版本发布

4.3版本仍然聚焦在用户反馈的一系列问题，例如：通过Proxy服务网段来解决复杂的网络环境下Proxy与目标主机的通信质量问题、体检报告在线处理、增加体检项、团队成员过多时查询不便等问题。 4.3版本更新包括但不限于以下内容： 1.私有部署版 私有部署版支持多团队： 私有部署版在License团队数量配额足够的前提下，允许创建多个团队。 团队成员支持邀请制： 由于多团队的支持，一个账号可能存在于多个团队中，因此团队管理员在增加成员时，除可以直接创建新用户外，还可以邀请其他已创建的账号加入。 管理控制台优化： 私有部署版管理控制台进行了以下优化： a）新增用户管理：可在管理控制台中跨团队统一管理系统中所有用户。 b）团队信息内容展示的更丰富：新增了团队配额使用详情，团队成员信息的展示； c）支持界面自定义：私有部署版可对产品名称、产品Logo进行自定义，使产品更加凸显您的企业信息。 2.主机 主机信息自定义： 默认情况下，主机信息由系统自动维护，当主机的IP、操作系统发生变化时，系统能够将其自动同步。如果用户希望自行修改主机信息，可以将维护状态切换至手工维护，目前支持以下两类信息的自定义： a）操作系统：如果系统对主机的操作系统判断不准确，用户可以手工修改操作系统信息； b）公网和内网IP：允许用户手工修改主机的公网和内网IP。 局域网主机通过公网IP访问： 用户可以为局域网主机设置公网IP，当局域网主机拥有公网IP时，允许其通过公网IP来访问。 主机监控优化： 本版本从架构层面对主机监控服务进行了优化，主要体现在以下几个方面： a）优化了监控API的查询机制，大幅降低API查询频率，能够一定程度上缓解阿里云监控API查询免费配额为100万次/月的限制； b）允许云主机将监控模式从行云管家Agent切换回云厂商监控； c）其它的一些性能优化。 Proxy服务网段支持： 在行云管家用户的反馈中，我们发现大家对Proxy的使用上存在一些很特别的场景，例如： a）一个局域网内安装了多个Proxy，各个Proxy处于不同的网段； b）一个Proxy本身具有多个跨网段的IP； 在上述两个场景中，如果目标主机和选取的Proxy的IP不在同一个网段，而网段之间的网络质量又很差，那么目标主机在安装Agent、创建会话时，体验将可能极其糟糕。 鉴于以上原因，行云管家在本版本提供了Proxy的服务IP和服务网段的概念，服务IP即Proxy所拥有的IP，服务网段指Proxy的服务IP对应的网段，Proxy在访问目标主机时，会根据服务网段来确定采用哪个服务IP来进行通信，当出现较复杂的网络环境时，通过用户手工指定服务网段，可以保证目标主机和Proxy处于一个网络质量最稳定的线路。 同时，为了考虑普通使用者的应用场景，我们提供了三种服务网段设置模式： a）允许任意IP连接当前Proxy：不推荐设置此项，可能导致通过公网直接访问该Proxy，较不安全； b）只允许内网IP连接当前Proxy：默认选项，普通用户选取此项即可； c）按照指定的网段并使用指定的服务IP：当客户的网络环境较复杂时，通过指定服务IP对应的服务网段，来保障Proxy和目标主机之间的通信质量。 主机云账户导航栏可调整： 主机和对象存储界面均包含有一个左侧树形导航栏，当主机网络或对象存储Bucket的名称较长时，查看不方便。本版本允许用户调整导航栏，再也不用担心主机网络或Bucket名称超长的问题。 3.对象存储服务 支持文件搜索： 当Bucket中文件（Object）数量过多时，查找文件非常不方便，新增的文件搜索功能，可以方便用户在当前Bucket下定位文件。 4.体检中心 体检报告页内快速导航： 随着行云管家体检项的丰富，体检内容也越来越多，在阅读体检报告时，冗长的网页导致用户无法快速的定位到其它体检项。本版本提供的页内快速导航功能，能够让用户直接在四个体检维度进行快速定位。 体检项提供修复指引： 一直以来，行云管家体检报告均未提供在线修复的功能，主要原因在于某些体检项由于安全原因难于提供一键修复。本版本开始，我们将体检项分成三类，分别采用不同的处理方式： a）可以直接在线处理的体检项：例如异常账户的锁定、系统时间的同步，可以通过行云管家直接一键修复； b）需要通过行云管家其它功能辅助处理的体检项：例如开启内网访问服务、主机负载模拟等，将引导用户通过行云管家其它功能进行辅助处理； c）需要手工处理的体检项：例如防火墙设置、关键软件包修复等，这类问题的处理需要考虑服务器本身的情况，如果直接提供在线修复，可能会导致很严重的后果，因此，我们提供了修复指引，用户可参考指引说明进行手工修复； 体检项提供修复指引： 新增以下两项体检项： a）Web Server权限检查：以root身份运行apache/tomcat/nginx这类Web Server存在极大安全风险，考虑到安全因素，建议以非root身份运行apache/tomcat/nginx等Web Server； b）临时目录权限检查：攻击者可能利用应用程序的漏洞远程下载恶意程序到/tmp;/var/tmp;/dev/shm等临时目录，一旦执行将产生严重后果，建议将临时目录挂载于一个独立的系统分区之上，并添加nodev/nosuid/noexec挂载选项。 ...

这个版本，我们实现了一些用户反馈比较多的需求，比如私有部署版支持HTTPS访问、Windows主机不支持Powershell2.0导致安装Agent失败等问题。同时，我们为运维策略新增了一个重要设置：支持主机登录审批。 4.2版本更新包括但不限于以下内容： 1.私有部署版 支持HTTPS访问： 用户使用域名访问时，可以上传域名SSL证书，开启HTTPS访问。 允许修改数据存储方式： 允许在管理控制台中修改数据文件的存储方式，但需要注意的是，对已产生的数据，并不提供旧数据文件的迁移。 2.费用中心 全新的费用中心： 我们对行云管家的费用中心进行了改进，主要体现在以下几点： 1)增加用户余额：用户可以提前进行账户充值，账户余额可以用于行云管家团队升级续费、以及未来在行云管家中购买和续费云资源； 2)增加订单类型：除原有的团队升级订单外，新增云资源购买和续费类型的订单； 3)代金券增加适用范围：行云管家将继续延续代金券的奖励机制，但鉴于商品类型的增多，代金券也将限定业务范围。 3.主机 腾讯云重庆区域的支持： 腾讯云新增的重庆区域，我们已经在第一时间进行支持。 新增美西区域中转服务器： 新增了一个海外节点（美西区域）的中转服务器，海外云主机的会话质量将得到极大改善。 标签支持按名称排序： 主机标签能够方便用户对主机进行分类，本版本对标签的排序进行了调整，由按创建时间改为按名称排序，用户可以依据使用习惯，调整标签名称的首位实现自由排序。 门户端重启Proxy/内网访问助手或Agent： 在行云管家中，提供了三种具有安装形态的小插件，分别是：行云管家Proxy、内网访问助手和行云管家Agent。这三种产品在一些特殊情况下（例如运行异常、升级失败等），需要执行重启操作时，用户必须登录到主机上才能执行重启脚本，操作不便。 本版本提供了在门户中直接重启这三种产品的功能，避免用户需要登录到主机上执行脚本才能重启的尴尬。如果用户需要批量重启，建议通过作业中心批量执行相关重启脚本。 支持bat安装脚本： 在Windows服务器上安装行云管家Proxy、内网访问助手和行云管家Agent时，以前版本仅支持powershell脚本，同时要求必须是2.0版本以上。对于一些类似Windows瘦客户机的用户来说，新增bat安装脚本能够弥补其无法安装powershell2.0的缺点。 4.成本中心 后付费支出按月汇总： 关注后付费的用户，相信您一定苦于缺乏统计每月后付费支出的方法。本版本在成本中心后付费明细中，新增支出概览，用户可查看每月后付费总支出、按产品类型汇总，让您对后付费支出结构一目了然。 5.堡垒机 主机登录事由： 在关键设备运维策略中，新增主机登录事由设置，管理员可以强制要求每次会话创建时填写登录事由，便于团队所有成员了解每一次运维操作的原因和目的。 主机登录审批： 主机登录审批开启后，团队成员在创建关联主机会话时，将需要获得相关角色成员的审批，审批通过后，会话才能被创建。此设置开启后一定程度上将影响运维效率，适用于安全级别较高的主机。 审计日志支持两种时间切换： 查看审计日志时，提供了相对时间/绝对时间两种时间模式的切换，相对时间是按录像播放进度来显示，绝对时间是按真实的日期时间来显示，用户可根据习惯自由选择。

狗年春节第一发，让大家久等了：4.1版本为用户带来了资源分组授权、自定义工具应用等极富诱惑力的功能特性。 4.1版本更新包括但不限于以下内容： 1.私有部署版 数据存储方式支持阿里云对象存储服务： 系统初始化过程中，在选择“网盘”和“审计日志”等数据的存储方式时，除了本地存储外，还可以使用阿里云对象存储服务（OSS），OSS具有海量存储和稳定的带宽等方面的优势，让用户无需再为存储扩容和数据备份而苦恼，适合具备公网访问条件的用户。 支持修改访问端口号： 为了兼顾用户的各种部署场景，新增了私有部署版访问端口号的修改，对于需要将行云管家部署在公网上的用户来说，将端口号改为非80端口，省去了域名备案的麻烦。 2.团队 资源的分组授权： 如果云账户层级的授权不满足您的授权需求，没关系，我们在云账户下通过创建虚拟分组的方式来进行资源的再授权，可以限制某些角色只可以访问虚拟分组中的资源，实现指定用户只拥有部分资源权限的目的，以解决精细化权限管理问题。 3.主机 公有云主机支持行云管家Agent监控： 受限于公有云厂商API的限制，我们在对各厂商主机监控的支持过程中，存在诸如监控项过少、监控数据丢失、监控频率过低等问题。为解决这些问题，行云管家将已获得市场验证及认可的局域网主机Agent监控方案，拓展到公有云主机之上，但这并非是强制性的，默认情况下，公有云主机采用云厂商监控，只有在已经安装了行云管家Agent时，才会提醒用户可以切换到行云管家Agent监控模式； 行云管家Agent相比公有云厂商的监控，主要存在以下差异项，您可以根据自身的情况，决定是否将监控切换： 新增网络功能模块： 随着安全组、网络拓扑等网络相关的功能逐渐丰富，我们新增了“网络”功能模块，将原主机列表中的安全组、网络拓扑（更名为内网访问）移入网络中。同时，特别对于公有云的VPC（专有网络），我们提供了“VPC网络设置”功能，方便用户在行云管家中对VPC进行管理，并将在后续版本中提供云主机购买的功能。 支持使用自定义工具应用访问主机： 在支持局域网主机资源后，有很多用户希望行云管家能够支持网络、存储等特殊类型的资源。目前行云管家在协议支持上，只有RDP、SSH、VNC三种协议，而这些特殊资源由于厂商、型号等差异，并没有一种标准化的解决方案，因此我们采用了由用户自定义发布应用工具的方案，用户可以使用专门的应用工具来访问这些设备资源，由此，我们可以畅想一下，用户可以通过这个特性获得以下扩展能力： a）访问网络、存储等设备：使用专门的厂商工具来管理这些特殊设备； b）访问数据库：使用专门的数据库工具来直接访问主机上的数据库； c）审计能力：借助于行云管家的审计特性，我们间接的获得了前述操作的审计能力； d）更多扩展能力，等待您来发现… 安全组规则支持备注： 对于安全组中的众多规则，如果没有备注描述，在一段时间后，很容易遗忘这些规则的作用，因此行云管家提供了安全组规则备注，方便用户对规则进行说明。 行云管家Agent安装失败提示信息优化： 行云管家Agent推出后受到了用户的热烈欢迎，为用户解决了主机监控、自动化运维等需求。但我们也发现，由于Agent安装存在一定的条件限制，导致一些用户安装失败，而失败后续的处理往往需要用户寻找在线客服的协助下才能解决。为此我们对Agent常见的一些安装失败原因进行了梳理，让这些常见错误通过更加友好清晰的错误信息进行提示，用户可自行解决，增加Agent安装成功率。 新增内网连通测试工具： 内网访问服务是行云管家推荐的一种访问方式，为了提升内网访问服务的稳定性，在过往版本中也提供了Proxy的多路负载，但在实际使用过程中，一些用户由于网络环境的原因，Proxy无法访问到目标主机，导致无法创建会话。为了方便用户更好的排查问题，本版本新增内网连通测试工具，用户可以通过该工具，测试Proxy与目标主机的网络连接是否通畅，更好的定位问题、解决问题。 该工具的使用入口位于Proxy属性窗口、以及内网IP访问时会话创建失败的提示信息中。 4.自动化运维 作业中心增强对Windows主机的支持： 对于使用Windows服务器的用户而言，由于行云管家对Linux的倾向性，导致对自动化运维这一特性只能“望洋兴叹”，但不用着急，从4.1版本开始，作业中心已经开始了对cmd和powershell（2.0版本以上）的支持。 a）脚本支持cmd和powershell：脚本类型新增cmd和powershell，用户可以为Windows主机来编写批处理和powershell脚本了； b）命令控制台支持cmd和powershell：可直接通过命令控制台在Windows主机上执行cmd批处理和powershell脚本。 文件采集来源路径支持通配符： 在文件采集控制台中，支持使用通配符来定义待采集的文件，方便用户灵活指定采集路径，具体规则如下： *：匹配指定目录下文件名中0或多个字符； **：匹配指定目录及其子目录下文件名中0或多个字符； ?：匹配文件名中的一个字符； 5.堡垒机 自定义工具应用发布： 前面的新特性已经介绍了使用自定义工具应用访问资源，该特性的管理入口位于安全审计中，只有获得相关权限的角色才能进行工具应用的发布。自定义工具应用这一特性是基于RemoteApp技术来实现的，这意味着要获得该特性，用户需要准备Windows的宿主机。 6.体检中心 支持导出主机体检报告： 在平台不再保留每台主机的历史体检报告后，我们推出了导出体检报告pdf的这一特性，可以满足用户的以下需求： a）方便查看历史体检数据； b）方便将体检报告发送/分享给其他小伙伴； 增加主机系统时间体检项： 主机体检项增加“系统时间”检查，根据主机所在时区，将系统时间与标准时间对比，如果误差大于10分钟，将问题严重性定义为：一般问题。需要注意的是，该项体检需要行云管家Agent的支持。

从行云管家诞生之日起，我们一直以SaaS形态为用户提供着服务，截止到2018年1月25日，行云管家已经拥有了近两万八千家企业用户，其中大量用户为行云管家的发展提供了非常宝贵的意见，可以说，行云管家以平均三周发布一个版本的速度，将这些热心用户在云计算管理上的最佳实践形成产品，传递给更多的用户。 行云管家未来还将继续沿着SaaS的道路前行，但是我们也考虑到对运维安全规范要求严格的企业用户，对于接纳SaaS服务存在一定的障碍。因此，我们决定，推出行云管家私有部署版，并将新的版本号定义为4.0，让更多的用户能够享受到行云管家带来的云计算最佳实践。 4.0版本更新包括但不限于以下内容： 1.行云管家私有部署版 在SaaS版本基础上，推出行云管家私有部署版，两者在产品功能及迭代速度上将基本保持一致。用户在版本选择时，建议主要考虑企业自身的安全规范要求，是否可以接受SaaS这一形态，SaaS有着价格低廉、无需部署维护、产品功能更新及时的优点，适合中小型企业用户。而私有部署版价格相对较高、另外还需要承担服务器及维护成本，适合对价格不太敏感但安全性要求高的企业用户。 了解行云管家私有部署版产品报价 2.主机 Proxy及内网访问助手支持多路负载： 作为行云管家内网访问的关键部件，在很长一段时间内，单一网络内只能安装一个Proxy或内网访问助手，一旦遭受单点故障，将导致网络访问中断，给用户运维工作带来不便。从本版本开始，支持在单一网络内安装多个Proxy及内网访问助手，即保障了网络的稳定性，又降低了单个节点的性能压力。 会话支持本地目录上传： 在会话中从本地上传文件时，支持上传本地目录。 3.自动化运维 新增文件批量采集作业： 在文件批量操作场景中，除文件分发外，还存在从多台主机中批量采集某些共同特征文件的情况，如：定期收集多台主机上的日志文件。本版本开始，作业中心新增文件采集控制台，能够将多台主机上的指定文件，批量采集至网盘。 4.堡垒机 SSH密钥对下发： 完成SSH密钥对管理的功能闭环，实现将SSH公钥一键下发至Linux主机的功能，方便快捷启用或下发SSH密钥。 新增会话水印支持： 在一些数据极度敏感的主机上，为了防止有违规窃取数据的风险，需要禁止对远程桌面/终端进行录屏和拍照，为了满足这类需求，运维策略中新增会话水印支持，开启后的关联主机，打开的会话中将出现当前会话创建者的相关信息，一旦出现数据泄露时，能够通过会话创建者信息进行追踪。 运维策略支持多个运维时段： 在需要设置主机运维时段的场景中，往往存在多个不连续的运维时段，本版本支持在一个运维策略中设置多个运维时段。 审计日志： 扩展业务审计范围，本版本审计体系新纳入4类操作： a）文件采集作业日志：由于文件采集作业的增加，审计日志也同步增加了文件采集审计日志； b）增加SSH密钥对下发审计日志：SSH密钥下发时，将会进行审计记录； c）RDP文件审计：RDP会话中通过文件操作面板对主机网盘所做的文件操作，将在会话日志中进行审计； 5.体检中心 支持主机实时体检： 鉴于主机1次/天的体检频率无法满足用户需求，现已支持主机实时体检，允许用户对主机在当天体检后进行过相关优化的情况下再次体检，方便最快速的查看最新的体检报告。 6.团队 授权界面优化： 优化功能/资源授权窗口，让角色选择操作更加友好。 网盘功能权限优化： 在网盘中，可以分别设置将本地文件上传到网盘/主机、将网盘或主机文件下载到本地、网盘文件的管理（移动、复制、删除等操作）三项独立权限，适合一些团队禁止普通用户将敏感文件下载的场景。

本版本支持了国内云计算行业中的技术流、首家按秒计费的云厂商-青云。目前为止，行云管家已经支持了7家云厂商，下一家支持的云厂商，还是您说了算，快点联系在线客服反馈吧！ 本版本更新包括但不限于以下内容： 1.主机 云厂商青云的支持： 青云在国内云计算行业中拥有不错的口碑，是国内首家施行按秒收费的云厂商，更是唯一一家公有云和私有云产品使用同一技术平台的厂商，说不定，使用青云私有云的用户，以后可以通过行云管家来管理哦。 腾讯云成都区域的支持： 由于厂商API的原因，行云管家一直缺失对腾讯云成都区域资源的支持，在API问题解决后，行云管家在第一时间对腾讯云成都区域进行了支持。 主机访问日志： 将主机详情页中的主机操作日志，改为只展示主机访问会话日志，列出团队/个人最近5次的访问操作，方便用户访问结束后立即查看审计日志。 主机接入方式优化： 优化行云管家主机访问方式的体系，将接入方式由控制台管理终端、公网IP访问、内网IP访问三个维度，改为立即访问、快捷方式访问、登录凭证访问三个维度。快捷方式适用于保存单台主机的登录信息，并可以分享给指定的成员使用，无需向其透露主机用户名密码。登录凭证可以批量指定主机的登录信息，且为团队全部成员可见。 会话创建失败信息优化： 会话创建失败是使用行云管家时常遇到的“小挫折”，产生的原因可能是输错用户名密码这种小错误，也可能是服务器安全设置等比较复杂的问题，本版本优化了会话创建失败的错误提示展现形式，能够深度捕捉50余种错误产生原因，行云管家希望能够尽可能更详细的将错误原因告知用户，让用户能够通过错误信息、处理建议、帮助文档等参考信息自行排除问题，及时解决问题。 2.堡垒机 登录凭证管理： 将原先位于团队设置中的“主机接入方式”，调整到安全审计功能模块中，重新命名为“登录凭证管理”，并取消登录凭证中关于公网和内网访问的限制，访问主机时可灵活选择公网IP或内网IP。 SSH密钥对管理： 基于安全考虑，Linux主机在使用SSH终端访问时，应该关闭密码登录而使用安全性更好的密钥认证。行云管家本版本新增了SSH密钥对管理，支持通过行云管家向主机下发SSH密钥，方便用户定期、批量的启用/修改SSH密钥对。 主机运维时段： 针对部分用户对于主机访问时段的限制需求，我们在运维策略中增加了运维时段的设置，用户可根据实际情况设置允许访问的时段，默认情况下为全天均可访问。 复制运维策略： 考虑到精细化的授权场景，用户通常都需要定义多个运维策略，而运维策略中关于指令黑白名单的设置相对较繁琐，我们提供了运维策略复制功能，用户设置好一个运维策略后，可以复制创建另外一个策略，避免重复输入大量的指令黑白名单。 双因子认证优化： 双因子认证是安全运维的重要特性，本版本对双因子认证做了以下优化： a）增加使用场景：将双因子认证的场景由主机访问扩展到重启主机、停止主机、修改操作系统密码、修改管理终端密码、创建主机会话、快照回滚、更换系统盘、初始化磁盘、卸载数据盘、挂载数据盘等所有会对主机产生影响的操作； b）延长认证有效时间：将每次操作均需认证的方式改为认证成功后30分钟内有效，避免频繁的认证影响运维效率； 3.体检中心 支持局域网主机体检： 解决局域网主机无法体检的问题，针对已经安装行云管家Agent的局域网主机，将会纳入体检范围。 4.对象存储 优化对象存储服务授权机制： 行云管家提供了基于B/S架构实现的Object上传、下载、复制、移动等功能，而云厂商为了保护对象存储服务的安全性，提供了一系列的安全设置，例如：防盗链、跨域设置、访问签名，这些安全设置对于浏览器客户端会有很大影响，在以往版本中，这些设置由行云管家自动完成，但由于涉及到用户的业务系统，因此在本版本中，允许用户自行前往厂商控制台配置或授权行云管家一键自动配置，确保用户的知情权。 支持多个Object下载： 在Object管理中，允许一次下载多个Object。 5.团队 增加操作日志及会话分享权限项： 团队操作日志具有一定的管理色彩，而会话分享也涉及到运维安全，本版本将这两项操作列入权限项，团队管理者可设定哪些用户具有相关权限。