检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
实例的安全组默认端口有443和2222,默认支持Web浏览器和SSH客户端访问。若需其他访问方式,需用户手动添加目标端口。 具体端口限制详见表1。 只允许通过IP地址和端口访问CBH系统。 表1 入/出方向规则配置参考 场景描述 方向 协议/应用 端口 通过Web浏览器登录堡垒机(HTTP、HTTPS) 入方向
无关。 图1 系统登录日志 查询系统登录日志。 快速查询 在搜索框中输入关键字,根据用户、来源IP、日志内容、起止时间等快速查询系统登录日志。 高级搜索 在相应属性搜索框中分别关键字,精确查询系统登录日志。 根据筛选条件,即可查看到目标登录日志。 查看系统操作日志 登录堡垒机系统。
单击“确定”,返回规则集列表页面,查看新建的规则集。 添加规则。 在目标规则集行,单击“操作”列的“添加规则”,弹出添加规则窗口。 添加规则集的库、表和命令规则。 表1 添加规则参数说明 参数 说明 库 可选项,支持正则表达式匹配库名。 缺省状态下表示将会拦截所有使用该命令的sql语句。 表 可选项,支持正则表达式匹配表名。
统管理员或检查系统日志 检查CBH系统与主机资源的网络是否互通; 本地登录主机资源,输入命令route -n,检查目标主机的路由表,是否存在丢失CBH路由现象; 请填写工单反馈问题现象,联系技术支持。 详细解决办法请参见Code:C_519错误。 ERROR_CLIENT_520
邮箱地址。 “登录名”系统唯一,一旦创建,不能修改。 “角色”、“部门”用户个人不能修改,仅能由有用户管理权限用户统一管理,详细说明请参见查询和修改用户信息。 本小节主要介绍如何在个人中心修改个人密码和修改个人基本信息。 修改个人密码 登录堡垒机系统。 选择右上角用户名,单击“个人中心”,进入个人中心管理页面。
系统报表 查看系统报表 推送系统报表 父主题: 运维审计
勾选,表示当应用服务器名称重复时,覆盖原有应用服务器信息。 不勾选,表示当应用服务器名称重复时,跳过重复的应用服务器信息。 单击“确定”,可以在列表中看到新增的应用服务器。 添加单个应用发布 登录堡垒机系统。 选择“资源 > 应用发布 > 应用列表”,进入应用发布列表页面。 单击“新建”,进入应用发布资源配置窗口。
细指导请参见添加安全组规则。 选择“入方向”页签,单击“添加规则”。同理,可以添加出方向规则。 根据云堡垒机使用组网场景配置安全规则,参考表1配置。 完成安全组规则配置,返回“购买云堡垒机服务”页面,选择指定安全组,合理配置其他参数后创建实例。 配置安全组不合理,运维故障场景 安
查询和修改账户组信息 若账户组信息有变更需求,可查看和修改账户组信息,包括查看账户组基本信息、查看账户组成员、修改账户组基本信息、添加成员、移除组成员等。 约束限制 下级部门拥有“资源账户”模块管理权限的用户,查看账户组详情时,只能查看到账户组内上级部门资源账户列表,不能查看上级部门资源账户的详情信息。
系统审计 云堡垒机系统能集中管理用户登录系统,提供系统日志和系统报表。此外,CBH系统授权用户登录被纳管的资源,并进行运维操作,云堡垒机提供用户对系统和资源的运维记录,包括历史会话和运维报表。系统审计日志详细内容,请参见表1。 表1 CBH系统审计日志说明 日志类型 日志内容 历史会话
查询和修改用户组信息 若用户组信息有变更需求,可查看和修改用户组信息,包括查看用户组基本信息、查看用户组成员、修改用户组基本信息、添加成员、移除组成员等。 约束限制 下级部门拥有“用户”模块管理权限的用户,查看用户组详情时,只能查看到用户组内上级部门用户成员列表,不能查看上级部门用户的详情信息。
单已审批通过。 查看和修改任务配置 登录堡垒机系统。 选择“运维 > 运维任务 > 任务列表”,进入运维任务列表页面。 图1 运维任务列表 查询运维任务。 快速查询 在搜索框中输入关键字,根据任务名称、资源名称、执行账户等快速查询任务。 高级搜索 在相应属性搜索框中分别关键字,精确查询任务。
勾选,表示当账户名称重复时,覆盖原有账户信息。 不勾选,表示当账户名称重复时,跳过重复的账户信息。 (可选)勾选“验证账户”,默认勾选。 勾选,表示当导入账户信息时,同时验证账户状态。 不勾选,表示当导入账户信息时,不验证账户状态。 单击“确定”,返回资源账户列表页面,查看新增的账户。
功能差异为自动化运维、数据库运维审计两个增强功能。 详细版本功能差异,请参见表2 不同版本功能差异说明。 表2 功能详情及版本差异 功能模块 功能项 功能描述 标准版 专业版 个人中心 账户基本信息 查看当前登录用户的详细信息,同时支持对姓名、手机、邮箱以及密码的修改操作。 √ √
图7 关联资源账户 单击“确定”,可在策略列表查看新建的策略。 完成策略配置后,可在“运维 > 主机运维”列表页面选择目标主机使用“Empty”账户执行登录操作,登录后可执行运维操作,返回堡垒机实例选择“审计 > 系统日志”可查看登录日志和操作日志。 后续操作 如果有管理角色区
操作步骤 登录堡垒机系统。 选择“用户 > 用户管理”,进入用户列表页面。 单击需修改的用户登录名,或者单击“管理”,进入“用户详情”页面。 单击“用户配置”区域的“编辑”,弹出用户登录限制配置窗口。 表1 用户登录限制参数说明 参数 说明 多因子认证 勾选认证方式,可选择“
信”、“手机令牌”和“动态令牌”方式。其中“手机短信”、“手机令牌”和“动态令牌”方式,需配置用户多因子认证,详情请参考配置多因子认证。 表1 SSH客户端登录验证说明 登录方式 登录说明 登录方式配置说明 密码登录 输入堡垒机系统的用户密码。 默认登录方式。 “AD域认证”、“
策略权限。 单击“确定”,返回策略列表页面查看新建策略。 授权用户即可在“主机运维”或“应用运维”列表页面,查看和登录资源。 “关联用户”和“关联用户组”中用户需拥有资源运维的权限,即“角色”已配置主机运维或应用运维。否则用户登录系统后无法查看资源运维模块,不能进行运维登录操作。
账户同步策略执行后产生的执行日志。执行日志中可查看账户同步结果,包括同步的账户信息、新建的账户信息、删除的账户信息等。 前提条件 已获取“账户同步策略”模块操作权限。 查看日志详情 登录堡垒机系统。 选择“策略 > 账户同步策略 > 执行日志”,查看和管理日志记录。 查询执行日志。 快速查询:在搜索框中输入关键字,根据策略名称快速查询执行日志。
审批列表中查看到待审批的工单。 本小节主要介绍如何管理已提交审批工单,包括查看工单详情、审批工单、驳回工单、撤销工单授权等。 前提条件 已获取“工单审批”模块管理权限。 操作步骤 登录堡垒机系统。 选择“工单 > 工单审批”,进入审批工单列表页面。 图1 审批工单列表 查看工单详情。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
