华为云用户手册

配置安全组不合理，运维故障场景 安全组配置不合理，在使用云堡垒机时可能会出现以下故障： 实例许可证认证错误 实例创建失败，提示“Lincense激活失败”，可能未配置出方向TCP协议9443端口，导致网络不通获取不到许可证认证 登录云堡垒机提示License过期，未配置出方向TCP协议9443端口，导致网络不通获取不到许可证认证。 登录云堡垒机系统错误 云堡垒机系统登录页面载入失败，提示“服务器响应时间过长”，可能未配置入方向TCP协议443端口； 云堡垒机系统页面无法正常显示，可能未配置入方向TCP协议443端口，导致Web浏览器不能正常登录系统。 主机资源验证错误 在资源中添加主机时，提示“主机不可达”，可能未配置入方向TCP协议3389端口，导致不能远程连接云服务器； 添加主机时验证账户密码，提示“主机不可达”，可能未配置入方向ICMP协议，导致外网ping不通主机资源。 云堡垒机访问资源错误 在登录云资源时，提示“连接错误”，可能未配置入方向TCP协议3389端口，导致不能远程连接云服务器； 使用云堡垒机登录云主机黑屏，无法正常显示，可能未配置入方向TCP协议3389端口，导致不能远程连接云服务器； 云堡垒机使用过程中上报514错误，提示“由于服务器长时间无响应，连接已断开，请检查您的网络并重试（Code：T_514）”，可能未配置入方向TCP协议2222端口。

背景介绍 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求并相互信任的弹性云服务器、云堡垒机等提供访问策略。 为了保障云堡垒机的安全性和稳定性，在使用云堡垒机之前，您需要设置安全组，开通需访问资源的IP地址和端口。 云堡垒机实例可与纳管的资源共用一个安全组，各自取用安全组规则，互不影响。 每个用户有一个默认安全组Sys-default，用户可选择Sys-default安全组，根据需要添加相应安全组规则。用户也可选择自定义安全组，新建安全组并添加合理安全组规则。 云堡垒机实例创建成功后，安全组可以修改，且最多接入5个安全组规则，详见安全组规则修改。 为确保云堡垒机正常连接资源，ECS主机、RDS数据库等资源需配置合理安全组规则，放开相应网关IP和端口，并允许云堡垒机“私有IP地址”访问，资源安全组配置可参考ECS安全组配置。 云堡垒机正常使用，实例和资源安全组端口配置可参考使用云堡垒机时需要配置哪些端口？。

手动备份 通过手动导出/下载各功能模块数据文件保存在本地，可手动备份日志请参见表1。 系统内导出的csv文件，用Excel打开可能会乱码。若出现乱码情况，请先修改文件编码格式再打开文件，详细说明请参考为什么打开CBH系统数据文件显示乱码？ 表1 支持导出或下载的数据 数据信息 导出 下载 格式 说明 用户 支持 - CSV 不支持导出“用户密码”、“手机号码”和“邮箱”信息。 动态令牌 支持 - CSV - 主机 支持 - CSV - 应用发布服务器 支持 - CSV - 应用发布 支持 - CSV - 资源账户 支持 - CSV - 访问控制策略 支持 - CSV - 改密策略 - 支持 CSV 支持密码验证后，下载单个“改密策略”执行日志。 账户同步策略 - 支持 CSV “专业版”支持下载单个“账户同步策略”执行日志。 快速运维 支持 - CSV “专业版”支持导出单个“快速运维”执行日志。 运维任务 支持 - CSV “专业版”支持导出单个“运维任务”执行日志。 历史会话 支持 支持 CSV，MP4 支持导出多条历史会话，同时支持生成并下载单个会话视频。 系统日志 支持 - CSV - 运维报表 支持 - PDF、DOC、XLS、HTML “运维报表”支持文本格式导出。 系统报表 支持 - PDF、DOC、XLS、HTML “系统报表”支持文本格式导出。 不支持导出系统权限配置报表。 系统配置 - 支持 bak 支持备份并还原当前“系统配置”信息，下载的备份文件仅能用于还原当前系统配置。 不支持导出系统权限配置数据。 支持设置“自动备份”，每天零点备份前一天系统配置。 详细备份和还原操作请参见配置备份与还原。

什么是区域、可用区？ 通过区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。不过，在基础设施、BGP网络品质、资源的操作与配置等方面，中国大陆各个区域间区别不大，如果您或者您的目标用户在中国大陆，可以不用考虑不同区域造成的网络时延问题。 中国香港、泰国曼谷等其他地区和国家提供国际带宽，主要面向非中国大陆地区的用户。如果您或者您的目标用户在中国大陆，使用这些区域会有较长的访问时延，不建议使用。 在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户，可以选择“南非-约翰内斯堡”区域。 在欧洲地区有业务的用户，可以选择“欧洲-巴黎”区域。 资源的价格 不同区域的资源价格可能有差异，请参见华为云服务价格详情。

云堡垒机可以跨区域或跨VPC网络管理主机吗？ 不建议。 云堡垒机仅支持直接管理同一VPC内资源，即可直接访问同一VPC内资源。 虽跨区域或跨VPC可通过云服务构建网络连接，但受限于网络的不稳定性，不建议跨区域或跨VPC使用云堡垒机纳管资源。 跨VPC情况下，可通过对等连接打通两个VPC之间网络。 跨区域情况下，可通过云连接（Cloud Connect，CC）、虚拟专用网（Virtual Private Network，VPN）等构建跨区域网络。 父主题： 区域和可用区

解决办法 检查SSH服务是否正常。 在运维会话窗口，执行systemctl status sshd.service命令，查看服务状态。 若回显信息如下，则为systemd-logind服务异常，请执行2。 pam_systemd sshd:session:Failed to create session :Activation of org...... 若回显其他信息，请联系技术支持。 重启Linux主机systemd-logind服务。 在运维会话窗口，执行systemctl restart systemd-logind.service命令，重启登录服务。 重启Linux主机SSH服务。 在运维会话窗口，执行如下命令，重启SSH服务。 CentOS 6 service sshd restart CentOS 7 systemctl restart sshd 退出登录，重新通过云堡垒机登录Linux主机资源，打开运维会话窗口。 如果通过上述解决办法，若仍不能使用文件传输功能，请单击管理控制台右上方的“工单”，填写工单信息反馈问题现象，联系技术支持。 更多通过Web浏览器传输文件说明，请参见文件传输。

应用发布程序启动路径配置错误 问题现象 用户配置完成应用发布资源后，通过云堡垒机首次访问应用发布资源，不能正常访问。 可能原因 原因一：应用程序启动路径配置错误。 原因二：配置应用程序非云堡垒机默认支持的应用程序，不支持调用。 解决办法 修改“程序启动路径”配置 登录云堡垒机系统，在应用服务器详情页面，查看配置的应用“程序启动路径”。 登录Windows应用服务器，查询应用安装路径，获取程序exe启动路径。 对比路径是否一致。若不一致，则需修改配置的“程序启动路径”。 重新安装支持的应用程序 登录Windows应用服务器，安装云堡垒机支持调用的应用，详情请参见使用限制。 登录云堡垒机系统，重新配置应用服务器“程序启动路径”。

解决办法 原因一： 定期“手动删除”指定日期前的日志、视频等历史数据。设置磁盘空间满时日志“自动删除”，保证磁盘有足够空间。详细配置说明请参见存储配置。 对云堡垒机实例进行规格变更，满足大容量磁盘需求。 建议配置系统性能的磁盘空间使用率告警通知，当磁盘空间使用率超过设定阈值时，提示系统消息告警。详细配置说明请参考告警配置。 原因二： 在云堡垒机管理控制台“重启”云堡垒机实例，检查故障是否解决。若不能解决，需“升级”云堡垒机到最新版本，并根据实际需求进行规格变更。 原因三： 更换浏览器或升级浏览器版本，Web登录推荐使用浏览器及版本，请参见登录云堡垒机系统。 原因四： 若因安全组配置不合理导致异常，请先排查安全组规则，并根据CBH建议安全组规则，配置安全组规则，再重新登录云堡垒机系统。 原因五： 若因网络ACL配置不合理导致异常，请先排查网络ACL规则，并参考CBH安全组规则放开出/入方向端口，再重新登录云堡垒机系统。 若因云堡垒机登录IP被网络ACL限制，请先排查网络ACL规则，并重新配置ACL规则，添加云堡垒机公网IP（即弹性IP）为允许。 浏览器登录云堡垒机需放开入方向TCP协议443端口，SSH客户端登录云堡垒机需放开入方向TCP协议2222端口。 原因六： 系统管理员admin登录云堡垒机系统，重新配置AD域认证，取消SSL加密认证。 检查用户登录IP地址和MAC地址是否被加入用户访问限制，请参见用户登录限制。 检查访问控制策略是否限制了用户IP地址，请参见访问控制限制。 原因七： 参照升级版本章节，对堡垒机进行升级。

自动化运维包括哪些内容？ 云堡垒机“专业版”支持自动化运维功能，可将复杂运维精准化和效率化。自动化运维主要包括资源账户同步、脚本线上管理、多资源快速运维，以及多步骤自动运维。 资源账户同步：通过账户同步功能，可以实现对主机上资源账户的有效监管，及时发现僵尸账户或未纳管账户，加强对资产的管控。 详细操作请参见账户同步策略。 脚本线上管理：支持管理Python和Shell两种脚本格式，通过导入脚本文件或在线编辑脚本，在云堡垒机系统一体化管理和运行脚本。 详细操作请参见脚本管理。 多资源快速运维：支持快速将命令或脚本在多个SSH协议资源上执行，并根据发起的命令和脚本，返回相应执行结果；此外，还支持将一个或多个文件上传到多个资源上，并返回文件上传结果。 详细操作请参见快速运维。 多步骤自动运维：支持分步骤同时对多个SSH协议资源批量执行多种运维操作，可同时运维操作包括执行命令、执行脚本、传输文件。运维任务执行后，按照步骤顺序依次自动执行操作，并返回执行结果。 详细操作请参见运维任务。 父主题： 产品咨询

通过SSH客户端运维上传/下载失败 问题现象 在Xshell客户端上，登录云堡垒机运维SSH协议主机资源，不能正常调用Xftp客户端传输文件。 可能原因 云堡垒机SSH客户端运维限制调用工具进行文件传输，即SSH客户端运维不支持文件传输功能和审计传输的文件。 解决办法 重新配置一个同“主机地址”的FTP/SFTP协议主机资源，通过FTP/SFTP客户端运维进行文件传输。 例如，配置SFTP协议主机资源并授权访问控制权限后，直接在Xftp客户端上，登录云堡垒机运维配置的主机资源，即可实现上传/下载文件。 通过Web运维SSH协议主机资源，实现上传/下载文件操作。

通过Web运维上传下载失败 问题现象 下载“云主机文件”到“主机网盘”，即下载文件到用户个人主机网盘时，提示下载失败错误。 上传文件失败，提示“/3.0/h5FileService/upload-403：服务错误，请稍后重试”。 从本地上传文件到“主机网盘”，即上传到用户个人主机网盘时，提示“个人网盘空间不足，请清理网盘或联系管理员增加网盘空间”或“网盘存储空间不足”。 上传/下载大文件失败。 客户使用debian+rdp协议上传文件失败。 客户使用zoc客户端工具上传文件失败。 排查思路及解决办法 图1 排查思路图 表1 解决办法 排查步骤 可能的原因 解决办法 排查堡垒机的版本是否是最新的版本 堡垒机版本太低 参照升级版本章节，对堡垒机进行升级。 排查待上传/下载的文件是否打包成压缩文件 堡垒机不支持下载文件夹， 需要把文件夹打包成压缩文件才可以上传/下载。 把文件夹打包成压缩文件，再进行上传/下载。 排查是否配置了上传/下载权限 未开启资源“文件管理权限”，也未授权用户“文件管理”的上传/下载权限。 开启资源“文件管理”权限。 授权用户“文件管理”的上传/下载权限。 排查浏览器的缓存空间 浏览器的缓存空间不足 用户手动清理浏览器缓存空间后，再次上传。 排查“个人网盘空间”是否还有可存储容量 “个人网盘空间”不支持自动定期清理，“个人网盘空间”容量小，个人网盘空间不足，甚至系统剩余可用存储空间不足。 用户手动清理用户个人主机网盘文件，释放出可用空间。 管理员用户重新设置个人网盘空间。 受限于云堡垒机“数据分区”空间大小，当上传/下载的文件大小大于剩余“数据分区”空间时，请管理员用户先清理系统空间或变更版本规格。 排查上传/下载的文件是否太大 上传/下载的文件太大 用户将大文件切割成1G左右的小文件，分批次上传/下载。 受限于云堡垒机“数据分区”空间大小，当上传/下载的文件大小大于剩余“数据分区”空间时，请管理员用户先清理系统空间或变更版本规格。 排查Web登录超时时间配置是否不合理 上传/下载大文件耗时较长，且Web登录连接超时，导致上传/下载超大文件失败。 用户上传/下载过程中不定时返回上传/下载界面，保持云堡垒机在操作状态。 管理员用户修改Web登录超时时间，详细配置说明请参见Web登录配置。 管理员用户重新设置个人网盘空间。 排查客户端使用的协议和上传工具是否与云堡垒机兼容 云堡垒机暂不支持debian+rdp协议和zoc工具上传/下载文件。 使用云堡垒机支持的协议以及对应的客户端工具上传/下载文件： SFTP协议：Xftp 6及以上、WinSCP 5.14.4及以上、FlashFXP 5.4及以上 FTP协议：Xftp 6及以上、WinSCP 5.14.4及以上、FlashFXP 5.4及以上、FileZilla 3.46.3及以上

解决办法 原因一： 重启相应主机资源，重新开机后网络恢复正常。登录云堡垒机系统，网络诊断验证云堡垒机与主机资源之间的网络连接情况。 若重启主机不能解决，建议再排查云服务器故障/卡顿。 原因二： 重新配置CBH实例绑定EIP的带宽，建议配置5M以上带宽，详细带宽超限说明，请参见如何排查EIP带宽是否超限？ 排查并修改配置完成后，重启CBH系统。 原因三： 重新购买资源相关主机服务，获取授权后，再使用云堡垒机登录资源。 原因四： 云堡垒机仅支持直接管理同一VPC内资源，即可直接访问同一VPC内资源。 虽跨区域或跨VPC可通过云服务构建网络连接，但受限于网络的不稳定性，不建议跨区域或跨VPC使用云堡垒机纳管资源。 跨VPC情况下，可通过对等连接打通两个VPC之间网络。 跨区域情况下，可通过云连接（Cloud Connect，CC）、虚拟专用网（Virtual Private Network，VPN）等构建跨区域网络。

Windows主机 Windows主机上传/下载文件，仅可选择Web运维方式。 需先将Windows主机配置为RDP协议主机资源。 通过Web浏览器登录目标Windows主机，可在会话窗口“文件传输”页面，执行上传/下载操作，经个人网盘“中转”，打开Windows服务器磁盘目录，对G盘上文件进行上传下载操作，即可实现Windows主机的文件传输。 个人网盘在Windows主机上的默认路径为NetDisk G盘。

Linux主机 Linux主机上传/下载文件，可选择Web运维和FTP/SFTP客户端运维两种方式，具体的操作方法请参见Linux主机中文件的上传/下载。 Web运维 需先将Linux主机配置为SSH协议主机资源。 通过Web运维登录目标Linux主机，可在会话窗口“文件传输”页面，执行上传/下载操作，实现本地与目标主机间文件的直接传输。也可经个人网盘“中转”，实现目标主机与其他主机间文件的间接传输。 Web运维不支持执行rz/sz命令上传/下载文件。 FTP/SFTP客户端运维 需先将Linux主机配置为FTP、SFTP协议主机资源。 通过客户端工具登录目标Linux主机，可在会话窗口执行rz/sz命令传输文件。

云堡垒机SSH运维支持哪些算法？ 云堡垒机3.3.26.0及以上版本SSH运维支持的算法如表1所示。 表1 SSH运维支持的算法 算法类型 H5运维 客户端运维 Key exchange diffie-hellman-group-exchange-sha256 diffie-hellman-group-exchange-sha1 diffie-hellman-group14-sha1 diffie-hellman-group1-sha1 diffie-hellman-group-exchange-sha256 diffie-hellman-group-exchange-sha1 diffie-hellman-group14-sha1 diffie-hellman-group1-sha1 ecdh-sha2-nistp521 ecdh-sha2-nistp384 ecdh-sha2-nistp256 Encryption aes128-ctr aes192-ctr aes256-ctr aes128-cbc aes192-cbc aes256-cbc 3des-cbc blowfish-cbc arcfour128 arcfour cast128-cbc aes128-ctr aes192-ctr aes256-ctr aes128-cbc aes192-cbc aes256-cbc 3des-cbc blowfish-cbc arcfour128 arcfour256 HMAC hmac-md5 hmac-md5-96 hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 hmac-ripemd160 hmac-ripemd160@openssh.com hmac-md5 hmac-md5-96 hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 Host key ssh-rsa ssh-dss ssh-rsa ssh-dss ecdsa-sha2-nistp256 ecdsa-sha2-nistp384 父主题： 运维管理

资产数是什么？ 资产数表示云堡垒机管理的虚拟机等设备上运行的资源数，资源数是同一个虚拟机对应的需要运维的协议和应用总数。 受CBH资产版本规格限制，CBH系统管理的资源总数，不能超过当前版本规格的资产数。 资产数不以CBH系统所管理虚拟机等设备的数量计算，而是以所管理虚拟机上资源的数量计算，一个虚拟机内可能有多种资源形式，包括不同协议的主机，不同类型的应用等。 例如，目前有一台虚拟机，在云堡垒机中添加这台虚拟机的资源，分别添加了2个RDP、1个TELNET和1个MySQL协议的主机资源，以及1个Chrome浏览器的应用资源，那么当前管理的资产数即为5，而不是1。 父主题： 产品咨询

检查CBH系统环境是否配置合理 登录云堡垒机系统，检查纳管资源IP地址、端口等是否设置正确。 检查资源关联访问控制策略，是否设置IP限制。修改访问控制策略，解除对用户“来源IP”的限制。 检查云堡垒机实例关联的安全组，排查安全组的端口配置是否合理。建议按照CBH推荐端口，重新配置CBH安全组。 用户若通过Web浏览器方式登录资源，请手动添加安全组规则TCP协议443入方向。 检查云堡垒机所在内网关联的网络ACL ，排查ACL规则配置是否合理。 解除云堡垒机IP地址的访问限制，以及在“目的地址”中添加资源IP地址，允许云堡垒机访问资源。 重新设置后，尝试重新通过CBH系统登录资源。

检查主机资源是否能接受CBH访问 管理员直接登录主机资源。 输入命令route -n，检查主机的路由表，是否存在丢失CBH路由现象。 检查主机登录方式及登录安全加固措施，建议从以下几个方面排查： Linux云服务器SSH登录的安全加固 Windows弹性云服务器登录方式概述 Linux弹性云服务器登录方式概述 从以下几个方面分别排查，解除主机安全加固对云堡垒机的登录限制。 无法登录到Linux云服务器怎么办？ 无法登录到Windows云服务器怎么办？ 解除安全加固的限制后，尝试重新通过CBH系统登录资源。 如果通过上述排查，仍然无法解决问题，请单击管理控制台右上方的“工单”，填写工单信息反馈问题现象，联系技术支持。

检查网络连接情况 登录云堡垒机系统，ping连通性测试和TCP端口检测，验证云堡垒机与资源服务器之间的网络连接是否正常。 网络连接通畅，则网络不稳定导致连接无响应。 重启相应资源服务器，重新开机后网络恢复正常。若重启主机不能解决，建议再排查云服务器故障/卡顿。 网络连接不通，则CBH系统到资源服务器有网络限制，请参考下述方案依次排查。 请先确认当前用户网络环境，是否为内网用户，以及用户访问权限是否受限。 例如因华为云内网用户，无法访问公网资源，即未授权的内网用户不能登录运维资源，需先申请外网访问权限或申请Websocket权限。 检查CBH系统环境是否配置合理 检查主机实例环境是否合理配置 检查主机资源是否能接受CBH访问

解除浏览器拦截 确认使用浏览器及版本，确认是否在推荐范围内。 表1 推荐浏览器及版本 浏览器 版本 Edge 44及以上版本 Chrome 52.0及以上版本 Safari 10及以上版本 Firefox 50.0及以上版本 打开浏览器检查右上角地址栏，确认是否被浏览器拦截。 根据不同操作系统，解除浏览器拦截。 在Windows系统下，以Chrome浏览器为例，选择“始终允许显示弹出窗口”后即可登录资源。 在macOS系统下，需要先设置Safari浏览器的偏好设置，将“阻止弹出式窗口”去掉勾选框。 图1 Safari浏览器限制

后续管理 提交工单申请后，相关管理员即可在“消息中心”收到提醒，查看详细工单内容。并可在工单审批页面收到工单，可对工单进行批准或驳回操作。 提交工单申请后，若需修改已提交的工单，可单击“撤回”，取消已提交的工单申请，工单状态变为“已撤回”。 创建工单后，若需查看工单和修改工单信息，可单击“管理”，进入工单详情页面查看和修改工单信息。 “审批中”状态的工单仅能查看工单详情信息，不能修改工单内容。“已撤回”和“待提交”状态的工单才能被修改。 若已提交的工单已过期，可单击“删除”，管理工单列表。亦可勾选多条工单，单击列表左下角删除，批量删除工单。 删除后工单信息不能找回，请谨慎操作。

约束限制 目前仅SSH、RDP协议主机，支持通过Web运维上传/下载文件。 Web运维不能通过执行rz/sz命令等方式上传/下载文件，仅能通过“文件传输”操作上传/下载文件。 Linux主机资源支持在客户端执行命令方式传输文件，例如在SSH客户端执行rz/sz命令上传/下载文件。但该方式不能被CBH系统记录上传/下载的具体文件，不能达到对全程安全审计的目的。 支持下载一个或多个文件，不支持下载文件夹。 不支持断点续传，文件上传或下载过程请勿终止或暂停。 不支持传输大小超过1G的超大文件，建议分批次上传/下载文件，或通过FTP客户端传输文件。

配置SSO单点客户端 以Navicat客户端为例，示例配置客户端路径。 打开本地SsoDBSettings单点登录工具。 图3 单点登录工具界面 在“Navicat路径”栏后，单击路径配置。 根据本地Navicat客户端安装的绝对路径，选中Navicat工具的exe文件后，单击“打开”。 图4 查找本地工具绝对路径 返回SsoDBSettings单点登录工具配置界面，可查看已选择的Navicat客户端路径。 图5 确认配置路径 单击“保存”，返回云堡垒机“主机运维”列表页面，即可登录数据库资源。

自定义关联命令 命令控制策略关联的自定义的命令，关联命令后，在执行相关命令或参数时，触发拦截和允许操作。 图1 自定义关联命令 自定义关联命令大小写敏感，严格按照设置的关联命令进行审核和过滤，若执行命令与设置命令不一致，则不能触发策略规则。详细设置说明和示例，请参考如下说明： 支持单命令格式。 如设置拒绝执行查询命令，即设置关联命令为ls，执行单命令操作时触发策略规则。 支持命令路径格式。 如设置动态授权查询日志，即设置关联命令为ls /var/log/，执行命令参数操作时触发策略规则。此时若执行ls /var/log，则无法触发策略拦截规则。 支持命令带“*”通配符，“*”表示任意多个字符。 如设置拒绝执行所有删除命令，即设置关联命令为rm *，执行命令加任意参数触发策略拦截，如执行rm -rf。此时若执行rm命令本身，则不会触发策略拦截规则。 支持命令带“?”通配符，“?”表示任意单个字符，输入几个“?”就代表几个未知字符。 如设置拒绝执行删除两个字符名称的文件或目录，即设置关联命令为rm -rf ??，执行命令加任意两个字符触发策略拦截，如执行rm -rf ts。此时若执行rm -rf test，则不会触发策略拦截规则。 支持命令带“[]”通配符，“[]”表示框内的任意字符、范围、取反（使用“|”或“^”取反）。 如设置动态授权删除带abcd名称的文件或目录，即设置关联命令为rm -rf [abcd]，执行命令加任意abcd字符触发策略拦截，如执行rm -rf cloud。此时若执行rm -rf test或rm -rf ABCD，则不会触发策略拦截规则。 父主题： 命令控制策略

帐户组概述 多个资源账户加入一个“帐户组”形成帐户群组，通过对帐户组授权可对资源账户进行批量授权、批量帐户验证。 仅系统管理员admin或拥有“帐户组”管理权限用户，可管理帐户组，包括新建帐户组、维护帐户组资源，管理帐户组信息、删除帐户组等。 帐户组与部门挂钩，不属于个人。当前登录用户新建的帐户组默认放在登录用户部门下，不支持修改部门。上级部门拥有“帐户组”管理权限用户可查看下级部门的所有帐户组信息，反之不能，同级之间的帐户组可相互查看。 上级部门管理员为下级部门帐户组添加资源账户时，可将上级部门的资源账户添加到下级部门的帐户组，但是下级部门拥有“帐户组”管理权限用户操作帐户组时，只能查看资源账户列表，不能查看上级部门资源账户的详情信息。 下级部门拥有“帐户组”管理权限用户将当前帐户组中的上级部门资源账户移除后，将不能添加移除的上级部门资源账户。 一个资源账户可加入多个帐户组。 父主题： 帐户组

资源概述 云堡垒机具备集中资源管理功能，将已有资源和资源账户添加到系统，可实现对资源账户全生命周期管理，单点登录资源，管理或运维无缝切换。 资源类型 纳管资源类型丰富，包括Windows、Linux等主机资源，MySQL、Oracle等数据库资源，以及Windows应用程序资源。 支持C/S架构运维接入，包括SSH、RDP、VNC、TELNET、FTP、SFTP、DB2、MySQL、SQL Server、Oracle、SCP、Rlogin协议类型主机资源。 支持B/S、C/S架构应用系统资源接入，可直接配置12+种Edge、Chrome、Oracle Tool等浏览器或客户端Windows服务器应用资源。 资源管理 批量导入 通过自动发现、同步云上资源，以及批量导入资源，支持一键同步并导入云上ECS、RDS等服务器上资源。 帐户组管理 资源账户按属性分组管理，可实现对同类型资源账户按帐户组给用户赋权。 批量管理 支持批量管理资源信息和资源账户，包括删除资源、添加资源标签、修改资源信息、验证资源账户、删除资源账户等。 父主题： 系统资源

统计控制板 呈现当前用户可管理用户、主机、应用、应用服务器的统计数据，以及未处理告警消息的数量。 图2 统计控制板 用户角色需分别获取“用户管理”、“主机管理”、“应用发布”、“应用服务器”模块管理权限，以及开启角色管理权限，即可查看系统控制板统计信息。当角色权限只有其中一个时，默认不显示统计控制板。 用户 呈现当前用户可管理用户数。单击用户模块，跳转到用户列表页面，可管理当前用户列表。 主机 呈现当前用户可管理主机资源数。单击主机模块，跳转到主机列表页面，可管理当前主机资源列表。 应用 呈现当前用户可管理应用发布资源数。单击应用模块，跳转到应用列表页面，可管理当前应用资源列表。 应用服务器 呈现当前用户可管理应用服务器数。单击应用服务器模块，跳转到应用服务器列表页面，可管理当前应用服务器列表。 告警 呈现当前用户未处理告警消息数。单击告警模块，跳转到消息中心页面，可管理当前消息列表。

云审计支持的CBH实例操作 云审计服务（Cloud Trace Service，简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 开启了云审计服务后，系统开始记录云堡垒机实例的相关操作，云审计服务管理控制台将保存最近7天的操作记录。云审计服务支持的CBH实例操作参考表1。 表1 支持CBH实例操作列表 操作名称 资源类型 事件名称 创建堡垒机 cbh createInstance 删除堡垒机 cbh deleteInstance 重启堡垒机 cbh rebootCBH 启动堡垒机 cbh startCBH 关闭堡垒机 cbh stopCBH 提交堡垒机订单 cbh subscribeOrder 更新堡垒机订单状态 cbh updateCloudServiceType 更新堡垒机metadata信息 cbh updateMetadata 查询变更jobs cbh jobsAsynQuery 升级堡垒机 cbh upgradeInstance 父主题： 审计实例关键操作

监控指标 表1 云堡垒机服务支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） cpu_util CPU利用率 该指标为从物理机层面采集的CPU使用率，数据准确性低于从弹性云服务器内部采集的数据 0%~100% 云堡垒机 300秒 mem_util 内存使用率 该指标用于统计测量对象的内存利用率。 0%~100% 云堡垒机 300秒 disk_util 磁盘使用率 该指标用于统计测量对象的磁盘利用率 0%~100% 云堡垒机 300秒 session_count 会话连接数 该指标用于统计测量对象的实时会话连接数 ≥0 云堡垒机 300秒 resource_count 管理资源数 该指标用于统计测量对象的管理资源数 ≥0 云堡垒机 300秒