历史版本 V7.3(日期:2023-12-26) V7.2(日期:2023-09-28) V7.1(日期:2023-07-28) V7.0(日期:2023-04-10) V6.5.3(日期:2022-07-06) V6.5.2(日期:2022-05-16) V6.5.1(日期:2022-04-15) V4.26(日期:2022-02-15) V6.5(日期:2021-12-16) V4.25(日期:2021-10-25) V6.4(日期:2021-09-09) V4.24(日期:2021-07-15) V6.3(日期:2021-06-04) V4.23(日期:2021-03-18) V6.2(日期:2021-02-22) V4.22(日期:2020-11-25) V4.21(日期:2020-10-26) V6.1(日期:2020-10-22) V4.20(日期:2020-08-24) V6.0(日期:2020-08-05) V4.19(日期:2020-06-23) V4.18(日期:2020-05-14) V4.17(日期:2020-04-02) V4.16(日期:2020-02-27) V4.15(日期:2019-12-03) V4.14(日期:2019-10-24) V4.13(日期:2019-08-22) V4.12(日期:2019-07-03) V4.11(日期:2019-05-21) V4.10(日期:2019-04-18) V4.9(日期:2019-03-07) V4.8(日期:2018-12-13) V4.7(日期:2018-11-22) V4.6(日期:2018-10-11) V4.5(日期:2018-08-14) V4.4(日期:2018-06-28) V4.3(日期:2018-05-30) V4.2(日期:2018-04-26) V4.1(日期:2018-03-22) V4.0(日期:2018-01-25) V3.8(日期:2017-12-28) V3.7(日期:2017-11-30) V3.6(日期:2017-11-09) V3.5(日期:2017-09-28) V3.4(日期:2017-09-18) V3.3(日期:2017-08-16) V3.2(日期:2017-07-20) V3.1(日期:2017-07-06) V3.0(日期:2017-06-22) V2.8(日期:2017-05-26) V2.7(日期:2017-05-02) V2.6(日期:2017-03-31) V2.5(日期:2017-03-02) V2.4(日期:2017-02-16) V2.3(日期:2017-01-18) V2.2(日期:2016-12-30) V2.1(日期:2016-12-05) V2.0(日期:2016-11-25) Beta4(日期:2016-10-20) Beta3(日期:2016-09-09) Beta2(日期:2016-08-16) Beta1(日期:2016-07-04)
V7.2产品新特性
发布日期:2023-09-28
V7.2版本有多个重大更新,包括但不限于以下内容:
一、安装部署
1、支持K8S部署
支持以K8S方式部署行云堡垒,实现平台的分布式集群,更易于对服务的水平扩展;
二、门户服务
1、首页模块自定义
用户可以对首页Dashboard所展示的模块布局进行自定义,例如调整顺序、是否展示,方便用户按照自己的关注点对展示内容进行调整;
2、主机管理
2.1、新增火山引擎云厂商支持
作为行云堡垒所支持的第13家公有云厂商,火山引擎是字节跳动旗下的云服务平台,将字节跳动快速发展过程中积累的增长方法、技术能力和工具开放给外部企业,提供云基础、视频与内容分发、数智平台VeDI、人工智能、开发与运维等服务,帮助企业在数字化升级中实现持续增长;
2.2、主机会话页面支持九宫格模式
为主机会话页面提供了九宫格模式的会话布局,以替代V6版本中的命令控制台,实现批量执行命令的能力,相比命令控制台,会话九宫格模式有以下优点:
a) 会话上下文保持:命令控制台没有会话上下文,连续执行的命令之间没有保持关联,例如cd命令后执行的ls,并不会列出cd所进入的目录下文件;
b) 防止绕过运维策略约束:运维策略中定义的审批要求、高危敏感指令拦截,由于体验的考虑,在命令控制台都不能很好的执行,需要搞出一套单独的策略,属于一种重复性的开发工作,也没有保持主机运维策略的统一性;
c) 审计日志:由于不是普通的会话形态,因此需要单独记录一套命令审计日志,不方便审计;
2.3、SSH支持VSCode remote SSH插件
支持将SSH访问串在VSCode的remote SSH插件中使用,避免SSH被堡垒机统一接管后,研发人员无法使用SSH的问题;
2.4、支持SSH Agent forward
一些客户在使用堡垒机时,不愿意将私钥托管在堡垒机上,希望让SSH本地工具直接读取本地的私钥文件,以提升安全性,避免私钥可能存在的泄露风险;
SSH Agent Forward可以满足此需求,在本地客户端上安装了SSH Agent后,会将解密后的密钥和证书保存在内存中,供SSH使用。用户在使用行云堡垒访问SSH会话时,指定密钥类型为“透传本地密钥”,并选择使用本地工具打开;
2.5、主机运维策略细粒度控制直接访问和凭证访问权限
为了实现更加精细化的主机访问控制,在主机运维策略中将“访问主机”规则拆分为“直接访问主机”和“凭证访问主机”,可以实现控制部分成员无法直接输入账号密码访问主机,只能使用托管的凭证来访问。
2.6、支持通过主机公网IP安装Agent
旧版本在安装Agent时,限制了只能通过内网方式安装;在实际应用场景中,有部分主机日常是通过公网IP进行管理的,并为开启内网访问,因此本版本取消了内网安装的限制,方便此类主机自动安装Agent;
2.7、网络内主机批量安装Agent
用户若采用行云堡垒Agent来实现主机监控等功能,可以通过批量安装Agent的方式来降低工作量;
3、数据库管理
3.1、新增三类数据库的支持
恢复了对Oracle和SQLServer的支持,另外新增了国产信创数据库人大金仓(KingBase)的支持;
4、会话中转优化
在多中转场景下,部分中转服务只能和对应的网络通信,因此通过会话中转优化,来指定中转服务和网络的关联关系,在访问网络内资产时,只能使用指定的中转服务,避免用户在每次创建会话时需要手动指定会话中转;
5、任务编排
5.1、脚本库
用户可以在脚本库中编写好常用的脚本,在任务中进行引用;产品中仍然保留了SaltStack脚本库供使用;
5.2、作业任务
将执行的命令和脚本以节点的方式预先编排成作业任务,可以手动或定期自动的方式进行执行,作业任务是一种基本的自动化运维形式,方便批量对主机执行相同的命令或脚本;
5.3、任务运维策略
为了防止编排的任务中存在风险操作,产品提供了任务运维策略,包含了执行审批、双因子认证、客户端IP限制三条规则;
5.4、脚本和任务的授权
支持对脚本库/脚本、任务库/任务进行授权,只允许指定的成员使用;
6、审计日志优化
6.1、导出运维报表
将页面上展示的运维报表内容以DOC或PDF文档的格式导出;
6.2、SSH离线审计日志
鉴于SSH访问串可以离线用在VSCode等工具中执行SSH命令或端口转发,此类场景的特点是SSH并非是以会话的方式进行调用,无法形成会话上下文,因此不能在会话审计日志中对执行过程进行审计;
新增的SSH离线审计日志,可以从SSH命令和端口转发两个维度对SSH离线场景下的行为进行审计;
6.3、会话审计日志中可以查看会话关联运维策略
会话创建时所生效的运维策略规则,可能会因为运维策略的调整而导致无法追溯,因此在会话审计日志中,将当时的运维策略规则记录下来,可以方便事后查询当时的策略规则;
6.4、录像播放时分辨率调整
审计员客户端的浏览器分辨率和会话分辨率差异较大时,会导致审计时显示效果不好,影响审计效率;通过在播放设置中,调整录像播放分辨率为自适应或者原始分辨率,可以让不同的会话分辨率显示出较好的审计效果;
6.5、录像倍数播放
播放审计录像时,可以指定0.5、1、2、4、8、16、32、64倍数的播放;
6.6、增加作业任务审计日志
将编排的任务执行过程进行记录,以作业任务审计日志的形式提供审计;
7、工单中心优化
7.1、资产授权申请工单支持重复发起
用户申请资产临时权限场景中,若在期限内未完成工作,需要重新对所申请的资产权限进行延期,当申请的资产数量较多时,重复申请过程较繁琐;为了应对这种场景,在资产授权申请工单详情中,发起人可以快速重新发起申请,自动将工单中关联的资产加入到申请列表中,无需手动逐个添加;
7.2、增加作业任务审批工单
由于作业任务功能的增加,在执行任务时,可以在任务审批策略中设置需要工单审批后方可执行,因此新增了作业任务审批类型工单;
8、其它改进
8.1、消息中心支持详情
消息中心增加详情,可以对消息有详细的了解,并提供一键进入消息关联页面的链接;
8.2、找回密码
用户忘记密码时,可通过找回密码功能重置密码,需要注意的是,此功能依赖于邮件和短信,请确保系统设置中已经开启了邮件或短信服务;
三、管理控制台
1、批量设置用户认证方式
对于一些需要修改用户认证方式的场景,产品提供了在本地密码、LDAP、RADIUS这三种认证方式之间的切换,例如通过LDAP导入用户,但却需要使用本地认证;转换时可以一次性的选择多个用户,批量进行认证方式的修改;
2、日志归档
增加日志归档功能,将存量日志归档到指定位置(支持自动归档),避免日志数量过多影响查询性能;
3、备份还原
支持手动/自动对系统各项数据进行备份/还原;
4、支持对接第三方OA
为了方便将产品的工单系统与第三方OA进行对接,产品提供了工单的南北向接口,当产品内有新增工单时,将会通过北向接口推送到第三方OA;第三方OA对工单进行审批后,可通过南向接口通知行云堡垒;
5、开放OpenAPI
OpenAPI是行云堡垒的一项重要特性,赋予了产品的二次开发和集成能力;用户可以根据OpenAPI将行云堡垒与内部其它系统进行集成,形成统一IT管理平台等完整的解决方案;
