检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
当云堡垒机系统有新版本时,用户为使用优化或新增的系统功能,用户需对系统进行版本升级。 需备份数据 版本升级前,为实现新云堡垒机系统中复用数据信息,用户需在系统升级前手动备份系统数据,系统升级完成后再导入备份数据。 针对不同的数据信息,用户需分别进行导出/导入操作,才能完成所有数据的备份。 表1 版本升级需备份数据
数据库运维高危操作的复核审批 云堡垒机专业版支持通过执行命令运维数据库,包括数据删除、修改、查看等运维操作。为确保数据库敏感信息的安全,避免关键信息的丢失和泄露,本文针对运维用户访问和运维数据库关键信息,详细介绍了如何设置数据库高危操作的复核审批,以及如何实现关键信息的重点监控。 本
能删除具体某一天的数据。 没有备份的数据删除后不能恢复,建议您对重要的数据进行备份,具体的操作请参见备份系统配置。 更多云堡垒机数据删除操作,请参见系统存储配置。 父主题: 审计运维日志
上传成功后,单击“确定”,完成系统配置文件的导入。 配置文件导入成功后,系统后台读取配置数据还原系统,全程约需5min。如果备份的系统配置数据量大,可能需要时间更长。 导入资源账户文件 因不同CBH系统认证密钥的不同,变更规格后可能导致配置文件导入的资源账户不能正常登录。为确保资源账户的可用性,建议重新导入备份的资源账户。
填写服务器地址、端口、用户名,输入登录密码。 支持使用API的登录方式登录FTP、SFTP协议类型的主机。 表3 登录参数说明 参数 说明 登录IP 配置信息的服务器地址,即堡垒机登录IP地址。 登录端口 配置信息的端口,默认端口号2222。 登录用户名 配置信息的用户名,即“用户登录名@资源账号名@主
访问次数”、“会话时长”、“来源IP访问数”、“会话协同”、“双人授权”、“命令拦截”、“字符命令数”和“传输文件数”等趋势图和详细数据。 约束限制 趋势图最多呈现连续180天的运维数据变化趋势。 默认按小时呈现当天运维数据变化趋势。 筛选周期时间在同一月且在同一周时,仅可选择按天呈现趋势图。
开启国密配置后,将重启堡垒机系统,除网络配置、admin密码及admin的手机号和邮箱外,其余所有配置和数据将会删除。 前提条件 用户已获取“系统”模块管理权限。 操作步骤 登录堡垒机系统。 选择“系统 > 系统配置 > 安全配置”,进入系统安全配置管理页面。 在“国密配置”模块的右侧,单击“编辑”,进入“国密配置”页面。
通过SSO单点客户端登录和运维数据库资源 通过SSO单点客户端调用本地数据库工具,登录和运维数据库资源,实现对数据库的运维审计。用户需先在本地安装SSO单点登录工具和数据库客户端工具,然后配置数据库客户端工具路径。 本小节主要介绍如何配置SSO单点客户端,以及如何通过SSO单点客户端登录数据库资源。
服务韧性 CBH通过多活无状态的跨AZ部署、AZ之间数据容灾等技术方案,保证业务进程故障时快速启动并修复,以保障服务的持久性和可靠性。 同时,基于华为云平台的防护能力,防御DoS攻击。 父主题: 安全
创建数据本地备份 为加强对系统数据的容灾管理,堡垒机支持配置日志备份,提高审计数据安全性和系统可扩展性。 本小节主要介绍如何创建系统本地备份。 注意事项 支持系统本地备份的日志包括系统登录日志、资源登录日志、命令操作日志、文件操作日志、双人授权日志。 系统本地备份创建成功后,会在系统数据盘生成一个日志文件。
“部门”是用于划分组织结构,标识用户和资源的组织。系统默认有一个部门“总部”,仅可在“总部”基础上创建部门分支,且“总部”不可删除。 根据部门划分用户组织结构后,下级部门用户不能查看上级部门信息,包括上级部门组织结构、用户、主机资源、应用资源、应用发布服务器、资源账户,以及上级部门配置的策略信息和运维审计数据。
能”。 可能原因 云堡垒机“复制/粘贴”有字符数限制,不支持从用户本地“复制/粘贴”超过8万字符的文本。 解决办法 用户获取主机资源“文件管理”权限,分别需要开启主机“文件管理”功能和授权用户“文件管理”权限。 主机资源开启“文件管理”功能,请参见修改主机配置。 授权用户“文件管
置空表示备份内容存放到FTP/SFTP服务器用户的主目录下,例如绝对路径/home/用户名。 测试连通性 用于测试配置的FTP或SFTP服务器是否可达。 只检测堡垒机到FTP/SFTP服务器的网络状况,不验证服务器的用户账号。 备份内容 选择需备份的日志类型,至少需勾选一个类型。 系统配置
本节定义了堡垒机上报云监控服务的监控指标的命名空间和监控指标列表,用户可以通过云监控服务提供管理控制台来检索堡垒机产生的监控指标和告警信息。 堡垒机实例在V3.3.30及以上版本才支持对接云监控服务(CES)。 命名空间 SYS.CBH 命名空间是对一组资源和对象的抽象整合。在同一个集群
表示关闭备份日志至Syslog服务器。 发送者标识符 自定义堡垒机到Syslog服务器的标识符。用于在Syslog日志服务器,区分所接收的日志来自于相应的堡垒机。 服务器IP 输入Syslog服务器的IP地址。 端口 输入Syslog服务器的端口。 协议 选择Syslog服务器协议类型。 可选择TCP或UDP。
对请求进行加密签名,可标识发送方,并防止请求被修改。 EndPoint 输入桶所在区域的终端节点。 获取所在区域OBS的Endpoint,请参见查看桶信息。 桶 输入桶名称。 存储路径 输入桶的路径或桶文件夹的路径,输入的文件夹路径不能包含两个以上相邻的斜杠(/)。 若OBS桶中无相应路径,将在桶中自动生成一个文件夹。
文件管理”和“预置命令”等功能。用户在主机上执行的所有操作,被堡垒机记录并生成审计数据。 约束限制 FTP、SFTP、SCP、DB2、MySQL、Oracle、SQL Server协议类型资源,不支持批量登录。 手动登录账户和双人授权账户,不支持批量登录。 批量登录的多运维会话窗口,不支持“协同分享”功能。
云堡垒机能纳管资源的最大数量不能超过实例规格的总资产数。 云堡垒机能同时登录运维资源的最大数量不能超过实例规格的总并发数。 资产数是云堡垒机管理的云服务器上运行的资源数,同一个云服务器上对应有多个需要运维的协议、应用等资源。 并发数是云堡垒机同一时刻连接运维协议的连接数。 详细说明请参见基本概念。
Windows系统的远程桌面服务,接入ERP生产系统、ERP容灾系统、SAP生产系统、SAP开发/测试系统、SAP Router、SAP Hybris等典型场景的应用、数据库或网页,将ERP和SAP上云业务作为一个网页或应用来审计和录屏操作,实现对企业上云业务的统一管理。 父主题:
可查询详细的操作记录,在线审计历史会话。 约束限制 通过Web运维支持文本和视频审计。 通过SSH客户端运维、客户端文件传输和数据库运维仅支持文本审计,不支持视频审计。 不支持记录资源账户自动巡检的登录资源数据。 视频仅可回放有效会话记录,即登录资源到最后一次会话操作的这一段记录。