系统报表_云堡垒机 CBH_用户指南_运维审计_华为云

(1)

用户指南

文档版本 44

发布日期 2022-02-22

(2)

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明

和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意

您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或暗示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司

地址：深圳市龙岗区坂田华为总部办公楼邮编：518129

网址： https://www.huawei.com

客户服务邮箱：[email protected] 客户服务电话：4008302118

(3)

1 ^实例

1.1 权限管理

1.1.1 创建用户并授权使用 CBH 实例

如果您需要对您所拥有的云堡垒机（Cloud Bastion Host，CBH）服务进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，IAM），

通过IAM，您可以：

● 根据企业的业务组织，在您的华为云帐号中，给企业中不同职能部门的员工创建 IAM用户，让员工拥有唯一安全凭证，并使用CBH服务资源。

● 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。

● 将CBH服务资源委托给更专业、高效的其他华为云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。

如果华为云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用服务的其它功能。

本章节为您介绍对用户授权的方法，操作流程如图1-1所示。

前提条件

给用户组授权之前，请您了解用户组可以添加的CBH服务权限，并结合实际需求进行选择，CBH服务支持的系统权限，请参见CBH系统权限。若您需要对除CBH服务之外的其它服务授权，IAM支持服务的所有权限请参见系统权限。

(11)

示例流程

图1-1 给用户授予 CBH 权限流程

1. 创建用户组并授权

在IAM控制台创建用户组，并授予云堡垒机的只读权限“CBH ReadOnlyAccess”。

2. 创建用户并加入用户组

在IAM控制台创建用户，并将其加入1中创建的用户组。

3. 用户登录并验证权限

新创建的用户登录控制台，切换至授权区域，验证权限：

– 在“服务列表”中选择云堡垒机，进入CBH实例主界面，单击“购买云堡垒机服务”，尝试购买CBH实例，若提示权限不足，无法购买CBH实例（假设当前权限仅包含“CBH ReadOnlyAccess”），表示“CBH

ReadOnlyAccess”生效。

– 在“服务列表”中选择除云堡垒机外（假设当前策略仅包含“CBH ReadOnlyAccess”）的任一服务，若提示权限不足，表示“CBH ReadOnlyAccess”已生效。

1.1.2 CBH 实例自定义策略

如果系统预置的CBH服务权限，不满足您的授权要求，可以创建自定义策略。自定义策略中可以添加的授权项（Action）请参考CBH实例权限及授权项。

目前华为云支持以下两种方式创建自定义策略：

● 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服

(12)

具体创建步骤请参见：创建自定义策略。本章为您介绍常用的CBH实例自定义策略样例。

CBH 自定义策略样例

● 示例1：授权用户变更规格CBH实例规格、升级CBH实例版本

{ "Version": "1.1", "Statement": [ {

"Effect": "Allow", "Action": [

"cbh:instance:upgrade", "cbh:instance:alterSpec"

] } ] }

● 示例2：拒绝用户重启CBH实例

拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。

如果您给用户授予“CBH FullAccess”的系统策略，但不希望用户拥有“CBH FullAccess”中定义的重启云堡垒机的权限，您可以创建一条拒绝重启云堡垒机的自定义策略，然后同时将“CBH FullAccess”和拒绝策略授予用户，根据Deny优先原则，则用户可以对CBH实例执行除了重启云堡垒机外的所有操作。拒绝策略示例如下：

"Effect": "Deny", "Action": [

"cbh:instance:reboot"

] } ] }

● 示例3：多个授权项策略

一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下：

"cbh:instance:create"

] }, {

"vpc:subnets:get"

] }, {

"ecs:cloudServerFlavors:get"

] }

(13)

] }

1.1.3 CBH 实例权限及授权项

如果您需要对您所拥有的云堡垒机（Cloud Bastion Host，CBH）服务进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，IAM），

如果华为云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用CBH实例的其它功能。

默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使用户组中的用户获得相应的权限，这一过程称为授权。授权后，用户就可以基于已有权限对云服务进行操作。

权限根据授权的精细程度，分为角色和策略。角色以服务为粒度，是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略授权更加精细，可以精确到某个操作、资源和条件，能够满足企业对权限最小化的安全管控要求。

支持的授权项

策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。

● 权限：允许或拒绝某项操作。

● 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，

可以实现授权项对应的权限功能。

表1-1 支持的授权项

权限授权项

创建云堡垒机 cbh:instance:create 变更规格云堡垒机规格 cbh:instance:alterSpec 查询云堡垒机列表 cbh:instance:list 升级云堡垒机软件版本 cbh:instance:upgrade 查询ECS配额 cbh:instance:getEcsQuota 绑定或解绑EIP cbh:instance:eipOperate 重启云堡垒机 cbh:instance:reboot 启动云堡垒机 cbh:instance:start 关闭云堡垒机 cbh:instance:stop

查看云堡垒机可用区 cbh:instance:getAvailableZones 检测当前配置是否支持创建IPv6云堡垒机 cbh:instance:checkIpv6

检测云堡垒机与License中心之间网络是否连

通 cbh:network:check

(14)

1.2 购买云堡垒机

背景信息

云堡垒机实例对应一个独立运行的云堡垒机运维管理系统环境。用户需首先购买云堡垒机实例，创建一个云堡垒机帐户，再登录云堡垒机系统并配置运维管理环境，才能实现云堡垒机实时远程高效运维管理。

前提条件

● 已获取待纳管资源信息，且待纳管资源在CBH支持使用的区域内。

● 已获取管理控制台的登录帐号与密码。

操作步骤

步骤1 登录管理控制台。

步骤2 如图1-2示例，跳转至“购买云堡垒机服务”页面。

图1-2 购买云堡垒机服务

步骤3 选择“云堡垒机实例”服务类型，根据设置实例的相关参数，相关说明请参考表1-2。

表1-2 购买云堡垒机实例参数说明

参数说明

计费模式选择实例计费模式，仅支持“包年/包月”模式。

包年/包月是预付费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景。

当前区域选择实例应用区域和可用区，即提供云堡垒机服务的区域和可用分区。

目前云堡垒机已开通区域和可用区，请参见支持区域和可用分区。

(15)

参数说明

可用分区建议根据待管理ECS、RDS等服务器上资源的区域和可用区选择，可以降低网络时延、提高访问速度。

实例名称自定义实例名称。

性能规格选择实例版本规格。

云堡垒机提供“标准版”和“专业版”两个功能版本，每个版本配备 100/200/500/1000/2000/5000资产规格。

详细版本和规格说明，请参考云堡垒机实例版本规格。

虚拟私有

云选择当前区域下虚拟私有云（Virtual Private Cloud，VPC）网络。

若当前区域无可选VPC，可单击“查看虚拟私有云”创建新的VPC。

说明

● 默认情况下，不同区域的VPC之间内网不互通，同区域的不同VPC内网不互通，同一个VPC下的不同可用区之间内网互通。

● 云堡垒机支持直接管理同一区域同一VPC网络下ECS等资源，同一区域同一VPC 网络下ECS等资源可以直接访问。若需管理同一区域不同VPC网络下ECS等资源，要通过对等连接、VPN等打通两个VPC间的网络；不建议跨区域管理ECS 等资源。

● 实例创建成功后，VPC不可更换，若配置有误，只能退订后重新购买实例。

更多关于VPC网络介绍，请参见VPC网络规划。

安全组选择当前区域下安全组，系统默认安全组Sys-default。

若无合适安全组可选择，可单击“管理安全组”创建或配置新的安全组。

说明

● 一个安全组为同一个VPC网络内具有相同安全保护需求，并相互信任的CBH与资源提供访问策略。当云堡垒机加入安全组后，即受到该安全组中访问规则的保护。详细介绍请参见安全组简介。

● 云堡垒机可与资源主机ECS等共用安全组，各自调用安全组规则互不影响。

● 云堡垒机创建成功后，安全组不可更改，但可以在安全组中定义各种访问规则。如需修改安全组，需先退订再重新购买实例。

更多关于安全组的信息，请参见配置云堡垒机安全组。

子网选择当前VPC内子网。

说明子网选择必须在VPC的网段内。

更多关于子网的信息，请参见创建虚拟私有云和子网。

(16)

参数说明

弹性IP （可选参数）选择当前区域下EIP。

若当前区域无可选EIP，可单击“购买弹性IP”创建弹性IP。

说明

● 一个弹性公网IP只能绑定一个云资源使用，云堡垒机绑定的弹性IP不能与其他云资源共用。实例创建成功后，弹性IP作为云堡垒机系统登录IP使用。所以为了正常使用云堡垒机，用户帐号至少需要创建一个弹性IP。此处若未绑定EIP，

后期可参考绑定弹性公网IP章节绑定弹性公网IP。

● 为满足CBH系统使用需求，建议配置EIP带宽为5M以上。

● 实例创建成功后，可根据需要“解绑弹性公网IP”和“绑定弹性公网IP”操作，更换云堡垒机系统登录EIP地址。

更多关于弹性IP的信息，请参见弹性公网IP简介。

用户名默认用户名“admin”。

系统管理员帐号admin拥有系统最高操作权限，请妥善保管帐号信息。

登录密码自定义admin用户密码信息。

说明

● 密码设置要求

– 长度范围：8~32个字符，不能低于8个字符，且不能超过32 个字符。

– 规则要求：可设置英文大写字母（A～Z）、英文小写字母（a～z）、数字

（0～9）和特殊字符（!@$%^-_=+[{}]:,./?~#*），且需同时至少包含其中三种。

– 不能包含用户名或倒序的用户名。

● 需设置和确认输入两次密码信息，两次输入信息需一致才能成功设置密码。

● 云堡垒机系统无法获取系统管理员admin用户密码，请务必保存好登录帐号信 息。

● 系统管理员admin在首次登录云堡垒机系统时，请按照系统提示修改密码和配 置手机号码，否则无法进入云堡垒机系统。

● 完成实例购买后，若忘记admin用户密码，可参考重置密码解决。

购买时长选择实例使用时长。

可按月或按年购买云堡垒机。

步骤4 配置完成后，查看“当前配置”确认信息，单击“立即购买”。

说明

当收到网络限制提示时，请先“一键放通”网络限制，确保购买实例后授权下发成功。

您可以在安全组和防火墙ACL中查看相应规则。

● 云堡垒机所在安全组允许访问出方向9443端口；

● 云堡垒机所在子网未关联防火墙ACL，或关联的防火墙ACL为“开启”状态且允许访问出方向9443端口。

步骤5 进入“订单详情”页面，确认订单无误并阅读《隐私政策声明》后，勾选“我已阅读并同意《隐私政策声明》”，单击“提交订单”。

步骤6 在支付页面完成付款，返回云堡垒机控制台页面，在“云堡垒机实例”列表下查看新购买的实例。

购买实例成功后，后台自动创建CBH系统，大约需要10分钟。

(17)

说明

后台创建CBH系统完成前，即实例的“状态”未变为“运行”前，请勿解绑EIP，否则可能导致 CBH系统创建失败。

----结束

后续操作

● 当实例的“状态”为“运行”时，说明CBH系统创建成功，此时您才能登录CBH 系统。

● 当实例的“状态”为“创建失败”时，在弹出的“创建失败实例”对话框中查看失败原因，再单击管理控制台右上方的“工单”，填写工单信息反馈问题现象，

联系技术支持。

● 若购买的实例即将到期或已经到期，可单击“更多 > 续费”，延长当前规格的使用期限，详细说明请参见续费。

● 若购买的实例配置的VPC或安全组等信息有误，可单击“更多 > 退订”，退订当前已购买实例后重新购买，详细说明请参见退订。

1.3 查看实例详情

一个云堡垒机实例对应一个独立运行的云堡垒机系统。

用户可以在获取有CBH操作权限的帐号和密码后，对云堡垒机实例进行管理操作。

前提条件

已获取管理控制台的登录帐号与密码。

查看实例信息

步骤2 如图1-3示例，进入云堡垒机实例列表页面。

图1-3 查看实例信息

(18)

步骤3 选择目标实例，展开实例详情，查看实例详情信息。

表1-3 实例的信息参数说明

参数说明

实例名称用户自定义实例的名称，创建后不可编辑修改。

可用分区用户选择的实例使用分区。

运行状态实例当前的运行状态。

私有IP地址实例的私有IP地址。

弹性IP 与实例绑定的EIP。

计费模式可查看实例计费模式和到期时间。

操作用于管理实例的操作。

● 登录：绑定EIP后，才能跳转到云堡垒机系统登录页面。

● 启动：启动已经关闭的实例。

● 更多：关闭、重启、绑定、解绑、升级、续费、退订和变更规格。

实例ID 实例独一无二的标识ID，自动生成。

实例规格用户选择的实例使用资产规格。

虚拟私有云用户选择的实例VPC网络环境。

云堡垒机创建成功后，VPC不可更换，如选错，只能退订重新购买。

安全组用户配置的虚拟网络环境安全规则。

云堡垒机创建成功后，安全组不可更换，如选错，只能退订重新购买。

子网用户配置的VPC网络环境的子网。

创建时间用户成功购买云堡垒机实例的时间。

----结束

1.4 变更版本规格

当云堡垒机的规格不能满足需求时，可对云堡垒机实例进行规格升级，购买更高规格的标准版或专业版，扩大系统数据盘容量、最大并发数、最大资产数、CPU、内存等配置。云堡垒机系统盘默认为100G，变更规格不影响系统盘规格和系统软件版本。

变更规格前后注意事项：

● 变更规格前

用户必须在变更规格前备份数据，因变更规格有失败风险，以防因变更规格失败而影响使用，备份说明请参见版本升级，如何备份云堡垒机系统中数据？。

(19)

若需变更规格到专业版，变更规格前请确保当前软件版本在3.2.16.0及以上，否则变更规格后的增强功能不生效。若软件版本在3.2.16.0以下，请先升级软件版本，

再变更规格升级云堡垒机规格。查看云堡垒机当前版本，请参见关于系统的设备系统。

● 变更规格中

变更规格过程约需要30min，变更规格期间云堡垒机系统不可用，业务中断，但不影响主机资源运行。建议用户不要登录云堡垒机系统进行操作，以免重要数据丢失影响使用。

● 变更规格后

变更规格只对数据盘进行变更规格，不会影响系统盘。变更规格到新版本后，后台为用户变更规格CPU、内存、带宽等，不影响原有EIP的使用。

更多详细内容请参见扩容云堡垒机规格。

约束限制

● 云堡垒机提供标准版和专业版两个功能版本，每个版本配备6种资产规格，详细版本规格介绍，请参见云堡垒机规格版本。

● 当前仅支持版本规格变更规格，不支持版本规格缩容。

前提条件

● 已备份系统数据。

变更规格有失败的风险，因此在变更规格前必须备份数据，以防因变更规格失败而影响数据的使用，备份说明请参见备份CBH数据。

● 已升级当前版本。

变更规格到专业版，需确保云堡垒机软件版本在3.2.16.0及以上。查看云堡垒机当前版本，请参见关于系统的设备系统。

操作步骤

步骤2 单击左上角的，选择区域或项目。

步骤3 在左侧导航树中，单击，选择“安全与合规 > 云堡垒机”，进入云堡垒机实例界面。

图1-4 实例列表

(20)

步骤5 选择需变更的“性能规格”，单击“立即购买”。

图1-5 选择性能规格

步骤6 进入“订单详情”页面，确认订单无误后，单击“提交订单”。

说明

当收到网络限制提示时，请先“一键放通”网络限制，确保变更规格激活成功。

● 云堡垒机所在安全组允许访问出方向9443端口。

图1-6 确认变更规格

步骤7 在支付页面完成付款。

(21)

步骤8 后台自动进行变更规格操作，整个变更规格过程需30min左右，且实例的运行状态将会由“变更中”到“正在重启”。

步骤9 实例运行状态变为“运行”，即可正常使用云堡垒机。

----结束

1.5 重置 admin 帐号密码

当您忘记admin帐号密码时，可参考本章节的方法重新设置admin帐号的密码。

其他帐号忘记密码时，请参考如何重置云堡垒机用户登录密码？解决。

前提条件

● 已购买云堡垒机。

操作步骤

图1-7 实例列表

步骤4 在需要重置密码的实例所在行，单击“操作”列中的“更多 > 重置密码”。

步骤5 在弹出的对话框中重新配置admin帐号的密码。

(22)

图1-8 重置密码

步骤6 配置好后，单击“确定”。

----结束

1.6 升级版本

新版本的云堡垒机对系统进行了功能优化或添加了新功能，请及时升级版本。

● 最新系统版本说明，请参见最新动态。

● 查看系统当前版本，请参见查看系统信息的“设备系统”。

升级前后注意事项：

● 升级前

为防止因升级失败而影响使用，建议升级前备份数据，备份说明请参见备份CBH 数据。

● 升级中

版本升级过程约需要30min，版本升级期间云堡垒机系统不可用，但不影响主机资源运行。但在升级期间，建议用户不要登录云堡垒机系统进行操作，以免重要数据丢失。

● 升级后

版本升级完成后会自动“重启”云堡垒机，重启完成后，即可使用云堡垒机。

版本升级后用户可正常继续使用原有配置和存储数据，升级不影响系统原有配置和存储数据。

约束限制

由于新版本的云堡垒机对应用发布功能进行了优化，故版本升级后，需要在应用发布服务器上安装相应的插件，才能正常使用应用运维功能。具体需要安装的插件及使用指导请参考安装RemoteApp程序（V3.3.26.0及以上版本）。

(23)

前提条件

● 已备份系统数据。

升级版本有失败的风险，因此在升级前必须备份数据，以防因升级失败而影响使用，备份说明请参见备份CBH数据。

操作步骤

图1-9 实例列表

步骤4 在需要升级服务版本的实例所在行，单击“操作”列中的“更多 > 升级”。

步骤5 在弹出的升级实例对话框中，单击“确定”。

步骤6 后台自动启动升级，版本升级过程约需要30min，且实例的运行状态将会由“变更中”到“正在重启”。

步骤7 实例状态变为“正常”，即可正常使用云堡垒机。

查看升级后系统版本，请参见查看系统信息的“设备系统”。

----结束

1.7 启动实例

以下场景需要启动实例：

● 当实例关闭后，实例的“运行状态”为“关闭”时，如果需重新登录使用云堡垒机系统，则需执行启动实例操作。

● 当实例异常时，实例的“运行状态”为“异常”时，为重新登录使用云堡垒机系统，可尝试执行启动实例操作。

(24)

操作步骤

图1-10 实例列表

步骤4 在需要启动的实例所在行，单击“操作”列中的“启动”。

步骤5 在弹出的开启实例对话框中，单击“确定”。

实例启动成功后，实例的“运行状态”变为“运行”。

----结束

1.8 关闭实例

当实例的“运行状态”为“运行”时，可以关闭实例。关闭实例后，将不能登录云堡垒机系统。

前提条件

操作步骤

图1-11 实例列表

(25)

步骤4 在需要关闭的实例所在行，单击“操作”列中的“更多 > 关闭”。

步骤5 在弹出的关闭实例对话框中，单击“确定”。实例成功关闭后，实例的“运行状态”

变为“关闭”。

说明

在关闭实例对话框，可选择“强制关机”，强制关闭实例可能会造成数据丢失，请确保数据文件已全部保存。

----结束

1.9 重启实例

出于维护目的，当CBH系统的运行异常，用户可以尝试重启实例，使其恢复到可用状态。

● 当CBH实例的“运行状态”为“运行”时，可执行重启操作；

● 重启云堡垒机实例将导致系统业务中断约5min，在此期间实例“运行状态”将显示为“正在重启”；

● 重启过程中，CBH系统将不可用。

前提条件

操作步骤

图1-12 实例列表

步骤4 在需要重启的实例所在行，单击“操作”列中的“更多 > 重启”。

步骤5 在弹出的重启实例对话框中，单击“确定”。

步骤6 重启过程一般需要5分钟左右，且实例的运行状态将会由“正在重启”。

(26)

说明

在重启实例对话框，可选择“强制重启”，强制重启实例可能会造成数据丢失，请确保数据文件已全部保存，且云堡垒机系统无操作。

----结束

1.10 绑定弹性公网 IP

以下操作必须为堡垒机实例绑定弹性公网IP，且为了满足CBH使用需求，建议配置EIP 带宽为5M以上。

● 使用Web浏览器登录云堡垒机系统。登录地址：https://云堡垒机实例EIP。例如，

https://10.10.10.10。

● 配置了手机短信登录，需要通过手机获取验证码等操作，不配置EIP，会导致不能接收短信。

● 对接LTS外发日志，具体的操作请参见配置LTS日志外发服务。

● V3.3.2.0及以下版本，如果云堡垒机实例未绑定弹性公网IP的话，会导致变更版本规格、升级版本、启动/重启实例、续费等操作失败。

前提条件

● 已购买至少一个弹性公网IP（Elastic IP，EIP）。

注意

● 一个弹性公网IP只能绑定一个云资源使用，云堡垒机绑定的弹性IP不能与其他云资源共用。

● 该弹性公网IP和要绑定的云堡垒机实例必须是同一个账号同一个区域下购买的。

操作步骤

图1-13 实例列表

(27)

步骤4 在需要绑定弹性IP的实例所在行，单击“操作”列中的“更多 > 绑定弹性公网IP”。

步骤5 在弹出的绑定弹性IP对话框中，选择已有“未绑定”状态的弹性IP，单击“确定”。

绑定成功后，“登录”按钮变为可操作，且可在“弹性IP”列查看已绑定弹性IP。

说明

若没有可选择的弹性IP，请参考弹性公网IP，创建新的弹性IP。

----结束

1.11 解绑弹性公网 IP

当CBH实例需要重新绑定EIP或释放EIP时，需要为该实例解绑EIP。当实例成功解绑EIP 后，则无法再通过该EIP登录云堡垒机系统。

前提条件

操作步骤

图1-14 实例列表

步骤4 选择需要解绑弹性IP的实例，单击所在行“操作”列中的“更多 > 解绑弹性公网 IP”，弹出的解绑弹性IP对话框。

步骤5 在弹出的解绑弹性IP对话框中，单击“确定”。

解绑成功后，“弹性IP”列无IP信息，且“登录”按钮变为不可操作。

----结束

1.12 续费

(28)

● 在云堡垒机到期前，可以通过“续费”操作延长到期时间。

● 在云堡垒机到期后，可以通过“续费”操作继续使用云堡垒机。若未及时续费，

则进入“保留期”，将冻结云堡垒机，不能登录云堡垒机系统。“保留期”到期仍未续订或充值，存储在云堡垒机中的数据将被删除、资源将被释放。

前提条件

● 已“一键放通”云堡垒机网络限制。

说明

当收到网络限制提示时，请先“一键放通”网络限制，确保续费更新授权成功。

● 云堡垒机所在安全组允许访问出方向9443端口。

操作步骤

图1-15 实例列表

步骤4 单击待续费的实例，“操作”列的“更多 > 续费”，进入“续费”配置页面。

步骤5 根据需要选择续费时长。

(29)

图1-16 续费配置

步骤6 单击“去支付”，在支付页面完成付款。

步骤7 返回云堡垒机实例列表页面，在“计费模式”列查看授权后最新到期时间。大约5分钟后可正常登录云堡垒机系统。

说明

续费后，新的License许可证大约需5分钟自动下发授权并部署，请耐心等待。

----结束

1.13 退订

若用户不再有使用云堡垒机实例需求，或配置的实例VPC或安全组等信息有误，可执行退订操作。

前提条件

● 已使用的云堡垒机，需停止系统所有操作，解绑EIP。

操作步骤

(30)

图1-17 实例列表

步骤4 选择待退订的实例，单击所在行“操作”列的“更多 > 退订”，弹出的退订实例对话框。

步骤5 确认实例信息无误后，单击“确定”。

步骤6 在退订资源页面完成退订。

说明

● 弹性公网IP只解绑不释放，释放需要到弹性公网IP管理页面手动释放。

● 退订需求提交后，费用中心将审核申请，根据实际使用情况计算需退订余额，并在指定期限内返还余额到用户帐户，退订详细说明请参考退订规则说明。

● 退订需求提交后，后台需大约一分钟。

● 退订实例后，云堡垒机系统将无法登录，系统数据将不能找回，请谨慎操作。

----结束

1.14 审计实例关键操作

1.14.1 云审计支持的 CBH 实例操作

云审计服务（Cloud Trace Service，简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。

开启了云审计服务后，系统开始记录云堡垒机实例的相关操作，云审计服务管理控制台将保存最近7天的操作记录。云审计服务支持的CBH实例操作参考表1-4。

表1-4 支持 CBH 实例操作列表

操作名称资源类型事件名称

创建堡垒机 cbh createInstance 删除堡垒机 cbh deleteInstance

重启堡垒机 cbh rebootCBH

启动堡垒机 cbh startCBH

关闭堡垒机 cbh stopCBH

提交堡垒机订单 cbh subscribeOrder

更新堡垒机订单状态 cbh updateCloudServiceType

(31)

操作名称资源类型事件名称

更新堡垒机metadata信息 cbh updateMetadata 查询变更jobs cbh jobsAsynQuery 升级堡垒机 cbh upgradeInstance

1.14.2 查看云审计日志

开启了云审计服务后，系统开始记录CBH实例的操作。云审计服务管理控制台保存最近7天的操作记录。

操作步骤

步骤2 在管理控制台左上角单击图标，选择区域和项目。

步骤3 在主页选择“管理与监管 > 云审计服务”，进入云审计服务信息页面。

步骤4 单击左侧导航树的“事件列表”，进入事件列表信息页面。

步骤5 事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下：

● “事件来源”、“资源类型”和“筛选类型”。

– 在下拉框中选择查询条件，例如：依次选择“CBH”>“cbh”>“按事件名称”>“createInstance”，单击“查询”，查询所有创建CBH实例的操作。

– 事件名称：选择具体的事件名称，例如createInstance。

– 资源ID：选择或者手动输入需要查看审计日志的CBH实例ID。

– 资源名称：选择或手动输入需要查看审计日志的CBH实例名称。

● “操作用户”：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，

而非租户级别。

● “事件级别”：可选项为“所有事件级别”、“normal”、“warning”、

“incident”，只可选择其中一项。

● “起始时间”、“结束时间”：可通过选择时间段查询操作事件。

步骤6 在需要查看的记录左侧，单击展开该记录的详细信息。

步骤7 在需要查看的记录右侧，单击“查看事件”，查看该操作事件结构的详细信息。

----结束

(32)

2 ^系统登录

2.1 登录系统概述

开放端口要求

为避免网络故障或网络配置问题影响登录系统，请管理员优先检查网络ACL配置是否允许访问云堡垒机，并参考表2-1配置实例安全组。

表2-1 入/出方向规则配置参考

场景描述方向协议/应用端口

通过Web浏览器登录云堡垒机（HTTPS）入方向 TCP 443 通过MSTSC客户端登录云堡垒机入方向 TCP 53389 通过SSH客户端登录云堡垒机入方向 TCP 2222 通过FTP客户端登录云堡垒机入方向 TCP 20~21 通过云堡垒机的SSH协议远程访问Linux云

服务器

入方向 TCP 22

通过云堡垒机的RDP协议远程访问Windows 云服务器

入方向 TCP 3389

通过云堡垒机访问Oracle数据库入方向 TCP 1521 通过云堡垒机访问MySQL数据库入方向 TCP 33306 通过云堡垒机访问SQL Server数据库入方向 TCP 1433 通过云堡垒机访问DB2L数据库入方向 TCP 50000 License注册许可服务器出方向 TCP 9443

华为云服务出方向 TCP 443

同一安全组内通过SSH客户端登录云堡垒机出方向 TCP 2222

(33)

场景描述方向协议/应用端口

短信服务出方向 TCP 10743、

443

DNS域名解析出方向 UDP 53

认证类型

AD域、RADIUS、LDAP、Azure AD远程认证使用远程服务上的已有用户密码。

表2-2 认证类型说明 认证类型认证说明

本地认证用户登录密码为系统配置静态密码。

● 可选择多因子认证方式登录。

● 可重置用户密码、个人找回密码、个人修改密码。

AD域认证用户登录密码为AD域用户密码。

● 不能通过系统修改用户密码。

RADIUS认

证用户登录密码为RADIUS服务器用户密码。

LDAP认证用户登录密码为LDAP服务器用户密码。

Azure AD

认证用户登录密码为Microsoft用户帐号密码。

需跳转到Microsoft登录页面，输入用户帐户信息登录。

● 不能选择多因子认证方式登录。

登录方式

用户帐号配置多因子认证后，静态密码登录方式失效。

表2-3 登录方式说明 登录方式登录说明

(34)

登录方式登录说明

手机令牌输入用户登录名和密码，并输入手机令牌的动态验证码（每隔一段时间就会变化）。

USBKey 接入并选择已签发的USBKey，并输入对应的PIN码。

动态令牌输入用户登录名和密码，并输入动态令牌的动态口令（每隔一段时间就会变化）

2.2 使用 Web 浏览器登录云堡垒机

云堡垒机基于Web浏览器登录系统的方式，可通过各大主流浏览器登录，并可使用系统管理和资源运维功能。建议系统管理员admin或管理员使用Web浏览器登录进行系统管理和授权审计。

支持的登录方式包括静态密码、手机短信、手机令牌、USBKey、动态令牌等。

说明

所有用户首次登录云堡垒机系统时，请务必根据提示绑定手机号，以便忘记密码后重置密码。

前提条件

已绑定弹性公网IP。

操作步骤

步骤1 启动浏览器，在Web地址栏中输入系统登录地址，进入系统登录页面。

登录地址：https://云堡垒机实例EIP。例如，https://10.10.10.10。

说明

受浏览器兼容性限制，当浏览器版本与云堡垒机系统不匹配时，可能导致登录时获取不到验证信息，或登录后页面显示异常，建议使用推荐的浏览器及版本。推荐浏览器请参见使用限制。

步骤2 选择登录方式。

(35)

图2-1 系统登录界面

步骤3 按选择的登录方式，依次填入登录名、静态密码、动态验证码等信息。

详情请分别参见如下说明。

----结束

使用静态密码登录

步骤1 选择“密码登录”方式。

步骤2 依次输入用户登录名、帐户登录密码。

步骤3 单击“登录”，验证通过后即可登录系统。

----结束

(36)

图2-2 静态密码登录

使用手机短信登录

手机号码需能正常接收短信。

步骤1 选择“手机短信”方式。

步骤3 单击“获取验证码”，收到短信消息后，输入6位OTP口令。

----结束

(37)

图2-3 手机短信登录

使用手机令牌登录

手机时间必须与云堡垒机系统时间一致，精确到秒。

步骤1 选择“手机令牌”方式。

步骤3 打开手机令牌客户端，获取动态口令，输入6位OTP口令。

----结束

(38)

图2-4 手机令牌登录

使用 USBKey 登录

步骤1 选择“USBKey”方式。

步骤2 接入USBKey，自动识别已签发USBKey。

步骤3 输入PIN码。

----结束

(39)

图2-5 USBKey 登录

使用动态令牌登录

步骤1 选择“动态令牌”方式。

步骤3 在已签发硬件令牌上获取动态口令，输入6位OTP口令。

----结束

(40)

图2-6 动态令牌登录

Azure AD 用户登录

步骤1 单击“使用Azure AD登录”，跳转到Microsoft登录页面。

步骤2 按步骤依次输入用户登录名和密码。

说明

用户登录名需加邮箱后缀，例如[email protected]。

----结束

(41)

图2-7 Azure AD 用户登录

2.3 使用客户端登录云堡垒机

客户端登录是在不改变用户原使用客户端习惯的条件下，可对授权资源进行运维管理。运维人员可选择使用SSH客户端和MSTSC客户端直接登录运维资源。

● 通过SSH客户端登录支持的登录方式包括静态密码、公钥登录、手机短信、手机令牌、动态令牌等。

● 通过MSTSC客户端登录仅支持静态密码的登录方式。

● 推荐使用客户端SecureCRT 8.0及以上版本、Xshell 5及以上版本。

通过 SSH 客户端登录云堡垒机

用户获取资源运维权限后，可通过SSH客户端直接登录进行运维操作。

● 支持使用SSH客户端运维的资源，包括SSH、TELNET和Rlogin协议类型主机资源。

● 推荐使用客户端SecureCRT 8.0及以上版本、Xshell 5及以上版本。

步骤1 打开本地SSH客户端工具，选择“文件 > 新建”，新建用户会话。

步骤2 配置会话用户连接。

● 方式一

在新建会话弹出框，选择协议类型，输入系统登录IP地址、端口号（2222），单击“确认”。再输入系统用户登录名，单击“连接”，连接会话。

(42)

● 方式三

在正在运行的Linux主机会话窗口，执行登录命令：协议类型用户登录名@系统登录IP -p 端口，例如执行ssh [email protected] -p 2222。

步骤3 用户身份验证。

根据命令提示，在新建会话窗口，输入用户身份验证信息。

SSH客户端登录认证支持“密码登录”、“公钥登录”、“手机短信”、“手机令牌”和“动态令牌”方式。其中“手机短信”、“手机令牌”和“动态令牌”方式，

需配置用户多因子认证，详情请参考用户登录配置。

表2-4 SSH 客户端登录验证说明 登录

方式

登录说明登录方式配置说明

密码登录

输入云堡垒机系统的用户密码。默认登录方式。

“AD域认证”、“RADIUS认证”、

“LDAP认证”或“Azure AD认证”

用户登录密码为远程服务器用户密码，详情请参见远程认证配置。

公钥登录

输入用于验证登录的私钥和私钥密码，登录验证成功后，再次登录时，该用户在SSH客户端可以免密登录。

用户需要先生成用于验证登录的公私钥对，并在云堡垒机系统内的

“个人中心”处将SSH公钥添加到云堡垒机系统中，具体的操作请参见添加SSH公钥。

手机

短信 “密码登录”或“公钥登录”验证成功后，选择“短信验证码”方式，输入手机短信验证码。

需已为用户帐号配置可用手机号码。

手机令牌

“密码登录”或“公钥登录”验证成功后，选择“手机令牌OTP”方式，输入手机令牌验证码。

说明

需确保用户登录系统时间与手机时间一致，精确到秒，否则会提示验证码错误。

需用户先绑定手机令牌，再由管理员配置多因子认证，否则用户无法登录系统，详情请参考绑定手机令牌。

动态令牌

“密码登录”或“公钥登录”验证成功后，选择“动态令牌OTP”方式，输入动态令牌验证码。

需已为用户签发动态令牌，详情请参考签发动态令牌。

步骤4 登录到云堡垒机系统，可查看系统简要信息，并运维已授权的资源。

说明

除了使用云堡垒机用户密码直接登录外，还支持使用API方式登录云堡垒机指定的资源账户。

在登录的用户窗口，输入用户登录名@资源账户名@主机IP地址:主机端口，例如 admin@[email protected]:22。

----结束

(43)

通过 MSTSC 客户端登录云堡垒机

用户获取资源运维权限后，可通过MSTSC客户端直接登录进行运维操作。

步骤1 打开本地远程桌面连接（MSTSC）工具。

图2-8 打开远程桌面连接

步骤2 在弹出的对话框中，“计算机”列，输入“堡垒机IP:53389”。

图2-9 配置计算机

步骤3 单击“连接”，在登录页面完成登录。

● username：堡垒机用户登录名@Windows主机资源账户名@Windows主机资源 IP:Windows远程端口（默认3389），例如

admin@[email protected]:3389。

(44)

● password：输入当前堡垒机的用户密码。

图2-10 Login

----结束

2.4 配置多因子认证

2.4.1 配置手机短信登录

手机短信是以手机短信形式发送的6位随机数的动态密码，云堡垒机系统支持通过手机短信动态密码对用户登录身份进行认证。配置手机短信认证后，登录系统需同时输入静态密码和6位手机短信动态密码，才能通过身份认证，从而确保系统身份认证的安全性。

约束限制

● 系统接发短信频率限制：

– 1分钟内发送短信不超过1条。

– 1小时内发送短信不超过5条。 – 1天内发送短信不超过15条。

● 一个登录帐号仅能绑定一个可用手机号码。

● 云堡垒机实例安全组必须已放开短信网关IP和10743、443端口，系统才能够访问短信网关。

步骤一：绑定手机号码

用户帐号绑定的手机号码必须有效，可正常接收短信。

方式一：用户绑定个人手机号码

步骤1 用户通过静态密码方式登录云堡垒机系统。

步骤2 选择右上角用户名，单击“个人中心”，进入个人中心基本信息管理页面。

(45)

步骤3 单击“编辑”，弹出个人信息编辑窗口。

图2-11 绑定个人手机号码

步骤4 在“手机”列框，输入有效手机号码。

步骤5 单击“确定”，绑定手机号码。

----结束

方式二：管理员修改用户手机号码步骤1 管理员登录云堡垒机系统。

步骤2 选择“用户 > 用户管理 ”，进入用户列表管理页面。

步骤3 选择目标用户，单击登录名，进入用户详情页面。

步骤4 在“基本信息”区域，单击“编辑”，弹出用户基本信息管理窗口。

步骤5 在“手机”列框，输入新手机号码。

步骤6 单击“确定”，即修改用户手机号码。

----结束

步骤二：管理员配置手机短信认证

步骤1 管理员登录云堡垒机系统。

步骤2 选择“用户 > 用户管理”，进入用户管理页面。

步骤3 找到目标用户，单击用户登录名，进入用户详情页面。

(46)

图2-12 编辑用户登录配置

步骤5 勾选“手机短信”多因子认证项。

步骤6 单击“确定”，完成用户配置。

用户再次登录系统时，手机短信登录认证生效。

----结束

2.4.2 配置手机令牌登录

手机令牌是可用来生成动态口令的手机客户端软件，云堡垒机系统支持通过手机令牌动态密码对用户登录身份进行认证。配置手机令牌认证后，登录系统需同时输入静态密码和6位手机令牌动态密码，才能通过身份认证。

目前云堡垒机系统可选择两种手机令牌绑定方式“内置手机令牌”和“RADIUS手机令牌”。

(47)

● 内置手机令牌：微信小程序手机令牌。

● RADIUS手机令牌：APP版手机令牌Google Authenticator和FreeOTP。

约束限制

● admin用户必须先绑定手机令牌，再配置多因子认证方式。否则admin用户将无 法登录系统。

● 系统时间与手机时间必须一致，精确到秒，否则可能提示绑定失败。

绑定失败后，请先修改系统时间与手机时间一致，刷新页面重新生成二维码绑定。

步骤一：用户绑定手机令牌

步骤1 用户通过静态密码方式登录云堡垒机系统。

步骤2 选择右上角用户名，单击“个人中心”，进入个人中心管理页面。

步骤3 选择“手机令牌”页签，进入个人手机令牌配置页面。

按照界面提示信息依次执行操作。

(48)

图2-13 手机令牌配置页面

步骤4 后续若需要解除手机令牌绑定，可在“手机令牌”页签，单击“解除”。

----结束

(49)

步骤二：管理员配置手机令牌认证

步骤3 找到已绑定手机令牌的用户，单击用户登录名，进入用户详情页面。

步骤4 在“用户配置”区域，单击“编辑”，弹出用户的登录配置窗口。

步骤5 勾选“手机令牌”多因子认证项。

步骤6 单击“确定”，完成用户配置。

(50)

2.4.3 配置 USBKey 登录

uToken是基于USBKey实现的OTP动态密码技术。配置USBKey认证后，登录系统时需接入USBKey，登录页面自动识别唯一关联USBKey，输入相应PIN码，才能通过身份认证。

约束限制

● 目前云堡垒机可识别世纪龙脉和北京CA厂商的USBKey，不同的厂商USBKey不能相互识别登录认证。需根据申购的USBKey配置USBKey厂商。

● 一个USBKey仅能签发给一个用户使用。

前提条件

已申购USBKey，并在本地安装对应的USBKey驱动。

步骤一：配置 USBKey 认证

(51)

步骤5 勾选“USBKey”多因子认证项。

步骤6 单击“确定”，完成用户多因子认证配置。

----结束

步骤二：签发 USBKey

步骤2 选择“用户 > USBKey”，进入USBKey列表页面。

步骤3 单击“签发”，新建签发USBKey。

(52)

图2-16 新建签发 USBKey

步骤4 配置“关联用户”，选择已经开启USBKey多因子认证的用户。

图2-17 签发 USBKey

表2-5 签发 USBKey 参数说明

参数说明

USBKey USBKey商品标识码。

关联用户选择已配置“USBKey”多因子认证的用户帐号。

PIN码 USBKey厂商提供，与“USBKey”一一对应的唯一识别码。

步骤5 单击“确定”，在USBKey列表查看已签发USBKey信息。

关联用户登录云堡垒机系统时，连接签发的USBKey到本地主机，登录界面会自动识别 USBKey，选择对应的USBKey，并输入PIN码，即可完成USBKey登录认证。

----结束

2.4.4 配置动态令牌登录

动态口令是基于事件同步的令牌实现的OTP动态密码技术。配置动态令牌认证后，登录系统时需输入静态密码和6位硬件令牌动态密码，才能通过身份认证。

(53)

约束限制

● 目前云堡垒机可识别坚石诚信ETZ201型号硬件令牌。

● 一个硬件令牌仅能签发给一个用户使用。

前提条件

已申购硬件令牌。

步骤一：配置动态令牌认证

(54)

步骤5 勾选“动态令牌”多因子认证项。

步骤6 单击“确定”，完成用户多因子认证配置。

----结束

步骤二：签发动态令牌

步骤2 选择“用户 > 动态令牌”，进入动态令牌列表页面。

步骤3 单击“签发”，新建签发令牌标识。

(55)

图2-19 新建签发动态令牌

步骤4 配置令牌标识信息。

图2-20 签发动态令牌

表2-6 签发动态令牌参数说明

参数说明

令牌标识动态令牌条形码。

秘钥动态令牌的厂商提供，与“令牌标识”一一对应的唯一“密钥”。

关联用户选择已配置“动态令牌”多因子认证的用户。

步骤5 单击“确定”，返回动态令牌列表，即可查看已签发令牌标识。

关联用户登录云堡垒机系统时，在登录界面输入用户登录名、静态密码，以及硬件令牌上动态密码，即可完成动态令牌方式登录。

----结束

(56)

2.5.1 配置用户登录安全锁

为保障云堡垒机系统用户登录安全，在用户登录云堡垒机时，输入密码错误次数超过系统设置的次数限制后，用户“来源IP”或“用户”帐号将被锁定。

本小节主要介绍如何配置用户登录安全锁，包括修改锁定方式、锁定时长、可尝试密码次数等。

前提条件

用户已获取“系统”模块管理权限。

操作步骤

步骤1 登录云堡垒机系统。

步骤2 选择“系统 > 系统配置 > 安全配置”，进入系统安全配置管理页面。

图2-21 系统安全配置

步骤3 在“用户锁定配置”区域，单击“编辑”，弹出用户锁定配置窗口。

根据界面提示配置系统用户登录安全锁。

(57)

图2-22 配置用户安全锁

表2-7 用户锁定配置参数说明

参数说明

锁定方式选择用户锁定方式，可选择“用户”或“来源IP”两种方式。

● “用户”，输入密码错误次数超过次数限制后，禁止使用该登录名的用户登录。

● “来源IP”，输入密码错误次数超过次数限制后，禁止该来源IP 的用户登录。

尝试密码次数

连续输入密码错误的最大次数。

● 默认为5次。

● 取值范围为0～999。

● 设置为0，表示密码错误后不锁定用户登录。

锁定时长因密码错误锁定用户登录的时长。

● 默认为30分钟。

● 取值范围为0～10080，单位为分钟。

● 设置为0，表示除非管理员解除锁定，用户登录帐号或来源IP将一直被锁定。

重置计数器时长

用户登录失败后，登录失败次数计数器重置为0的时长。

● 默认值为5分钟。

系统报表_云堡垒机 CBH_用户指南_运维审计_华为云

用户指南

华为技术有限公司

目 录

1 实例...1

2 系统登录...23

3 系统桌面...66

4 系统部门...97

5 系统用户... 102

6 系统资源... 154

7 系统策略... 210

8 系统工单... 262

9 运维管理... 283

10 运维审计... 343

11 系统管理... 376

12 安装应用发布服务器...435

A 修订记录... 557

1 实例

1.1 权限管理

1.1.1 创建用户并授权使用 CBH 实例

前提条件

示例流程

1.1.2 CBH 实例自定义策略

CBH 自定义策略样例

1.1.3 CBH 实例权限及授权项

支持的授权项

1.2 购买云堡垒机

背景信息

前提条件

操作步骤

后续操作

1.3 查看实例详情

前提条件

查看实例信息

1.4 变更版本规格

约束限制

前提条件

操作步骤

1.5 重置 admin 帐号密码

前提条件

操作步骤

1.6 升级版本

约束限制

前提条件

操作步骤

1.7 启动实例

操作步骤

1.8 关闭实例

前提条件

操作步骤

1.9 重启实例

前提条件

操作步骤

1.10 绑定弹性公网 IP

前提条件

操作步骤

1.11 解绑弹性公网 IP

前提条件

操作步骤

1.12 续费

前提条件

操作步骤

1.13 退订

前提条件

操作步骤

1.14 审计实例关键操作

1.14.1 云审计支持的 CBH 实例操作

1.14.2 查看云审计日志

操作步骤

2 系统登录

2.1 登录系统概述

开放端口要求

认证类型

登录方式

2.2 使用 Web 浏览器登录云堡垒机

前提条件

操作步骤

使用静态密码登录

使用手机短信登录

使用手机令牌登录

目录

1 ^实例

2 ^系统登录