文档简介:
云堡垒机实例与云堡垒机系统的区别是什么?
一个云堡垒机实例代表了一个独立运行的云堡垒机系统。
用户可以登录管理控制台,选择“安全与合规 > 云堡垒机”,然后在云堡垒机管理控制台申请和管理实例。
云堡垒机系统是云堡垒机实际运维功能核心,后台采用EulerOS操作系统,包含用户管理、资源管理、策略、审计和工单等功能模块,支持对Windows或Linux等操作系统的主机提供安全管控保护。
云堡垒机系统有哪些安全加固措施?
云堡垒机有完整的安全生命周期管理,从系统开发过程的安全编码规范,到经过严格安全漏洞扫描、渗透测试等安全性测试,并通过了公安部门的安全检测,符合“网络安全法”等法律法规,满足合规性规范审查要求,达到信息安全等级评定Ⅲ级标准。
系统数据安全
-
登录安全:镜像加密,SSH远程登录安全加固,内核参数安全加固,系统账户口令使用强密码并且默认登录失败超过3次将锁定登录。
-
数据安全:敏感信息加密存储,系统根密钥独立动态生成。
-
应用安全:防SQL注入攻击、防CSV注入攻击、防XSS恶意攻击、API接口认证机制。
系统安全
-
系统全自动化安装,LUKS加密用户系统数据盘。
-
系统自带防火墙功能,防止常规网络攻击,例如暴力破解等。
-
统一HTML5方式访问入口,仅开放一个系统Web访问端口,减少攻击面。
-
针对SSH登录参数配置加固,提高SSH登录系统的安全性。
资产数是什么?
资产数表示云堡垒机管理的虚拟机等设备上运行的资源数,资源数是同一个虚拟机对应的需要运维的协议和应用总数。
受CBH资产版本规格限制,CBH系统管理的资源总数,不能超过当前版本规格的 资产数 。
资产数不以CBH系统所管理虚拟机等设备的数量计算,而是以所管理虚拟机上资源的数量计算,一个虚拟机内可能有多种资源形式,包括不同协议的主机,不同类型的应用等。
例如,目前有一台虚拟机,在云堡垒机中添加这台虚拟机的资源,分别添加了2个RDP、1个TELNET和1个MySQL协议的主机资源,以及1个Chrome浏览器的应用资源,那么当前管理的资产数即为5,而不是1。
并发数是什么?
并发数是指云堡垒机上同一时刻连接的运维协议连接数。
云堡垒机系统对登录用户数没有限制,可无限创建用户。但是同时刻不同用户连接协议总数,不能超过当前版本规格的并发数 。
例如,10个运维人员同时通过云堡垒机运维设备,假设平均每个人产生5条协议连接(例如通过SSH客户端、MySQL客户端进行远程连接),则并发数等于50。
云堡垒机支持统一管理企业ERP上云、SAP上云等业务吗?
支持。
云堡垒机与云上业务网络通畅情况下,可通过安装应用发布服务器,依赖Windows系统的远程桌面服务,接入ERP生产系统、ERP容灾系统、SAP生产系统、SAP开发/测试系统、SAP Router、SAP Hybris等典型场景的应用、数据库或网页,将ERP和SAP上云业务作为一个网页或应用来审计和录屏操作,实现对企业上云业务的统一管理。
自动化运维包括哪些内容?
云堡垒机“专业版”支持自动化运维功能,可将复杂运维精准化和效率化。自动化运维主要包括资源账户同步、脚本线上管理、多资源快速运维,以及多步骤自动运维。
- 资源账户同步:通过账户同步功能,可以实现对主机上资源账户的有效监管,及时发现僵尸账户或未纳管账户,加强对资产的管控。
- 脚本线上管理:支持管理Python和Shell两种脚本格式,通过导入脚本文件或在线编辑脚本,在云堡垒机系统一体化管理和运行脚本。
- 多资源快速运维:支持快速将命令或脚本在多个SSH协议资源上执行,并根据发起的命令和脚本,返回相应执行结果;此外,还支持将一个或多个文件上传到多个资源上,并返回文件上传结果。
- 多步骤自动运维:支持分步骤同时对多个SSH协议资源批量执行多种运维操作,可同时运维操作包括执行命令、执行脚本、传输文件。运维任务执行后,按照步骤顺序依次自动执行操作,并返回执行结果。
如何获取企业协议号码?
用户在配置云堡垒机安装远程桌面服务,创建一个应用发布服务器时,需要输入企业协议号码授权,企业协议号非免费提供套件。
云堡垒机不提供企业协议号,应用发布服务器为第三方管理插件,企业协议号需要客户自行申购。类似于客户申购了Windows系统,但Office套件并非免费提供,需要客户单独申购。
使用云堡垒机时需要配置哪些端口?
为了能正常使用云堡垒机,实例和资源安全组端口配置可参考表。
入/出方向规则配置参考
| 场景描述 | 方向 | 协议/应用 | 端口 |
|---|---|---|---|
| 通过Web浏览器登录云堡垒机(HTTPS) | 入方向 | TCP | 443 |
| 通过MSTSC客户端登录云堡垒机 | 入方向 | TCP | 53389 |
| 通过SSH客户端登录云堡垒机 | 入方向 | TCP | 2222 |
| 通过FTP客户端登录云堡垒机 | 入方向 | TCP | 20~21 |
| 通过云堡垒机的SSH协议远程访问Linux云服务器 | 出方向 | TCP | 22 |
| 通过云堡垒机的RDP协议远程访问Windows云服务器 | 出方向 | TCP | 3389 |
| 通过云堡垒机访问Oracle数据库 | 入方向 | TCP | 1521 |
| 通过云堡垒机访问Oracle数据库 | 出方向 | TCP | 1521 |
| 通过云堡垒机访问MySQL数据库 | 入方向 | TCP | 33306 |
| 通过云堡垒机访问MySQL数据库 | 出方向 | TCP | 3306 |
| 通过云堡垒机访问SQL Server数据库 | 入方向 | TCP | 1433 |
| 通过云堡垒机访问SQL Server数据库 | 出方向 | TCP | 1433 |
| 通过云堡垒机访问DB数据库 | 入方向 | TCP | 50000 |
| 通过云堡垒机访问DB数据库 | 出方向 | TCP | 50000 |
| 同一安全组内通过SSH客户端登录云堡垒机 | 出方向 | TCP | 2222 |
| 短信服务 | 出方向 | TCP | 10743、443 |
| DNS域名解析 | 出方向 | UDP | 53 |
云堡垒机可以管理多个子网的资源吗?
可以。
子网是属于VPC的资源,同一VPC内的子网可以进行通信,即云堡垒机可以直接管理同一VPC多个子网内的资源,且同一VPC不同子网下的云堡垒机可以通信。
堡垒机和主机必须要在同一个区域,同一个VPC下。跨VPC的子网默认不能通信,受限于跨VPC场景下网络的复杂性和网段冲突的可能性,不建议跨VPC使用云堡垒机管理资源。
云堡垒机支持管理哪些数据库?
云堡垒机支持通过或两种方式管理数据库,可管理多种协议类型的云上数据库。主机运维方式提供增删改查操作命令审计。应用运维方式提供操作会话视频审计。
说明
- 标准版仅支持应用运维方式,不支持直接运维数据库,需要建立应用发布服务器才可以运维数据库。
- 专业版支持主机运维和应用运维两种方式,支持直接运维数据库。
主机运维方式
目前云堡垒机主机运维,支持管理四种协议类型的云上数据库,包括MySQL、SQL Server、Oracle、DB2协议类型,暂不支持管理PostgreSQL协议类型。云堡垒机支持数据库协议类型、版本,以及支持调用的数据库客户端软件版本,请参见表14-2。
支持数据库协议类型、版本和数据库客户端
| 数据库类型 | 版本 | 支持调用客户端 |
|---|---|---|
| MySQL | 5.5,5.6,5.7,8.0 | Navicat 11、12 MySQL Administrator 1.2.17 MySQL CMD |
| Microsoft SQL Server | 2017 | Navicat 11、12 SSMS 17.6 |
| Oracle | 10g,11g,12c | Toad for Oracle 11.0、12.1、12.8、13.2 Navicat 11、12 PL/SQL Developer 11.0.5.1790 |
| DB2 | DB2 Express-C | DB2 CMD命令行11.1.0 |
| PostgreSQL | 暂不支持 | - |
应用运维方式
云堡垒机通过应用运维方式管理数据库,支持对以下系统版本的应用进行管理:
支持对Centos7.9系统的Linux服务器的数据库应用进行管理。
说明
Linux服务器仅支持调用达梦数据库V8的应用。
云堡垒机支持直接配置并调用的Linux服务器的数据库客户端如表14-3所示。
支持直接调用的Linux服务器的数据库客户端
| 应用类型 | 支持调用的客户端 |
|---|---|
| 达梦数据库 | 达梦管理工具V8 |
云堡垒机可以跨帐号管理资源吗?
不建议。
云堡垒机仅支持直接管理同一VPC内资源,即可直接访问同一VPC内资源。
云堡垒机可以跨区域或跨VPC网络管理主机吗?
不建议。
云堡垒机仅支持直接管理同一VPC内资源,即可直接访问同一VPC内资源。
虽跨区域或跨VPC可通过云服务构建网络连接,但受限于网络的不稳定性,不建议跨区域或跨VPC使用云堡垒机纳管资源。
云堡垒机支持在专属云上使用吗?
不支持。
专属云(Dedicated Cloud)是面向企业、政府、金融等客户,提供计算、存储资源池以及网络、管控多级隔离的综合解决方案。用户独享专属资源池,与公有云资源物理隔离,满足特定性能、应用及安全合规等要求。
因网络隔离,且云堡垒机暂未在专属云上线,即在专属云上不能创建和使用云堡垒机。
如何选择云堡垒机实例区域和可用区?
区域是一个地理区域的概念。我国地域面积广大,由于带宽的原因,不可能只建设一个数据中心为全国客户提供服务。因此,根据地理区域的不同将全国划分成不同的区域。选择区域时通常根据就近原则进行选择,例如您或者您的客户在北京,那么您可以选择华北服务区,这样可以减少访问服务的网络时延,提高访问速度。
云堡垒机支持直接管理同一区域同一VPC下资源,同一区域同一VPC下资源可以直接访问。
因不同区域的VPC和同一区域不同VPC之间内网不互通,在购买云堡垒机实例时,建议配置云堡垒机实例与ECS等资源在同一区域同一VPC网络。此外,为降低网络时延,建议在配置实例区域的可用区时,选择与所选VPC同一区域和可用区。
若购买云堡垒机时,某个可用区无法选择(如“华南-广州”的 可用区1 ),可以选择同一区域的其它可用区(如选择“华南-广州”区域的 可用区2 )。
云堡垒机创建成功后,可以修改安全组吗?
云堡垒机创建成功后,安全组不可更改。如需修改 ,
云堡垒机创建成功后,可以修改VPC和子网吗?
云堡垒机创建成功后,VPC和子网不可更改。如需修改 ,
云堡垒机创建成功后,可以删除admin帐号吗?
系统管理员帐号admin拥有系统最高操作权限,该帐号是不允许删除的。
如何配置云堡垒机的安全组?
背景介绍
安全组是一个逻辑上的分组,为同一个虚拟私有云内具有相同安全保护需求并相互信任的弹性云服务器、云堡垒机等提供访问策略。
为了保障云堡垒机的安全性和稳定性,在使用云堡垒机之前,您需要设置安全组,开通需访问资源的IP地址和端口。
云堡垒机实例可与纳管的资源共用一个安全组,各自取用安全组规则,互不影响。
每个用户有一个默认安全组 default ,用户可选择default安全组,根据需要添加相应安全组规则。用户也可选择自定义安全组,新建安全组并添加合理安全组规则。
云堡垒机实例创建成功后,安全组不能更改,但相应安全组规则可以修改。
为确保云堡垒机正常连接资源,ECS主机、RDS数据库等资源需配置合理安全组规则,放开相应网关IP和端口,并允许云堡垒机“私有IP地址”访问。
云堡垒机正常使用,实例和资源安全组端口配置可参考14.1.8 使用云堡垒机时需要配置哪些端口?。
配置云堡垒机安全组
1 登录云堡垒机实例管理控制台。
2 单击“购买云堡垒机”,进入“购买云堡垒机实例”页面。
3 在“安全组”参数选项框右侧,单击“管理安全组”,跳转至安全组配置页面,创建安全组和添加安全组规则。
说明
也可在“安全组”选项框内选择合理配置的安全组。
4 单击“创建安全组”,创建一个新的安全组。
5 单击“操作”列中的“配置规则”,为安全组添加安全组规则。
6 选择“入方向”页签,单击“添加规则”。同理,可以添加出方向规则。
根据云堡垒机使用组网场景配置安全规则,参考表14-1配置。
7 完成安全组规则配置,选择指定安全组,合理配置其他参数后创建实例。
配置安全组不合理,运维故障场景
安全组配置不合理,在使用云堡垒机时可能会出现以下故障:
- 实例许可证认证错误
实例创建失败,提示“Lincense激活失败”,可能未配置出方向TCP协议9443端口,导致网络不通获取不到许可证认证
登录云堡垒机提示License过期,未配置出方向TCP协议9443端口,导致网络不通获取不到许可证认证。
- 登录云堡垒机系统错误
云堡垒机系统登录页面载入失败,提示“服务器响应时间过长”,可能未配置入方向TCP协议443端口;
云堡垒机系统页面无法正常显示,可能未配置入方向TCP协议443端口,导致Web浏览器不能正常登录系统。
- 主机资源验证错误
在资源中添加主机时,提示“主机不可达”,可能未配置入方向TCP协议3389端口,导致不能远程连接云服务器;
添加主机时验证账户密码,提示“主机不可达”,可能未配置入方向ICMP协议,导致外网ping不通主机资源。
- 云堡垒机访问资源错误
在登录云资源时,提示“连接错误”,可能未配置入方向TCP协议3389端口,导致不能远程连接云服务器;
使用云堡垒机登录云主机黑屏,无法正常显示,可能未配置入方向TCP协议3389端口,导致不能远程连接云服务器;
云堡垒机使用过程中上报514错误,提示“由于服务器长时间无响应,连接已断开,请检查您的网络并重试(Code:T_514)”,可能未配置入方向TCP协议2222端口。
