检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用Web浏览器运维容器暂不支持“文件传输”功能。 “协同分享”指会话创建者将当前会话链接发送给协助者,协助者通过链接登录创建者的会话中参与运维,实现运维协同操作。 本小节主要介绍如何通过Web浏览器登录容器。 操作步骤 登录堡垒机系统。 选择“运维 > 云服务运维”,进入云服务器运维列表页面。
删除消息提醒 登录堡垒机系统。 单击右上角,展开消息中心小窗口。 可查看最新三条未读消息。 图4 消息中心小窗口 单击“查看更多”,进入消息中心列表页面。 图5 消息中心列表 勾选一条或多条消息,单击左下角“删除”,弹出删除消息确认窗口。 单击“确定”,即可立即删除选中消息。 消息删除后不可找回,请谨慎操作。
Windows操作审计 基于图形协议(RDP、VNC)终端和应用发布的行为操作审计,远程桌面的操作全纪录,包括键盘操作、功能键操作、鼠标操作、窗口指令、窗口切换、剪切板拷贝等。 数据库命令审计 基于数据库协议(DB2、MySQL、Oracle、SQL Server)的命令操作审计,记录从S
访问mysql协议主机失败,提示:“2013-Lost connection to MySQL server at ‘waiting for initial communicationpacket system error0” 问题现象 访问mysql协议主机失败,提示:“2013-Lost
dit)管理服务。 通过购买云堡垒机,使用admin账号添加资源和策略即可实现对资源的运维和审计,同时可通过admin账号创建不同角色进行权限划分管理。 本文以购买10资产量的标准版单机实例类型为例,实现快速对Linux主机资源的运维和审计。 购买版本:标准版 性能规格:10资产量
云堡垒机实例 一个云堡垒机实例对应一个独立运行的云堡垒机系统,用户登录云堡垒机控制台管理实例。只有创建了云堡垒机实例后,才能登录云堡垒机系统,实现安全运维管理与审计。 单点登录 单点登录(Single Sign On,SSO)是指在多个独立应用系统环境下,各个应用系统相互信任,在一个
在“基本信息”区域,单击“编辑”,弹出基本信息编辑窗口,即可修改主机资源的基本信息。 可修改信息包括“主机名称”、“主机地址”、“端口”、“系统类型”、“所属部门”和“主机描述”等。 “协议类型”不支持修改。 查看和修改主机资源账户。 在“资源账户”区域,单击“添加”,弹出添加账户窗口,可立即添加主机资源账户。
mysql协议访问数据库,执行备份数据库表提示1251-lost connection to mysql server during query 问题现象 mysql协议访问数据库,执行备份数据库表提示lost connection to mysql server during query
账户的状态。 说明: 验证账户通过后,直接保存资源主机相关信息。 验证账户不通过 提示验证账户超时,请返回配置窗口,确认并修改资源信息。 提示账户密码错误,请返回配置窗口,确认并修改资源账户密码。 账户描述 对资源账户的简要描述。 未配置主机账户和密码时,默认创建“[Empty]
账户的状态。 说明: 验证账户通过后,直接保存资源主机相关信息。 验证账户不通过 提示验证账户超时,请返回配置窗口,确认并修改资源信息。 提示账户密码错误,请返回配置窗口,确认并修改资源账户密码。 SSH Key 针对SSH协议类型主机,可配置登录SSH Key验证。 配置后优先使用SSH
先创建应用服务器后,再通过文件导入、新建实现对应用资源的纳管,纳管后可对应用资源所有信息进行查看,以实现对资源的运维。 √ √ 云服务资源管理 先创建Kubernetes服务器后,再通过新建实现对容器节点资源的纳管,纳管后可对容器资源所有信息进行查看,以实现对资源的运维。 × √ 资源系统类型管理
新建命令控制策略 命令控制策略用于控制用户访问资源的关键操作权限,实现Linux主机运维操作的细粒度控制。 针对SSH和Telnet字符协议主机,根据管理员配置的策略限制,Guacd代理对用户运维过程中执行的命令进行审计和过滤,并返回审计的命令、过滤结果和命令返回的内容,用于会话操作记录、动态授权、断开连接等动作。
设置自动执行步骤将系统磁盘文件或本地文件快速上传到多个目标主机路径。此外,可设置执行周期和时间定期执行任务,并可同时执行多种任务步骤类型,实现多台资源设备自动化运维,提高运维效率。 支持分步骤同时对多个SSH协议资源批量执行多种运维操作,可同时运维操作包括执行命令、执行脚本、传输文件。
资源的账户和密码。 运维人员访问资源时,无需输入资源的账户和密码,在“主机运维”或“应用运维”页面单击“登录”,即可成功自动登录到目标资源实现运维。 Edge类型应用资源不支持配置“自动登录”。 SSH协议类型主机资源配置SSH Key后,需优先使用SSH Key登录。 手动登录
已添加主机或应用资源。 新建单个资源账户 登录堡垒机系统。 选择“资源 > 资源账户”,进入资源账户列表页面。 单击“新建”,弹出资源账户编辑窗口,配置资源账户的属性。 图1 新增资源账户 表1 新建资源账户参数说明 参数 说明 关联资源 选择已添加的主机或应用资源。 登录方式 选择
查看和修改规则集基本信息。 在“基本信息”区域,单击“编辑”,弹出基本信息编辑窗口,即可修改规则集的基本信息。 可修改信息包括“规则集名称”,“协议”、“部门”不可修改。 查看和修改规则。 在“规则”区域,单击“添加”,弹出添加规则窗口,可立即添加库、表、命令规则。 单击“移除”,可立即删除该规则。
登录堡垒机系统。 选择“系统 > 系统配置 > 端口配置”,进入系统端口配置页面。 在“运维端口配置”区域,单击“编辑”,弹出运维端口配置窗口。 配置SSH/SFTP端口号,默认端口号2222。 FTP代理服务,默认为关闭。开启FTP代理服务,默认端口号2121。 单击“确定”,返回端口配置页面,重启系统生效配置。
如何创建云堡垒机数据库运维? 云堡垒机支持通过主机运维和应用运维两种方式管理数据库,可管理多种协议类型的云上数据库,具体请参考云堡垒机支持管理哪些数据库?。主机运维方式提供增删改查操作命令审计。应用运维方式提供操作会话视频审计。 标准版仅支持应用运维方式,不支持直接运维数据库,需要建立应用发布服务器才可以运维数据库。
使用堡垒机时需要配置哪些端口? 为了能正常使用堡垒机,实例和资源安全组端口配置可参考表1。 堡垒机跨版本升级会自动开放80、8080、443、2222共四个端口,升级完成后若不需要使用请第一时间关闭。 堡垒机主备实例跨版本升级还会自动开放22、31036、31679、31873共
操作指令准确拦截 针对资源敏感操作进行二次复核,系统预置标准Linux字符命令库或自定义命令,对运维操作指令和脚本的准确拦截,并可通过异步“动态授权”,实现对敏感操作的动态管控,防止误操作或恶意操作的发生。 核心资源二次授权 借鉴银行金库授权机制,针对重要资源的运维权限设置多人授权,若需登录此
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
