检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
管理命令任务 堡垒机支持快速运维功能,用户可通过命令方式快速运维多个目标资源。通过将命令在多个SSH协议主机资源上执行,并根据发起的命令,返回相应执行结果。 本小节主要介绍如何管理命令任务,包括创建命令任务、执行命令任务、中断命令任务、查看任务执行结果等。
自定义关联命令 命令控制策略关联的自定义的命令,关联命令后,在执行相关命令或参数时,触发拦截和允许操作。 自定义关联命令大小写敏感,严格按照设置的关联命令进行审核和过滤,若执行命令与设置命令不一致,则不能触发策略规则。详细设置说明和示例,请参考如下说明: 支持单命令格式。
管理命令集 为简化添加大量命令的繁琐操作,可查询并添加常见命令参数,包括Linux主机和网络设备常见命令参数。 本小节主要介绍如何新建关联命令集、查看命令集、修改命令集、删除命令集、批量导入命令集。 前提条件 已获取“命令控制策略”模块操作权限。 新建命令集 登录堡垒机系统。
单击“下一步”,关联命令或命令集。 关联命令:可设置多个命令,每行输入一条命令。详细设置说明请参见自定义关联命令。 关联命令集:关联已创建的命令集。详细命令集说明请参见管理命令集。 单击“下一步”,关联用户或用户组。
查看和修改策略关联的命令。 在“命令”区域,单击“编辑”,弹出关联命令窗口,可立即修改命令参数。 单击“移除”,可立即删除该关联命令。 查看和修改策略关联的命令集。 在“命令集”区域,单击“编辑”,弹出关联命令集窗口,可立即添加或移除关联的命令集。
命令控制策略 新建命令控制策略 查询和修改命令控制策略 管理命令集 自定义关联命令 父主题: 系统策略
已触发命令拦截,生成命令授权工单。 操作步骤 登录堡垒机系统。 选择“工单 > 命令授权工单”,进入命令授权工单列表页面。 图2 命令授权工单 提交工单。 命令授权工单可通过“自动提交”和“手动提交”。工单提交方式说明请参见配置工单基本模式。
启动实例 以下场景需要启动实例: 当实例关闭后,实例的“运行状态”为“关闭”时,如果需重新登录使用云堡垒机系统,则需执行启动实例操作。 当实例异常时,实例的“运行状态”为“异常”时,为重新登录使用云堡垒机系统,可尝试执行启动实例操作。 操作步骤 登录管理控制台。
命令并按“Enter”,保存修改并退出。 执行以下命令,重启sshd服务。 service sshd restart 回显如下信息表示sshd服务重启成功。
启动堡垒机实例 功能介绍 启动云堡垒机实例。 调用方法 请参见如何调用API。 URI POST /v2/{project_id}/cbs/instance/start 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID。
单击“添加任务步骤”,选择添加任务类型“执行命令”、“执行脚本”或“传输文件”。 选择一个或多个任务类型,并配置任务参数。 运维任务步骤数不限制,一个任务可添加多个执行步骤。 单击“确定”,返回任务列表页面,查看新建的运维任务。
多资源快速运维:支持快速将命令或脚本在多个SSH协议资源上执行,并根据发起的命令和脚本,返回相应执行结果;此外,还支持将一个或多个文件上传到多个资源上,并返回文件上传结果。 详细操作请参见快速运维。
命令拦截 呈现用户或资源所属会话触发的拦截的命令数量,默认按小时呈现当天运维数据变化趋势。 拦截命令类型包括断开连接、拒绝执行、动态授权。 在“详细数据”区域,可查看操作执行时间、用户登录名、资源名称、协议类型、资源账户、操作指令、执行动作等信息。
解决方法 安装ICAgent的命令是以curl命令开始,如果curl命令前面存在set +o history; 字段,请删除后和堡垒机对接,适配的安装ICAgent参数如下: curl http://icagent-{region}.obs.
Web运维不支持执行rz/sz命令上传/下载文件。 FTP/SFTP客户端运维 需先将Linux主机配置为FTP、SFTP协议主机资源。 通过客户端工具登录目标Linux主机,可在会话窗口执行rz/sz命令传输文件。
命令控制策略设置成功后,授权用户登录云堡垒机,登录目标主机,执行相关命令触发命令拦截,生成命令授权工单。 图1 动态拦截 授权用户选择“工单 > 命令授权工单”,查看并提交工单。 详细动态授权工单说明请参见命令授权工单和数据库授权工单。
运维用户可对数据库资源执行增删改查运维命令,并可在实时会话查看正在执行的操作命令,在历史会话查看历史操作命令记录。 运维用户在操作关键命令时,触发“动态授权”操作命令,系统自动拦截操作命令,生成数据库授权工单。运维用户需提交工单申请,待管理员审批工单后,才能继续操作。
表1 CBH支持的访问控制方式 访问控制方式 简要说明 详细介绍 权限控制 VPC 虚拟私有云(Virtual Private Cloud)是用户在华为云上申请的隔离的、私密的虚拟网络环境。
当运维用户登录数据库进行运维操作时,触发“动态授权”数据库控制策略的操作命令,系统会自动拦截操作命令,生成数据库授权工单。管理员将会收到工单审批申请。当管理员用户批准工单后,运维用户才有执行该数据库“动态授权”操作命令的权限。 本小节主要介绍如何管理数据库授权工单。
操作指令准确拦截 针对资源敏感操作进行二次复核,系统预置标准Linux字符命令库或自定义命令,对运维操作指令和脚本的准确拦截,并可通过异步“动态授权”,实现对敏感操作的动态管控,防止误操作或恶意操作的发生。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
