检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
配置远程备份至FTP/SFTP服务器 为加强对系统数据的容灾管理,堡垒机支持配置日志备份,提高审计数据安全性和系统可扩展性。 本小节主要介绍如何在系统配置FTP/SFTP服务器参数,将日志远程备份至FTP/SFTP服务器。 注意事项 开启远程备份后,系统默认在每天零点备份前一天的系统数据
系统审计日志支持备份到OBS桶吗? 支持。 目前不仅支持通过FTP/SFTP备份到同一个VPC网络内的服务器中,还支持将数据备份到同一个VPC网络内的OBS桶中。 系统数据备份详情,请参见云堡垒机日志备份方式。 父主题: 审计运维日志
查看运维报表 运维用户通过堡垒机登录资源,以及进行运维操作后,审计管理员可查看运维详细报表,主要涵盖“运维时间分布”、“资源访问次数”、“会话时长”、“来源IP访问数”、“会话协同”、“双人授权”、“命令拦截”、“字符命令数”和“传输文件数”等趋势图和详细数据。 约束限制 趋势图最多呈现连续
启用HA 堡垒机支持双机HA热备功能。启用HA备份后,用户登录系统,使用HA热备机功能,此时主节点断开,备节点也可提供服务。 约束限制 必须先配置主节点。主节点配置生效后,再配置备节点,并需确保主备节点使用内网进行HA同步配置。 备节点HA配置生效后,无论备节点上是否已有配置数据,
关闭实例 当实例的“运行状态”为“运行”时,可以关闭实例。关闭实例后,将不能登录云堡垒机系统。 如果有用户正在访问堡垒机实例,执行关闭操作后,正在执行的操作或运维会被立即被强制退出,请谨慎操作。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目,在页面左上角单击,选择区域,
系统审计日志处理机制是什么? 云堡垒机系统审计日志存储在系统数据盘。系统默认开启“自动删除”功能,根据日志存储时间和系统存储空间使用率,触发自动删除历史日志。 日志自动删除机制说明如下: 默认逐日删除180天前历史日志。 当系统存储空间使用率高于90%时,将自动清理存放时间最久的日志
开启国密配置(V3.3.34.0及以上版本支持) 开启国密配置后,将重启堡垒机系统,除网络配置、admin密码及admin的手机号和邮箱外,其余所有配置和数据将会删除。 前提条件 用户已获取“系统”模块管理权限。 操作步骤 登录堡垒机系统。 选择“系统 > 系统配置 > 安全配置”
系统配置备份与还原 为确保系统配置数据不丢失,可开启系统配置自动备份,或定期备份系统配置,维护系统配置。 本小节主要介绍如何备份系统配置、还原系统配置,以及如何管理备份列表。 备份数据会备份在堡垒机本地,会占用一定的空间,具体可以在备份列表查看不同日期备份的文件大小。 约束限制 系统备份文件仅限于本堡垒机系统使用
服务韧性 CBH通过多活无状态的跨AZ部署、AZ之间数据容灾等技术方案,保证业务进程故障时快速启动并修复,以保障服务的持久性和可靠性。 同时,基于华为云平台的防护能力,防御DoS攻击。 父主题: 安全
云堡垒机支持手机APP运维吗? 云堡垒机暂时不支持手机APP运维,但可以通过手机浏览器访问云堡垒机系统。 打开手机浏览器,输入https://EIP地址,进入云堡垒机系统登录页面。 输入用户登录名和密码,完成用户登录验证。 登录成功后,可管理部门、用户、资源、策略、系统配置等系统数据
推送运维报表 为方便审计管理员及时获取运维统计信息,可通过邮件发送运维报表。 自发送周期可选择每日、每周、每月。 报表格式可选择PDF、DOC、XLS、HTML。 每次推送最多可呈现连续180天的运维统计数据。 前提条件 已获取“运维报表”模块管理权限。 已完成配置邮件外发配置。
推送系统报表 为方便审计管理员及时获取运维统计信息,通过邮件发送系统报表。 自动发送周期可选择每日、每周、每月。 报表格式可选择PDF、DOC、XLS、HTML。 每次推送最多可呈现连续180天的系统统计数据。 前提条件 已获取“系统报表”模块管理权限。 已配置有效邮箱地址。 操作步骤
变更版本规格 前提条件 已获取管理控制台的登录账号与密码。 已为实例绑定EIP,未绑定EIP的实例不能执行变更规格操作。 已备份系统数据。 已关闭系统,并终止系统所有业务操作。 操作步骤 登录管理控制台。 如图1示例,在需变更规格的实例“操作”列,单击“更多 > 变更规格”,开始变更规格版本规格
批量登录主机进行运维 通过Web浏览器支持批量登录主机,提供“文件传输”、“文件管理”和“预置命令”等功能。用户在主机上执行的所有操作,被堡垒机记录并生成审计数据。 约束限制 FTP、SFTP、SCP、DB2、MySQL、Oracle、SQL Server协议类型资源,不支持批量登录
什么是区域和可用区? 什么是区域、可用区? 通过区域和可用区来描述数据中心的位置,您可以在特定的区域、可用区创建资源。 区域(Region):从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用
删除用户 堡垒机系统用户支持一键删除和批量删除。 系统管理员admin不允许被删除。 如果删除的目标用户正在使用堡垒机实例,被删除后会被立即强制退出,请谨慎操作。 删除后,用户账号所有关联的权限将失效,用户个人网盘中文件将被清空,且无法恢复,因此在删除前请确保已经完成相关数据的备份
基本概念 云堡垒机实例 一个云堡垒机实例对应一个独立运行的云堡垒机系统,用户登录云堡垒机控制台管理实例。只有创建了云堡垒机实例后,才能登录云堡垒机系统,实现安全运维管理与审计。 单点登录 单点登录(Single Sign On,SSO)是指在多个独立应用系统环境下,各个应用系统相互信任
应用场景 任何企业都需要安全运维管理和审计,故任何企业都需要云堡垒机。云堡垒机能适用于各种企业运维场景,特别针对企业员工数量复杂、企业资产数量繁杂、人员运维权限交叉、企业运维方式多样等场景。 严格要求的审计合规场景 例如保险和金融行业,具有大量个人信息数据和金融资金操作行为,以及大量第三方机构代为运作
部门概述 “部门”是用于划分组织结构,标识用户和资源的组织。系统默认有一个部门“总部”,仅可在“总部”基础上创建部门分支,且“总部”不可删除。 根据部门划分用户组织结构后,下级部门用户不能查看上级部门信息,包括上级部门组织结构、用户、主机资源、应用资源、应用发布服务器、资源账户,以及上级部门配置的策略信息和运维审计数据
通过FTP/SFTP客户端登录文件传输类资源 通过文件传输客户端登录堡垒机纳管资源,在不改变用户原来使用客户端习惯的前提下,对授权云主机资源进行远程文件传输管理。用户在主机上执行的所有操作,被堡垒机记录并生成审计数据。 本小节主要介绍如何获取客户端登录信息,并登录文件传输类资源。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
