产品攻略

行云管家的全生命周期指的是什么？ 行云管家是专为各个上云企业精心定制的云计算全生命周期管理平台，众多企业的CIO们和多达10万名运维工程师们正通过行云管家对公有云、私有云和混合云等进行全流程管理。 行云管家的功能覆盖从创建云、日常运维、安全审计、成本控制到定时销毁的整个过程。 第1步，通过行云管家创建或接入公有云、私有云主机，随后使用行云管家工单系统交付至运维人员或者开发人员。 第2步，使用行云管家进行日常运维，包括远程连接、文件传输、自动化运维等。 第3步，通过行云堡垒机进行日常运维审计，事前授权、事中控制、事后审计，确保所有运维行为均可定位至自然人，降低操作风险，避免运维事故的发生。 第4步，通过行云管家进行统一监控，主机、网络、CDN、OSS，全方位可视化，微信、邮件、短信告警，精确反映资源的实时健康状况。 第5步，通过行云管家进行成本结构分析，为企业提供成本优化建议。同时，还能针对后付费支出提供预警，给出CIO想要的详细成本支出统计报表。 第6步，通过行云管家为企业云上资源进行全方位安全保障。行云管家内网访问助手，确保了运维安全；云堡垒机则保障了运维操作全过程的安全；云备份与时光机的作用是保障数据资源的安全；DDoS预警与抵御能够确保企业服务的网络安全。 第7步，对于空闲公有云、私有云资源，可在行云管家中设定手动销毁、定时销毁、自动销毁，一经销毁，杳无踪迹。

一个企业，只有在安全放心的网络环境下，才能毫无后顾之忧的去发展企业业务，运维审计对于企业的重要性不言而喻。 IT运维是企业运营的加速器，不仅仅是保障企业正常运营的必备条件，也是推进企业高速发展不可或缺的后备军力量。 论 运维审计 的重要性，首先要从运维人员面临的问题来看，比如如何迅速恢复故障？如何判断故障原因？如何有效控制IT人员流动变更？如何监督管理运维人员工作质量和效果？一旦出现人为失误导致故障，如何找到事故责任人？ 这些问题，通过靠谱的运维审计产品都能帮你解决。 行云管家的运维审计功能非常强大，而且是一款线上“云堡垒机”，它不仅支持您对Linux服务器做运维审计，而且也是业界首款支持Windows 2012/2016的云堡垒机。 行云管家提供了SSH密钥对管理的功能，对同步导入行云管家的账号进行集中管理与密码批量修改，还能自主创建与一键批量下发SSH密钥对。以此来避免攻击者使用暴力破解来猜测Linux主机密码。 从安全运维的角度来看，资源授权满足了主机层面的安全管理需求，但是一旦登录到主机后，团队成员便可对该台主机进行任何的操作，如果出现问题，只能通过事后审计来回溯追责。 所以我们还需要一种手段，对于一些安全要求更高的主机来讲，即使登录了主机，成员在其中执行的操作，依然处于安全监管之下，对其所执行的高危指令进行拦截，提前防范运维风险。 在系统事故发生过程中， 堡垒机 还能起到对运维用户的所有操作进行实时的控制阻断、告警及监控的作用，避免由于一些高危、敏感的操作导致网络中断或企业信息泄露。 行云管家运维审计通过微信或短信进行双因子身份确认，既能确保访问者身份的合法性，又能有效阻止非法访问。 在刚刚更新的V4.5版本中，行云管家团队还针对双因子认证以及指令审批规则的设置上进行优化。当开启双因子认证时，用户可以针对访问主机、重启主机等10个应用场景做自定义配置，配置之后只对选择的场景启用双因子认证。 所以，行云管家运维审计总体来说做到了是一款市场上口碑非常好的产品，值得信赖，正因为如此，新老用户的回购率都非常高。

在这个版本中，我们支持了如：基于Telnet协议访问主机、SSH跳板机、AWS中国资源成本分析、AWS中国S3等用户极力呼吁的功能，期待大家更多的需求与反馈。 4.5版本更新包括但不限于以下内容： 1.私有部署版 提升团队成员账号管理能力： a）支持邮件/短信绑定： 我们在管理控制台支持了邮件服务器相关配置，用户可以通过邮件服务器的配置来完成门户账号的邮箱绑定与邮件消息通知； 在开启邮件服务或短信网关后，用户可以通过绑定邮件或手机号进行账号管理。b）支持通过邮件和短信进行密码找回：在开启了短信网关或邮件服务器情况下，用户如果忘记密码都可以通过邮件或短信验证的方式找回密码。 采用本地存储时，支持多文件及文件夹的下载： 为了提升私有部署版本下大量文件下载的效率，当部署的行云管家实例使用本地存储方案时，支持多文件或文件夹的打包下载。 新增针对私有部署版本的安全策略相关设置： 为了增强私有部署版本中门户登录与管理控制台登录的安全性，防止盗用账号、暴力破解等影响系统安全情况的发生，我们在管理控制台的基本配置中新增了安全策略设置模块，包括：a）用户登录二次验证：在配置了微信公众号或短信网关的前提下，可以在管理控制台中设置用户使用微信或短信的登录二次验证，以验证是否为本人登录，保证登录安全。b）门户安全策略：可以设定白名单或黑名单策略。 白名单：将只允许白名单中的IP登录门户，适用于明确访问来源的场景; 黑名单：黑名单中的IP将被禁止登录门户，同时可以设置方暴力破解策略，锁定多次尝试密码失败的登录账号或IP；尝试次数、锁定时间均由用户自定义配置。c）管理控制台安全策略：为增强管理控制台的账号登录安全，可以设置IP白名单，仅允许特定IP访问，不在白名单中的IP将不能访问管理控制台。 管理控制台增加系统日志： 为了更好的查看私有化部署版本中门户与管理控制台的登录情况，我们在管理控制台中新增系统日志，记录了用户登录、二次验证和管理员的登录相关信息。 管理控制台新增锁定/解锁用户功能： 鉴于防暴力破解机制的存在，可能导致某些用户由于触发防暴力破解而被系统锁定，在管理控制台的用户信息中可以对相关用户进行解锁操作，增强管理控制台使用安全性；同时，管理员也可以主动对一些不再使用的账号进行永久锁定。 针对管理控制台中系统管理员密码策略的优化： 为了提升私有部署版本管理控制台的安全性，防止管理员密码过于简单或被破解，我们针对系统管理员在密码长度、策略以及定期更改密码方面做出相应优化。 2.主机 新增基于Telnet协议访问主机： 在行云管家的以往版本中，支持RDP、SSH、VNC三种协议。这三种协议已经能够满足大多数的用户需求，但仍然不足于覆盖完整的运维操作场景，我们在新的版本中在原有的三种协议基础上新增了基于Telnet协议访问的方式，Telnet协议适合接入网络、存储等支持Telnet的设备。 支持SSH跳板机： 为了方便用户能通过Putty、SecureCRT等本地访问工具远程访问目标服务器，并能使用行云管家的审计功能，我们支持了SSH跳板机：a）为了实现本地访问工具远程访问的审计，需要先通过快捷方式或登录凭证创建一个本地访问工具串。b）将访问串中的IP地址、访问端口、用户名、登录密码等信息填写到对应的本地访问工具从而通过该工具远程访问目标服务器。 AWS中国资源支持与优化： 在新的版本中，我们增加了对AWS中国的支持，具体有以下改进：a）支持对象存储服务S3：在对象存储模块中可以导入Amazon S3的Bucket以完成对其的管理与监控。b）支持AWS中国的云主机资源成本分析：在成本中心里可以对AWS中国的云主机资源进行成本统计与成本优化评估。c）支持AWS中国宁夏节点：完成对AWS中国所有节点的支持。 针对主机标签的优化： 为了提升用户使用主机标签的体验，方便用户更方便的使用主机标签以适应自身运维业务，我们在新的版本中针对这一功能做出了优化，包括：a）增加批量撤销标签：用户可以针对某个标签下的主机进行批量撤销标签。b）标签视图增加自定义主机列表字段：用户可根据自己的业务情况，以标签为维度，自定义主机列表展示的字段。c）增加批量修改标签值：为某标签下主机批量定义标签值，以提升效率。d）增加修改单个主机标签：单机标签进行编辑，可修改为已有标签也可修改为新标签。 腾讯云API3.0的支持： 腾讯云在6月份发布了API3.0版本，相对2.0版本，腾讯云的API3.0版本进行了性能优化、访问延时下降、支持RAM子账号。行云管家及时响应，对腾讯云3.0API进行了支持，方便用户更好的使用行云管家来使用腾讯云相关功能，使用户的体验更加顺畅，便捷。 支持批量修改密码： 在新的版本中，我们支持了通过对登录凭证的方式来对主机批量更改密码的功能。用户可以定期通过登录凭证管理中的批量改密功能定期修改主机账号密码，以提高主机账号的安全性。同时我们在作业中心的默认脚本库中，为用户预置一个修改Linux操作系统密码的脚本，用户可以直接使用该脚本来修改主机密码。新增直接访问主机与SSH跳板机访问主机的权限：为了提高访问主机的安全性，我们新增“直接访问主机”与“SSH跳板机访问主机”的功能权限，没有权限的用户将不能以任何方式通过行云管家平台来访问目标服务器。“直接访问主机”功能权限：该权限用于控制团队成员是否能够在行云管家中直接输入主机的IP、主机账号、自主创建快捷方式等手段来直接访问某台主机；“SSH跳板机访问主机”功能权限：该权限用于控制团队成员是否具备使用本地SSH工具来访问主机的能力； 邮件通知的优化： 在以往版本中，邮件通知仅支持用户注册、绑定邮箱等个人操作，本版本对邮件通知的场景做了延伸，能够支持体检通知、监控告警等场景。 3.自动化运维 任务编排支持文件采集： 在作业中心，很早就支持文件采集功能，但这一特性在任务编排中一直缺失。本版本我们在执行命令、执行脚本、分发文件的基础上支持了文件采集。使任务编排的节点类型保持与作业中心同步。 4.堡垒机 关键主机运维策略中部分策略加上适应场景： 为了方便用户灵活的配置不用场景下的的运维策略，我们针对双因子认证以及指令审批规则的设置上进行优化：a）双因子认证：当开启上因子认证时，用户可以针对访问主机、重启主机等10个应用场景做自定义配置，配置之后只对选择的场景启用双因子认证。b）指令审批规则：可以指定审批规则的应用场景。 运维策略增加日志脱敏： 用户使用行云管家过程中，用户使用SSH会话、命令控制台等功能时，不可避免会有密码等敏感数据在使用过程中出现，在旧的版本中，行云管家会将这些信息直接记录在日志中，为保障用户数据不被泄露，我们在4.5的版本中支持了日志脱敏功能，脱敏内容包括：a）SSH会话日志指令脱敏：通过正则表达式，对SSH会话所执行的指令进行匹配，匹配到的指令在会话日志中将进行隐藏。b）命令控制台命令脱敏：通过正则表达式，对命令控制台所执行的命令进行匹配，匹配到的命令在作业日志中将进行隐藏。c）脚本控制台参数脱敏：当某些脚本中所执行的参数具有敏感数据时，可以将脚本加入脱敏清单，从而使执行日志中的所有参数进行脱敏。同时，相关法规有明确要求：日志脱敏后，仍然需要保留原始数据供查阅。因此，我们在权限管理中新增了“查看脱敏日志原始数据”权限，来设置哪些团队成员允许查看脱敏日志的原始内容。 5.日志 对平台内所有日志的优化： 为保证用户能更清晰的查看团队的运维日志，我们对行云管家中的所有日志进行了优化：a）将审计日志从安全审计模块中剥离，并与操作日志进行合并，形成运维日志。b）将平台内的所有日志重新梳理，重新定义一些日志的展示字段及详细信息。 c）补充了一些遗漏的操作日志：如运维策略日志操作。

前面我们说过，在大型企业，动辄成百上千台主机服务器，在有限的运维人员配置下，自动化运维是帮助运维提高了工作效率的有效实践方式，比如脚本库。 但是如果仅仅是批量执行一段命令、脚本，是远远不够的。因为脚本库只是提供给用户一种快捷、临时性的对主机批量操作的入口。企业管理需求的扩大使得运维人员会面临更复杂的工作，这就傲要求运维人员不得不使用更便捷的操作方式来解决问题。 因此，当运维过程中，涉及到一些复杂、需要日常重复性的工作，行云管家则可以通过任务编排来处理。任务编排可以将复杂的作业节点编排成任务，设定触发条件和时间，满足运维过程中更为灵活的应用场景。例如定期的巡检任务，只需设置好执行的时间和业务节点，自动执行，无需人工干预。 也就是说，在行云管家的自动化运维任务编排功能中，每个用户都可以创建属于自己的运维任务：“任务名称”、“执行方式”、“任务节点”，团队成员只能看到自己创建的任务，在任务中，也只允许添加自己有权限管理的主机。这样一来，运维人员能够明确任务目的，也能保障运维质量。 行云管家中任务编排有三种执行方式，分别是手动执行、定期执行、重复执行。 任务编排执行方式 “手动执行”无需多说，就靠运维勤快点。 “定期执行”就是在创建任务的时候选定执行的时间和重复日期。这就像是我们定了一个闹钟，到点就会响起。 “重复执行”即周期循环，每隔一个周期自动执行，只要设置好首次执行时间和重复周期（支持小时和天）就可以了，既省事又省心。 任务节点是运维任务执行的内容，目前支持三种类型的节点：执行命令、执行脚本、分发文件。 另外，自动化运维因其很多运维任务都是自动执行的，那么用户对任务的执行过程是没有直观感受的。因此，行云管家设置了查看历史执行功能，通过查看具体任务的执行历史来了解每个任务的执行情况。

随着互联网不断的发展，云计算时代到来，上云企业几何级增长。企业也越来越注重运维系统的稳定性。尤其是大型企业，动辄成百上千台主机服务器，在有限的人力配备下，全手动显然不现实。 自动化运维不仅仅是帮助运维提高了工作效率，也为企业节省了成本支出，因为面对数量非常多的主机，单靠人力手工进行运维需要配备足够的人力资源，这是企业必须为之付出的预算。 与此同时，面对越来越复杂的业务场景，运维过程中对自动化的需求也越来越大，尤其是云计算平台。 行云管家正式为解决这一需求进行了作业中心脚本库的研发设置。行云管家通过在现有云资源管理平台基础上，形成的一个能够支持批量脚本执行、文件分发的基础运维工具，希望借助这个工具，能够满足一些批量、快速的简单自动化运维场景。 自动化运维的目的就是为运维人员节省重复操作的工作流程，让标准化的程序来处理这部分工作，让运维腾出时间去做更有价值的事情。行云管家同时对海量主机批量执行脚本/命令，大大的提高运维工作效率，无论企业配备多少主机都不用担心日常的基础运维。 并且，运维人员可以在行云管家中采用两种校本库：预设脚本库、个人脚本库，预设脚本库是系统内置的一些业界知名脚本，兼容各大平台，功能强大，扩展性高，供用户日常使用。用户也可以根据个性化需求，创建个人脚本库，编写自己的脚本进行运用。 行云管家暂时只支持shell和python两种类型的脚本，系统默认会准备一些常用的脚本库资源，方便用户的使用。