。 约束限制 仅对RDP协议类型主机生效。 登录时需使用admin账户登录。
堡垒机和主机必须要在同一个区域,同一个VPC下,具体的限制请参考网络使用限制。跨VPC的子网默认不能通信,虽可通过创建对等连接使不同VPC的子网通信,但受限于跨VPC场景下网络的复杂性和网段冲突的可能性,不建议跨VPC使用云堡垒机管理资源。 父主题: 产品咨询
云堡垒机支持添加SSH、RDP、VNC、TELNET、FTP、SFTP、DB2、MySQL、SQL Server、Oracle、SCP、Rlogin等协议类型的主机资源,包括Linux主机、Windows主机和数据库等,支持通过单个添加和批量导入的方式添加主机资源。此外,CBH支持纳管用
数据库控制策略 数据库控制策略是用于拦截数据库会话敏感操作,实现数据库运维操作的细粒度控制。授权用户登录策略关联的数据库资源,当数据库运维会话触发规则,将会拦截数据库会话操作。 改密策略 改密策略用于对主机资源账户自动改密,并可针对多个主机资源账户同时定期改密,提高资源账户安全性。 改密策略支持以下功能项:
个TELNET和1个MySQL协议的主机资源,以及1个Chrome浏览器的应用资源,则当前管理的资产数即为5,而不是1。 并发数 并发数是指云堡垒机上同一时刻连接的运维协议连接数。 例如,10个运维人员同时通过云堡垒机运维设备,假设平均每个人产生5条协议连接(例如通过SSH客户端
能键操作、鼠标操作、窗口指令、窗口切换、剪切板复制等。 数据库命令审计 基于数据库协议(DB2、MySQL、Oracle、SQL Server)的命令操作审计,记录从SSO单点登录数据库到数据库命令操作全程,支持解析数据库操作指令,100%还原操作指令。 文件传输审计 基于远程桌
2008 R2(所有软件包已经全部安装完成) IP:192.168.X.X/X 网关:192.168.X.X DNS:192.168.X.X 域名:example.com 计算机名:server 父主题: 安装Windows Server 2008 R2应用服务器
“应用运维”与“主机运维”使用相同的Web运维会话操作界面,快捷键操作方式相同。 数据库运维,由于通过SSOTool调用本地数据库客户端,Windows快捷键仍适用。 SSH客户端运维和FTP/SFTP客户端运维,由于直接通过客户端工具登录CBH系统连接主机,快捷键与客户端工具快捷键通用。
现象二的原因: 用户使用了RDP协议类型的主机,Windows远程桌面连接数超过最大限制。 主机运维Windows资源时,登录堡垒机用户不是admin。 解决办法 现象一的解决办法:参考开启RDP强制登录章节,去掉勾选“admin console”连接模式。 现象二的解决办法: 使用admi
资源主机网络连接正常,且资源账户登录账号和密码无误。 操作步骤 打开本地Xshell客户端工具,选择“文件 > 新建”,新建用户会话。 配置会话用户连接。 方式一 选择协议类型SSH,输入堡垒机实例弹性IP地址,端口号配置为2222,单击“确认”。 图1 配置会话属性 连接到会话,输入堡垒机用户名,单击“连接”。
能键操作、鼠标操作、窗口指令、窗口切换、剪切板拷贝等。 数据库命令审计:基于数据库协议(DB2、MySQL、Oracle、SQL Server)的命令操作审计,记录从SSO单点登录数据库到数据库命令操作全程,支持解析数据库操作指令,100%还原操作指令。 文件传输审计:基于远程桌
过Excel文件导入资源和通过云平台导入资源,详细参见主机管理的批量导入。 “从文件导入”的Excel文件需配置内容,包括名称、IP地址/域名、协议类型、端口、系统类型、所属部门、标签、主机描述、主机账户、登录方式、特权账户等。 “从文件导入”方式的Excel文件,需严格按照表格
云堡垒机是否提供第三方License? 不提供。 云堡垒机有Navicat等第三方插件相关的功能,若用户通过Navicat等第三方插件进行数据库等资产管理,由于Navicat属第三方应用,云堡垒机不提供相应License认证,需要单独联系Navicat申请License。 父主题:
在此示例中,以标识云主机ECS和云数据库RDS资源为例,为每个运维资源分配了两个标签,“标签1”按照团队标识,“标签2”和“标签3”按照项目标识,用户可根据不同标签筛选所标识的资源。 图1 标签示例 用户添加标签后,可在CBH系统通过标签检索资源,并管理资源标签,参见表1。 表1 CBH标签使用说明 界面入口
配置RDP资源客户端代理(3.3.26.0及以上版本) 使用了RDP协议的服务器在通过堡垒机使用RDP连接服务器时,会使用安全层的校验,可自行选择不同的安全层校验模式。 前提条件 用户已获取“系统”模块管理权限。 操作步骤 登录堡垒机系统。 选择“系统 > 系统配置 > 安全配置”,进入系统安全配置管理页面。
设置远程桌面授权模式 限制连接的数量 选择“计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 连接”,进入服务器连接配置页面。 双击“限制连接的数量”,打开设置窗口。 勾选“已启用”,开启连接数量限制。 设置允许RD最大连接数位999999。 单击“确定”,完成设置。
设置远程桌面授权模式 限制连接的数量 选择“计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 连接”,进入服务器连接配置页面。 双击“限制连接的数量”,打开设置窗口。 勾选“已启用”,开启连接数量限制。 设置允许RD最大连接数位999999。 单击“确定”,完成设置。
dc=com',例如10.10.10.10:'389/ou=test,dc=com'。 Azure AD认证时填写域名。 姓名 填入使用人员的姓名。 手机 填入使用人员的手机号码。 邮箱 (必填)填入使用人员的邮箱地址。 角色 (必填)填入用户的系统角色。 仅能填入一个角色类型, 默认可选角色包括部
登录堡垒机只能使用该方式登录。 手机令牌:在堡垒机配置手机号码后,在移动端或小程序注册后使用生成的动态密码进行登录。 手机短信:在堡垒机配置手机号码后,登录时可使用随机验证码进行登录。 USBKey:需提前获取到正确的USBKey及密令,在堡垒机配置关联账户后可使用该方式登录。
更改安全组。 为确保云堡垒机正常连接资源,ECS主机、RDS数据库等资源需配置合理安全组规则,放开相应网关IP和端口,并允许云堡垒机“私有IP地址”访问,资源安全组配置可参考ECS安全组配置。 云堡垒机正常使用,实例和资源安全组端口配置可参考使用堡垒机时需要配置哪些端口?。 配置云堡垒机安全组
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
