云堡壘機實例與云堡壘機系統的區別是什么？

一個云堡壘機實例代表了一個獨立運行的云堡壘機系統。

用戶可以登錄管理控制臺，選擇“安全與合規 > 云堡壘機”，然后在云堡壘機管理控制臺申請和管理實例。

云堡壘機系統是云堡壘機實際運維功能核心，后臺采用EulerOS操作系統，包含用戶管理、資源管理、策略、審計和工單等功能模塊，支持對Windows或Linux等操作系統的主機提供安全管控保護。

云堡壘機系統有哪些安全加固措施？

云堡壘機有完整的安全生命周期管理，從系統開發過程的安全編碼規范，到經過嚴格安全漏洞掃描、滲透測試等安全性測試，并通過了公安部門的安全檢測，符合“網絡安全法”等法律法規，滿足合規性規范審查要求，達到信息安全等級評定Ⅲ級標準。

系統數據安全

• 登錄安全：鏡像加密，SSH遠程登錄安全加固，內核參數安全加固，系統賬戶口令使用強密碼并且默認登錄失敗超過3次將鎖定登錄。
• 數據安全：敏感信息加密存儲，系統根密鑰獨立動態生成。
• 應用安全：防SQL注入攻擊、防CSV注入攻擊、防XSS惡意攻擊、API接口認證機制。

系統安全

• 系統全自動化安裝，LUKS加密用戶系統數據盤。
• 系統自帶防火墻功能，防止常規網絡攻擊，例如暴力破解等。
• 統一HTML5方式訪問入口，僅開放一個系統Web訪問端口，減少攻擊面。
• 針對SSH登錄參數配置加固，提高SSH登錄系統的安全性。

資產數是什么？

資產數表示云堡壘機管理的虛擬機等設備上運行的資源數，資源數是同一個虛擬機對應的需要運維的協議和應用總數。

受CBH資產版本規格限制，CBH系統管理的資源總數，不能超過當前版本規格的 資產數 。

資產數不以CBH系統所管理虛擬機等設備的數量計算，而是以所管理虛擬機上資源的數量計算，一個虛擬機內可能有多種資源形式，包括不同協議的主機，不同類型的應用等。

例如，目前有一臺虛擬機，在云堡壘機中添加這臺虛擬機的資源，分別添加了2個RDP、1個TELNET和1個MySQL協議的主機資源，以及1個Chrome瀏覽器的應用資源，那么當前管理的資產數即為5，而不是1。

并發數是什么？

并發數是指云堡壘機上同一時刻連接的運維協議連接數。

云堡壘機系統對登錄用戶數沒有限制，可無限創建用戶。但是同時刻不同用戶連接協議總數，不能超過當前版本規格的并發數 。

例如，10個運維人員同時通過云堡壘機運維設備，假設平均每個人產生5條協議連接（例如通過SSH客戶端、MySQL客戶端進行遠程連接），則并發數等于50。

云堡壘機支持統一管理企業ERP上云、SAP上云等業務嗎？

支持。

云堡壘機與云上業務網絡通暢情況下，可通過安裝應用發布服務器，依賴Windows系統的遠程桌面服務，接入ERP生產系統、ERP容災系統、SAP生產系統、SAP開發/測試系統、SAP Router、SAP Hybris等典型場景的應用、數據庫或網頁，將ERP和SAP上云業務作為一個網頁或應用來審計和錄屏操作，實現對企業上云業務的統一管理。

自動化運維包括哪些內容？

云堡壘機“專業版”支持自動化運維功能，可將復雜運維精準化和效率化。自動化運維主要包括資源賬戶同步、腳本線上管理、多資源快速運維，以及多步驟自動運維。

• 資源賬戶同步：通過賬戶同步功能，可以實現對主機上資源賬戶的有效監管，及時發現僵尸賬戶或未納管賬戶，加強對資產的管控。
• 腳本線上管理：支持管理Python和Shell兩種腳本格式，通過導入腳本文件或在線編輯腳本，在云堡壘機系統一體化管理和運行腳本。
• 多資源快速運維：支持快速將命令或腳本在多個SSH協議資源上執行，并根據發起的命令和腳本，返回相應執行結果；此外，還支持將一個或多個文件上傳到多個資源上，并返回文件上傳結果。
• 多步驟自動運維：支持分步驟同時對多個SSH協議資源批量執行多種運維操作，可同時運維操作包括執行命令、執行腳本、傳輸文件。運維任務執行后，按照步驟順序依次自動執行操作，并返回執行結果。

如何獲取企業協議號碼？

用戶在配置云堡壘機安裝遠程桌面服務，創建一個應用發布服務器時，需要輸入企業協議號碼授權，企業協議號非免費提供套件。

云堡壘機不提供企業協議號，應用發布服務器為第三方管理插件，企業協議號需要客戶自行申購。類似于客戶申購了Windows系統，但Office套件并非免費提供，需要客戶單獨申購。

使用云堡壘機時需要配置哪些端口？

為了能正常使用云堡壘機，實例和資源安全組端口配置可參考表。

入/出方向規則配置參考

云堡壘機可以管理多個子網的資源嗎？

可以。

子網是屬于VPC的資源，同一VPC內的子網可以進行通信，即云堡壘機可以直接管理同一VPC多個子網內的資源，且同一VPC不同子網下的云堡壘機可以通信。

堡壘機和主機必須要在同一個區域，同一個VPC下。跨VPC的子網默認不能通信，受限于跨VPC場景下網絡的復雜性和網段沖突的可能性，不建議跨VPC使用云堡壘機管理資源。

云堡壘機支持管理哪些數據庫？

云堡壘機支持通過或兩種方式管理數據庫，可管理多種協議類型的云上數據庫。主機運維方式提供增刪改查操作命令審計。應用運維方式提供操作會話視頻審計。

• 標準版僅支持應用運維方式，不支持直接運維數據庫，需要建立應用發布服務器才可以運維數據庫。
• 專業版支持主機運維和應用運維兩種方式，支持直接運維數據庫。

主機運維方式

目前云堡壘機主機運維，支持管理四種協議類型的云上數據庫，包括MySQL、SQL Server、Oracle、DB2協議類型，暫不支持管理PostgreSQL協議類型。云堡壘機支持數據庫協議類型、版本，以及支持調用的數據庫客戶端軟件版本，請參見表。

支持數據庫協議類型、版本和數據庫客戶端

應用運維方式

云堡壘機通過應用運維方式管理數據庫，支持對以下系統版本的應用進行管理：

支持對Centos7.9系統的Linux服務器的數據庫應用進行管理。

Linux服務器僅支持調用達夢數據庫V8的應用。

云堡壘機支持直接配置并調用的Linux服務器的數據庫客戶端如表14-3所示。

支持直接調用的Linux服務器的數據庫客戶端

云堡壘機支持IAM細粒度管理嗎？

支持。

統一身份認證（Identity and Access Management，IAM）是提供權限管理的基礎服務。默認情況下，新建的IAM用戶沒有任何權限，您需要授權IAM用戶后，IAM用戶才可以基于已有權限對云服務進行操作。CBH服務已開通IAM細粒度權限管理功能，通過IAM權限管理，可對CBH實例的購買、升級、變更規格等關鍵操作進行細粒度授權。

此外，CBH系統管理和運維資源，在云堡壘機系統內配置“用戶登錄限制”、“訪問控制策略”等，細粒度管理用戶訪問、操作資源的權限。但該功能是CBH系統本身的權限管理功能，IAM不為CBH系統提供權限管理功能。

云堡壘機是否支持納管云下服務器？

您購買云下服務器，只要與云堡壘機網絡互通并且協議互相支持，就可以通過云堡壘機納管相應服務器。

通過天翼云控制臺創建的ECS，會自動關聯到云堡壘機嗎？

通過天翼云控制臺創建的彈性云服務器（ECS），不會自動關聯到云堡壘機。