产品攻略

行云管家的监控服务功能 行云管家作为专业的服务器性能监控平台，着眼于用户的体验感受进行研发设计，支持Windows、Linux/Unix等主流操作系统，能够无缝接入业界主流公有云厂商的云监控API接口，比如阿里云、百度云、AWS、Azure、华为云等，都可以直接导入到行云管家平台进行统一的管理和监控，并且不需要安装任何Agent。 通过软件方式进行 云主机监控，也能够做到全面有效，行云管家对云服务器的监控，支持CPU、内存、进程、磁盘IO、网络流量、TCP连接数、平均负载等十余项监控指标，并且，每个监控项均提供30天的监控数据详情，保留时间足有一个月长，监控详情细致入微，用户可以根据需求提取数据进行分析。 同时，在监控过程中，监控数据粒度最低可至1分钟，能够非常及时的进行追踪。用户还能设置绑定微信，通过微信接收告警信息，直接可以在手机里面查看主机一场状态，第一时间获知并解决问题。 行云管家的监控服务模式 为了方便更多用户的需求，行云管家提供了两种模式的监控服务。 一种是针对公有云主机服务而言，通过API集成了各大云厂商监控服务，用户可直接在行云管家中查看云厂商的监控数据。另一种是面向局域网主机用户，则只能采用行云管家Agent监控。 当然，如果云主机上已经安装了行云管家Agent，也可以通过行云管家Agent来获得监控服务，两种模式之间可以自由切换。 另外，受限于公有云厂商API的限制，云厂商监控模式存在诸如监控项过少、监控数据丢失、监控频率过低等问题。行云管家Agent监控模式，由安装在主机上的行云管家Agent插件直接向服务器汇报监控数据，有着稳定性高、频率高的优点。 行云管家是基于SaaS平台的监控系统，免去了安装和独立维护的麻烦，只需将企业所使用的云主机一键导入行云管家，就可以直接享用全套的监控服务功能。

随着互联网不断递进的演变，云计算领域逐渐兴起，并迅速发展。面对业务不断扩展，云计算领域的安全和运维面临了更多的挑战，云堡垒机尤为被重视，无论是质量、效率、成本、安全等各方面，都是企业衡量云堡垒机对于网络安全管理的标准。 安全是整个互联网产品中的命门，正如传统堡垒机的必要性一样，在云计算管理过程中，一个靠谱的云堡垒机在整个云网络体系中担任着“一夫当关”的角色，重要性不言而喻。 云堡垒机 是基于云计算领域的以软件形式提供服务的堡垒机系统，负责企业云资源管理过程中的安全性问题。 云堡垒机是不是靠谱，功能齐全与否，能不能执行其安全监管的职责？这直接决定了上云企业愿不愿意为它买单。 行云管家云堡垒机，作为业界首款全面支持录像/指令双重审计的云堡垒机，更是业界首家支持Windows2012/2016指令审计的 堡垒机。行云管家云堡垒机具备传统物理堡垒机的全部核心功能，而且高度匹配云计算和互联网背景下的企业IT架构，并且支持云主机、局域网主机等任意形式的主机资源。能够对用户、资源、功能进行精细化的授权管理，解决人员众多、权限交叉、资产繁多、各类权限复杂的运维难题。 它能够记录操作系统中出现的所有指令字符，并且录像支持下载。因此，在对运维事故进行回溯追责时，不仅可以通过高清录像回溯，更可以直接进行指令检索。检索的同时还能够实时定位，并进行圈红标注，一步到位，高效快捷的帮助用户解决问题。 基于安全性考虑，为尽量避免攻击者使用暴力破解来猜测Linux主机密码，行云管家提供了SSH密钥对管理的功能，对同步导入行云管家的账号进行集中管理与密码批量修改，还能自主创建与一键批量下发SSH密钥对。 此外，行云管家云堡垒机支持多重身份认证，在执行主机重启、密码修改、会话创建、快照回滚、磁盘更换等各种重要操作时，通过微信或短信进行双因子身份确认，确保访问者身份的合法性，让非法访问知难而退。

协同办公是我们日常工作中经常遇到的情况，而在运维工作当中，远程协助是主机运维也是工程师经常使用的解决问题的操作方式。今天，我们以行云管家的 远程协同 功能为例，来看看它是如何具体执行操作的。 行云管家的远程协同会话分享，除了一个远程桌面/终端，还提供了多人协同、操作录像、文件传输、访问快捷方式等运维增强特性，甚至，行云管家可以用来实现协同会诊、远程办公、远程授课等场景。 也就是说，行云管家的功能非常强大，在这里，任何会话都是可以分享的。打开行云管家的协同分享功能之后，直接点击“邀请好友进入会话”按钮，将会获得一个有效期2小时的分享链接，复制链接之后通过QQ、email、微信、阿里旺旺等任意社交工具发送给被邀请人，即远程协同方，他打开链接即可登录立即使用。操作流程简洁方便，无需太多繁琐步骤。 另外，根据操作过程中经常出现的 “抢鼠标”现象，行云管家为此专门进行了人性化的设计，以避免这样尴尬的问题。行云管家针对性的设立了权限限制，一个会话同时只能有一个人拥有控制权，而其它协同者只能进行观察。 但是，为了方便会话创建者在操作过程中更有主动权，并且方便协调多人有序操作，创建者可以随时获取控制权，也可以随时剥夺其它参与者的控制权。会话的参与者只有在控制权被释放，无人有控制权时，才可以抢夺控制权。 当然，你可能要问，我如何得知在远程协作过程当中，正在执行远程操作的人是谁？很简单，行云管家为此专门设立了明确的标识。在类似QQ好友列表一样的参与人员列表中，依据“小鼠标”来判断当前控制权的状态，实心鼠标则表示该用户已经获取控制权。相反，空心鼠标表示该用户只是参与观察，并未获得控制权。当需要切换控制权时，创建者只需要点击“小鼠标”进行切换即可。 最后，在协同分享完成后，问题得以解决，使用者可以选择将协同方“踢出”会话，并将会话分享状态关闭，这样对方都会从当前会话中离开，远程协作到此结束。

在广大用户的呼唤声中，我们实现了对华为云的支持。目前为止，行云管家已经支持了8家云厂商。 4.4版本更新包括但不限于以下内容： 1.私有部署版 私有部署版门户支持多IP： 行云管家私有部署版从4.0推出后，获得了市场极大的欢迎。在私有部署版的使用过程中，用户反馈的问题主要集中在门户的部署方式上，由于门户只支持一个IP，可能会导致以下问题： a）门户部署在企业内部，配置成使用内网IP访问，导致无法管理外部的云主机； b）门户部署在企业内部，但配置成使用公网IP访问，导致和门户位于同一个局域网的主机需要通过公网才能和门户进行通信，效率极低； c）用户内部网络环境复杂，拥有多个网段，网段之间通信质量不佳，需要给门户配置多个IP. 以上种种场景，都需要通过为门户配置多个IP来解决，因此，我们在4.4版本中为私有部署版增加了多IP的支持，同时也仍然兼容HTTP和HTTPS两种协议，支持NAT映射配置。用户在使用过程中，可以根据目标主机所处的网络环境，选择通信质量最佳的一个接入方式进行连接。 2.主机 云厂商华为云的支持： 华为云近年来对于公有云的投入逐渐增大，应广大用户的呼声，同时也在华为云官方的特别支持下，新增了华为云主机的支持，在后续版本中，我们还将进一步完善对华为云的其它支持。 内网访问助手和Proxy安装优化： 过去在安装内网访问助手和Proxy时，需要用户将安装脚本拷贝到主机上执行。为了提升体验，本版本新增了内网访问助手和Proxy自动安装的功能，减轻了此操作的工作量，也避免了将安装脚本错误的在非宿主机上执行的风险。 批量导入局域网主机： 在管理大量的局域网主机时，如果主机不在同一个网段中，需要进行多次的导入操作。本版本新增了通过CSV模板文件导入主机的方式，用户可以将主机的各项信息整理在一个CSV文件中，一次将所有的主机导入到行云管家。 主机标签支持键值对： 用户在使用行云管家管理主机资源时，需要将自身的业务属性延伸到管理过程中，为了支撑用户的自有业务场景，本版本对主机标签做了功能扩展，将原先的标签的单一label形态升级为KV结构的键值对，相对而言，键值对能够支持的业务语义更广，比如用户可自行定义更多的主机属性。 主机列表支持自定义字段： 新增对主机列表展示字段的自定义，用户可根据自己的业务情况，以云账户为维度，自定义主机列表展示的字段，目前支持基础信息、监控信息、主机标签三类字段。 主机会话中转服务优化： 在行云管家中打开的每一个会话（Windows远程桌面、Linux远程终端等）本质上都是通过“会话中转服务”建立的连接。因此，用户和会话中转服务以及主机与会话中转服务之间的网络质量将成为会话流畅度的关键因素，行云管家在全国范围内部署了多套会话中转服务实例，我们会通过智能算法为您名下的每一个主机网络选择最优的会话中转服务。但受限于网络质量的变数很大，我们的智能算法未必是最优的网络链路，此时，用户可以通过“中转服务网络测试”获取测试数据，并依据于测试结果设置最优的会话中转服务。 文件传输中转优化： 导入到行云管家的每一台主机，行云管家都会为其自动分配一个主机网盘（其物理位置依赖于所在的文件中转站），通过主机网盘，用户可以轻松的向主机上传、下载文件。 主机网盘所在位置依托于行云管家遍布全球的文件中转站，因此，您和主机网盘所在的文件中转站之间以及主机与主机网盘所在的文件中转站之间的网络质量将成为文件传输速率的关键因素。 我们会通过智能算法设置最优的主机网盘存储位置，用户也可以通过“文件传输中转服务测试”获取测试数据，并依据于测试结果设置最优的文件中转站。 3.堡垒机 会话文件传输可关闭： 在现实业务场景中，我们可能存在对主机文件传输做精细化权限控制的情况，比如：某些角色的用户，只允许在部分主机上进行文件传输，在其它主机上不允许进行文件传输。为了实现这类场景，我们做了以下几项工作： a）云账户文件传输设置：在云账户属性的“安全设置”中，新增“文件传输”设置，该设置将限制当前云账户下的主机，默认是否开启文件传输； b）运维策略文件传输设置：在关键设备运维策略中，新增文件传输设置，只有开启了文件传输，该策略关联的主机才被运维进行文件传输，需要注意的是：对于一台主机而言，运维策略的文件传输设置，优先级高于云账户文件传输设置； c）主机网盘管理权限：在功能权限中，新增了“主机网盘文件上传”、“主机网盘文件下载”、“主机网盘文件管理”三项功能权限，分别对应在主机网盘和会话中的文件上传、下载和管理功能。 文件审计支持冗余备份： 部分用户基于安全性的考量，需要对团队成员所传输的文件内容进行审计，例如：某成员从主机下载的文件，是否含有机密信息、上传到主机的文件，是否含有病毒木马程序。诸如此类的场景，都需要将操作者传输的文件进行冗余备份，以便后续审计。 为了实现该需求，在网盘概览中，新增了“网盘文件审计”设置，开启后，所有通过网盘进行的文件交互，都会被冗余备份。 访问时段控制优化： 对运维策略的访问时段控制做了如下优化： a）修改了访问时段的设置方式，将手动输入方式改为时段选择方式，更易于操作； b）除了以天为维度指定固定的访问时段外，还支持以周为维度设置周期性访问规则，方便将工作日与非工作日进行区别对待。 支持Windows2016指令审计： 由于Windows2016系统字体与其它版本发生了较大变化，一直以来，行云管家对2016的指令审计都支持的不好，本版本对Windows2016的默认字体进行了兼容性识别处理，使得能够较好的支持Windows2016的指令审计。 4.自动化运维 脚本库支持按角色授权： 脚本库属于团队的资源，但如果向全部成员公开，一旦脚本中有一些重要的信息（如主机、数据库的账号密码），可能会导致权限管理失控，因此脚本库能够按角色授权，也是团队权限管理的重要环节。 新增任务库并支持按角色授权： 任务编排做了以下变更： a）新增任务库的概念，一个任务必须放在某个任务库中； b）任务库不再是属于某个成员个人所有，而是团队所有； c）和脚本库一样，任务库也能够按角色授权，同时拥有任务编排功能权限和任务库资源权限的成员，能够编排、执行任务库中的任务。 5.团队 查看团队成员的功能授权情况： 在上一个版本中，我们已经可以查看某个成员所属的角色，以及所有的资源授权情况，而功能授权和资源授权情况一样，在一个用户拥有多个角色身份的场景下，需要提供一个完整的功能授权情况展示界面。 增加脚本库和编排任务库的授权入口： 团队的“权限管理”中，新增了脚本库和编排任务库的授权入口，团队管理者可以将脚本库和任务库单独授权给相应的角色。 ...

行云管家Agent简介 1、行云管家Agent 基于 JAVA 实现，负责监控数据上报、自动化运维、主机体检等职责，属于可选组件。 2、行云管家Agent 是通过内网安装并工作的，也就是说它需要依托于 行云管家内网访问助手 或 行云管家Proxy，如果您要在云主机上安装 Agent，请先在网络中安装 内网访问助手 来启用内网访问，局域网主机天然已经具备了内网访问能力。 3、行云管家Agent 工作过程中的监控数据汇报、主机体检报告、自动化运维脚本和命令执行、文件分发，都是通过内网访问助手或者Proxy来与门户进行通信的。 行云管家 Agent架构示意图 行云管家 Agent目录结构 YunAgent 目录 [root@cloudbility ~]# ll /usr/local/YunAgent/ drwxrwx--- 2 root root 4096 Dec 28 19:24 bin # 常用命令 目录 drwxrwx--- 2 root root 4096 Jun 5 16:26 conf # Agent 配置文件 目录 drwxr-xr-x 3 root root 4096 Jun 5 16:10 data # Agent 数据 目录 drwxr-xr-x 2 root root 4096 Jun 5 16:10 downloads # Agent 升级包/文件临时存放 目录 drwxrwx--- 3 root root 4096 Jan 25 19:40 healthChecker # 安全体检 功能组件 目录 drwxrwx--- 4 root root 4096 Jun 5 16:10 jre # Java运行环境 目录 drwxr-x--- 2 root root 4096 Jun 5 16:10 lib # YunAgent bin中程序使用的库文件 目录 drwxrwx--- 2 root root 4096 Jun 5 16:10 logs # Agent 日志 目录 drwxrwx--- 6 root root 4096 Sep 15 2017 native # Sigar API 依赖本地库文件 目录 -rwxr-x--- 1 root root 3214 May 30 17:57 README.txt # Agent 说明文件 drwxrwx--- 6 root root 4096 May 31 17:15 salt # Saltstack 功能组件 目录 drwxrwx--- 5 root root 4096 Jun 5 16:10 tools # 工具包 目录 -rwxr-x--- 1 root root 12 May 30 17:57 version.txt # Agent 版本号 drwxrwx--- 5 root root 4096 Sep 15 2017 wrapper # Wrapper包装的应用 目录 bin 目录 [root@cloudbility YunAgent]# ll /usr/local/YunAgent/bin/ -rwxr-x--- 1 root root 87 Dec 28 19:24 restartGateway.sh # 行云管家Proxy/内网访问助手重启脚本 -rwxr-x--- 1 root root 99 Nov 30 2017 startYunAgent.sh # 行云管家Agent启动脚本 -rwxr-x--- 1 root root 97 Nov 30 2017 stopYunAgent.sh # 行云管家Agent停止脚本 -rwxr-x--- 1 root root 592 Nov 30 2017 uninstallYunAgent.sh # 行云管家Agent卸载脚本 conf 目录 [root@cloudbility YunAgent]# ll /usr/local/YunAgent/conf/ -rwxr-x--- 1 root root 2202 1月 25 19:40 agentd.properties # Agent 主程序配置文件 -rwxr-x--- 1 root root 464 10月 13 2017 agentd-user-default.properties # Agent 用户默认配置文件 -rwxr-x--- 1 root root 1365 11月 30 2017 logback.xml data 目录 [root@cloudbility YunAgent]# ll /usr/local/YunAgent/data/metric/.lastReportTimestamp -rw-r--r-- 1 root root 13 Jun 5 17:02 data/metric/.lastReportTimestamp # 监控汇报最后时间戳（实时更新） # 如果出现故障，导致数据无法及时汇报，metric目录下可自动生成新文件对监控数据进行缓存。 logs 目录 [root@cloudbility YunAgent]# ll /usr/local/YunAgent/logs/ -rw-r--r-- 1 root root 17547 6月 5 17:53 cloudAgent.2018-06-05.0.log # Agent 运行日志 -rw-r--r-- 1 root root 40189 6月 6 10:07 cloudAgent.log # Agent 日志 -rw-r--r-- 1 root root 6580 6月 6 09:00 wrapper.log # wrapper 日志 healthChecker 目录 [root@cloudbility YunAgent]# ll /usr/local/YunAgent/healthChecker drwxrwx--- 3 root root 4096 6月 5 16:10 healthchecker -rwxr-x--- 1 root root 1345 1月 25 19:40 healthChecker.py -rwxr-x--- 1 root root 90 1月 25 19:40 README [root@cloudbility sys]# pwd /usr/local/YunAgent/healthChecker/healthchecker/sys [root@cloudbility sys]# ll -rwxr-x--- 1 root root 0 1月 25 19:40 __init__.py -rwxr-x--- 1 root root 2259 4月 26 18:15 account.py # 异常账户检查 脚本 -rwxr-x--- 1 root root 1803 1月 25 19:40 anonsvc.py # 匿名访问服务检查 脚本 -rwxr-x--- 1 root root 12261 5月 30 17:57 login.py # 异常登录检查 脚本 -rwxr-x--- 1 root root 4832 1月 25 19:40 package.py # 关键软件包检查 脚本 -rwxr-x--- 1 root root 1676 4月 26 18:15 sshd.py # SSH密码登录检查 脚本 -rwxr-x--- 1 root root 1519 5月 30 17:57 tmpdir.py # 临时目录权限检查 脚本 -rwxr-x--- 1 root root 3124 4月 26 18:15 webservice.py # Web Server权限检查 脚本 行云管家 Agent进程 查看行云管家Agent 进程命令（Agent共2个进程） ...