检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
通过Web浏览器登录应用资源进行运维 通过Web浏览器登录应用资源,提供“协同分享”、“文件传输”、“文件管理”等功能。用户在应用上执行的所有操作,被堡垒机记录并生成审计数据。 “协同分享”指会话创建者将当前会话链接发送给协助者,协助者通过链接登录创建者的会话中参与运维,实现运维协同操作。 “文件管理”
或专家进行协同运维,对同一会话进行协同操作或问题定位,提高多人运维效率。 文件传输:基于WSS的文件管理技术,支持文件上传/下载,以及文件在线管理,实现多主机文件共享功能 。 命令群发:针对多个Linux资源,开启群发键。在一个会话窗口执行命令后,其他会话窗口将同步执行相同操作。
地。 图5 导出历史会话 下载会话视频。 会话视频文件不支持批量生成和下载,需要逐个操作。 选择“审计 > 历史会话”,进入历史会话页面。 选择历史会话对应“操作”列“更多 > 生成视频”。 图6 生成视频 视频生成后,单击“下载”,将会话视频保存于本地。 图7 下载视频文件 导出系统登录日志。
信息,且上传的Excel文件可打开,不能加密。否则会导入资源失败。 通过Excel批量导入方式,配置“自动登录”,录入主机资源信息,可避免生成“Empty”账户。 批量导出 云堡垒机还支持批量导出主机资源信息。验证用户后,一键导出全量已纳管的主机资源信息,可在导出的文件中查看主机资源账户最新的配置信息。
Azure中配置SAML签名证书后生成的应用联合元数据URL。 登录URL 输入在Microsoft Azure中配置SAML单一登录后生成的登录URL。 Azure AD标识符 输入在Microsoft Azure中配置SAML单一登录后生成的Azure AD标识符。 单击“确
手机扫描二维码发送短信,发送成功后单击“我已发送”。 保存生成的授权密码,单击“确定”。 登录堡垒机web界面,进入“系统 > 系统配置 > 外发配置 > 邮件配置”。 输入smtp邮件服务器地址,发送人密码输入步骤4生成的授权密码,发送测试邮件成功则对接成功。 父主题: 系统配置类
图解云堡垒机
用于长期、稳定的业务需求。以下是一些适用于包年/包月计费模式的业务场景: 稳定业务需求:对于长期运行且资源需求相对稳定的业务,如企业官网、在线商城、博客等,包年/包月计费模式能提供较高的成本效益。 长期项目:对于周期较长的项目,如科研项目、大型活动策划等,包年/包月计费模式可以确保在整个项目周期内资源的稳定使用。
选择“系统 > 系统维护 > 配置备份与还原”,进入系统配置备份管理页面。 还原系统配置,可选择如下任意一种方式。 一键还原系统配置。 在备份列表生成备份文件后,即可一键还原系统配置。 在“备份列表”区域,选择目标备份文件。 单击对应“操作”列“还原”,恢复备份系统配置。 本地文件还原系统配置。
密码重置方式可选择批量重置和手动重置两种。 登录云堡垒机系统。 选择“用户 > 用户管理”,进入用户列表页面。 批量重置,请执行3。 手动重置,请执行4。 批量重置,统一生成相同的用户登录密码。 勾选需改密的用户。 图1 重置用户密码 选择“更多 >密码重置”,进入重置密码对话框,设置用户重置密码。 图2 重置用户密码
运维操作全程记录,详细记录历史运维会话信息,支持一键导出历史会话日志。 会话视频 支持对Linux命令审计、Windows操作审计全程录像记录,回放录像视频。 支持生成视频文件,一键下载会话视频。 运维报表 集中可视化呈现运维统计信息,包括运维时间分布、资源访问次数、会话时长、双人授权、命令拦截、字符数命令、传输文件数等信息。
命令授权工单提交方式 选择命令授权工单提交方式,可选择手动提交或自动提交。 默认为手动提交。 手动提交:触发生成命令控制工单后,需运维人员提交工单至管理员处审批。 自动提交:触发生成命令控制工单后,自动提交至管理员处审批。 单击“确认”,返回工单配置管理页面,可查看已配置的基本工单模式配置。
登录安全:镜像加密,SSH远程登录安全加固,内核参数安全加固,系统账户口令使用强密码并且默认登录失败超过3次将锁定登录。 数据安全:敏感信息加密存储,系统根密钥独立动态生成。 应用安全:防SQL注入攻击、防CSV注入攻击、防XSS恶意攻击、API接口认证机制。 系统安全 系统全自动化安装,LUKS加密用户系统数据盘。
理?。 单击“确定”,配置完成。 配置完成后,需要在云日志服务(LTS)中完成以下操作: 新建主机组,将堡垒机添加入主机组中。 配置堡垒机生成的日志路径。堡垒机启用LTS后,日志路径地址为:/opt/lts_log。 父主题: 外发配置
配置告警后,触发告警后会生成告警信息。 √ √ 系统基本信息 呈现系统的ID、凭证、版本、发行日期等信息,支持凭证、HA Key的更新,服务码的获取。 √ √ 认证管理 账户多因子登录认证 登录堡垒机支持账户密码、手机令牌、手机短信、USBKey、动态令牌的方式。 账户密码:申请堡垒机时生成的账户
单击“完成”,连接成功后,打开文件:C:\sso\SsoTool\DBeaver\General\.DBeaver\data-sources.json,确认生成了对应连接,并打开文件C:\sso\SsoTool\ssotool.conf 将C:\sso\SsoTool\DBeaver\General\
务器列表。 告警 呈现当前用户未处理告警消息数。单击告警模块,跳转到消息中心页面,可管理当前消息列表。 活动用户 呈现当前用户管理范围内的在线用户和历史登录用户。 用户角色需获取“用户管理”模块管理权限,以及开启角色管理权限,即可查看活动用户统计信息。 单击列表中用户名,跳转到用户详情页面,可查看和管理用户信息。
参见远程认证配置。 公钥登录 输入用于验证登录的私钥和私钥密码,登录验证成功后,再次登录时,该用户在SSH客户端可以免密登录。 用户需要先生成用于验证登录的公私钥对,并在堡垒机系统内的“个人中心”处将SSH公钥添加到堡垒机系统中,具体的操作请参见添加SSH公钥。 手机短信 “密码
与其他云服务的关系 云堡垒机需要与其他云服务协同工作,与其他云服务的依赖关系如图1。 图1 与其他云服务之间关系 与虚拟私有云的关系 虚拟私有云(Virtual Private Cloud,VPC)为CBH提供虚拟网络环境,用户通过配置安全组、子网、EIP等子服务,方便地管理、配
SSH协议类型主机资源配置SSH Key后,需优先使用SSH Key登录。 手动登录 在新建资源时选择“手动登录”方式或选择“以后添加”账户,生成“[Empty]”资源账户,即未配置主机或应用账户名和密码。 运维人员访问资源时,需要输入主机或应用的账户名和相应密码登录资源。 提权登录
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
