产品攻略

一、 新特性概述 作为 堡垒机 纳管的一项重要资产，应用发布是一个近年来使用频率逐渐提升的功能，企业所拥有的大量Web系统和日常使用的C/S工具，希望能够通过堡垒机进行托管和审计，一些典型的场景如：OA系统访问、Web控制台访问、网络设备客户端的使用、数据库工具的使用等等。 在行云堡垒历史版本中，由于采用的技术路线问题，存在了一些缺陷，如： 部分C/S应用由于采用非标准化Windows控件开发无法实现代填； 部分B/S应用在某些复杂场景下无法实现代填，缺少Sleep、Waitfor等事件类型； 数据库应用工具需要进行特殊处理，用户无法自行发布数据库应用工具，而产品内置的数据库应用工具并不满足客户需求； 每个应用只能保存一份账号密码，若有多个用户需要使用该应用且账号密码不一致，就需要创建多个应用，在用户数量较大时，会产生大量的应用资产； 在V7.4版本中，我们对应用发布功能进行了大幅重构，通过引入新的技术架构，支持用户自定义应用工具、编写代填脚本，完善了对应用参数代填的逻辑，确保应用代填的成功率能够达到99%以上。 另外对应用资产和应用的访问凭据进行解耦，使得一个应用能够关联多份访问凭据，访问凭据可以分配给不同用户使用，确保团队成员可以使用各自的账号密码来访问应用，大幅减少应用资产的数量。 下面，我们对7.4版本中，应用的纳管流程进行了一个简单介绍，让大家提前了解一下新版本中应用的管理流程以及能力。 二、 发布应用工具 由于需要纳管Web以及C/S应用，因此我们也将发布工具分成浏览器工具以及C/S工具两种类型，我们来分别了解一下这两类工具的发布过程和能力。 2.1 浏览器工具 浏览器工具，用于访问Web应用，目前可以支持Chrome、Edge、Firefox这三类浏览器工具： 发布一个浏览器工具，需要简单设置一些信息以及定义代填脚本后，即可完成工具的发布。下面以登录百度统计为例来做说明，这个网页，需要进行点击登录按钮、输入用户名、输入密码等各种复杂的动作，我们来将此网页的登录动作发布成一个Web应用来实现代填。 （1）设置工具信息 工具信息是指配置该工具的名称、类型、启动方式等，是决定后续应用参数代填的重要依据。这一步，我们分别选择“浏览器工具”、“chrome浏览器”、“Puppeteer引擎”，其它项按实际情况填写即可。 （2）定义代填参数 这个网页，需要输入用户名、密码即可实现登录，那么我们可以定义如下的代填参数： URL URL是代填参数里固定需要填写的值，直接写入Web应用的入口URL，这里是：https://tongji.baidu.com/ 其它参数 除了固定的URL参数外，还需要定义用户名和密码两个代填参数，在这里，只需要定义好参数的名称和标识即可，名称用于管理员对参数的识别，建议使用中文，标识用于后续代填脚本的参数引用，建议使用英文。该示例中，我们定义以下参数： 名称：用户名，标识：username，非密码类型 名称：密码，标识：password，密码类型 （3）编写代填脚本 定义好了代填参数后，接下来我们就要编写代填脚本，浏览器工具的代填脚本有两种编辑方式，一种是直接在向导中进行可视化编辑代填节点，另一种是选择提前编写好的python代填脚本文件（仅支持Playwright）； 若采用可视化的操作，只需要在界面上添加各类动作节点即可，点击“增加节点”按钮，可以看到所支持的节点类型： 代填事件：即向各类Web文本控件中填写值，如输入框、选择框，可用于账号密码等的填写； 点击事件：点击某个dom节点对象，可用于点击链接、按钮等； 认证事件：用于浏览器自身提供的认证方式，该类型的事件一般用于较老的一些路由器等传统类型的Web应用认证，目前比较少见； 等待事件：即sleep事件，等待一段时间后再执行下一个节点的事件； 查找事件：即waitfor事件，等待某个dom节点出现后再执行下一个节点的事件； 在本示例中，需要点击页面“登录”链接，然后在登录对话框中，代填用户名（dom节点ID为uc-common-account）和密码（dom节点ID为ucsl-password-edit）两个文本输入框，然后再点击登录按钮（dom节点ID为submit-form）进行登录；因此，完整的代填脚本如下图所示： （4）完成 上述步骤完成后，一个浏览器应用工具便发布完成了。 2.2 C/S工具 发布C/S工具流程与浏览器工具类似，但需要提前进行代填脚本的编写，没有提供可视化的编辑，最终的脚本，会是一个python文件。脚本文件准备好后，按照要求填写工具信息和定义参数即可。 （1）设置工具信息 （2）定义代填参数 C/S 工具无需定义URL，直接定义代填参数即可； （3）编写代填脚本 代填脚本文件编写好后，请放在应用宿主机的“C:\tools\user_scripts”目录下，系统会自动将目录文件读取出来并展现在下拉列表中，您只需选择对应的脚本文件即可。 注意：您自定义的脚本文件，请务必放在“C:\tools\user_scripts”下，另一个关联目录“C:\tools\system_scripts”为系统内置脚本文件目录，由厂商维护，在升级时，可能会进行覆盖，若将您的自定义脚本放在此目录，在使用时虽然不会产生问题，但升级后可能会丢失文件。 （4）完成 上述步骤完成后，一个C/S应用工具便发布完成了。 三、 应用资产管理 3.1 发布应用资产 在应用工具发布完成后，您便可以基于这些工具来发布应用资产进行管理。 前往“资产运维/应用管理”功能菜单，点击“添加应用”按钮，在对话框中选择好前面发布的宿主机和应用工具，填写应用名称、所在目录等信息后，点击“确定”后，一个应用资产便发布好了。 ...

行云管家堡垒机，凭借颠覆传统 堡垒机 先天缺陷的设计理念、互联网软件般的极致用户体验，获得了包括政府、金融、证券、电信等行业在内的数十万家企业用户的信任与青睐。但还有部分企业对于行云管家堡垒机相关功能不是很了解，这里我们就给大家详细介绍一下！ 行云管家堡垒机六大功能详细介绍看这里！ 1、主机运维审计：支持数据中心、本地设备、私有云以及 公有云 等主机设备的统一授权、访问和管理； 2、数据库运维审计：支持SQL Server、MySQL、Oracle等数据库访问协议，支持敏感SQL拦截和数据脱敏； 3、安全运维策略：包括 双因子认证、登陆审批、指令审批、运维时段、会话水印、文件传输、访问时段、IP黑白名单、自动改密等丰富灵活的运维规则定义； 4、会话协同：支持以外部链接方式邀请其它用户加入当前会话，会话创建者可对授予或剥夺受邀用户的操作权限，所有人员操作均可审计； 5、 自动化运维：提供预设脚本库、脚本/命令批量执行、文件批量分发/收集、任务编排等自动化运维特性，轻松管理大量云资源； 6、审计录像：所有的操作均可录像、全程审计，准确记录用户操作的时间与行为支持指令检索、指令定位、圈红标记，并提供录像与指令集文件的下载与备份。 他们都在用行云管家 成功案例-某大型股份制银行 业务需求： 1、某大型股份制银行信息中心正在将大量的非核心业务系统迁移到公有云上，前期主要使用AWS中国（60多个项目），后期由于中美关系的原因，开始转向使用阿里云和华为云。 2、银行内部有200多个FT（金融科技）项目组，项目组使用的公有云资源各自拥有独立的网络环境（VPC），并分布于不同云厂商的不同区域。 3、银行办公网属于严格受控的内网环境，迫切需要让位于办公网的研发同事能够安全可控的访问项目组内的云资源。 行云管家解决方案： 1、团队隔离：为每个FT项目组建立一个团队，团队与团队之间数据完全隔离。 2、网络互通：在每个共享VPC中部署会话中转服务，通过会话中转的二级跳转能力将200多个VPC全部打通。 3、安全可控：所有访问操作均可云端录像、全程审计。

我们大家都知道，相较于传统的 跳板机 运维，在保证企业内网服务器、 数据库 安全等方面， 行云管家Proxy 提供了一种安装即用、轻便又可靠的解决方案。但还有部分IT运维人士不是很清楚，不知道行云管家Proxy特点，以及具体部署要求是什么？今天我们小编就给大家详细讲解一下。 行云管家Proxy特点 1、行云管家Proxy支持部署于不同类型的操作系统中，包括Windows、Linux等。 2、行云管家支持在一个网络内部署多个 Proxy，通过多Proxy部署，即可满足运维通道高可用需求，多个Proxy间还具备负载均衡能力，从而更好地支持并发运维。 3、行云管家Proxy通过反向连接至行云管家门户，进而建立起通讯链路和连接通道，部署Proxy的宿主主机只需要能够访问到行云管家门户即可，而无需被外界所访问，更无需公网IP。 4、行云管家Proxy在运行过程中是主动连接门户、自动升级维护的，无额外的运维工作量。 行云管家Proxy实际部署要求 1、宿主主机能够访问被运维IT资源的远程端口。 2、宿主主机具备普通PC的CPU配置、约0.5G内存（可依据实际需要手工指定）和约500M的可用磁盘空间。 3、宿主主机仅需4Mbps/4Mbps（上行/下行）的网络带宽，即可满足对业务系统所在网络执行20个并发运维会话。 这里需要说明的两点就是，第一行云管家Proxy支持自动部署，通过选定位于目标网络内的宿主主机，由行云管家自动连接至宿主主机进行安装部署，安装过程无需人工操作；第二行云管家Proxy支持一键式部署，通过复制行云管家门户依据不同操作系统而提供的安装脚本，在宿主主机中一键式执行，安装过程无需人工干预，即可完成Proxy的安装部署。 行云管家Proxy成功案例-某气象局 使用之前： 1、核心业务系统运行在本地专有云上，对外公众气象业务云运行在阿里云、华为云等 公有云 上，且是多云环境。 2、公有云上的业务系统涉及的主机等资源无公网IP，外界只能特定的通路访问业务系统本上，而不允许直接登录云主机。 使用之后： 1、通过行云管家统一门户，一键导入公有云、私有云及局域网资源，在一个平台上实现 混合云 架构下的统一运维管理，提供主机监控、计算资源创建到销毁、微信告警、日常运维、操作审计、数据备份、成本分析、安全体检等功能，一站式云计算全生命周期管理。 2、基于行云管家Proxy技术，可通过 行云管家 门户统一进入本地各处的气象私有云，在私有云分支部署行云管家Proxy，私有云分支的内网IT设备通过Proxy并再借助互联网通路接入到行云管家门户，这种方式可以保证气象私有 云主机、数据库等资源在内网的安全性，同时借助行云管家的协同分享能力，可让身处异地的技术专家实时查看操作界面，还可邀请外部专家加入，实现内部专家和外部技术力量的有效结合。 【相关链接】： Proxy是什么意思？谁能解释一下！

众所周知 私有部署 具有更高的安全性和可控性。同时个性化定制服务、提高工作效率等方面也能提供有效保障。所以我们建议企业使用云管平台私有部署版。有企业问，行云管家 云管平台 私有部署只能部署在局域网中吗？ 行云管家云管平台私有部署只能部署在局域网中吗？ 不是的。 行云管家 私有部署，并非是只能部署在局域网中，“私有部署”是相对SaaS而言，将行云管家部署在客户自己的服务器上。部署的网络不要求有公网环境，但如果缺乏公网访问能力，会因此缺失部分功能： （1）公有云支持：如无法访问公网，将无法调用公有云厂商的API，将导致云主机、对象存储、CDN等公有云资源无法支持； （2）成本中心：成本中心基于公有云资源，因此将缺失； （3）短信网关：在双因子认证等场景下需要用到的短信网关，也将缺失； （4）第三方存储服务：行云管家允许将数据保存在第三方存储服务（如阿里云OSS等），当无法访问公网时，自然也无法使用需要通过网络访问的第三方存储服务。 行云管家私有部署可以部署在任何网络环境下，但我们建议，为了功能完整性考虑，部署环境需要拥有访问公网的能力，以获得最全面的的行云管家功能。 更多云管平台私有部署常见问题点击查看： https://www.cloudbility.com/help/faq/faqindex.html 【内容扩展】：行云管家云管平台版本介绍 标准版：单实例部署，只需4核8G的虚拟机即可支撑100资产规模的IT管理及运维 企业版：双机热备式高可用部署，保障作为支撑系统的云管平台时刻在线，避免单点故障 分布式集群版：分布式集群部署，适合于资源多地部署、大并发运维的集团性企业 运营版：支持多租户隔离模式，适用于多组织共处而组织间数据独立的管理场景 最后偷偷告诉大家一个好消息！那就是注册行云管家新用户，即可免费领取398元代金券！即只要1元就可以免费使用专业版云管家一个月！【 在线注册】

让大家久等了，由于春节假期及疫情原因，本次新版本的发布稍有延期，在这里行云管家团队对一直支持着我们的用户们深感歉意；在本次更新中，行云管家对OpenStack的全生命周期管理进行了支持，同时增加了大家极力呼吁的日志归档功能。4.16版本更新包括但不限于以下内容： 1.私有部署版 日志归档： 随着用户使用行云管家的时间逐渐增加，导致用户的审计日志文件越来越繁多，十分占用系统磁盘空间；因此在新的版本中，我们提供了“日志归档”功能，可将系统一段时间内的日志数据归档到指定路径，以节省日志存放的磁盘空间； 同时针对已归档的日志信息，我们提供了归档查看器，可随时对已归档的日志进行查看，以保证在节省空间的同时也能对日常运维操作安全进行有效的保障。 访问方式优化 在新版本中，针对私有部署版访问协议及访问方式做出了以下优化： 1.配置https访问协议时，支持上传多个SSL证书 2.访问方式中不再区分PC域名与mobile域名（系统将根据您的客户端自动显示PC/移动端界面） 3.在https访问协议下，支持“绑定域名”和已上传的SSL证书进行映射 第三方应用支持测试 为方便确保您绑定第三方应用（钉钉、企业微信及微信公众号）信息的准确性，在您绑定后我们提供了测试功能，以保证在行云管家中您的第三方应用可正常工作。 2、全生命周期管理 OpenStack 在之前的版本中，我们支持并完善了VMware的全生命周期管理；在新版本中我们对另一私有云平台“OpenStack”也进行了全生命周期管理的支持；在4.16版本中，支持了在“资源池”中导入OpenStack的一个或多个项目，同时支持了OpenStack的主机模板的创建，及基于主机模板创建OpenStack虚拟机；在后续版本中我们会继续对OpenStack全生命周期管理的相关功能进行逐步的丰富。 3、堡垒机： 运维策略优化 在过去版本中，关于运维策略中文件传输规则相关的部分，行云管家并没对其进行统一的梳理与解释，以导致用户在设置时无从下手；因此在新版本中，我们针对这一部分进行了重构：可对不同协议下文件传输规则、剪切板限制以及不同访问方式下可约束的行为进行设置。 数据库访问串支持快捷命令 经常使用MySQL及Oracle终端的用户有福了，我们在新版本中针对MySQL及Oracle的访问串新增了“快捷命令”的功能，一键生成数据库终端访问命令，方便您快捷的访问目标数据库。 移动端登录门户双因子认证支持 之前版本中，行云管家一直未对移动端的门户登录双因子认证进行适配，导致移动端登录可能导致不可用的情况发生，在新版中我们修复了这一问题。 分组授权优化 为方便用户进行更便捷的分组授权，我们提供了另一种分组授权的视角：在“角色管理”与“组织架构管理”中增加了分组授权的快速入口。 快捷方式、登录凭证优化 针对密钥文件需密码解密的用户，我们在新版本中支持了在快捷方式或登录凭证中保存密钥文件的同时，可对密钥的解密密码是否存储进行设置；这就意味着在用户访问主机时，可无需额外输入解密密码。 4、其他 文件中转优化支持地图模式 在之前版本中，为方便用户更好的理解“会话中转服务”、“会话中转线路”等概念，我们针对会话中转优化模块支持了“地图模式”；在4.16版本中我们对“文件中转优化”模块也同样支持了地图模式，以方便您更好的使用行云管家文件传输加速功能。 支持阿里云镜像跨区域复制 在新版本的镜像管理中，我们针对阿里云的自定义镜像支持了镜像的跨区域复制功能，如果需要丰富更多的镜像相关功能或者其他云厂商的镜像相关功能您可以与我们联系。