检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
客户在使用过程中,低概率出现无法通过192网段的VM访问堡垒机。 登录堡垒机检查网络配置,发现出现红框中的路由。 图1 检查网络配置 问题原因 客户的堡垒机未升级,使用的是3.3.26.0之前的版本,堡垒机3.3.26.0之前的版本存在缺陷。在堡垒机业务压力大的情况下,当进行系统状态检查时,线程异常退
发送周期 选择报表发送周期。 默认为目标日期的零点发送报表。 可以按每日、每周、每月周期进行发送。 每日发送的报表中展示粒度为按小时。 每周发送的报表中展示粒度为按天。 每月发送的报表中展示粒度为按周。 文件格式 选择报表格式,仅可选择一种格式类型。 默认选DOC格式。 可选择PDF、DOC、XLS、HTML格式。
Key):与访问密钥ID结合使用的密钥,对请求进行加密签名,可标识发送方,并防止请求被修改。 使用AK/SK认证时,您可以基于签名算法使用AK/SK对请求进行签名,也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 签名SDK只提供签名功能,与服务提供的SDK不同,使用时请注意。
通过Web浏览器登录容器,提供“协同分享”功能。用户在主机上执行的所有操作,被堡垒机记录并生成审计数据。 使用Web浏览器运维容器暂不支持“文件传输”功能。 “协同分享”指会话创建者将当前会话链接发送给协助者,协助者通过链接登录创建者的会话中参与运维,实现运维协同操作。 本小节主要介绍如何通过Web浏览器登录容器。
排查步骤 可能的原因 解决办法 排查堡垒机的版本是否是最新的版本 堡垒机版本太低 参照升级版本章节,对堡垒机进行升级。 排查待上传/下载的文件是否打包成压缩文件 堡垒机不支持下载文件夹, 需要把文件夹打包成压缩文件才可以上传/下载。 把文件夹打包成压缩文件,再进行上传/下载。 排查是否配置了上传/下载权限
运维人员通过堡垒机登录资源后,审计管理员将会实时收到会话记录,通过实时会话查看正在进行的运维会话,以免运维违规操作造成损失。 本小节主要介绍如何查询和查看实时会话。 前提条件 已获取“实时会话”模块管理权限。 有正在进行中运维会话。 操作步骤 登录堡垒机系统。 选择“审计 > 实时会话”,进入实时会话列表页面。
新建账户同步策略 账户同步策略用于对主机资源账户自动同步,管理主机上资源账户,及时发现僵尸账户或未纳管账户,加强对资源的管控。 账户同步策略支持以下功能项: 支持通过策略手动、定时、周期同步主机上资源账户。 支持拉取目标主机上账户,判断账户的可用情况,并更新系统资源账户状态。 支
关于系统”,查看系统版本信息。 确认变更规格后系统的“版本号”和“设备系统”信息。 图1 查看系统版本 确认变更规格后系统授权规格是否为目标规格。 选择“系统 > 系统维护 > 授权许可”,查看授权信息。 图2 查看授权规格 将变更规格后系统的授权信息,与选择目标版本规格进行对比,确认是否一致。 如果一致,则变更规格成功。
开启,表示启用SSL加密认证,将加密同步用户或认证用户所传输的数据。 模式 选择“同步模式”。 端口 AD域远程服务器的接入端口,默认389端口。 登录名 输入AD域服务器的账户的登录名。 密码 输入AD域服务器的账户的密码。 域 输入AD域的域名。 Base DN 输入AD域远程服务器上的基准DN。 部门过滤 输入AD域远程服务器上待过滤的部门。
本文汇总了云堡垒机(CBH)服务的常见应用场景的操作实践,并为每个场景提供详细的方案描述和操作指南,以帮助您使用CBH快速管理资源。 CBH最佳实践 表1 CBH最佳实践 分类 相关文档 变更规格 变更云堡垒机规格 高危操作的复核审批 数据库运维高危操作的复核审批 等保合规 云堡垒机等保最佳实践
原因七:堡垒机版本较低。 解决办法 原因一: 定期“手动删除”指定日期前的日志、视频等历史数据。设置磁盘空间满时日志“自动删除”,保证磁盘有足够空间。详细配置说明请参见存储配置。 对云堡垒机实例进行规格变更,满足大容量磁盘需求。 建议配置系统性能的磁盘空间使用率告警通知,当磁盘空间使用率超过设定阈值
单击“文件传输”,加载不出文件列表(一直转圈)。 可能的原因 Linux服务器的目录下,有特殊字符(乱码)的文件或者文件夹导致的。 解决办法 检查Linux服务器目录下是否有乱码文件或者文件夹。建议将有乱码的文件名或者文件夹名进行重命名,否则无法加载出目录列表。 父主题: 文件传输类
基本原理:LDAP基于TCP/IP协议的目录访问协议,是Internet上目录服务的通用访问协议,形式一个树状目录类的数据库。 IP:LDAP服务器的IP地址。 端口:根据实际情况选择,默认选择389端口。 用户OU:LDAP中树状形式的组织信息,DN是分支节点到根目录的路径,Base_DN则是
2008或Windows Server 2008 R2”,选择许可证类型:“TS或RDS每用户CAL”,输入允许的最大远程连接数量。 单击“完成”。 RD授权服务器已经激活,图标也由红“×”变为绿“√”,远程桌面服务的配置和激活全部完成。 父主题: 安装Windows Server 2008
账号 用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用他们进行日常管理工作。 用户 由账号在IAM中创建的用户,是云服务的使用人员,具有身份凭证(密码和访问密钥)。
系统审计日志能保存多久? 在云堡垒机系统数据盘空间使用率低于90%情况下,系统审计日志默认可保存180天。 因云堡垒机系统默认开启了“自动删除”功能,将根据日志存储历史和系统存储空间使用率,触发自动删除历史日志。 您也可以修改自动删除设置,修改“自动删除”中日志保存时间,在系统数据盘空间充裕情况下,可
输入RADIUS服务器上用户密码,用于测试配置的RADIUS服务器信息是否正确。 测试 单击测试,用于测试配置的RADIUS服务器信息是否正确。 单击“确认”,返回RADIUS认证服务器表中,即可查看和管理的RADIUS认证配置信息。 后续管理 若需修改认证信息、关闭认证等,可单击“编辑”,在弹出的RADIUS配置窗口重新配置。
在欧洲地区有业务的用户,可以选择“欧洲-巴黎”区域。 资源的价格 不同区域的资源价格可能有差异,请参见华为云服务价格详情。 如何选择可用区? 是否将资源放在同一可用区内,主要取决于您对容灾能力和网络时延的要求。 如果您的应用需要较高的容灾能力,建议您将资源部署在同一区域的不同可用区内。
0及以下版本存在连接稳定性问题的通知 华为云堡垒机系统V3.3.21.0及以下版本存在连接不稳定的问题,该问题触发时会影响续期、升级、重启、变更规格等功能使用,新版本修复了该问题。 影响的版本范围 影响的CBH版本:V3.3.21.0及以下版本。 稳定版本 高于且包括3.3.26.0的版本。 解决方案
登录堡垒机的所有日志记录,系统操作日志指登录后在堡垒机控制台所有操作的日志记录,包括但不限于对资源账户或用户的新增、删除、修改以及登录行为记录等。 例如运维人员登录堡垒机系统,执行配置权限、审计管理等操作后,审计管理员将会收到系统日志记录。通过系统日志记录,可查询详细的系统登录和操作记录,在线审计系统日志。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
