产品攻略

目录 注册 创建团队 导入局域网主机 导入公有云主机 注册 本文使用的行云管家版本： V4.1（日期：2018-03-22） 官网链接: 行云管家 1.打开官网，点击注册 www.cloudbility.com 2.填写注册相关信息 3.进入行云管家 至此，我们已经成功注册完毕，接下来我们就需要创建一个团队。行云管家是基于团队协作的工作模式来开发。 团队协作模式对我们日后的使用更加便捷,比如团队成员的管理, 权限分配, 审计等方面。 创建团队 我们也可以自己点击演示环境，进行测试和体验。 行云管家在用户体验UI界面功能简单明了。 点击左上角首页按钮，展开功能。 实用功能非常多, 都是我们日常运维工作中经常使用和搭建的服务，其实细心的你应该发现了, 行云管家做的是一体化的运维平台。 体验完毕之后, 我们点击右上角的正式使用行云管家。 创建团队，并填写相关信息，比如团队名称、自定义后缀，填写完毕之后点击立即创建团队。 在这里，我们暂时不邀请团队成员，点击稍后再说。如果想邀请团队成员只需要输入对方邮箱地址，点击邀请即可。 接下来我们就可以导入我们想要管理和监控的主机了。除了管理云资源之外还有 一体化 IT 运维工具，先了解如何管理，监控云资源。大家会有疑问，究竟云资源是什么？ 点击了解更多 云资源是什么 接下来我们导入需管理的主机资源，资源在行云管家中主要有局域网主机资源，业界主流云厂商的云主机资源。 局域网主机在行云管家中是什么概念？ 我们知道，行云管家是一个云计算管理平台，目前行云管家已经通过API的形式支持了业界主流的云厂商，但是，用户的主机资源并非只有公有云主机一类，OpenStack、VMware等私有云平台应用也非常广泛，另外传统的IDC托管服务器也并未完全消亡，甚至还有相当数量的小公有云厂商由于诸如API等问题无法进行支持。 基于以上行业现状，行云管家为用户提供了局域网主机的解决方案，把这类无法通过API导入的主机，均以局域网主机的形式接入到行云管家上来。因此，行云管家中的局域网主机，并非我们传统意义上的“局域网络内的主机”，而是相对公有云API导入方式而言的另外一种主机导入方式。 导入局域网主机 0.0 运维利器之 行云管家3分钟快速实现局域网主机运维审计 导入公有云主机 0.1 运维利器之 行云管家3分钟快速实现云主机运维审计

狗年春节第一发，让大家久等了：4.1版本为用户带来了资源分组授权、自定义工具应用等极富诱惑力的功能特性。 4.1版本更新包括但不限于以下内容： 1.私有部署版 数据存储方式支持阿里云对象存储服务： 系统初始化过程中，在选择“网盘”和“审计日志”等数据的存储方式时，除了本地存储外，还可以使用阿里云对象存储服务（OSS），OSS具有海量存储和稳定的带宽等方面的优势，让用户无需再为存储扩容和数据备份而苦恼，适合具备公网访问条件的用户。 支持修改访问端口号： 为了兼顾用户的各种部署场景，新增了私有部署版访问端口号的修改，对于需要将行云管家部署在公网上的用户来说，将端口号改为非80端口，省去了域名备案的麻烦。 2.团队 资源的分组授权： 如果云账户层级的授权不满足您的授权需求，没关系，我们在云账户下通过创建虚拟分组的方式来进行资源的再授权，可以限制某些角色只可以访问虚拟分组中的资源，实现指定用户只拥有部分资源权限的目的，以解决精细化权限管理问题。 3.主机 公有云主机支持行云管家Agent监控： 受限于公有云厂商API的限制，我们在对各厂商主机监控的支持过程中，存在诸如监控项过少、监控数据丢失、监控频率过低等问题。为解决这些问题，行云管家将已获得市场验证及认可的局域网主机Agent监控方案，拓展到公有云主机之上，但这并非是强制性的，默认情况下，公有云主机采用云厂商监控，只有在已经安装了行云管家Agent时，才会提醒用户可以切换到行云管家Agent监控模式； 行云管家Agent相比公有云厂商的监控，主要存在以下差异项，您可以根据自身的情况，决定是否将监控切换： 新增网络功能模块： 随着安全组、网络拓扑等网络相关的功能逐渐丰富，我们新增了“网络”功能模块，将原主机列表中的安全组、网络拓扑（更名为内网访问）移入网络中。同时，特别对于公有云的VPC（专有网络），我们提供了“VPC网络设置”功能，方便用户在行云管家中对VPC进行管理，并将在后续版本中提供云主机购买的功能。 支持使用自定义工具应用访问主机： 在支持局域网主机资源后，有很多用户希望行云管家能够支持网络、存储等特殊类型的资源。目前行云管家在协议支持上，只有RDP、SSH、VNC三种协议，而这些特殊资源由于厂商、型号等差异，并没有一种标准化的解决方案，因此我们采用了由用户自定义发布应用工具的方案，用户可以使用专门的应用工具来访问这些设备资源，由此，我们可以畅想一下，用户可以通过这个特性获得以下扩展能力： a）访问网络、存储等设备：使用专门的厂商工具来管理这些特殊设备； b）访问数据库：使用专门的数据库工具来直接访问主机上的数据库； c）审计能力：借助于行云管家的审计特性，我们间接的获得了前述操作的审计能力； d）更多扩展能力，等待您来发现… 安全组规则支持备注： 对于安全组中的众多规则，如果没有备注描述，在一段时间后，很容易遗忘这些规则的作用，因此行云管家提供了安全组规则备注，方便用户对规则进行说明。 行云管家Agent安装失败提示信息优化： 行云管家Agent推出后受到了用户的热烈欢迎，为用户解决了主机监控、自动化运维等需求。但我们也发现，由于Agent安装存在一定的条件限制，导致一些用户安装失败，而失败后续的处理往往需要用户寻找在线客服的协助下才能解决。为此我们对Agent常见的一些安装失败原因进行了梳理，让这些常见错误通过更加友好清晰的错误信息进行提示，用户可自行解决，增加Agent安装成功率。 新增内网连通测试工具： 内网访问服务是行云管家推荐的一种访问方式，为了提升内网访问服务的稳定性，在过往版本中也提供了Proxy的多路负载，但在实际使用过程中，一些用户由于网络环境的原因，Proxy无法访问到目标主机，导致无法创建会话。为了方便用户更好的排查问题，本版本新增内网连通测试工具，用户可以通过该工具，测试Proxy与目标主机的网络连接是否通畅，更好的定位问题、解决问题。 该工具的使用入口位于Proxy属性窗口、以及内网IP访问时会话创建失败的提示信息中。 4.自动化运维 作业中心增强对Windows主机的支持： 对于使用Windows服务器的用户而言，由于行云管家对Linux的倾向性，导致对自动化运维这一特性只能“望洋兴叹”，但不用着急，从4.1版本开始，作业中心已经开始了对cmd和powershell（2.0版本以上）的支持。 a）脚本支持cmd和powershell：脚本类型新增cmd和powershell，用户可以为Windows主机来编写批处理和powershell脚本了； b）命令控制台支持cmd和powershell：可直接通过命令控制台在Windows主机上执行cmd批处理和powershell脚本。 文件采集来源路径支持通配符： 在文件采集控制台中，支持使用通配符来定义待采集的文件，方便用户灵活指定采集路径，具体规则如下： *：匹配指定目录下文件名中0或多个字符； **：匹配指定目录及其子目录下文件名中0或多个字符； ?：匹配文件名中的一个字符； 5.堡垒机 自定义工具应用发布： 前面的新特性已经介绍了使用自定义工具应用访问资源，该特性的管理入口位于安全审计中，只有获得相关权限的角色才能进行工具应用的发布。自定义工具应用这一特性是基于RemoteApp技术来实现的，这意味着要获得该特性，用户需要准备Windows的宿主机。 6.体检中心 支持导出主机体检报告： 在平台不再保留每台主机的历史体检报告后，我们推出了导出体检报告pdf的这一特性，可以满足用户的以下需求： a）方便查看历史体检数据； b）方便将体检报告发送/分享给其他小伙伴； 增加主机系统时间体检项： 主机体检项增加“系统时间”检查，根据主机所在时区，将系统时间与标准时间对比，如果误差大于10分钟，将问题严重性定义为：一般问题。需要注意的是，该项体检需要行云管家Agent的支持。

从行云管家诞生之日起，我们一直以SaaS形态为用户提供着服务，截止到2018年1月25日，行云管家已经拥有了近两万八千家企业用户，其中大量用户为行云管家的发展提供了非常宝贵的意见，可以说，行云管家以平均三周发布一个版本的速度，将这些热心用户在云计算管理上的最佳实践形成产品，传递给更多的用户。 行云管家未来还将继续沿着SaaS的道路前行，但是我们也考虑到对运维安全规范要求严格的企业用户，对于接纳SaaS服务存在一定的障碍。因此，我们决定，推出行云管家私有部署版，并将新的版本号定义为4.0，让更多的用户能够享受到行云管家带来的云计算最佳实践。 4.0版本更新包括但不限于以下内容： 1.行云管家私有部署版 在SaaS版本基础上，推出行云管家私有部署版，两者在产品功能及迭代速度上将基本保持一致。用户在版本选择时，建议主要考虑企业自身的安全规范要求，是否可以接受SaaS这一形态，SaaS有着价格低廉、无需部署维护、产品功能更新及时的优点，适合中小型企业用户。而私有部署版价格相对较高、另外还需要承担服务器及维护成本，适合对价格不太敏感但安全性要求高的企业用户。 了解行云管家私有部署版产品报价 2.主机 Proxy及内网访问助手支持多路负载： 作为行云管家内网访问的关键部件，在很长一段时间内，单一网络内只能安装一个Proxy或内网访问助手，一旦遭受单点故障，将导致网络访问中断，给用户运维工作带来不便。从本版本开始，支持在单一网络内安装多个Proxy及内网访问助手，即保障了网络的稳定性，又降低了单个节点的性能压力。 会话支持本地目录上传： 在会话中从本地上传文件时，支持上传本地目录。 3.自动化运维 新增文件批量采集作业： 在文件批量操作场景中，除文件分发外，还存在从多台主机中批量采集某些共同特征文件的情况，如：定期收集多台主机上的日志文件。本版本开始，作业中心新增文件采集控制台，能够将多台主机上的指定文件，批量采集至网盘。 4.堡垒机 SSH密钥对下发： 完成SSH密钥对管理的功能闭环，实现将SSH公钥一键下发至Linux主机的功能，方便快捷启用或下发SSH密钥。 新增会话水印支持： 在一些数据极度敏感的主机上，为了防止有违规窃取数据的风险，需要禁止对远程桌面/终端进行录屏和拍照，为了满足这类需求，运维策略中新增会话水印支持，开启后的关联主机，打开的会话中将出现当前会话创建者的相关信息，一旦出现数据泄露时，能够通过会话创建者信息进行追踪。 运维策略支持多个运维时段： 在需要设置主机运维时段的场景中，往往存在多个不连续的运维时段，本版本支持在一个运维策略中设置多个运维时段。 审计日志： 扩展业务审计范围，本版本审计体系新纳入4类操作： a）文件采集作业日志：由于文件采集作业的增加，审计日志也同步增加了文件采集审计日志； b）增加SSH密钥对下发审计日志：SSH密钥下发时，将会进行审计记录； c）RDP文件审计：RDP会话中通过文件操作面板对主机网盘所做的文件操作，将在会话日志中进行审计； 5.体检中心 支持主机实时体检： 鉴于主机1次/天的体检频率无法满足用户需求，现已支持主机实时体检，允许用户对主机在当天体检后进行过相关优化的情况下再次体检，方便最快速的查看最新的体检报告。 6.团队 授权界面优化： 优化功能/资源授权窗口，让角色选择操作更加友好。 网盘功能权限优化： 在网盘中，可以分别设置将本地文件上传到网盘/主机、将网盘或主机文件下载到本地、网盘文件的管理（移动、复制、删除等操作）三项独立权限，适合一些团队禁止普通用户将敏感文件下载的场景。

本版本支持了国内云计算行业中的技术流、首家按秒计费的云厂商-青云。目前为止，行云管家已经支持了7家云厂商，下一家支持的云厂商，还是您说了算，快点联系在线客服反馈吧！ 本版本更新包括但不限于以下内容： 1.主机 云厂商青云的支持： 青云在国内云计算行业中拥有不错的口碑，是国内首家施行按秒收费的云厂商，更是唯一一家公有云和私有云产品使用同一技术平台的厂商，说不定，使用青云私有云的用户，以后可以通过行云管家来管理哦。 腾讯云成都区域的支持： 由于厂商API的原因，行云管家一直缺失对腾讯云成都区域资源的支持，在API问题解决后，行云管家在第一时间对腾讯云成都区域进行了支持。 主机访问日志： 将主机详情页中的主机操作日志，改为只展示主机访问会话日志，列出团队/个人最近5次的访问操作，方便用户访问结束后立即查看审计日志。 主机接入方式优化： 优化行云管家主机访问方式的体系，将接入方式由控制台管理终端、公网IP访问、内网IP访问三个维度，改为立即访问、快捷方式访问、登录凭证访问三个维度。快捷方式适用于保存单台主机的登录信息，并可以分享给指定的成员使用，无需向其透露主机用户名密码。登录凭证可以批量指定主机的登录信息，且为团队全部成员可见。 会话创建失败信息优化： 会话创建失败是使用行云管家时常遇到的“小挫折”，产生的原因可能是输错用户名密码这种小错误，也可能是服务器安全设置等比较复杂的问题，本版本优化了会话创建失败的错误提示展现形式，能够深度捕捉50余种错误产生原因，行云管家希望能够尽可能更详细的将错误原因告知用户，让用户能够通过错误信息、处理建议、帮助文档等参考信息自行排除问题，及时解决问题。 2.堡垒机 登录凭证管理： 将原先位于团队设置中的“主机接入方式”，调整到安全审计功能模块中，重新命名为“登录凭证管理”，并取消登录凭证中关于公网和内网访问的限制，访问主机时可灵活选择公网IP或内网IP。 SSH密钥对管理： 基于安全考虑，Linux主机在使用SSH终端访问时，应该关闭密码登录而使用安全性更好的密钥认证。行云管家本版本新增了SSH密钥对管理，支持通过行云管家向主机下发SSH密钥，方便用户定期、批量的启用/修改SSH密钥对。 主机运维时段： 针对部分用户对于主机访问时段的限制需求，我们在运维策略中增加了运维时段的设置，用户可根据实际情况设置允许访问的时段，默认情况下为全天均可访问。 复制运维策略： 考虑到精细化的授权场景，用户通常都需要定义多个运维策略，而运维策略中关于指令黑白名单的设置相对较繁琐，我们提供了运维策略复制功能，用户设置好一个运维策略后，可以复制创建另外一个策略，避免重复输入大量的指令黑白名单。 双因子认证优化： 双因子认证是安全运维的重要特性，本版本对双因子认证做了以下优化： a）增加使用场景：将双因子认证的场景由主机访问扩展到重启主机、停止主机、修改操作系统密码、修改管理终端密码、创建主机会话、快照回滚、更换系统盘、初始化磁盘、卸载数据盘、挂载数据盘等所有会对主机产生影响的操作； b）延长认证有效时间：将每次操作均需认证的方式改为认证成功后30分钟内有效，避免频繁的认证影响运维效率； 3.体检中心 支持局域网主机体检： 解决局域网主机无法体检的问题，针对已经安装行云管家Agent的局域网主机，将会纳入体检范围。 4.对象存储 优化对象存储服务授权机制： 行云管家提供了基于B/S架构实现的Object上传、下载、复制、移动等功能，而云厂商为了保护对象存储服务的安全性，提供了一系列的安全设置，例如：防盗链、跨域设置、访问签名，这些安全设置对于浏览器客户端会有很大影响，在以往版本中，这些设置由行云管家自动完成，但由于涉及到用户的业务系统，因此在本版本中，允许用户自行前往厂商控制台配置或授权行云管家一键自动配置，确保用户的知情权。 支持多个Object下载： 在Object管理中，允许一次下载多个Object。 5.团队 增加操作日志及会话分享权限项： 团队操作日志具有一定的管理色彩，而会话分享也涉及到运维安全，本版本将这两项操作列入权限项，团队管理者可设定哪些用户具有相关权限。

本版本着力于增强堡垒机的安全审计特性，从最初的录像审计到指令审计，再到今天的文件审计、双因子认证、高危指令审核和阻断，行云管家在堡垒机的路上越走越远； 本版本更新包括但不限于以下内容： 1.主机 支持自动安装行云管家Agent： 在为主机安装行云管家Agent时，除了批量和手动安装外，也支持单台主机的自动安装，用户只需在主机详情页中点击安装Agent，一键即可完成Agent的自动安装。 支持局域网主机监控： 局域网主机支持一段时间以来，受到了广大用户的欢迎，但局域网主机监控的缺失，一直是一大遗憾。本版本在行云管家Agent基础上实现了局域网主机的监控功能，用户只需在主机中安装行云管家Agent，即可获得CPU使用率、内存使用率、内外网流量速率、磁盘分区IO和使用量等监控。 SSH会话文件传输增强： 对于一些喜好图形化操作界面的Linux用户来说，行云管家的文件传输功能方便他们进行文件上传和下载操作，本版本再次强化了SSH的文件传输能力，新增了文件（夹）的复制/移动、排序的功能。 2.堡垒机 新增安全审计功能模块： 行云管家以往版本的运维审计入口放在操作日志中，使得运维审计日志和团队日志混合在一起，逻辑上不易区分。本版本起，为堡垒机相关功能单独设置安全审计入口，将审计日志移入安全审计模块中，并提供个人及团队两个审计维度，另外增加关键设备运维策略等堡垒机功能特性。 支持双因子用户身份认证： 用户认证是堡垒机体系中一个重要环节，行云管家提供基于微信和短信认证方式的双因子认证功能来确认用户的合法身份。同时，为了避免双因子认证对自动化运维的影响，在自动化运维场景中，仍然保留单因子认证方式。在运维安全和敏捷之间保持平衡。 支持高危指令审核和阻断： 运维过程中，我们通常使用资源授权的方式来确保运维安全性，但实际场景中，仅从资源层面做授权是远远不够的，运维人员难免会出现误操作，进而造成巨大损失。行云管家支持指令黑白名单，用户可设置敏感指令，并针对每条指令可以指定指令提醒、指令审核、指令阻断、中断会话等四种响应动作，一旦操作过程中出现相应敏感指令，即会执行相应的拦截策略，提前防范高危风险。 支持文件审计： 在会话传输面板中执行的文件操作行为，也被纳入到会话审计中，并支持文件关键字全局检索，全方位的堵住运维安全漏洞。 3.自动化运维 文件分发控制台优化： 针对作业中心的文件分发控制台，我们做了以下两点优化： a）支持文件夹分发，方便批量分发文件； b）主机文件采集过程异步化，用户无需等待文件全部采集到服务器即可执行分发操作。 4.团队设置 支持团队在不续费情况下进行升级： 在以往的版本中，用户想要变更团队类型必须和续费同时进行。部分已经购买了较长时间服务的行云管家用户，由于配额已经不满足实际情况，希望能在服务期限内进行版本升级。本版本允许团队在不续费的前提下，仅在当前服务期限内进行升级，不必再通过续费的方式变更团队类型。 支持银行转账支付方式： 用户在行云管家订单支付环节，新增银行转账的支付方式，方便用户通过线下银行转账的方式来购买行云管家服务。