11.1 运维管理
11.1.5 云堡垒机 SSH 运维支持哪些算法?
云堡垒机3.3.26.0及以上版本SSH运维支持的算法如表11-1所示。
表11-1 SSH 运维支持的算法
算法类型 H5运维 客户端运维
Keyexchange diffie-hellman-group-exchange-sha256 diffie-hellman-group-exchange-sha1
diffie-hellman-group14-sha1 diffie-hellman-group1-sha1
diffie-hellman-group-exchange-sha256 diffie-hellman-group-exchange-sha1
diffie-hellman-group14-sha1 diffie-hellman-group1-sha1 ecdh-sha2-nistp521
ecdh-sha2-nistp384 ecdh-sha2-nistp256 Encryption aes128-ctr
aes192-ctr aes256-ctr aes128-cbc aes192-cbc aes256-cbc 3des-cbc blowfish-cbc arcfour128 arcfour cast128-cbc
aes128-ctr aes192-ctr aes256-ctr aes128-cbc aes192-cbc aes256-cbc 3des-cbc blowfish-cbc arcfour128 arcfour256 HMAC hmac-md5
hmac-md5-96 hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 hmac-ripemd160
hmac-md5 hmac-md5-96 hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512
Host key ssh-rsa ssh-dss
ssh-rsa ssh-dss
ecdsa-sha2-nistp256 ecdsa-sha2-nistp384
11.2.1 云堡垒机支持哪些登录资源方式?
● SSH协议类型主机资源配置SSH Key后,需优先使用SSH Key登录。
手动登录
在新建资源时选择“手动登录”方式或选择“以后添加”账户,生成“[Empty]”资源 账户,即未配置主机或应用账户名和密码。
“批量登录”不支持登录FTP、SFTP、SCP、DB2、MySQL、Oracle、SQL Server协议类型主机 资源,以及配置了“手动登录”或“双人授权账户”的主机资源。
11.2.2 如何创建运维协同会话?
云堡垒机系统Web运维“协同分享”功能,支持通过分享URL,邀请系统其他用户共 同查看同一会话,并且参与者在会话控制者批准的前提下可对会话进行操作,可应用 于远程演示、对运维疑难问题“会诊”等场景。
说明
● 创建协同分享前,需确保云堡垒机与资源主机网络连接正常,否则受邀用户无法加入会话,
且邀请人会话界面上报连接错误,提示“由于服务器长时间无响应,连接已断开,请检查您 的网络并重试(Code:T_514)”。
● 邀请URL链接可复制发送给多个用户,拥有该资源账户策略权限的用户才能正常打开链接。
● 受邀用户需在链接有效期前或会话结束前才能有效加入会话。
操作步骤
步骤1 登录云堡垒机系统。
步骤2 选择“运维 > 主机运维”,进入主机运维列表页面。
步骤3 选择待运维主机资源,单击“登录”,登录会话进行操作。
图11-4 主机资源运维界面
步骤4 单击会话框右侧“协同分享”,邀请用户参与会话,一同进行操作。
步骤5 单击“邀请好友进入此会话”,获取邀请链接。复制链接,发送给拥有云堡垒机资源 账户权限的用户。
图11-5 获取邀请链接
步骤6 受邀用户登录云堡垒机,打开邀请链接,查看邀请信息。
图11-6 受邀用户查看会话协同邀请信息
步骤7 受邀用户单击“立即进入”,加入会话操作。
● 单击“申请控制权”,向当前控制者发送控制申请,申请控制会话的权限。
● 单击“释放权限”或“退出会话”,会话权限将返给邀请人控制。
● 单击“退出会话”,用户退出当前会话。当邀请链接未过期且邀请人未结束会话 时,用户可再次加入会话。
图11-7 受邀用户协同会话界面
步骤8 邀请人或当前控制者可对会话进行管理操作。
● 邀请人单击“取消分享”或退出会话,将结束协同分享会话,受邀用户将被强制 退出会话,且不能通过链接再次进入。
● 当受邀用户申请会话控制权限时,会话控制者可单击“同意”或“拒绝”,转交 会话控制权限。
图11-8 邀请人协同会话界面
----结束
更多云堡垒机运维操作请参见主机运维和应用运维。
11.2.3 如何使用系统资源标签?
云堡垒机标签用于标识CBH中被纳管的资源,达到对CBH系统中主机、应用资源进行 分类的目的,并可以与运维资源进行关联识别。当为主机或应用添加标签后,该资源 所有关联的运维资源都会带上标签,从而可以对运维资源分类检索。一个主机或应用 资源最多拥有10个标签。
图11-9说明了标签的工作方式。在此示例中,以标识云主机ECS和云数据库RDS资源为 例,为每个运维资源分配了两个标签,“标签1”按照团队标识,“标签2”和“标签 3”按照项目标识,用户可根据不同标签筛选所标识的资源。
图11-9 标签示例
表11-2 CBH 标签使用说明
界面入口 可执行操作
桌面 > 最近登录主机 检索资源 桌面 > 最近登录应用 检索资源 桌面 > 可登录主机 检索资源 桌面 > 可登录应用 检索资源
资源 > 主机管理 添加标签、删除标签、编辑标签、检索资源 资源 > 应用发布 添加标签、删除标签、编辑标签、检索资源 运维 > 主机运维 添加标签、删除标签、检索资源
运维 > 应用运维 添加标签、删除标签、检索资源
示例-检索资源
以“主机管理”主机列表筛选“Proj1”的主机资源为操作示例。
步骤1 登录云堡垒机系统。
步骤2 选择“资源 > 主机管理”,进入主机管理列表页面。
图11-10 主机管理列表
步骤3 单击列表“标签”,展开并选择标签“Proj1”。也可通过搜索框搜索并选择标签。
图11-11 选择“Proj1”标签
步骤4 主机列表查看通过标签筛选出的“Proj1”主机资源。
图11-12 查看筛选“Proj1”资源
说明
支持多个不同标签的组合搜索,并取各个标签的合集筛选出资源。例如同时选择“Team1”和
“Proj1”标签,会筛选出带有“Team1”和“Proj1”标签的主机资源。
----结束
CBH资源标签设置指导请参见如何设置云堡垒机资源标签?
11.2.4 通过 Web 浏览器运维,如何设置会话窗口的分辨率?
● vnc协议类型主机资源的会话窗口暂不支持调整分辨率。
前提条件
● 用户已获取“主机运维”或“应用运维”模块管理权限。
● 用户帐号已获取资源访问控制权限,即管理员已授权访问控制策略或用户提交权 限申请工单已审批通过。
● 资源网络连接正常,且资源账户登录帐号和密码无误。
操作步骤
以调整Windows系统主机资源的会话窗口分辨率为例。
步骤1 登录云堡垒机系统
步骤2 选择“运维 > 主机运维”,进入主机运维列表页面。
步骤3 选择目标Windows系统主机资源,单击“登录”,进入运维会话窗口。
步骤4 单击运维会话窗口右下角分辨率图标,弹出分辨率选项。
步骤5 选择预置分辨率选项或设置为“自适应”。
● 默认为“自适应”。
● 可选择1920*1080、1024*768、800*600预置分辨率。
图11-13 设置会话窗口分辨率
步骤6 选择自定义分辨率。
1. 单击“自定义”,弹出分辨率设置窗口。
2. 配置分辨率“宽度”和“高度”。
3. 单击“确认”。
图11-14 自定义分辨率
步骤7 重新选择或自定义分辨率设置后,将重新连接运维会话窗口。
连接成功后,将呈现设置的分辨率会话窗口。
----结束
11.2.5 通过 Web 浏览器运维,如何使用快捷键复制/粘贴文本?
Web运维捷键操作使用Windows快捷键,“复制/粘贴”文本快捷键“Ctrl+C”和
“Ctrl+V”,因Linux或Windows主机系统不同,操作方式有所差异。
说明
● VNC协议主机资源,不支持文本的复制/粘贴。
● 仅SSH、RDP、TELNET协议主机资源,支持“Ctrl+C”和“Ctrl+V”复制/粘贴文本。
● 云堡垒机“复制/粘贴”有字符数限制,本地到源端限制不超过8万个字符的文本,源端到本 地限制不超过100万个字符。
Linux 主机“复制/粘贴”
登录Linux主机资源,进入运维会话窗口。选中文本内容,“Ctrl+C”复制文本,
“Ctrl+V”粘贴文本。
图11-15 Linux 主机复制文本
Windows 主机“复制/粘贴”
登录Windows主机资源,进入运维会话窗口。选中文本内容,需操作两次“Ctrl+C”
复制文本,“Ctrl+V”粘贴文本。
说明
Windows主机内文件“复制/粘贴”快捷键:“Ctrl+B”复制,“Ctrl+G”粘贴 图11-16 Windows 主机复制文本
11.2.6 云堡垒机运维,操作快捷键有哪些?
● Web运维快捷键操作与Windows系统快捷键通用,常用“Ctrl+C”复制文本,
“Ctrl+V”粘贴文本,“Ctrl+X”剪切文本等。
当Web运维快捷键与浏览器快捷键有冲突时,优先执行浏览器快捷键。建议用户 修改浏览器快捷键,以免冲突。
“应用运维”与“主机运维”适用相同的Web运维会话操作界面,快捷键操作方 式相同。
● 数据库运维,因通过SSOTool调用本地数据库客户端,Windows快捷键仍适用。
● SSH客户端运维和FTP/SFTP客户端运维,因直接通过客户端工具登录CBH系统连 接主机,快捷键与客户端工具快捷键通用。
12 审计运维日志
12.1 云堡垒机可提供哪些审计日志?
云堡垒机分别提供实例和系统审计日志。
实例审计
云堡垒机实例审计,需开启云审计服务(Cloud Trace Service,简称CTS),实现对 CBH实例的操作的记录,CTS管理控制台将保存最近7天的操作记录。
实例审计日志操作和说明,请参见CBH云审计。
系统审计
云堡垒机系统能集中管理用户登录系统,提供系统日志和系统报表。此外,CBH系统 授权用户登录被纳管的资源,并进行运维操作,云堡垒机提供用户对系统和资源的运 维记录,包括历史会话和运维报表。系统审计日志详细内容,请参见表12-1。
表12-1 CBH 系统审计日志说明 日志类型 日志内容
历史会话 ● 运维会话视频:无需设置,全程录屏记录运维会话操作,可在线播放 或下载操作视频。
● 运维会话详情:用户运维会话详情,可在线查看或导出Excel文件。
详情内容包括资源会话信息、系统会话信息、运维记录、文件传输、
协同会话的详细操作记录。
系统日志 以折线图的形式,从多方面呈现用户运维资源随时间变化的趋势,并可 生成运维资源综合分析报告。
主要涵盖内容有“运维时间分布”、“资源访问次数”、“会话时 长”、“来源IP访问数”、“会话协同”、“双人授权”、“命令拦 截”、“字符命令数”和“传输文件数”。
日志类型 日志内容
运维报表 ● 系统登录日志:用户登录系统的详细记录,可在线查看或导出Excel 文件。
● 系统操作日志:用户系统操作的详细记录,可在线查看或导出Excel 文件。
系统报表 以柱状图的形式,从多方面统计用户登录系统和系统操作次数,并可生 成系统管理综合分析报告。
主要涵盖内容有“用户控制”、“用户与资源操作”、“用户源IP 数”、“用户登录方式”、“异常登录”、“会话控制”和“用户状 态”。
12.2 操作回放视频支持下载吗?
支持下载mp4格式视频文件,并可在多种播放器上播放。
默认情况下,不生成可下载视频文件,需手动“生成视频”。下载视频后请及时删 除,以免占用过多存储空间。
步骤1 登录云堡垒机系统。
步骤2 选择“审计 > 历史会话”。
步骤3 单击“操作”列中的“更多 > 生成视频”。
图12-1 生成视频
步骤4 生成视频后,单击“操作”列的“下载”,将视频保存到本地。
步骤5 下载视频后,可将系统缓存的视频文件删除,可以单击“操作”列中的“更多 > 删除 视频”,或选中多条记录单击左下角批量“删除视频”。