云堡垒机变更规格的费用如何计算？_云堡垒机 CBH_常见问题_计费、到期续费与退订_华为云

(1)

常见问题

文档版本 78

发布日期 2022-02-24

(2)

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明

和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意

您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或暗示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司

地址：深圳市龙岗区坂田华为总部办公楼邮编：518129

网址： https://www.huawei.com

客户服务邮箱：[email protected] 客户服务电话：4008302118

(3)

1 ^{高频常见问题}

跨云、跨区域、跨 VPC、跨账号、线下资源、不同可用区资源纳管

● 云堡垒机是否支持纳管非华为云和云下服务器？

● 云堡垒机可以跨帐号管理资源吗？

● 云堡垒机可以跨区域或跨VPC网络管理主机吗？

● 如何选择云堡垒机实例区域和可用区？

● 云堡垒机支持哪些区域和可用分区？

购买/续费/退订

● 购买部署相关

● 云堡垒机实例有哪些规格？

● 如何配置云堡垒机的安全组？

● 使用云堡垒机时需要配置哪些端口？

● 云堡垒机支持哪些计费方式？

● 云堡垒机可以免费使用吗？

● 云堡垒机实例可以退订吗？

● 提示资源售罄，如何购买云堡垒机实例？

备份/变更规格/升级

● 云堡垒机支持备份哪些系统数据？

● 创建数据本地备份

● 配置远程备份至Syslog服务器

● 配置远程备份至FTP/SFTP服务器

● 配置远程备份至OBS桶

● 变更版本规格（扩大系统数据盘容量、最大并发数、最大资产数、CPU、内存等

配置）

● 升级堡垒机版本

● 版本升级前，如何备份云堡垒机系统中数据？

● 堡垒机变更规格和升级是否会造成审计数据丢失？

(9)

● FTP/SFTP远程备份失败怎么办？

Lincense（更新授权）

● 云堡垒机如何续费，更新授权？

● 如何处理“授权License快到期或者已到期，需及时更新License许可证”的问

题？

文件传输（上传/下载）

● Linux主机中文件的上传/下载

● Windows主机中文件的上传/下载

● 云堡垒机有哪些文件传输方式？

● SSH协议主机，如何使用FTP/SFTP传输文件？

● 通过Web浏览器运维，如何上传/下载文件？

● 上传/下载文件失败怎么办？

● 通过Web浏览器运维，提示不支持文件传输怎么办？

CBH 系统登录

● 云堡垒机系统支持哪些登录方式？

● 如何重置云堡垒机用户登录密码？

● 如何设置云堡垒机登录安全锁？

● 如何解锁登录云堡垒机时被锁定的用户/IP？

● 登录云堡垒机系统异常怎么办？

(10)

2 ^产品咨询

2.1 云堡垒机实例与云堡垒机系统的区别是什么？

一个云堡垒机实例代表了一个独立运行的云堡垒机系统。

用户可以登录管理控制台，选择“安全与合规 > 云堡垒机”，然后在云堡垒机管理控制台申请和管理实例。

云堡垒机系统是云堡垒机实际运维功能核心，后台采用EulerOS操作系统，包含用户管理、资源管理、策略、审计和工单等功能模块，支持对Windows或Linux等操作系统的主机提供安全管控保护。

2.2 云堡垒机系统有哪些安全加固措施？

云堡垒机有完整的安全生命周期管理，从系统开发过程的安全编码规范，到经过严格安全漏洞扫描、渗透测试等安全性测试，并通过了公安部门的安全检测，符合“网络安全法”等法律法规，满足合规性规范审查要求，达到信息安全等级评定Ⅲ级标准。

系统数据安全

● 登录安全：镜像加密，SSH远程登录安全加固，内核参数安全加固，系统账户口令使用强密码并且默认登录失败超过3次将锁定登录。

● 数据安全：敏感信息加密存储，系统根密钥独立动态生成。

● 应用安全：防SQL注入攻击、防CSV注入攻击、防XSS恶意攻击、API接口认证机制。

系统安全

● 系统全自动化安装，LUKS加密用户系统数据盘。

● 系统自带防火墙功能，防止常规网络攻击，例如暴力破解等。

● 统一HTML5方式访问入口，仅开放一个系统Web访问端口，减少攻击面。

● 针对SSH登录参数配置加固，提高SSH登录系统的安全性。

(11)

2.3 资产数是什么？

资产数表示云堡垒机管理的虚拟机等设备上运行的资源数，资源数是同一个虚拟机对应的需要运维的协议和应用总数。

受CBH资产版本规格限制，CBH系统管理的资源总数，不能超过当前版本规格的资产数。

资产数不以CBH系统所管理虚拟机等设备的数量计算，而是以所管理虚拟机上资源的数量计算，一个虚拟机内可能有多种资源形式，包括不同协议的主机，不同类型的应用等。

例如，目前有一台虚拟机，在云堡垒机中添加这台虚拟机的资源，分别添加了2个 RDP、1个TELNET和1个MySQL协议的主机资源，以及1个Chrome浏览器的应用资源，那么当前管理的资产数即为5，而不是1。

2.4 并发数是什么？

并发数表示云堡垒机上同一时刻连接的运维协议连接数。

云堡垒机系统对登录用户数没有限制，可无限创建用户。但是同时刻不同用户连接协议总数，不能超过当前版本规格的并发数。

例如，10个运维人员同时通过云堡垒机运维设备，假设平均每个人产生5条协议连接

（例如通过SSH、RDP等协议进行远程连接），则并发数等于50。

2.5 云堡垒机支持 IAM 细粒度管理吗？

支持。

统一身份认证（Identity and Access Management，IAM）是华为云提供权限管理的基础服务。默认情况下，新建的IAM用户没有任何权限，您需要授权IAM用户后，IAM 用户才可以基于已有权限对云服务进行操作。CBH服务已开通IAM细粒度权限管理功能，通过IAM权限管理，可对CBH实例的购买、升级、变更规格等关键操作进行细粒度授权。

此外，CBH系统管理和运维资源，在云堡垒机系统内配置“用户登录限制”、“访问控制策略”等，细粒度管理用户访问、操作资源的权限。但该功能是CBH系统本身的权限管理功能，IAM不为CBH系统提供权限管理功能。

2.6 云堡垒机支持统一管理企业 ERP 上云、SAP 上云等业务

吗？

(12)

2.7 自动化运维包括哪些内容？

云堡垒机“专业版”支持自动化运维功能，可将复杂运维精准化和效率化。自动化运维主要包括资源账户同步、脚本线上管理、多资源快速运维，以及多步骤自动运维。

● 资源账户同步：通过账户同步功能，可以实现对主机上资源账户的有效监管，及时发现僵尸账户或未纳管账户，加强对资产的管控。

详细操作请参见账户同步策略。

● 脚本线上管理：支持管理Python和Shell两种脚本格式，通过导入脚本文件或在线编辑脚本，在云堡垒机系统一体化管理和运行脚本。

详细操作请参见脚本管理。

● 多资源快速运维：支持快速将命令或脚本在多个SSH协议资源上执行，并根据发起的命令和脚本，返回相应执行结果；此外，还支持将一个或多个文件上传到多个资源上，并返回文件上传结果。

详细操作请参见快速运维。

● 多步骤自动运维：支持分步骤同时对多个SSH协议资源批量执行多种运维操作，

可同时运维操作包括执行命令、执行脚本、传输文件。运维任务执行后，按照步骤顺序依次自动执行操作，并返回执行结果。

详细操作请参见运维任务。

2.8 如何获取企业协议号码？

用户在配置云堡垒机安装远程桌面服务，创建一个应用发布服务器时，需要输入企业协议号码授权，企业协议号非免费提供套件。

云堡垒机不提供企业协议号，应用发布服务器为第三方管理插件，企业协议号需要客户自行申购。类似于客户申购了Windows系统，但Office套件并非免费提供，需要客户单独申购。

2.9 使用云堡垒机时需要配置哪些端口？

为了能正常使用云堡垒机，实例和资源安全组端口配置可参考表2-1。

表2-1 入/出方向规则配置参考

场景描述方向协议/应用端口

通过Web浏览器登录云堡垒机（HTTPS）入方向 TCP 443 通过MSTSC客户端登录云堡垒机入方向 TCP 53389 通过SSH客户端登录云堡垒机入方向 TCP 2222 通过FTP客户端登录云堡垒机入方向 TCP 20~21 通过云堡垒机的SSH协议远程访问Linux云

服务器入方向 TCP 22

(13)

场景描述方向协议/应用端口通过云堡垒机的RDP协议远程访问Windows

云服务器

入方向 TCP 3389

通过云堡垒机访问Oracle数据库入方向 TCP 1521 通过云堡垒机访问MySQL数据库入方向 TCP 33306 通过云堡垒机访问SQL Server数据库入方向 TCP 1433 通过云堡垒机访问DB2L数据库入方向 TCP 50000 License注册许可服务器出方向 TCP 9443

华为云服务出方向 TCP 443

同一安全组内通过SSH客户端登录云堡垒机出方向 TCP 2222

短信服务出方向 TCP 10743、

443

DNS域名解析出方向 UDP 53

2.10 云堡垒机可以管理多个子网的资源吗？

可以。

子网是属于VPC的资源，同一VPC内的子网可以进行通信，即云堡垒机可以直接管理同一VPC多个子网内的资源，且同一VPC不同子网下的云堡垒机可以通信。

堡垒机和主机必须要在同一个区域，同一个VPC下，具体的限制请参考网络使用限制。跨VPC的子网默认不能通信，虽可通过创建对等连接使不同VPC的子网通信，但受限于跨VPC场景下网络的复杂性和网段冲突的可能性，不建议跨VPC使用云堡垒机管理资源。

2.11 云堡垒机支持管理哪些数据库？

云堡垒机支持通过主机运维或应用运维两种方式管理数据库，可管理多种协议类型的云上数据库。主机运维方式提供增删改查操作命令审计。应用运维方式提供操作会话视频审计。

说明

● 标准版仅支持应用运维方式，不支持直接运维数据库，需要建立应用发布服务器才可以运维数据库。

● 专业版支持主机运维和应用运维两种方式，支持直接运维数据库。

(14)

表2-2 支持数据库协议类型、版本和数据库客户端

数据库类型版本支持调用客户端

MySQL 5.5，5.6，5.7，

8.0 Navicat 11、12

MySQL Administrator 1.2.17 MySQL CMD

Microsoft SQL

Server 2017 Navicat 11、12 SSMS 17.6

Oracle 10g，11g，12c Toad for Oracle 11.0、12.1、12.8、13.2 Navicat 11、12

PL/SQL Developer 11.0.5.1790 DB2 DB2 Express-C DB2 CMD命令行 11.1.0 PostgreSQL 暂不支持 -

应用运维方式

云堡垒机通过应用运维方式管理数据库，支持对以下系统版本的应用进行管理：

● 支持对Windows Server2008 R2及以上的Windows系统版本的应用进行管理。

此时，需通过在一台支持远程桌面的Windows系统上部署数据库客户端。通过 Web浏览器远程登录Windows桌面并调用数据库客户端，实现云堡垒机对数据库类型应用的运维。

云堡垒机支持直接配置并调用的Windows系统的数据库客户端如表2-3所示。

Windows主机上的其他类型数据库应用，都可通过配置应用服务器类型为

“Other”，实现应用运维，详配置指导请参见通过云堡垒机纳管应用服务器。

表2-3 支持直接调用的 Windows 系统上部署的数据库客户端

应用类型支持调用的客户端

MySQL Tool MySQL Administrator Oracle Tool PL/SQL Developer SQL Server Tool SSMS

dbisql dbisql

PostgreSQL Navicat for PostgreSQL

● 支持对Centos7.9系统的Linux服务器的数据库应用进行管理。

注意

Linux服务器仅支持调用达梦数据库V8的应用。

(15)

云堡垒机支持直接配置并调用的Linux服务器的数据库客户端如表2-4所示。

表2-4 支持直接调用的 Linux 服务器的数据库客户端

应用类型支持调用的客户端

达梦数据库达梦管理工具V8

2.12 云堡垒机是否支持纳管非华为云和云下服务器？

CBH目前仅支持管理华为云上资源，暂不支持管理其他云厂商资源和云下资源。

2.13 通过华为云控制台创建的 ECS，会自动关联到云堡垒机吗？

通过华为云控制台创建的弹性云服务器（ECS），不会自动关联到云堡垒机。

但通过以下步骤可以将ECS关联到云堡垒机实例。

操作步骤

步骤1 创建堡垒机实例，具体请参考购买云堡垒机。

实例选择的区域、VPC分别和待管理的ECS资源的区域、VPC相同。

步骤2 （步骤1中已绑定EIP，忽略此步骤）为堡垒机实例绑定已有的弹性公网IP，具体请参考绑定弹性公网IP。

步骤3 将已创建的弹性云服务器纳管到步骤1中创建的堡垒机实例，具体的操作请参见通过云堡垒机纳管主机资源。

----结束

(16)

3 ^{区域和可用区}

3.1 什么是区域和可用区？

什么是区域、可用区？

通过区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。

● 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的 Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用 Region。

● 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，

有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。

一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。

图3-1阐明了区域和可用区之间的关系。

图3-1 区域和可用区

目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。

(17)

如何选择区域？

选择区域时，您需要考虑以下几个因素：

● 地理位置

一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。不过，在基础设施、BGP网络品质、资源的操作与配置等方面，中国大陆各个区域间区别不大，如果您或者您的目标用户在中国大陆，可以不用考虑不同区域造成的网络时延问题。

中国香港、泰国曼谷等其他地区和国家提供国际带宽，主要面向非中国大陆地区的用户。如果您或者您的目标用户在中国大陆，使用这些区域会有较长的访问时延，不建议使用。

– 在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。

– 在非洲地区有业务的用户，可以选择“南非-约翰内斯堡”区域。

– 在欧洲地区有业务的用户，可以选择“欧洲-巴黎”区域。

● 资源的价格

不同区域的资源价格可能有差异，请参见华为云服务价格详情。

如何选择可用区？

是否将资源放在同一可用区内，主要取决于您对容灾能力和网络时延的要求。

● 如果您的应用需要较高的容灾能力，建议您将资源部署在同一区域的不同可用区内。

● 如果您的应用要求实例之间的网络延时较低，则建议您将资源创建在同一可用区内。

区域和终端节点

当您通过API使用资源时，您必须指定其区域终端节点。有关华为云的区域和终端节点的更多信息，请参阅地区和终端节点。

3.2 云堡垒机支持哪些区域和可用分区？

目前云堡垒机面向中国大陆用户，支持“华北-北京一”、“华北-北京四”、“华东- 上海一”、 “华东-上海二”、 “西南-贵阳一”、“华南-广州”和“华南-深圳”七个区域。

云堡垒机支持的区域和可用区参见表3-1。

表3-1 云堡垒机支持区域和可用分区

区域名称区域可用分区名称可用分区

(18)

区域名称区域可用分区名称可用分区 cn-north-4c 可用区3 华东-上海一 cn-east-3 cn-east-3a 可用区1 cn-east-3b 可用区2 cn-east-3c 可用区3 华东-上海二 cn-east-2 cn-east-2a 可用区1 cn-east-2b 可用区2 cn-east-2c 可用区3 cn-east-2d 可用区4 华南-广州 cn-south-1 cn-south-1a 可用区1 cn-south-1b 可用区2 cn-south-1c 可用区3 cn-south-1e 可用区5 华南-深圳 cn-south-2 cn-south-2a 可用区1 西南-贵阳一 cn-southwest-2 cn-southwest-2a 可用区1 cn-southwest-2d 可用区4 西北-克拉玛依 cn-northwest-1 cn-northwest-1a 可用区1

3.3 云堡垒机可以跨帐号管理资源吗？

不建议。

云堡垒机仅支持直接管理同一VPC内资源，即可直接访问同一VPC内资源。

跨帐号情况下，理论上可通过对等连接，打通不同账户下两个VPC之间网络。但受限于跨VPC场景下网络的复杂性和网段冲突的可能性，不建议跨帐号使用云堡垒机纳管资源。

3.4 云堡垒机可以跨区域或跨 VPC 网络管理主机吗？

不建议。

云堡垒机仅支持直接管理同一VPC内资源，即可直接访问同一VPC内资源。

虽跨区域或跨VPC可通过云服务构建网络连接，但受限于网络的不稳定性，不建议跨区域或跨VPC使用云堡垒机纳管资源。

● 跨VPC情况下，可通过对等连接打通两个VPC之间网络。

● 跨区域情况下，可通过云连接（Cloud Connect，CC）、虚拟专用网（Virtual Private Network，VPN）等构建跨区域网络。

(19)

3.5 云堡垒机支持在专属云上使用吗？

不支持。

专属云（Dedicated Cloud）是面向企业、政府、金融等客户，提供计算、存储资源池以及网络、管控多级隔离的综合解决方案。用户独享专属资源池，与公有云资源物理隔离，满足特定性能、应用及安全合规等要求。

因网络隔离，且云堡垒机暂未在专属云上线，即在专属云上不能创建和使用云堡垒机。

(20)

4 ^购买

4.1 购买部署相关

云堡垒机规格支持降级购买吗？

云堡垒机实例仅支持版本规格升级，不支持版本规格的回退或降级。

变更规格详细说明，请参见变更云堡垒机规格。

如何选择云堡垒机实例区域和可用区？

区域是一个地理区域的概念。我国地域面积广大，由于带宽的原因，不可能只建设一个数据中心为全国客户提供服务。因此，根据地理区域的不同将全国划分成不同的区域。选择区域时通常根据就近原则进行选择，例如您或者您的客户在北京，那么您可以选择华北服务区，这样可以减少访问服务的网络时延，提高访问速度。

云堡垒机支持直接管理同一区域同一VPC下资源，同一区域同一VPC下资源可以直接访问。

因不同区域的VPC和同一区域不同VPC之间内网不互通，在购买云堡垒机实例时，建议配置云堡垒机实例与ECS等资源在同一区域同一VPC网络。此外，为降低网络时延，建议在配置实例区域的可用区时，选择与所选VPC同一区域和可用区。

说明

同一区域不同VPC情况下，可通过对等连接打通两个VPC之间网络；跨区域情况下，可通过云连接（Cloud Connect）构建跨区域网络。

若购买云堡垒机时，某个可用区无法选择（如“华南-广州”的可用区1），可以选择同一区域的其它可用区（如选择“华南-广州”区域的可用区2）。

云堡垒机支持的区域和可用分区请参见云堡垒机支持哪些区域和可用分区？。

云堡垒机创建成功后，可以修改安全组吗？

云堡垒机创建成功后，安全组不可更改。如需修改，请先退订云堡垒机，然后重新购买。

(21)

云堡垒机创建成功后，可以修改 VPC 和子网吗？

云堡垒机创建成功后，VPC和子网不可更改。如需修改，请先退订云堡垒机，然后重新购买。

云堡垒机创建成功后，可以删除 admin 帐号吗？

系统管理员帐号admin拥有系统最高操作权限，该帐号是不允许删除的。

● 但是admin帐号支持锁定，具体的操作方法请参见如何设置云堡垒机登录安全锁？。

● 如果忘记admin密码，支持通过云堡垒机控制台重置密码，具体请参考admin帐号重置密码。

4.2 云堡垒机实例有哪些规格？

目前云堡垒机提供标准版和专业版两个功能版本，每个版本配备100、200、500、

1000、2000、5000资产规格，提供多个版本规格供您选择。

不同版本规格的价格详情，请参见CBH定价。

说明

● 云堡垒机暂不支持自定义规格，只能选择默认的版本规格。

● 华为云新用户仅能购买当前版本规格实例，已使用云堡垒机的用户可继续使用历史版本规格的实例。

实例版本规格

表4-1 不同版本功能 功能版本功能说明

标准版基础功能：身份认证、权限控制、帐号管理、安全审计专业版基础功能：身份认证、权限控制、帐号管理、安全审计

增强功能：自动化运维、数据库运维审计

表4-2 不同规格配置说明

资产数并发数 CPU 内存系统盘数据盘

100 100 4核 8GB 100GB 1000GB

200 200 4核 8GB 100GB 1000GB

(22)

资产数并发数 CPU 内存系统盘数据盘 5000 2000 8核 16GB 100GB 2000GB

历史版本

云堡垒机实例历史版本功能包括身份认证、权限控制、帐号管理、安全审计。

表4-3 历史规格/性能说明

版本资产数并发数 CPU 内存硬盘

标准版 20 20 1核 4GB 100GB

专业版 50 50 2核 4GB 200GB

企业版 100 100 4核 8GB 400GB

高级版 200 200 4核 8GB 800GB

旗舰版无限制无限制 8核 16GB 1TB

4.3 如何配置云堡垒机的安全组？

背景介绍

安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求并相互信任的弹性云服务器、云堡垒机等提供访问策略。

为了保障云堡垒机的安全性和稳定性，在使用云堡垒机之前，您需要设置安全组，开通需访问资源的IP地址和端口。

● 云堡垒机实例可与纳管的资源共用一个安全组，各自取用安全组规则，互不影响。

● 每个用户有一个默认安全组Sys-default，用户可选择Sys-default安全组，根据需要添加相应安全组规则。用户也可选择自定义安全组，新建安全组并添加合理安全组规则。

● 云堡垒机实例创建成功后，安全组不能更改，但相应安全组规则可以修改。

● 为确保云堡垒机正常连接资源，ECS主机、RDS数据库等资源需配置合理安全组规则，放开相应网关IP和端口，并允许云堡垒机“私有IP地址”访问，资源安全组配置可参考ECS安全组配置。

● 云堡垒机正常使用，实例和资源安全组端口配置可参考使用云堡垒机时需要配置哪些端口？。

配置云堡垒机安全组

步骤1 登录云堡垒机实例管理控制台。

步骤2 单击“购买云堡垒机”，进入“购买云堡垒机实例”页面。

(23)

步骤3 在“安全组”参数选项框右侧，单击“管理安全组”，跳转至安全组配置页面，创建安全组和添加安全组规则。

说明

也可在“安全组”选项框内选择合理配置的安全组。

步骤4 单击“创建安全组”，创建一个新的安全组，详细指导请参见创建安全组。

步骤5 单击“操作”列中的“配置规则”，为安全组添加安全组规则，详细指导请参见添加安全组规则。

步骤6 选择“入方向”页签，单击“添加规则”。同理，可以添加出方向规则。

根据云堡垒机使用组网场景配置安全规则，参考表2-1配置。

步骤7 完成安全组规则配置，返回“购买云堡垒机服务”页面，选择指定安全组，合理配置其他参数后创建实例。

----结束

配置安全组不合理，运维故障场景

安全组配置不合理，在使用云堡垒机时可能会出现以下故障：

1. 实例许可证认证错误

– 实例创建失败，提示“Lincense激活失败”，可能未配置出方向TCP协议 9443端口，导致网络不通获取不到许可证认证；

– 登录云堡垒机提示License过期，未配置出方向TCP协议9443端口，导致网络不通获取不到许可证认证。

2. 登录云堡垒机系统错误

– 云堡垒机系统登录页面载入失败，提示“服务器响应时间过长”，可能未配置入方向TCP协议443端口；

– 云堡垒机系统页面无法正常显示，可能未配置入方向TCP协议443端口，导致 Web浏览器不能正常登录系统。

3. 主机资源验证错误

– 在资源中添加主机时，提示“主机不可达”，可能未配置入方向TCP协议 3389端口，导致不能远程连接云服务器；

– 添加主机时验证账户密码，提示“主机不可达”，可能未配置入方向ICMP协议，导致外网ping不通主机资源。

4. 云堡垒机访问资源错误

– 在登录云资源时，提示“连接错误”，可能未配置入方向TCP协议3389端口，导致不能远程连接云服务器；

– 使用云堡垒机登录云主机黑屏，无法正常显示，可能未配置入方向TCP协议 3389端口，导致不能远程连接云服务器；

(24)

5 License 相关

5.1 云堡垒机是否提供第三方 License？

不提供。

云堡垒机有Navicat等第三方插件相关的功能，若用户通过Navicat等第三方插件进行数据库等资产管理，由于Navicat属第三方应用，云堡垒机不提供相应License认证，需要单独联系Navicat申请License。

5.2 如何处理“授权 License 快到期或者已到期，需及时更新 License 许可证”的问题？

当堡垒机即将过期提示更新授权或者堡垒机已过期提示更新授权时，需要通过华为云控制台为堡垒机实例续费获取新的授权许可证文件，更新许可证。

现象

现象一：堡垒机实例即将到期

现象二：堡垒机实例已到期

(25)

前提条件

● 已获取管理控制台的登录帐号与密码，拥有CBH操作权限。

● 已放通安全组和防火墙ACL出方向9443端口，解除网络限制，否则可能导致续费更新授权失败。

● 如果您的堡垒机版本是V3.3.2.0及以下版本，需要为堡垒机实例绑定弹性公网IP，

否则可能导致续费更新授权失败。

操作步骤

步骤1 登录管理控制台。

步骤2 选择“安全与合规 > 云堡垒机”，进入云堡垒机控制台页面。

步骤3 单击待续费的实例，“操作”列的“更多 > 续费”，进入“续费”配置页面。

步骤4 根据需要选择续费时长。

图5-1 续费配置

(26)

说明

续费后，新的License许可证大约需5分钟自动下发授权并部署，请耐心等待。

----结束

(27)

6 备份/变更规格/升级

6.1 云堡垒机支持备份哪些系统数据？

为加强对数据的容灾管理，云堡垒机支持手动备份和自动备份，提高审计数据安全性和系统可扩展性。

版本升级前，如何备份云堡垒机系统中的数据，请参考版本升级前，如何备份云堡垒机系统中数据？。

手动备份

通过手动导出/下载各功能模块数据文件保存在本地，可手动备份日志请参见表6-1。

说明

系统内导出的csv文件，用Excel打开可能会乱码。若出现乱码情况，请先修改文件编码格式再打开文件，详细说明请参考为什么打开CBH系统数据文件显示乱码？

表6-1 支持导出或下载的数据

数据信息导出下载格式说明

用户支持 - CSV 不支持导出“用户密码”、“手机号码”和“邮箱”信息。

动态令牌支持 - CSV -

主机支持 - CSV -

应用发布服务器

支持 - CSV -

(28)

数据信息导出下载格式说明

改密策略 - 支持 CSV 支持密码验证后，下载单个“改密策略”执行日志。

账户同步策

略 - 支持 CSV “专业版”支持下载单个“账户同步策略”执行日志。

快速运维支持 - CSV “专业版”支持导出单个“快速运维”执行日志。

运维任务支持 - CSV “专业版”支持导出单个“运维任务”执行日志。

历史会话支持支持 CSV，MP4 支持导出多条历史会话，同时支持生成并下载单个会话视频。

系统日志支持 - CSV -

运维报表支持 - PDF、DOC、

XLS、HTML “运维报表”支持文本格式导出。

系统报表支持 - PDF、DOC、

XLS、HTML “系统报表”支持文本格式导出。

不支持导出系统权限配置报表。

系统配置 - 支持 bak ● 支持备份并还原当前“系统配置”信息，下载的备份文件仅能用于还原当前系统配置。

● 不支持导出系统权限配置数据。

● 支持设置“自动备份”，每天零点备份前一天系统配置。

● 详细备份和还原操作请参见配置备份与还原。

自动备份

通过配置日志备份，用户可将登录日志、关键操作日志等压缩成tar文件后，分别远程备份到本地/Syslog/FTP/SFTP服务器，以及远程备份存储到OBS桶中，可配置备份数据请参见表6-2。

表6-2 支持配置备份的数据

备份方式数据信息说明

本地下载备份系统登录日志、资源登录

日志、命令操作日志、文件操作日志、双人授权日志

可选择时间范围备份日志，并下载保存到本地。

(29)

备份方式数据信息说明远程备份至

Syslog服务器 系统登录日志、资源登录日志、命令操作日志、文件操作日志、双人授权日志

Syslog服务器配置成功后，历史日志记录全量远程备份。当有新日志记录时，实时启动备份。

远程备份至 FTP/SFTP服务 器

系统配置、会话回放日志 ● FTP/SFTP服务器配置成功后，每天零点备份前一天日志数据。

● 此外可选择需备份日期，立即将数据备份至服务器。

远程备份至

OBS服务器 系统配置、会话回放日志 ● 远程备份至OBS桶配置成功后，每天零点备份前一天日志数据。

● 此外可选择需备份日期，立即将数据备份至OBS桶。

6.2 版本升级有哪些注意事项？

当云堡垒机系统有新版本时，为使用优化或新增的系统功能，可选择对系统进行版本升级。

版本升级是对云堡垒机软件版本功能的提升，不收取费用。在云堡垒机版本升级前后，需注意以下几个方面：

● 升级前

为防止因升级失败而影响使用，建议升级前备份数据，备份说明请参见备份CBH 数据。

● 升级中

版本升级过程约需要30min，版本升级期间云堡垒机系统不可用，但不影响主机资源运行。但在升级期间，建议用户不要登录云堡垒机系统进行操作，以免重要数据丢失。

● 升级后

版本升级完成后会自动“重启”云堡垒机，重启完成后，即可使用云堡垒机。

版本升级后用户可正常继续使用原有配置和存储数据，升级不影响系统原有配置和存储数据。

6.3 版本升级前，如何备份云堡垒机系统中数据？

当云堡垒机系统有新版本时，用户为使用优化或新增的系统功能，用户需对系统进行版本升级。

(30)

表6-3 版本升级需备份数据 数据信息导出导入说明

用户 √ √ 无法导出“用户密码”、“手机号码”和“邮箱”。升级完成后，可选择重置用户密码。

资源账户 √ √ 为防止资源账户信息丢失，建议单独备份和还原资源账户文件。

审计数据 √ × 审计数据无法重新导入到系统，需全量备份审计数据，

主要包括历史会话、会话视频、系统登录日志、系统操作日志、运维报表和系统报表。

● “运维报表”和“系统报表”支持文本格式导出。

● “历史会话”支持导出MP4格式会话视频。

系统配置 √ √ “系统配置”信息包含全量系统配置数据。

详细系统配置说明请参见配置备份与还原。

备份操作示例

以备份“资源账户”数据信息为例，介绍如何导出和导入系统数据。

步骤1 登录管理控制台。

步骤2 在页面左上角单击，选择区域，选择“安全与合规 > 云堡垒机”，进入云堡垒机实例管理页面。

步骤3 在需要备份服务版本的实例所在行，单击“操作”列中“登录”，登录云堡垒机系统。

步骤4 导出升级前系统数据信息。

在“资源账户”页面，单击“导出”，导出全部用户信息Excel表。

说明

● 若勾选特定信息，再单击“导出”，即导出指定数据信息。若不勾选，则导出全部数据信息。

● 导出“主机”信息，会将“主机”下所有的“资源账户”一同导出。

● 导出“应用发布”信息，会将“应用发布”下所有的“资源账户”信息一同导出。

步骤5 升级版本。

获取版本升级操作权限后，参考实例管理升级版本对系统版本进行升级。

步骤6 对比Excel表模板。

重新登录云堡垒机新版本系统，在“资源账户”页面，单击“导入”，在导入页面单击“点击下载”，下载新系统Excel表模板。

对比版本升级前后系统Excel表，查看两个Excel表中格式是否一致。若不一致，修改升级前系统Excel表格式。

(31)

步骤7 导入修改后Excel表。

在“资源账户”页面，单击“导入”，在导入页面单击“点击上传”，将修改后Excel 表导入到新系统。

说明

● 若升级前系统配置了“部门”信息，需首先在新系统中配置相应部门结构，再导入数据信息。

● 系统配置文件无需修改操作，直接上传原系统备份文件，即可恢复系统配置。

步骤8 刷新“资源账户”信息列表，查看已成功导入的数据信息。

----结束

6.4 堡垒机变更规格和升级是否会造成审计数据丢失？

堡垒机变更规格和升级软件版本，正常情况下，都不会造成审计数据丢失。

但是变更规格和升级有失败的风险，因此，在变更规格前必须备份数据，以防因变更规格/升级失败而影响数据的使用。

变更规格前后的注意事项

● 变更规格前

用户必须在变更规格前备份数据，因变更规格有失败风险，以防因变更规格失败而影响使用，备份说明请参见版本升级，如何备份云堡垒机系统中数据？。

若需变更规格到专业版，变更规格前请确保当前软件版本在3.2.16.0及以上，否则变更规格后的增强功能不生效。若软件版本在3.2.16.0以下，请先升级软件版本，

再变更规格升级云堡垒机规格。查看云堡垒机当前版本，请参见关于系统的设备系统。

● 变更规格中

变更规格过程约需要30min，变更规格期间云堡垒机系统不可用，业务中断，但不影响主机资源运行。建议用户不要登录云堡垒机系统进行操作，以免重要数据丢失影响使用。

● 变更规格后

变更规格只对数据盘进行变更规格，不会影响系统盘。变更规格到新版本后，后台为用户变更规格CPU、内存、带宽等，不影响原有EIP的使用。

升级前后的注意事项

● 升级前

为防止因升级失败而影响使用，建议升级前备份数据，备份说明请参见备份CBH 数据。

● 升级中

(32)

版本升级后用户可正常继续使用原有配置和存储数据，升级不影响系统原有配置和存储数据。

6.5 FTP/SFTP 远程备份失败怎么办？

问题现象

● 云堡垒机配置了FTP/SFTP远程备份，报“请检查服务器密码或网络连接情况”错误，不能启动远程备份。

● 选择备份具体某一天日志，提示“备份正在执行”，但远程服务器未接收到该备份文件。

可能原因

原因一：云堡垒机配置的FTP/SFTP服务器账户或密码错误，导致远程备份失败。

原因二：云堡垒机与FTP/SFTP服务器的网络连接不通，导致远程备份失败。

原因三：FTP/SFTP服务器用户目录限制文件上传，导致远程备份失败。

原因四：被选择日期当天的运维日志量大，备份传输速率慢，长时间未备份完成，导致在远程服务器不能及时查看备份文件。

解决办法

原因一：

● 登录ECS管理控制台，VNC方式登录一台Linux主机，通过Linux主机登录FTP/

SFTP服务器，验证服务器账户和密码。验证成功后，重新配置FTP/SFTP服务器远程备份账户和密码，尝试备份。

原因二：

● 登录云堡垒机系统，通过网络诊断，检查与FTP/SFTP服务器之间网络连接情况。

– 网络连接正常，请排查其他可能原因。

– 网络连接异常，请参考CBH安全组规则，检查云堡垒机和FTP/SFTP服务器主机安全组是否放开22端口；参考排查网络ACL规则，检查FTP/SFTP服务器主机的ACL是否放开22端口，并添加云堡垒机公网IP（即弹性IP）为允许。

原因三：

● 开启用户目录上传权限。

● 登录云堡垒机系统，选择“系统 > 数据维护 > 日志备份”，重新正确配置FTP/

SFTP服务器的“存储路径”。

说明

“存储路径”置空表示备份内容存放到FTP/SFTP服务器用户的主目录下，例如绝对路径/

home/用户名；配置的路径需以英文句号开头，例如配置路径为 ./test/abc，则其绝对路径为/home/用户名/test/abc。

(33)

原因四：

● 请您耐心等待，建议备份启动后的第二天再查看服务器上备份文件。

如果通过上述排查，仍然无法使用FTP/SFTP远程备份，请单击管理控制台右上方的

“工单”，填写工单信息反馈问题现象，联系技术支持。

(34)

7 ^{文件传输类}

7.1 云堡垒机有哪些文件传输方式？

云堡垒机支持文件传输功能，以及审计传输的文件。Linux主机和Windows主机的文件传输方式有所区别。

Linux 主机

Linux主机上传/下载文件，可选择Web运维和FTP/SFTP客户端运维两种方式，具体的操作方法请参见Linux主机中文件的上传/下载。

● Web运维

需先将Linux主机配置为SSH协议主机资源。

通过Web运维登录目标Linux主机，可在会话窗口“文件传输”页面，执行上传/

下载操作，实现本地与目标主机间文件的直接传输。也可经个人网盘“中转”，

实现目标主机与其他主机间文件的间接传输。

说明

Web运维不支持执行rz/sz命令上传/下载文件。

● FTP/SFTP客户端运维

需先将Linux主机配置为FTP、SFTP协议主机资源。

通过客户端工具登录目标Linux主机，可在会话窗口执行rz/sz命令传输文件。

Windows 主机

Windows主机上传/下载文件，仅可选择Web运维方式。

需先将Windows主机配置为RDP协议主机资源。

通过Web浏览器登录目标Windows主机，可在会话窗口“文件传输”页面，执行上传/

下载操作，经个人网盘“中转”，打开Windows服务器磁盘目录，对G盘上文件进行上传下载操作，即可实现Windows主机的文件传输。

说明

个人网盘在Windows主机上的默认路径为NetDisk G盘。

(35)

更多文件传输说明，请参见如下文档：

● 通过Web运维，如何上传/下载文件？

● SSH协议主机，如何使用FTP/SFTP传输文件？

● 上传/下载文件失败怎么办？

7.2 SSH 协议主机，如何使用 FTP/SFTP 传输文件？

运维员admin_A需要利用FTP/SFTP客户端，向云堡垒机已纳管的SSH协议主机 HOST_A传输文件。

配置 HOST_B 资源

云堡垒机管理员用户为运维员admin_A配置主机HOST_B运维的权限。

步骤1 选择“资源 > 主机管理”。

步骤2 单击“新建”，新建一个FTP/SFTP协议主机HOST_B。

● “协议类型”选择FTP或SFTP。为了提高安全性，建议采用SFTP。

● “主机地址”配置为HOST_A的主机地址。

● 其他参数值均参考HOST_A进行设置。即HOST_A和HOST_B实际指向同一台主机，只是协议类型不同。

图7-1 配置 SFTP 协议主机

(36)

步骤3 选择“策略> 访问控制策略”，将新创建的主机HOST_B授权给运维员admin_A。

----结束

SFTP/FTP 传输文件

运维员admin_A登录云堡垒机，通过HOST_B资源传输文件。

步骤1 选择“运维 > 主机运维”。

步骤2 单击主机HOST_B对应的“登录”。

步骤3 打开本地FTP/SFTP客户端，参考弹出窗口填写登录信息。

步骤4 成功登录主机HOST_B，即可进行文件传输。

说明

● FTP/SFTP登录密码即为运维员admin_A登录云堡垒机的密码。

● 登录云堡垒机的注意事项请参考通过FTP/SFTP/SCP客户端登录。

图7-2 查看 SFTP 客户端配置建议

----结束

更多FTP/SFTP运维说明请参见FTP/SFTP客户端运维。

7.3 通过 Web 浏览器运维，如何上传/下载文件？

通过Web运维支持“文件传输”功能，在Web浏览器会话窗口上传/下载文件。不仅可实现本地与主机之间文件的传输，同时可实现不同主机资源之间文件的相互传输。

CBH系统详细记录传输文件的全过程，可实现对文件上传/下载的审计。

“主机网盘”是为CBH用户定义的系统个人网盘，可作为不同主机资源间文件的“中转站”，暂存用户上传/下载的文件，且个人网盘中文件内容对其他用户不可见。

“主机网盘”与系统用户直接匹配，删除用户后，个人网盘中文件将被清空，个人网盘空间将被释放。

(37)

约束限制

● 目前仅SSH、RDP协议主机，支持通过Web运维上传/下载文件。

● Web运维不能通过执行rz/sz命令等方式上传/下载文件，仅能通过“文件传输”操 作上传/下载文件。

说明

Linux主机资源支持在客户端执行命令方式传输文件，例如在SSH客户端执行rz/sz命令上 传/下载文件。但该方式不能被CBH系统记录上传/下载的具体文件，不能达到对全程安全审计的目的。

● 支持下载一个或多个文件，不支持下载文件夹。

● 不支持断点续传，文件上传或下载过程请勿终止或暂停。

● 不支持传输超大文件，建议分批次上传/下载文件，传输的文件大小不超过1G。

前提条件

● 已获取主机资源文件上传/下载权限。详细配置指导请参见如何配置文件管理权限？

● 已获取主机资源运维的权限，能通过Web浏览器正常登录。

Linux 主机中文件的上传/下载

Linux主机资源上传/下载文件不依赖个人网盘，可直接实现与本地的文件传输。个人网盘可“中转”来自其他主机资源的文件。

步骤1 登录云堡垒机系统。

步骤2 选择“运维 > 主机运维”，选择目标Linux主机资源。

步骤3 单击“登录”，跳转到Linux主机资源运维界面。

步骤4 单击“文件传输”，默认进入Linux主机文件列表。

图7-3 Linux 主机文件传输页面

(38)

图7-4 上传文件到 Linux 主机

步骤6 下载Linux主机中文件。

1. 选中一个或多个待下载文件。

2. 单击下载图标，可选择“下载到本地”、“保存到网盘”，可分别下载一个或多个文件到本地或个人网盘。

(39)

图7-5 下载 Linux 主机中文件

步骤7 上传文件到个人网盘。

1. 单击“云主机文件”，选择“主机网盘”，切换到个人网盘文件列表。

2. 单击上传图标，可选择“上传本地文件”、“上传本地文件夹”，可上传一个或多个来自本地的文件或文件夹。

(40)

图7-6 上传文件到个人网盘

步骤8 下载个人网盘中文件。

2. 单击下载图标，直接下载一个或多个文件到本地。

(41)

图7-7 下载个人网盘中文件

----结束

Windows 主机中文件的上传/下载

通过CBH运维Windows主机资源，个人网盘在Windows主机上的默认路径为NetDisk G盘，该磁盘即为当前用户的个人网盘。

Windows主机资源不能直接与本地进行文件传输，必须依赖于个人网盘的“中转”才能实现文件的传输。

步骤2 选择“运维 > 主机运维”，选择目标Windows主机资源。

步骤3 单击“登录”，跳转到Windows主机资源运维界面。

步骤4 单击“文件传输”，默认进入个人网盘文件列表。

(42)

图7-8 Windows 主机文件传输页面

步骤5 上传文件到Windows主机。

1. 单击上传图标，可选择“上传本地文件”、“上传本地文件夹”，可上传一个或多个来自本地的文件或文件夹。

2. 打开Windows主机的磁盘目录，查找G盘NetDisk。

3. 打开NetDisk磁盘目录，鼠标右键复制目标文件（夹），并将其粘贴到Windows 主机目标目录下，实现将文件上传到Windows主机。

(43)

图7-9 上传文件到个人网盘

步骤6 下载Windows主机中文件。

1. 打开Windows主机的磁盘目录，鼠标右键复制目标文件（夹）。

2. 打开NetDisk磁盘目录，鼠标右键粘贴文件（夹）目录下，实现将Windows主机文件下载到个人网盘。

步骤7 下载个人网盘中文件。

2. 单击下载图标，直接下载一个或多个文件到本地。

(44)

图7-10 下载个人网盘中文件

----结束

上传/下载失败的处理办法

参见上传/下载文件失败怎么办？进行排查解决。

7.4 云堡垒机的“主机网盘”是什么？

云堡垒机“主机网盘”是系统用户的个人网盘，可作为用户传输文件的“中转站”，

暂存用户上传/下载的文件。

● 系统用户私有个人网盘空间。网盘中内容仅用户自己可见，对系统其他用户不可见。

● 与系统用户直接关联。用户被删除后，个人网盘中数据将被清空，个人网盘内存将被释放。

● 可用内存大小为系统配置的“个人网盘空间”大小。

系统所有用户的已使用个人网盘空间，不能超过系统配置的“网盘总空间”大小。

(45)

使用限制

● 不支持用户自定义个人网盘空间大小，仅能由系统管理员设置“个人网盘空间”，为系统用户分配相同大小的个人网盘空间。

详情请参见如何设置个人网盘空间大小？

● 不支持查询个人网盘已使用内存大小。

● 不支持设置定期清理，用户仅能通过手动删除文件来清理空间。

更多关于“主机网盘”的使用说明，请参见通过Web运维，如何上传/下载文件？

7.5 上传/下载文件失败怎么办？

通过 Web 运维上传下载失败

问题现象

● 下载“云主机文件”到“主机网盘”，即下载文件到用户个人主机网盘时，提示下载失败错误。

● 上传文件失败，提示“/3.0/h5FileService/upload-403：服务错误，请稍后重试”。

● 从本地上传文件到“主机网盘”，即上传到用户个人主机网盘时，提示“个人网盘空间不足，请清理网盘或联系管理员增加网盘空间”或“网盘存储空间不足”。

● 上传/下载大文件失败。

● 客户使用debian+rdp协议上传文件失败。

● 客户使用zoc客户端工具上传文件失败。

排查思路及解决办法图7-11 排查思路图

(46)

表7-1 解决办法

排查步骤可能的原因解决办法

排查堡垒机的版本是否是最新的版本

堡垒机版本太低参照升级版本章节，对堡垒机进行升级。

排查待上传/下载的文件是否打包成压缩文件

堡垒机不支持下载文件夹，需要把文件夹打包成压缩文件才可以上传/下载。

把文件夹打包成压缩文件，再进行上传/下载。

排查是否配置了上

传/下载权限未开启资源“文件管理权限”，也未授权用户“文件管理”的上传/下载权限。

1. 开启资源“文件管理”权限。

2. 授权用户“文件管理”的上传/下载

权限。

排查浏览器的缓存空间

浏览器的缓存空间不足

用户手动清理浏览器缓存空间后，再次上传。

排查“个人网盘空间”是否还有可存储容量

“个人网盘空间”不支持自动定期清理，

“个人网盘空间”容量小，个人网盘空间不足，甚至系统剩余可用存储空间不足。

● 用户手动清理用户个人主机网盘文件，释放出可用空间。

● 管理员用户重新设置个人网盘空间。

● 受限于云堡垒机“数据分区”空间大小，当上传/下载的文件大小大于剩余“数据分区”空间时，请管理员用户先清理系统空间或变更版本规格。

排查上传/下载的

文件是否太大上传/下载的文件太

大 ● 用户将大文件切割成1G左右的小文件，分批次上传/下载。

● 受限于云堡垒机“数据分区”空间大小，当上传/下载的文件大小大于剩余“数据分区”空间时，请管理员用户先清理系统空间或变更版本规格。

排查Web登录超时时间配置是否不合理

上传/下载大文件耗时较长，且Web登录连接超时，导致上传/下载超大文件失败。

● 用户上传/下载过程中不定时返回上传/下载界面，保持云堡垒机在操作状态。

● 管理员用户修改Web登录超时时间，详细配置说明请参见Web登录配置。

● 管理员用户重新设置个人网盘空间。

(47)

排查步骤可能的原因解决办法排查客户端使用的

协议和上传工具是否与云堡垒机兼容

云堡垒机暂不支持 debian+rdp协议和 zoc工具上传/下载文件。

使用云堡垒机支持的协议以及对应的客户端工具上传/下载文件：

● SFTP协议：Xftp 6及以上、WinSCP 5.14.4及以上、FlashFXP 5.4及以上

● FTP协议：Xftp 6及以上、WinSCP 5.14.4及以上、FlashFXP 5.4及以上、FileZilla 3.46.3及以上

● SCP协议：WinSCP 5.14.4及以上

通过 SSH 客户端运维上传/下载失败

问题现象

在Xshell客户端上，登录云堡垒机运维SSH协议主机资源，不能正常调用Xftp客户端传输文件。

可能原因

云堡垒机SSH客户端运维限制调用工具进行文件传输，即SSH客户端运维不支持文件传输功能和审计传输的文件。

解决办法

● 重新配置一个同“主机地址”的FTP/SFTP协议主机资源，通过FTP/SFTP客户端运维进行文件传输。

例如，配置SFTP协议主机资源并授权访问控制权限后，直接在Xftp客户端上，登录云堡垒机运维配置的主机资源，即可实现上传/下载文件。

● 通过Web运维SSH协议主机资源，实现上传/下载文件操作。

更多Web运维文件传输说明，请参见通过Web运维，如何上传/下载文件？。

更多SSH协议主机资源文件传输说明，请参见SSH协议主机如何使用FTP/SFTP传输文件？

如果通过上述排查，仍然无法上传/下载文件，请单击管理控制台右上方的“工单”，

填写工单反馈问题现象，联系技术支持。

7.6 如何清理个人网盘空间？

云堡垒机“主机网盘”是系统用户的个人网盘，暂不支持设置定期清理。

管理员可通过手动删除过期或废弃的文件，来清理个人网盘空间。

(48)

图7-12 存储配置

步骤3 展开网盘空间，即可查看设置的“个人网盘空间”和“网盘总空间”。

图7-13 网盘空间

步骤4 单击“详情”，进入网盘详情页面。

步骤5 在目标网盘所在行的“操作”列，单击“删除网盘数据”，可以清理个人网盘空间。

说明

勾选多个需要删除的网盘数据，单击“删除网盘数据”，可批量清理个人网盘数据。

----结束

删除部分网盘空间

Linux主机

步骤2 选择“运维 > 主机运维”，选择目标Linux主机资源。

步骤3 单击“登录”，跳转到Linux主机资源运维界面。

步骤4 单击“文件传输”，默认进入Linux主机文件列表。

(49)

图7-14 Linux 主机文件传输

步骤5 单击“云主机文件”，选择“主机网盘”，切换到个人网盘文件列表。

步骤6 勾选一个或多个文件或文件夹，单击删除图标，可删除文件或文件夹。

----结束 Windows主机 步骤1 登录云堡垒机系统。

步骤2 选择“运维 > 主机运维”，选择目标Windows主机资源。

步骤3 单击“登录”，跳转到Windows主机资源运维界面。

步骤4 单击“文件传输”，默认进入个人网盘文件列表。

图7-15 Windows 主机文件传输

(50)

步骤5 勾选一个或多个文件或文件夹，单击删除图标，可删除文件或文件夹。

----结束

7.7 通过 Web 浏览器运维，提示不支持文件传输怎么办？

问题现象

通过Web浏览器登录Linux主机资源，选择“文件传输”页签，提示“当前主机不支持文件传输功能”，无法查看文件目录。

图7-16 不支持文件传输功能

可能原因

Linux主机systemd-logind服务异常，影响SSH服务正常使用，导致文件传输功能不能被识别。

解决办法

步骤1 检查SSH服务是否正常。

在运维会话窗口，执行systemctl status sshd.service命令，查看服务状态。

● 若回显信息如下，则为systemd-logind服务异常，请执行2。

pam_systemd sshd:session:Failed to create session :Activation of org...

● 若回显其他信息，请联系技术支持。

步骤2 重启Linux主机systemd-logind服务。

在运维会话窗口，执行systemctl restart systemd-logind.service命令，重启登录服务。

步骤3 重启Linux主机SSH服务。

(51)

在运维会话窗口，执行如下命令，重启SSH服务。

● CentOS 6

service sshd restart

● CentOS 7

systemctl restart sshd

步骤4 退出登录，重新通过云堡垒机登录Linux主机资源，打开运维会话窗口。

----结束

如果通过上述解决办法，若仍不能使用文件传输功能，请单击管理控制台右上方的

“工单”，填写工单信息反馈问题现象，联系技术支持。

更多通过Web浏览器传输文件说明，请参见文件传输。

7.8 通过 Web 浏览器运维，单击“文件传输”加载不出文件列表怎么办？

问题现象

Web页面登录云堡垒机实例并纳管Linux服务器后，单击“文件传输”，加载不出文件列表（一直转圈）。

可能的原因

Linux服务器的目录下，有特殊字符（乱码）的文件或者文件夹导致的。

解决办法

检查Linux服务器目录下是否有乱码文件或者文件夹。建议将有乱码的文件名或者文件夹名进行重命名，否则无法加载出目录列表。

7.9 如何配置文件管理权限？

云堡垒机支持“文件管理”，可对纳管资源中文件或文件夹进行管理。

● 通过开启资源和访问控制策略的“文件管理”权限，用户即可对资源文件进行增删改查操作。

● 若用户需要上传或下载文件，则还需同时开启访问控制策略的“上传”或“下载”权限，实现文件上传和下载功能。

云堡垒机变更规格的费用如何计算？_云堡垒机 CBH_常见问题_计费、到期续费与退订_华为云

常见问题

华为技术有限公司

目 录

1 高频常见问题... 1

2 产品咨询...3

3 区域和可用区... 9

4 购买... 13

5 License 相关...17

7 文件传输类...27

8 计费、到期续费与退订... 50

9 CBH 系统登录...56

10 系统用户、资源及策略配置... 72

11 运维资源... 95

13 故障排除... 113

A 修订记录... 142

1 高频常见问题

跨云、跨区域、跨 VPC、跨账号、线下资源、不同可用区资源纳管

购买/续费/退订

备份/变更规格/升级

Lincense（更新授权）

文件传输（上传/下载）

CBH 系统登录

2 产品咨询

2.1 云堡垒机实例与云堡垒机系统的区别是什么？

2.2 云堡垒机系统有哪些安全加固措施？

系统数据安全

系统安全

2.3 资产数是什么？

2.4 并发数是什么？

2.5 云堡垒机支持 IAM 细粒度管理吗？

2.6 云堡垒机支持统一管理企业 ERP 上云、SAP 上云等业务

吗？

2.7 自动化运维包括哪些内容？

2.8 如何获取企业协议号码？

2.9 使用云堡垒机时需要配置哪些端口？

2.10 云堡垒机可以管理多个子网的资源吗？

2.11 云堡垒机支持管理哪些数据库？

应用运维方式

2.12 云堡垒机是否支持纳管非华为云和云下服务器？

2.13 通过华为云控制台创建的 ECS，会自动关联到云堡垒机 吗？

操作步骤

3 区域和可用区

3.1 什么是区域和可用区？

什么是区域、可用区？

如何选择区域？

如何选择可用区？

区域和终端节点

3.2 云堡垒机支持哪些区域和可用分区？

3.3 云堡垒机可以跨帐号管理资源吗？

3.4 云堡垒机可以跨区域或跨 VPC 网络管理主机吗？

3.5 云堡垒机支持在专属云上使用吗？

4 购买

4.1 购买部署相关

云堡垒机规格支持降级购买吗？

如何选择云堡垒机实例区域和可用区？

云堡垒机创建成功后，可以修改安全组吗？

云堡垒机创建成功后，可以修改 VPC 和子网吗？

云堡垒机创建成功后，可以删除 admin 帐号吗？

4.2 云堡垒机实例有哪些规格？

实例版本规格

历史版本

4.3 如何配置云堡垒机的安全组？

背景介绍

配置云堡垒机安全组

配置安全组不合理，运维故障场景

5 License 相关

5.1 云堡垒机是否提供第三方 License？

5.2 如何处理“授权 License 快到期或者已到期，需及时更新 License 许可证”的问题？

现象

前提条件

操作步骤

6 备份/变更规格/升级

6.1 云堡垒机支持备份哪些系统数据？

手动备份

自动备份

6.2 版本升级有哪些注意事项？

6.3 版本升级前，如何备份云堡垒机系统中数据？

备份操作示例

6.4 堡垒机变更规格和升级是否会造成审计数据丢失？

目录

1 ^{高频常见问题}

2 ^产品咨询

2.13 通过华为云控制台创建的 ECS，会自动关联到云堡垒机吗？

3 ^{区域和可用区}

4 ^购买

7 ^{文件传输类}

7.8 通过 Web 浏览器运维，单击“文件传输”加载不出文件列表怎么办？