本节为您介绍如何使用云迁移服务来迁移云主机。 产品定义 天翼云云迁移服务（CTCMS，Cloud Migration Service）是一款由天翼云自主研发的专业迁移服务产品。基于P2V/V2V技术，CTCMS可以帮助用户将单台或多台迁移源从私有云、公有云或其他特殊环境，迁移至天翼云弹性云主机（CTECS）。旨在提供有序、安全、便捷、轻松的数字资产、服务、IT资源及应用程序迁移解决方案，同时保证云上业务的可用性、安全性和连续性。 迁移流程 操作场景 ECS相关场景 天翼云 ECS实例间迁移： 当需要把不同天翼云账号下的主机资源整合到一个天翼云账号下, 或者将同账户不同区域的CTECS资源整合到同一个区域下时，可以采用主机迁移服务实现CTECS实例间的快速迁移。 其他云平台云主机迁移至天翼云： CMS支持将您在不同环境如各云服务平台等云主机、IDC机房虚拟机、本地虚拟机迁移至天翼云，通过CMS可以实现相应业务需求。 应用场景 业务快速拓展：业务系统需要具备快速拓展的能力，但传统的云下设备拓展能力有限，因此存在上云的需求。在迁移过程中，需要保证业务正常运行，并在上云后获得优于云下体验，同时还要支持快速的业务拓展。 本地IDC陆续退网、业务持续上云：拥有自己的本地IDC机房，但随着时间的推移，机房内的服务器集群已经运行了810年，逐渐到达设备的运行年限。在这种情况下，大部分企业会选择将达到运行年限的设备进行退网处理。同时，随着设备退网，原有的业务系统、应用集群、数据库、对象存储等也面临着上云迁移的需求。 高密特殊上云迁移：政府单位以及部分特殊企业，具有较高的安全需求；需要采取一系列措施来确保数据和信息的安全性。在这种场景下，通常会对内外网进行隔离，限制上云迁移软件的使用。 各环境迁移至天翼云：业务在不同环境中运行，包括在IDC机房、本地虚拟机、天翼云不同区域以及其他云服务平台上。现在需要将这些不同环境中的业务迁移至天翼云平台。 服务场景详细描述可参考：云迁移产品应用场景。

本小节介绍云堡垒机资产运维两种方式。 堡垒机运维员可以通过客户端运维和网页运维方式对已授权的资产进行运维。 客户端运维 前置条件： 堡垒机成功纳管资产，且堡垒机与资产的网络可连通。 运维账号已开通且分配了运维角色，同时对账号进行了资产访问授权。 本地终端已安装访问控件并且正确对访问控件进行设置。 操作步骤 1. 用户账号登录云堡垒机系统。 2. 角色身份切换到“访问角色”。 3. 在左侧导航栏，选择“资产访问”。 4. 单击目标运维主机，在右下方访问图标选择访问方式（xshell/putty/secureCRT/vnc/mstsc/Filezila/WinSCP）访问。 网页运维 用户可通过网页直接访问资产，无需安装运维客户端即可完成运维。 操作步骤 1. 用户账号登录云堡垒机系统。 2. 角色身份切换到“访问角色”。 3. 在左侧导航栏，选择“资产访问”。 4. 单击目标运维主机，在右下方访问图标选择webterminal方式访问。

AD认证用户导入 说明 需要开启AD认证并使用AD同步配置后才可使用此功能。 1. 使用“管理角色”账号登录云堡垒机。 2. 在左侧导航栏选择“用户管理 > 用户”，进入“用户”模块。 3. 单击“导入”按钮，弹出“用户导入”对话框。 4. 在上方页签选择“AD认证用户导入”。 5. 勾选需要导入的用户信息，并且选择导入策略。 6. 单击“导入”完成AD认证用户导入。 导出用户 云堡垒机（原生版）支持批量导出已在控制台保管的账户信息，同时也支持导出admin账户信息。 说明 若您需要导出admin账户信息，则默认不勾选用户，直接单击“导出”即可。不勾选时，可导出所有用户信息。 1. 使用“管理角色”账号登录云堡垒机。 2. 在左侧导航栏选择“用户管理 > 用户”，进入“用户”模块。 3. 勾选需要导出的用户信息，单击“导出”即可生成用户信息表格导出。 锁定/解锁用户 云堡垒机支持对用户进行加锁操作，在锁定期间该用户无法登录云堡垒机。 1. 使用“管理角色”账号登录云堡垒机。 2. 在左侧导航栏选择“用户管理 > 用户”，进入“用户”模块。 3. 勾选需要加锁/解锁的用户信息，单击“加锁”/“解锁”即可锁定或解锁用户。 删除用户 云堡垒机系统用户支持一键删除和批量删除，用户被删除后，用户账号所有关联的权限将失效。 注意 用户删除后信息无法恢复，请谨慎操作！ 1. 使用“管理角色”账号登录云堡垒机。 2. 在左侧导航栏选择“用户管理 > 用户”，进入“用户”模块。 3. 勾选需要删除的用户信息，单击“删除”。 4. 在弹出的对话框中单击“确定”即可删除用户。

通过MSTSC客户端登录云堡垒机 用户获取资源运维权限后，可通过MSTSC客户端直接登录进行运维操作。 1. 打开本地远程桌面连接（MSTSC）工具。 2. 在弹出的对话框中，“计算机”列，输入“堡垒机IP:53389”。 3. 单击“连接”，在登录页面完成登录。 username： 堡垒机用户登录名 @Windows主机资源账户名@Windows主机资源IP:Windows 远程端口（默认3389 ） ，例如admin@Administrator@192.168.1.1:3389。 “Windows主机资源账户名”必须是已添加到堡垒机中的资源账户，且登录方式是”自动登录“，否则无法识别Windows主机资源账户，且无法生成运维审计文件。不支持实时会话运维。 password：输入当前堡垒机的用户密码。

此小节介绍关闭实例。 当实例的“运行状态”为“运行”时，可以关闭实例。关闭实例后，将不能登录云堡垒机系统。 前提条件 已获取管理控制台的登录帐号与密码。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择区域，选择“安全 > 云堡垒机”，进入云堡垒机实例管理页面。 3. 单击左上角的，选择区域或项目。 4. 在左侧导航树中，单击云堡垒机，进入云堡垒机实例界面。 5. 在需要关闭的实例所在行，单击“操作”列中的“更多 > 关闭”。 6. 在弹出的关闭实例对话框中，单击“确定”。实例成功关闭后，实例的“运行状态”变为“关闭”。 说明 在关闭实例对话框，可选择“强制关机”，强制关闭实例可能会造成数据丢失，请确保数据文件已全部保存。

云堡垒机可以跨区域或跨VPC网络管理主机吗？ 不建议。 云堡垒机仅支持直接管理同一VPC内资源，即可直接访问同一VPC内资源。 虽跨区域或跨VPC可通过云服务构建网络连接，但受限于网络的不稳定性，不建议跨区域或跨VPC使用云堡垒机纳管资源。 云堡垒机支持在专属云上使用吗？ 支持。 专属云（Dedicated Cloud）是面向企业、政府、金融等客户，提供计算、存储资源池以及网络、管控多级隔离的综合解决方案。用户独享专属资源池，与公有云资源物理隔离，满足特定性能、应用及安全合规等要求。

安全计算环境：身份鉴别 等保条例：应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换； 本条款主要考察如下三点： 是否对登录用户进行身份识别和鉴别使用浏览器访问堡垒机页面，证明需要对用户身份进行鉴别之后才可正常使用产品功能。 身份标识是否具有唯一性：每名用户创建必须填写姓名、手机号、邮箱及角色，并且一名用户只能配置一个角色。 身份鉴别信息是否具有复杂度要求并定期更换：云堡垒机支持“手动执行”、“定时执行”、“周期执行”三种改密执行方式，还支持“生成不同密码”、“生成相同密码”、“指定相同密码”三种改密方式。具体操作详见云堡垒机改密策略。 等保条例：应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现; 云堡垒机采用多因子认证的登录方式，具体登录认证的方法有：手机短信、手机令牌、USBkey和动态令牌登录四种方式。 等保条例：应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施； 云堡垒机可配置用户登录安全锁，可设置锁定方式、锁定时长、可尝试密码次数等。 访问控制 等保条例：应授予管理用户所需的最小权限，实现管理用户的权限分离； 云堡垒机支持对用户的操作权限进行限制，分别为三大类：访问控制策略、命令控制策略和数据库控制策略。 云堡垒机可以对登录用户角色的一些操作权限进行控制，比如您可以对运维主管的账号授予删除和修改代理服务器的权限。 您可以对各个账户进行访问控制，具体可细分到文件管理、上行剪切板、下行剪切板、显示水印、控制登录时间和上传下载文件，并且可以对登录的角色进行IP的黑白名单限制。 等保条例：应对登录的用户分配账户和权限； 云堡垒机支持对用户进行角色分配和用户组分配。 对于长期不登录或过期的账户，应及时删除。云堡垒机可以设定僵尸用户判定时间，超过此时间的账户就会被禁用。

本节介绍如何在堡垒机v1.0中进行Syslog日志外发配置。 前提条件 已购买堡垒机v1.0资源，且资源状态为“运行中”。 操作步骤 1. 登录云等保专区控制台，在左侧导航栏，选择“堡垒机 > 堡垒机v1.0”，在目标资源右侧操作列单击“配置”，进入堡垒机系统。 2. 选择“管理控制台”，在导航栏选择“系统 > 服务管理 > 日志外送”。 3. 将“状态”开关打开，并配置“发送者标识”，“服务器地址+端口地址”，“发送数据”。 发送者标识：根据需求自定义填写。 服务器地址+端口地址：输入外发目的地址，可配置多个。 发送数据：默认勾选全部，可根据需求自定义勾选。 4. 配置完成后，单击“发送测试数据”，确保数据可以正常外发后，单击“保存”，完成配置。

本章节主要介绍翼MapReduce的安全增强特性。 翼MR作为一个海量数据管理和分析的平台，具备高安全性。翼MR主要从以下几个方面保障用户的数据和业务运行安全。 网络隔离 整个系统部署在公有云上的虚拟私有云中，提供隔离的网络环境，保证集群的业务、管理的安全性。结合虚拟私有云的子网划分、路由控制、安全组等功能，为用户提供高安全、高可靠的网络隔离环境。 资源隔离 翼MR服务支持资源专属区内部署，专属区内物理资源隔离，用户可以在专属区内灵活地组合计算存储资源，包括专属计算资源+共享存储资源、共享计算资源+专属存储资源、专属计算资源+专属存储资源。 主机安全 翼MR支持与公有云安全服务集成，支持漏洞扫描、安全防护、应用防火墙、堡垒机、网页防篡改等。针对操作系统和端口部分，提供如下安全措施： 操作系统内核安全加固 更新操作系统最新补丁 操作系统权限控制 操作系统端口管理 操作系统协议与端口防攻击 应用安全 通过如下措施保证大数据业务正常运行： 身份鉴别和认证 Web应用安全 访问控制 审计安全 密码安全 数据安全 针对海量用户数据，提供如下措施保障客户数据的机密性、完整性和可用性。 容灾：翼MR支持将数据备份到OBS（对象存储服务）中，支持跨区域的高可靠性。 备份：翼MR支持针对DBService、NameNode、LDAP的元数据备份和对HDFS、HBase的业务数据备份。

此小节介绍跨云跨VPC线上线下统一运维。 应用场景 针对您的服务器资源分布在跨VPC、线下IDC机房、非云等跨网络域的场景，云堡垒机提供了通过网络代理服务器进行运维的方案，便于您在没有搭建网络专线的情况下，纳管各网络域的各类服务器资源，从而通过云堡垒机统一管理、运维您的各类工作负载。 本文指导您如何在目标网络域配置代理服务器、连通云堡垒机，并实现通过云堡垒机对您跨VPC、跨云、线下的资源进行管理与运维。 前提条件及准备工作 已购买堡垒机并 正常使用。已购买弹性云服务器（ECS）并正常使用。 已在对端网络域中获取1台服务器作为代理服务器。 代理服务器已绑定弹性公网IP，具体操作请详见：将弹性公网IP绑定至实例。代理服务器与待纳管服务器网络互通。 设置代理服务器 在需要对跨网络域的服务器进行管理运维前，需要在对端网络域中配置一台网络代理服务器。将该代理服务器与业务服务器通过内网进行互通，再将代理服务器到云堡垒机网络进行互通，即可完成云堡垒机到业务服务器之间跨域的网络互联。 该部分操作是达成堡垒机跨域纳管主机资源的前提。 为代理服务器启用网络代理服务 1. 代理服务器，进行代理服务器（3proxy）设置。 说明 步骤二至步骤四中的命令，均已CentOS7为例。如需CentOS8代码示例，请按CentOS8配置代理。 2. 上传3proxy压缩包并解压后，进入对应目录执行以下命令： bash install.sh 3. 输入如下命令，添加3proxy用户 /etc/3proxy/add3proxyuser.sh myuser mypassword 4. 重启代理服务3proxy systemctl restart 3proxy socks代理协议（端口：1080）没有加密功能，请务必在安全组设置中禁止非必要的IP访问。 为代理服务器配置安全组规则 1. 进行代理服务器入方向规则配置，允许堡垒机访问代理服务器。 2. 进行代理服务器出方向规则配置，允许代理服务器访问待纳管的业务服务器。

此小节介绍云堡垒机的使用概要。 云堡垒机入手使用的基本流程： 通过Web浏览器、SSH客户端登录云堡垒机系统，依次创建用户、添加资源、配置权限策略，授予用户运维资源权限； 用户获取资源管理权限后，通过云堡垒机登录资源； 审计用户运维会话，以及审计用户登录系统和系统操作。 云堡垒机基础使用流程如下图所示。 使用流程简介： 操作步骤 说明 登录云堡垒机系统 成功购买CBH实例后，获取登录地址登录云堡垒机系统。admin是系统第一个可登录用户，用户密码为自定义设置的密码。 创建系统用户 创建CBH系统用户，一个用户对应一个系统登录帐号。 添加系统资源 添加资源信息，并纳管资源账户。 添加资源，可纳管资源包括Linux主机、Windows主机、数据库、应用系统等。 l 添加资源后，可纳管资源账户，实现自动登录资源进行运维管控。 配置运维权限 创建访问控制权限。 策略授权用户访问资源后，用户才有权限登录相应资源，才能对资源进行运维操作。 登录资源运维 授权用户通过CBH系统登录相应资源，不同资源类型可选择不同登录方式。 审计运维会话 在系统Web页面审计用户系统登录和操作，以及审计用户运维会话。

本章节为您介绍密评专区最佳实践。 网络和通信安全 身份鉴别和通信数据机密性、完整性 满足网络和通信安全的总体要求需要通过国密SSL VPN安全网关配合VPN客户端构建虚拟专用通道来保证对各通道的安全： 平台管理员通过CN2网络访问平台的业务通道：部署国密SSL VPN安全网关（配备数字证书），以及为平台管理员用户配备USBKey（配备数字证书）和VPN客户端，建立安全的国密加密通道，在此通道内访问平台； 平台运维人员通过CN2网络对平台的运维通道：部署国密SSL VPN安全网关（配备数字证书），以及为运维人员配备USBKey（配备数字证书）和VPN客户端，建立安全的国密加密通道，在此通道内对平台中的各设备和服务器、操作系统等进行运维和管理。 网络边界访问控制 网络边界访问控制信息存储在国密SSL VPN安全网关中，完整性已得到保护。国密SSL VPN安全网关设备取得国家密码检测部门颁发的商用密码产品认证证书，通过国密SSL VPN安全网关自身机制实现访问控制信息的保护，该密码应用要求指标可复用商用密码产品检测结果。 设备与计算安全 概述 系统的设备和计算安全层面，主要涉及业务服务器、数据库服务器、网络设备、安全设备。因此采用合规的SSL VPN安全网关、服务器密码机、智能密码钥匙、数字证书实现各项商用密码技术功能。 身份鉴别 通过专用SSL VPN安全网关结合运维堡垒机（或者4A安全系统）提供设备和计算层面的身份鉴别，结合智能密码钥匙（内置数字证书），运维人员Ukey数字证书由身份认证系统（CA）签发，并且与堡垒机分配给运维管理员的账户一一对应和绑定。 1. 运维人员首先使用VPN客户端调用智能密码钥匙，通过远程（CN2网络）连通合规SSL VPN安全网关进行双向强身份认证，验证运维人员USBKey证书与SSL VPN服务的双方身份，握手成功后建立国密SSL VPN隧道。 2. 再通过UKey方式登录堡垒机。用户通过智能密码钥匙登录堡垒机，采用挑战/应答机制，采用服务器密码机对登录签名进行验证，实现运维管理用户登录堡垒机的身份鉴别实现。 具体过程如下： 1. 用户插入智能密码钥匙访问堡垒机登录页面时，终端将签名数据、证书发送至堡垒机。 2. 堡垒机将对数据服务器密码机进行签名。 3. 服务器密码机对签名数据进行验签，并返回验证结果至堡垒机。 4. 堡垒机完成证书有消息验证，综合签名数据验证结果，将验证结果返回至终端。 基于密码技术的用户登录堡垒机的身份鉴别中，涉及的密钥为SM2签名算法公私钥，涉及的设备为智能密码钥匙和服务器密码机，不存在出现私钥明文情况。 3. 通过堡垒机登录到服务器/虚机进行维护（SSH V2.0协议），实现对服务器/虚机的管理和维护。

安全运维报告 根据用户云环境的安全态势及风险威胁处置数据生成安全运营报告。 安全漏洞扫描 安全管理中心集成主机漏洞及应用漏洞扫描功能，能够帮助用户高效、全方位的检测出服务环境中的各类脆弱风险，并提供专业、有效的安全分析和修补建议。 组件集中管理 安全管理中心集中管理全网安全专区能力组件，已部署的组件规格、部署区域、版本许可信息、运行状态等配置信息统一展现安全管理员从天翼云控制台即可单点登录所有安全组件进行策略配置及备份策略，无需繁琐的分别登录组件进行管理。 云堡垒机 云堡垒机为用户提供运维审计解决方案，运维人员可通过云堡垒机远程访问云主机，实现统一账号管理、双因子、认证管理、权限管理、审计管理，解决系统账号复用、运维权限混乱、运维过程不透明等问题。 支持RDP、VNC、X11等图形终端操作的连接情况进行记录及审计。 记录发生时间、发生地址、服务端IP地址、客户端IP地址、操作指令、返回信息、操作备注、客户端端口号、服务器端口号、运维用户帐号、运维用户姓名、审批用户帐号、审批用户姓名、服务器用户名等信息。 云防火墙 应用访问控制 包括但不限于47层访问控制、入侵防御、病毒过滤等安全功能。

此小节介绍解绑弹性公网IP。 当CBH实例需要重新绑定EIP或释放EIP时，需要为该实例解绑EIP。当实例成功解绑EIP后，则无法再通过该EIP登录云堡垒机系统。 前提条件 已获取管理控制台的登录帐号与密码。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择区域，选择“安全 > 云堡垒机”，进入云堡垒机实例管理页面。 3. 单击左上角的，选择区域或项目。 4. 在左侧导航树中，单击云堡垒机，进入云堡垒机实例界面。 5. 选择需要解绑弹性IP的实例，单击所在行“操作”列中的“更多 > 解绑弹性公网IP”，弹出的解绑弹性IP对话框。 6. 在弹出的解绑弹性IP对话框中，单击“确定”。解绑成功后，“弹性IP”列无IP信息，且“登录”按钮变为不可操作。

本章节为您介绍云堡垒机自动运维的相关内容。 云堡垒机具备自动运维功能，允许用户依照既定步骤自行执行命令和运维脚本，对多个目标进行自动化运维管理。除此之外，系统支持设定任务执行的周期和时间，实现自动化定期执行。同时，它还能够并行处理多种类型的任务步骤，大大提高了效率。 约束限制 仅企业版云堡垒机支持自动运维功能。 仅支持对Linux主机（SSH、Telnet协议类型）资源执行自动运维任务。 暂不支持对Windows主机资源、数据库资源和应用资源执行自动运维任务。 管理员和运维角色都支持自动化运维功能。 用户自动化运维可执行的命令和脚本受到命令权限的限制。 新建自动运维策略 1. 使用“管理角色”或“运维角色”账户登录云堡垒机系统。 2. 在左侧导航栏选择“自动运维”，进入“自动运维”页面。 3. 单击“新增”，开始新增自动运维策略。 4. 在弹出的“新增自动运维策略”对话框中填写相关内容。 配置项 说明 任务名称 自定义运维策略名称。 描述 自定义运维策略的描述内容。 资产账号 单击“添加”选择需要自动化运维的设备及账号。 执行策略 选择运维策略。 手动执行：保存运维策略后可手动执行该策略。 定期执行：选取执行时间，保存后在对应时间执行该策略。 周期执行：选取首次执行时间和执行周期（天），保存后在对应时间执行该策略。 执行方式 选择自动化运维的执行方式。 执行命令：在“执行命令”参数框中填写需要执行的运维的命令。 执行脚本：上传可使用的.sh/.py脚本命令，若有相关脚本参数在“脚本参数”对话框中填写，多个参数使用英文逗号","分隔。 5. 单击“确认”，弹出“验证用户身份”窗口。 6. 在“验证用户身份”窗口输入资产账号的密码，完成输入后单击“提交”即可完成自动运维策略建立。

本小节介绍安全专区云堡垒机登录运维方法。 安装插件 从互联网通过云堡垒机设置的“运维员”账号访问云堡垒机端口（ 根据提示完成安装插件。 测试登录 点击【运维操作】→【SSO】，可看到本账号在（详情参考资产管理授权）授权需要运维的资源，即可选择相应的运维方式进入单点登录。

此小节介绍启动实例。 以下场景需要启动实例： 当实例关闭后，实例的“运行状态”为“关闭”时，如果需重新登录使用云堡垒机系统，则需执行启动实例操作。 当实例异常时，实例的“运行状态”为“异常”时，为重新登录使用云堡垒机系统，可尝试执行启动实例操作。 前提条件 已获取管理控制台的登录帐号与密码。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择区域，选择“安全 > 云堡垒机”，进入云堡垒机实例管理页面。 3. 单击左上角的，选择区域或项目。 4. 在左侧导航树中，单击，，进入云堡垒机实例界面。 5. 在需要启动的实例所在行，单击“操作”列中的“启动”。 6. 在弹出的开启实例对话框中，单击“确定”。 7. 实例启动成功后，实例的“运行状态”变为“运行”。

安全组件 安装内容及步骤 备注 云防火墙 VPC环境调整 请参考 云防火墙 网络配置 请参考 云防火墙 访问策略配置 请参考 云防火墙 安全策略配置 请参考 云防火墙 网络割接 请参考 云防火墙 网络测试 请参考 云堡垒机 运维账号 请参考 云堡垒机 添加资产 请参考 云堡垒机 管理授权 请参考 云堡垒机 映射端口 请参考 云堡垒机 登录运维 请参考 云日志审计 添加资产 请参考 云日志审计 采集器配置 请参考 云日志审计 客户端安装 请参考 终端安全EDR 客户端安装 请参考 终端安全EDR 策略配置 请参考 云数据库审计 部署方式 请参考 云数据库审计 添加审计策略 请参考 云数据库审计 添加保护对象 请参考 云数据库审计 客户端安装 请参考

接口功能介绍 修改堡垒机的安全组。 接口约束 天翼云用户。 URI POST /osm/v2/console/changeSecurityGroup 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 vmId 是 String 堡垒机id osm83489234 securityGroupIds 是 String 多个安全组id，以英文逗号隔开 secid1,secid2 响应参数 参数 参数类型 说明 示例 下级对象 error String 接口错误详情 statusCode String 接口请求状态码 00000表示成功，其他为失败 message String 请口操作结果说明 操作成功或失败说明 returnObj Object 返回对象 枚举参数 无 请求示例 请求url 无 请求头header 无 请求体body { "vmId": "700c065cbbd35b8aa07d551dba4a5141", "securityGroupIds":"secid1,secid2" } 响应示例 { "statusCode": "00000", "message": "操作成功", "returnObj":{} } 状态码 请参考 状态码 错误码 请参考 错误码

此章节为您介绍如何管理云堡垒机的数据。 您可在堡垒机存储配置页查看已使用的存储空间。当存储空间可用内存不足时，建议您及时删除历史系统数据，或变更实例规格扩充数据盘大小。 查看存储空间 1.登录云堡垒机（原生版）实例。 2.在左侧导航栏选择“系统管理 > 数据管理”，进入“存储配置”页面。 3.您可在“存储配置”页面查看已用的存储空间和设置自动删除的内容。 开启自动删除功能 1.打开自动删除功能，将“自动删除”后的按钮切换至开启状态“”。 2.填写需要保留数据月数，默认为6个月。 3.勾选需要删除的内容后，单击“保存”。 管理日志备份 1.登录云堡垒机（原生版）实例。 2.在左侧导航栏选择“系统管理 > 数据管理”，选择“日志备份”页签。 3.开启日志备份，并填写Syslog服务器地址。 参数 参数说明 取值样例 状态 决定是否开启备份至Syslog服务器功能 发送名称 用于标识堡垒机发送至Syslog服务器的日志。 Test 服务器IP 填写正确的Syslog服务器IP地址。 0.0.0.0 端口 填写Syslog服务器的端口地址。 80 协议 选择访问Syslog服务器的协议。 UDP 备份内容 选择您需要备份的堡垒机中的业务内容。 4.填写完成后，单击“保存”即配置完成。

步骤五：友商云实例配置 1. 登录友商云实例。 2. 在友商云的VPC中配置路由，将要访问的天翼云云服务网段的下一跳指向VPC中的智能网关（vCPE）实例，完成和多云互通。 步骤六：访问测试 完成上述配置后，您可以以友商云实例私网IP地址为源地址，通过ping命令，测试和天翼云云服务的连通性。

此章节为您介绍如何管理云堡垒机的数据。 您可在堡垒机存储配置页查看已使用的存储空间。当存储空间可用内存不足时，建议您及时删除历史系统数据，或变更实例规格扩充数据盘大小。 查看存储空间 1. 登录云堡垒机（原生版）实例。 2. 在左侧导航栏选择“系统管理 > 数据管理”，进入“存储配置”页面。 3. 您可在“存储配置”页面查看已用的存储空间和设置自动删除的内容。 开启自动删除功能 1. 打开自动删除功能，将“自动删除”后的按钮切换至开启状态。 2. 填写需要保留数据月数，默认为6个月。 3. 勾选需要删除的内容后，单击“保存”。 管理日志备份 1. 登录云堡垒机（原生版）实例。 2. 在左侧导航栏选择“系统管理 > 数据管理”，选择“日志备份”页签。 3. 开启日志备份，并填写Syslog服务器地址。 参数 参数说明 取值样例 状态 决定是否开启备份至Syslog服务器功能 发送名称 用于标识堡垒机发送至Syslog服务器的日志。 Test 服务器IP 填写正确的Syslog服务器IP地址。 0.0.0.0 端口 填写Syslog服务器的端口地址。 80 协议 选择访问Syslog服务器的协议。 UDP 备份内容 选择您需要备份的堡垒机中的业务内容。 4. 填写完成后，单击“保存”即配置完成。

此小节介绍如何设置云堡垒机运维环境。 在使用堡垒机之前，您需要先设置运维工具及配置运维工具路径。 使用本地客户端方式运维资产，需要初始化本地终端环境设置，下载并设置访问插件。 下载访问插件 1.使用访问用户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“运维设置”，进入“运维设置”页面。 3.单击页面右上角的“访问插件”按钮，根据实际操作环境选择插件下载。 配置运维工具 说明 目前版本Xshell、SecureCRT、Filezilla、WinSCP、DBeaver和Navicat需要使用客户端路径配置工具配置路径后才可以使用。 使用版本限制请参考：使用限制章节。 1.在“运维设置”页面勾选需要使用的客户端工具，并单击“保存”。 2.若您配置的工具需要配置客户端路径，则单击页面右上角的“客户端路径配置”。 3.在弹出的对话框中选择需要配置客户端，选择客户端路径。 安装RemoteAPP程序 您若要使用云堡垒机访问应用服务器，需要在应用发布服务器中安装RemoteAppProxy跳板工具。 2.8及以上版本堡垒机请选择openappmstsc.exe。 2.8及以下版本堡垒机请选择openapp.exe。 堡垒机版本请参考：关于系统章节。 下载步骤： 1. 使用管理员账号登录服务器。 2. 在服务器中，将RemoteAPP程序拷贝到“C:tool”目录中，若没有则手动创建该目录。 3. 双击“openappmstsc.exe”或“openapp.exe”启动安装。 4. 安装完成后，单击“关闭”。

参数 说明 产品名称 云堡垒机 产品ID 用户产品ID唯一认证码。 服务码 单击“查看”获取，主要用于技术人员登录系统后台，技术人员根据内部系统提供的解密功能进行后台管理。 API凭证 主要用于统一管理平台添加节点认证使用。 l 单击“查看”时需要输入系统管理员admin密码、Access Key Secret、Access Key ID。 l “更新”、“清除”API凭证需要输入系统管理员admin密码，并且更新后，统一管理平台管理的该节点将会失效。 HA Key 主要用于配置HA时使用。 当用户通过Web界面配置HA的备节点时，备节点上的程序需要连接到指定的主节点上，再获取相关配置信息进行有效性校验，并在校验通过后才能修改主节点上的配置。 版本号 当前系统版本。 设备系统 当前系统软件版本。 发行日期 当前系统版本发行日期。

本节介绍云等保专区产品的上线配置概览。 云等保专区整合了多个原子能力，部分原子能力需要进行安装配置后，才能正常使用。 原子能力 安装内容及步骤 参考文档 主机安全v1.0 Agent下载安装 请参考主机安全 主机安全v1.0 资产管理配置 请参考主机安全 主机安全v1.0 安全策略编辑 请参考主机安全 主机安全v1.0 日志查看 请参考主机安全 Web应用防火墙v1.0 绑定弹性IP 请参考Web应用防火墙 Web应用防火墙v1.0 全局配置 请参考Web应用防火墙 Web应用防火墙v1.0 添加站点 请参考Web应用防火墙 Web应用防火墙v1.0 配置策略 请参考Web应用防火墙 Web应用防火墙v1.0 验证URL 请参考Web应用防火墙 下一代防火墙v1.0 绑定弹性IP 请参考下一代防火墙 下一代防火墙v1.0 配置子网路由 请参考下一代防火墙 下一代防火墙v1.0 设置安全策略 请参考下一代防火墙 下一代防火墙v1.0 安全日志查看 请参考下一代防火墙 堡垒机v1.0 绑定弹性IP 请参考堡垒机 堡垒机v1.0 创建部门 请参考堡垒机 堡垒机v1.0 创建用户 请参考堡垒机 堡垒机v1.0 创建主机 请参考堡垒机 堡垒机v1.0 创建运维规则 请参考堡垒机 堡垒机v1.0 审计规则设置 请参考堡垒机 堡垒机v1.0 数据归档设置 请参考堡垒机 漏洞扫描v1.0 资产管理 请参考漏洞扫描 漏洞扫描v1.0 扫描策略设置 请参考漏洞扫描 漏洞扫描v1.0 创建扫描任务 请参考漏洞扫描 漏洞扫描v1.0 扫描报告查看 请参考漏洞扫描 日志审计v1.0 设置日志上传 请参考日志审计 日志审计v1.0 添加资产 请参考日志审计 日志审计v1.0 查询自查信息 请参考日志审计 日志审计v1.0 创建解决方案包 请参考日志审计 日志审计v1.0 订阅告警 请参考日志审计 日志审计v1.0 查看审计结果 请参考日志审计 数据库审计v1.0 安装Agent 请参考数据库审计 数据库审计v1.0 添加资产 请参考数据库审计 数据库审计v1.0 配置规则 请参考数据库审计 数据库审计v1.0 订阅报表和告警 请参考数据库审计

本章节为您介绍云堡垒机关于系统资源的一些使用情况。 1.登录云堡垒机（原生版）实例。 2.在左侧导航栏选择“系统管理 > 关于系统”，进入“关于系统”页面。 3.您可在“关于系统”页面查看堡垒机的系统版本及许可信息。

本章节会为您指导如何配置堡垒机相关通知的发送功能。 云堡垒机支持发送以下通知内容至您设置的接收邮箱或者站内信： CPU、内存、磁盘资源使用率超过80% 账号密码剩余3天过期 用户恶意登录情况告警 访问人员执行敏感命令(字符、数据库) 达到风险等级设置发送告警。 说明 邮件通知需校验，如果没有配置邮件服务器，“邮件通知“选项为禁用状态。 对于系统状态的告警，触发后，下一次提醒间隔时长为24小时。 敏感命令告警，可展开自定义选择风险等级，默认为勾选：警告、危险、致命。 设置邮件服务器 1.使用“管理角色”账号登录云堡垒机。 2.在左侧导航栏选择“系统管理 > 告警和通知”，进入“告警和通知”页面。 3.在左侧邮件服务器模块，单击“编辑”按钮配置邮件服务器。 参数 参数说明 服务器地址 填写您的邮件服务器地址。 服务端口 填写您的邮件服务器端口 安全通信 选择是否开启安全通信。 安全通信支持TLS/SSL协议。 发送人账号 填写发送邮件的邮箱账号。 发送人密码 填写发送邮件的邮箱密码。 4.单击“保存”完成邮件服务器配置。 后续操作 完成邮件服务配置后，单击“测试邮件服务”，在弹窗中填写发送测试邮件的邮件地址，单击“发送测试邮件”即可测试邮件是否可以正常发送。 邮件发送成功后在测试邮箱中会收到一封测试邮件，邮件服务配置正确； 若提示邮件发送失败，请检测配置的邮件服务信息，更正后再次测试。

本章节为您介绍云堡垒机关于系统资源的一些使用情况。 1.登录云堡垒机（原生版）实例。 2.在左侧导航栏选择“系统管理 > 关于系统”，进入“关于系统”页面。 3.您可在“关于系统”页面查看堡垒机的系统版本及许可信息。

本节介绍注册集群概述。 CCE One注册集群可以帮助您快速实现kubernetes集群注册到云端，使用天翼云容器管理控制台对注册集群进行统一管理，赋予云下集群使用云上资源能力。目前CCE One支持注册以下类型的注册集群。 注册集群类型 集群描述 相关文档 天翼云集群 包含天翼云云容器引擎CCE专有版、托管版、智算版和Serverless版。 前往链接 本地集群 由CCE提供的运行在您数据中心基础设施之上的Kubernetes集群，以及满足CNCF标准的IDC自建的Kubernetes集群。 前往链接 三方云集群 三方公有云上提供的Kubernetes集群产品，如：阿里云(ACK)、腾讯云(TKE)、GCP (GKE)、AWS(EKS)等。 前往链接 AnyWhere集群 由天翼云容器服务提供的，运行在您数据中心基础设施之上的Kubernetes集群。 前往链接

资产发现 云堡垒机支持设置端口和网段扫描并发现资产。 1.使用“管理角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“资产管理 > 资产”，进入“资产”页面。 3.单击“资产发现”按钮，在弹出的对话框中填写需要扫描的目标网段和端口。 4.填写完成后，单击“立即扫描”开始扫描资产。 5.扫描完成后，根据您自身业务需求勾选需要导入至堡垒机的资产，分别填写“资产名称”、“资产类型”和“协议”。 6.选择“重复资产导入策略”，单击“添加至堡垒机资产列表”即可完成资产导入。 后续操作 导出资产：在“资产”页面勾选需要导出的资产，单击“导出”即可导出。 删除资产：在“资产”页面选择需要删除的资产，单击“操作”列的“删除”按钮，在弹出的对话框中单击“确定”即可删除。 注意 删除后的资产无法恢复，请谨慎删除！

此小节介绍云堡垒机的如何进行脚本管理。 云堡垒机支持脚本管理功能。通过执行脚本，完成复杂或重复的运维任务，提升运维效率。云堡垒机支持在线编辑脚本和以文件方式导入脚本。 新建脚本 约束限制 仅专业版云堡垒机支持脚本管理功能。 仅支持管理Python和Shell两种脚本语言。 脚本仅能由个人帐户管理，不能被系统内其他用户管理。 前提条件 已获取“脚本管理”模块管理权限。 操作步骤 1 登录云堡垒机系统。 2 选择“运维 > 脚本管理 ”，进入脚本列表页面。 脚本列表 3 单击“新建”，弹出“新建脚本”窗口。 新建脚本信息 4 配置脚本基本信息。 新建脚本信息参数说明 参数 说明 :: 来源 脚本内容来源。 “在线编辑”手动编辑脚本信息。 “文件导入”导入线下脚本文件，文件大小不能超过5M。 所属部门 选择脚本所属部门。 名称 自定义的脚本策略名称，系统内脚本“名称”不能重复。 说明 “文件导入”方式上传的脚本，名称会根据导入文件名自动填充。 描述 脚本简要描述。 5 单击“确定”，返回脚本列表页面，查看新建的脚本信息。

初始登录账号是在购买密码产品时，为实例设置的初始超级管理员账号。可以通过如下步骤获取初始登录账号的用户名和密码。 操作步骤 1. 登录天翼云云密评专区控制台。 2. 选择需要登录的实例，单击右上方的“更多 > 获取初始登录账号”。 3. 在弹出的窗口中，查看初始账号信息，包括用户名和密码。