云堡垒机支持图形化运维Linux主机吗?
支持。
云堡垒机支持纳管VNC协议类型的资源,并通过Web浏览器登录资源,实现Linux主机的图形化运维。
您需要在添加主机资源时,将“协议类型”选择为“VNC”。
云堡垒机支持手机APP运维吗?
云堡垒机暂时不支持手机APP运维,但可以通过手机浏览器访问云堡垒机系统。
1 打开手机浏览器,输入https:// EIP**地址 ,进入云堡垒机系统登录页面。
2 输入用户登录名和密码,完成用户登录验证。
登录成功后,可管理部门、用户、资源、策略、系统配置等系统数据,以及审批工单和下载日志。
不支持“主机运维”和“应用运维”登录。
如何配置SSO单点登录工具?
云堡垒机数据库运维使用单点登录(Single Sign On,SSO)工具,登录主机运维方式的数据库资源。
云堡垒机默认使用SsoDBSettings单点登录工具,用户登录数据库资源前,需在本地安装好SSO单点登录工具和数据库客户端工具,并配置正确数据库客户端的路径到SSO单点登录工具上。
登录数据库资源前,需参照如何配置云堡垒机的安全组?放通对应场景的端口。
以Navicat客户端为例,示例正确的配置客户端路径操作。
1 打开本地SsoDBSettings单点登录工具。
2 在“Navicat路径”栏后,单击路径配置。
3 根据本地Navicat客户端安装的绝对路径,选中Navicat工具的exe文件后,单击“打开”。
4 返回SsoDBSettings单点登录工具配置界面,可查看已选择的Navicat客户端路径。
5 单击“保存”,返回云堡垒机“主机运维”列表页面,即可登录数据库资源。
云堡垒机允许多用户同时登录同一资源吗?
云堡垒机本身允许多用户同时登录同一资源,即不限制登录资源的用户数量。但受限于资源的多用户登录配置,多个云堡垒机用户不能同时登录同一资源账户。
例如,受限于Windows资源的多用户同时登录配置,同时登录Windows资源的用户数量有最大限额。Windows 2008和Windows 2012服务器默认仅支持两个用户同时登录,即被CBH系统纳管的Windows服务器默认最多允许两个用户同时登录。
为解除资源多用户同时登录限制,您可以选择如下方式解决:
配置资源服务器允许多用户登录。例如,在Windows服务器配置远程桌面会话主机和远程桌面授权。
在资源服务器创建多个帐号,并纳管为云堡垒机资源账户后,再分别授权给用户。
云堡垒机SSH运维支持哪些算法?
云堡垒机3.3.26.0及以上版本SSH运维支持的算法如表所示。
SSH运维支持的算法
| 算法类型 | H5运维 | 客户端运维 |
|---|---|---|
| Key exchange | diffie-hellman-group-exchange-sha256 diffie-hellman-group-exchange-sha1 diffie-hellman-group14-sha1 diffie-hellman-group1-sha1 |
diffie-hellman-group-exchange-sha256 diffie-hellman-group-exchange-sha1 diffie-hellman-group14-sha1 diffie-hellman-group1-sha1 ecdh-sha2-nistp521 ecdh-sha2-nistp384 ecdh-sha2-nistp256 |
| Encryption | aes128-ctr aes192-ctr aes256-ctr aes128-cbc aes192-cbc aes256-cbc 3des-cbc blowfish-cbc arcfour128 arcfour cast128-cbc |
aes128-ctr aes192-ctr aes256-ctr aes128-cbc aes192-cbc aes256-cbc 3des-cbc blowfish-cbc arcfour128 arcfour256 |
| HMAC | hmac-md5 hmac-md5-96 hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 hmac-ripemd160 hmac-ripemd160@openssh.com |
hmac-md5 hmac-md5-96 hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 |
| Host key | ssh-rsa ssh-dss |
ssh-rsa ssh-dss ecdsa-sha2-nistp256 ecdsa-sha2-nistp384 |
云堡垒机支持哪些登录资源方式?
云堡垒机支持设置“自动登录”、“手动登录”或“提权登录”三种登录方式访问目标资源,此外还支持批量登录资源功能。
自动登录
在新建资源时选择“自动登录”方式,并配置资源账户名和密码,托管主机或应用资源的账户和密码。
运维人员访问资源时,无需输入资源的账户和密码,在“主机运维”或“应用运维”页面单击“登录”,即可成功自动登录到目标资源实现运维。
Edge类型应用资源不支持配置“自动登录”。
SSH协议类型主机资源配置SSH Key后,需优先使用SSH Key登录。
手动登录
在新建资源时选择“手动登录”方式或选择“以后添加”账户,生成“[Empty]”资源账户,即未配置主机或应用账户名和密码。
运维人员访问资源时,需要输入主机或应用的账户名和相应密码登录资源。
提权登录
纳管资源创建了“特权账户”,普通资源账户可设置提权登录。
运维人员访问资源时,通过普通资源账户登录,将自动切换到提权的资源账户,此时普通资源账户可拥有提权后账户的访问操作权限。
批量登录
在“主机运维”页面,运维人员可以选择多个主机资源,单击左下方“批量登录”,在一个运维页面登录多个不同协议类型主机资源,并可以在一个运维页面切换资源,方便运维人员运维操作,提高运维效率。
“批量登录”不支持登录FTP、SFTP、SCP、DB2、MySQL、Oracle、SQL Server协议类型主机资源,以及配置了“手动登录”或“双人授权账户”的主机资源。
如何创建运维协同会话?
云堡垒机系统Web运维“协同分享”功能,支持通过分享URL,邀请系统其他用户共同查看同一会话,并且参与者在会话控制者批准的前提下可对会话进行操作,可应用于远程演示、对运维疑难问题“会诊”等场景。
创建协同分享前,需确保云堡垒机与资源主机网络连接正常,否则受邀用户无法加入会话,且邀请人会话界面上报连接错误,提示“由于服务器长时间无响应,连接已断开,请检查您的网络并重试(Code:T_514)”。
邀请URL链接可复制发送给多个用户,拥有该资源账户策略权限的用户才能正常打开链接。
受邀用户需在链接有效期前或会话结束前才能有效加入会话。
操作步骤
1 登录云堡垒机系统。
2 选择“运维 > 主机运维”,进入主机运维列表页面。
3 选择待运维主机资源,单击“登录”,登录会话进行操作。
4 单击会话框右侧“协同分享”,邀请用户参与会话,一同进行操作。
5 单击“邀请好友进入此会话”,获取邀请链接。复制链接,发送给拥有云堡垒机资源账户权限的用户。
6 受邀用户登录云堡垒机,打开邀请链接,查看邀请信息。
7 受邀用户单击“立即进入”,加入会话操作。
单击“申请控制权”,向当前控制者发送控制申请,申请控制会话的权限。
单击“释放权限”或“退出会话”,会话权限将返给邀请人控制。
单击“退出会话”,用户退出当前会话。当邀请链接未过期且邀请人未结束会话时,用户可再次加入会话。
8 邀请人或当前控制者可对会话进行管理操作。
邀请人单击“取消分享”或退出会话,将结束协同分享会话,受邀用户将被强制退出会话,且不能通过链接再次进入。
当受邀用户申请会话控制权限时,会话控制者可单击“同意”或“拒绝”,转交会话控制权限。
如何使用系统资源标签?
云堡垒机标签用于标识CBH中被纳管的资源,达到对CBH系统中主机、应用资源进行分类的目的,并可以与运维资源进行关联识别。当为主机或应用添加标签后,该资源所有关联的运维资源都会带上标签,从而可以对运维资源分类检索。一个主机或应用资源最多拥有10个标签。
在此示例中,以标识云主机ECS和云数据库RDS资源为例,为每个运维资源分配了两个标签,“标签1”按照团队标识,“标签2”和“标签3”按照项目标识,用户可根据不同标签筛选所标识的资源。
用户添加标签后,可在CBH系统通过标签检索资源,并管理资源标签,参见表。
CBH标签使用说明
| 界面入口 | 可执行操作 |
|---|---|
| 桌面 > 最近登录主机 | 检索资源 |
| 桌面 > 最近登录应用 | 检索资源 |
| 桌面 > 可登录主机 | 检索资源 |
| 桌面 > 可登录应用 | 检索资源 |
| 资源 > 主机管理 | 添加标签、删除标签、编辑标签、检索资源 |
| 资源 > 应用发布 | 添加标签、删除标签、编辑标签、检索资源 |
| 运维 > 主机运维 | 添加标签、删除标签、检索资源 |
| 运维 > 应用运维 | 添加标签、删除标签、检索资源 |
示例-检索资源
以“主机管理”主机列表筛选“Proj1”的主机资源为操作示例。
1 登录云堡垒机系统。
2 选择“资源 > 主机管理”,进入主机管理列表页面。
3 单击列表“标签”,展开并选择标签“Proj1”。也可通过搜索框搜索并选择标签。
4 主机列表查看通过标签筛选出的“Proj1”主机资源。
支持多个不同标签的组合搜索,并取各个标签的合集筛选出资源。例如同时选择“Team1”和“Proj1”标签,会筛选出带有“Team1”和“Proj1”标签的主机资源。
通过Web浏览器运维,如何设置会话窗口的分辨率?
通过Web运维支持调整运维会话窗口的分辨率,提升运维体验。
约束限制
Windows系统的会话窗口支持调整分辨率,包括Windows系统主机资源和应用资源。
vnc协议类型主机资源的会话窗口暂不支持调整分辨率。
前提条件
用户已获取“主机运维”或“应用运维”模块管理权限。
用户帐号已获取资源访问控制权限,即管理员已授权访问控制策略或用户提交权限申请工单已审批通过。
资源网络连接正常,且资源账户登录帐号和密码无误。
操作步骤
以调整Windows系统主机资源的会话窗口分辨率为例。
1 登录云堡垒机系统
2 选择“运维 > 主机运维”,进入主机运维列表页面。
3 选择目标Windows系统主机资源,单击“登录”,进入运维会话窗口。
4 单击运维会话窗口右下角分辨率图标,弹出分辨率选项。
5 选择预置分辨率选项或设置为“自适应”。
默认为“自适应”。
可选择19201080、1024768、800*600预置分辨率。
6 选择自定义分辨率。
单击“自定义”,弹出分辨率设置窗口。
配置分辨率“宽度”和“高度”。
单击“确认”。
7 重新选择或自定义分辨率设置后,将重新连接运维会话窗口。
连接成功后,将呈现设置的分辨率会话窗口。
通过Web浏览器运维,如何使用快捷键复制/粘贴文本?
Web运维捷键操作使用Windows快捷键,“复制/粘贴”文本快捷键“Ctrl+C”和“Ctrl+V”,因Linux或Windows主机系统不同,操作方式有所差异。
VNC协议主机资源,不支持文本的复制/粘贴。
仅SSH、RDP、TELNET协议主机资源,支持“Ctrl+C”和“Ctrl+V”复制/粘贴文本。
云堡垒机“复制/粘贴”有字符数限制,本地到源端限制不超过8万个字符的文本,源端到本地限制不超过100万个字符。
Linux主机“复制/粘贴”
登录Linux主机资源,进入运维会话窗口。选中文本内容,“Ctrl+C”复制文本,“Ctrl+V”粘贴文本。
Windows主机“复制/粘贴”
登录Windows主机资源,进入运维会话窗口。选中文本内容,需操作两次“Ctrl+C”复制文本,“Ctrl+V”粘贴文本。
Windows主机内文件“复制/粘贴”快捷键:“Ctrl+B”复制,“Ctrl+G”粘贴
云堡垒机运维,操作快捷键有哪些?
Web运维快捷键操作与Windows系统快捷键通用,常用“Ctrl+C”复制文本,“Ctrl+V”粘贴文本,“Ctrl+X”剪切文本等。
当Web运维快捷键与浏览器快捷键有冲突时,优先执行浏览器快捷键。建议用户修改浏览器快捷键,以免冲突。
“应用运维”与“主机运维”适用相同的Web运维会话操作界面,快捷键操作方式相同。
- 数据库运维,因通过SSOTool调用本地数据库客户端,Windows快捷键仍适用。
- SSH客户端运维和FTP/SFTP客户端运维,因直接通过客户端工具登录CBH系统连接主机,快捷键与客户端工具快捷键通用。
