检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
通过堡垒机登录服务器资源,报“并发会话超出许可限制”怎么办? 问题现象 多个用户同时通过SSH连接方式登录云堡垒机纳管的服务器时,堡垒机允许同时登录的账号数有上限,当登录的账号数超出上限值时,必须退出一个账号才能再登录一个账号。 问题原因 该问题是由于并发数限制导致的。
开启了云审计服务后,系统开始记录云堡垒机实例的相关操作,云审计服务管理控制台将保存最近7天的操作记录。云审计服务支持的CBH实例操作参考表1。
通过调用IAM服务获取用户Token接口获取(响应消息头中X-Subject-Token的值)。
如何解决“mstsc客户端访问服务器资源时,移动界面应用有黑屏”的问题? 问题描述 通过mstsc客户端访问服务器资源时,移动界面应用有黑屏。
权限验证 以User1通过云堡垒机系统登录ECS1,进行Web运维为例。 User1登录云堡垒机系统。 选择“运维 > 主机运维”,在ECS1行单击“登录”,跳转到ECS1运维窗口。 单击“文件传输”,即可查看到主机网盘或云主机上文件。
None 服务介绍 云堡垒机 CBH 视频介绍 02:39 云堡垒机CBH服务介绍 云容器引擎 CCE 简介 07:25 云容器引擎简介 云容器引擎 CCE 服务介绍 03:23 云容器引擎服务介绍 操作视频 云堡垒机 CBH 服务操作 02:39 快速入门 云容器引擎 CCE 简介
后续管理 提交工单申请后,相关管理员即可在“消息中心”收到提醒,查看详细工单内容。并可在工单审批页面收到工单,可对工单进行批准或驳回操作。 提交工单申请后,若需修改已提交的工单,可单击“撤回”,取消已提交的工单申请,工单状态变为“已撤回”。
“消息中心”收到导出系统报表完成提醒,即可在邮箱收到系统报表文件。 自动发送 登录堡垒机系统。 选择“审计 > 系统报表”,进入系统报表查看页面。 单击右上角的“报表自动发送”,弹出系统报表自动推送配置窗口。 配置报表推送方式、时间和文件格式。
后续管理 运维用户提交工单后,相关管理员即可在“消息中心”收到提醒,查看详细工单内容。并可在工单审批页面收到工单,可对工单进行批准或驳回操作。 相关管理员审批工单通过后,运维用户权限立刻生效,即可在授权范围和时间段拥有操作权限。
用户在配置云堡垒机安装远程桌面服务,创建一个应用发布服务器时,需要输入企业协议号码授权,企业协议号非免费提供套件。 云堡垒机不提供企业协议号,应用发布服务器为第三方管理插件,企业协议号需要客户自行申购。
统一身份认证(Identity and Access Management,IAM)是华为云提供权限管理的基础服务。默认情况下,新建的IAM用户没有任何权限,您需要授权IAM用户后,IAM用户才可以基于已有权限对云服务进行操作。
设置代理服务器 在需要对跨网络域的服务器进行管理运维前,需要在对端网络域中配置一台网络代理服务器。将该代理服务器与业务服务器通过内网进行互通,再将代理服务器到云堡垒机网络进行互通,即可完成云堡垒机到业务服务器之间跨域的网络互联。 该部分操作是达成堡垒机跨域纳管主机资源的前提。
配置RDP资源客户端代理(3.3.26.0及以上版本) 使用了RDP协议的服务器在通过堡垒机使用RDP连接服务器时,会使用安全层的校验,可自行选择不同的安全层校验模式。 前提条件 用户已获取“系统”模块管理权限。 操作步骤 登录堡垒机系统。
图4 添加资源账户 单击“确定”,且资源账户验证通过后,返回主机列表查看添加的主机资源。 步骤四:添加访问控制策略 资源添加后,需要为资源绑定账户或访问IP,以确保资源的访问安全性。 在堡垒机实例选择“策略 > 访问控制策略”,进入策略列表页面。
查看云审计日志 开启了云审计服务后,系统开始记录CBH实例的操作。云审计服务管理控制台保存最近7天的操作记录。 操作步骤 登录管理控制台。 在管理控制台左上角单击图标,选择区域和项目。 在主页选择“管理与监管 > 云审计服务”,进入云审计服务信息页面。
CBH实例权限及授权项 如果您需要对您所拥有的云堡垒机(Cloud Bastion Host,CBH)服务进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,IAM),如果华为云账号已经能满足您的要求,不需要创建独立的IAM
系统类型作为标签标识对应服务器,同时用于服务器改密,存放改密参数,执行改密策略时,会按照资源的同一系统类型执行脚本。
授权后,用户就可以基于被授予的权限对云服务进行操作。 CBH实例部署时通过物理区域划分,为项目级服务。
FTP代理服务,默认为关闭。开启FTP代理服务,默认端口号2121。 单击“确定”,返回端口配置页面,重启系统生效配置。 父主题: 端口配置
图7 关联用户和资源 效果验证 运维用户执行高危操作,触发拦截,申请操作权限。管理员通过对高危操作的二次审核,加强对数据库核心资产的管控力度。 运维用户User_A登录资源RDS_A。 登录云堡垒机系统。 选择“运维 > 主机运维”。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
