管理控制台功能简介

一、登录行云管家管理控制台

通过在谷歌或火狐浏览器地址栏输入“http://IP地址/console”即可登录行云管家管理控制台，管理控制台超级管理员账号是superadmin

二、系统设置-基础设置

在“系统设置”的“基础设置”中，我们可以进行下列这些配置：

2.1、配置访问协议及访问方式

根据您的团队使用习惯，您可以指定协议、端口来访问私有部署门户网址。建议刚开始使用时就确认好后续需要使用的协议及端口，否则后续切换后可能因为Proxy、Agent（直连模式）连接不上门户原网址导致Proxy、Agent断连！！！

根据您的团队使用习惯，您可以把门户服务器内网IP映射后的公网IP填入“访问方式”里的“服务器IP”，或把已映射的域名填入“绑定域名”里，并选择您已添加的“CA证书（证书请选择Nginx类型，以crt或pem为后缀，而证书密钥以key为后缀）”；

注意：请不要随意修改门户服务器内网IP，否则可能因为Proxy、Agent（直连模式）连接不上门户网址导致Proxy、Agent断连！！！添加IP或域名不会受影响；

延伸阅读：变更访问协议以及端口需要注意什么？

延伸阅读：添加域名证书详细操作步骤

2.2、配置系统参数

（1）OTP校验允许偏离范围：OTP校验时，可以设置允许当前时间前后若干个验证码，每个验证码有效期为30秒，为0表示不允许偏离；

（2）敏感操作二次认证有效期：在执行主机运维策略中定义的需要双因子认证的敏感操作时，用户认证后在有效期内无需重复认证；

（3）成员邀请链接有效期：邀请好友加入团队时，邀请链接的有效期；

（4）数据库工具闲置断开时长：使用数据库工具访问数据库时，如果连续在指定时长内未做任何操作，将自动断开连接；

（5）图形验证码强度：图形验证码的强度，强度越大代表干扰线越多，越难识别，但相应的防破解强度更高；

（6）支持FTP协议会话：是否允许创建FTP协议的主机会话，关闭后将无法创建FTP会话。由于FTP协议的安全性较低，请根据实际情况考虑是否启用；

（7）允许匿名参与会话分享：会话开启分享时，是否允许匿名访客进入。禁止后，会话分享将禁止匿名访客进入会话；

（8）允许门户重复登录：是否允许同一个用户同时在不同浏览器登录门户，禁止后，用户登录时，会强制结束该用户在其它浏览器登录的门户会话；

（9）允许密码登录SSH跳板机：是否允许使用密码登录行云管家跳板机并访问主机，关闭后将只能使用密钥登录；

（10）自定义RDP会话标题：WEB及本地工具RDP会话的标题；支持参数+文本，参数包括：主机IP ${hostip}、主机名${hostname}、主机账户${account}

（11）自定义SSH会话标题：WEB及本地工具SSH会话的标题；支持参数+文本，参数包括：主机IP ${hostip}、主机名${hostname}、主机账户${account}

（12）自定义VNC会话标题：WEB的VNC会话的标题；支持参数+文本，参数包括：主机IP ${hostip}、主机名${hostname}、主机账户${account}

（13）自定义Telnet会话标题：WEB的Telnet会话的标题；支持参数+文本，参数包括：主机IP ${hostip}、主机名${hostname}、主机账户${account}

2.3、配置安全策略

配置系统的各项安全策略，保障当前部署的行云管家私有部署安全运行；

2.3.1、配置门户安全策略：

注意，这里是登录门户网址的安全策略，不是登录管理控制台的安全策略；

（1）设置用户密码策略

（此设置对通过外部认证服务器（LDAP）导入的用户无效）：

（2）设置身份认证：

用户在登录行云管家时，可以设置是否对用户进行二次身份验证，二次身份认证可以选择“短信认证”、“OTP”、“第三方应用”、“RADIUS”等作为认证方式。且可以设置“是否允许通过第三方应用扫码登录门户”（前提是在管理控制台里配置了对应的第三方应用）以及设置“登录门户后的超时时长”；

（3）设置防暴力破解：

设置门户安全策略白名单，将只允许白名单中的IP登录门户，此项设置适合在明确访问来源的情况下设置，同时避免互联网环境下的异地登录；

设置门户安全策略为黑名单，可以开启防暴力破解机制，连续尝试密码失败的IP将被加入IP黑名单，黑名单中的IP将不允许登录门户；

设置完后点击“确定”，在这里我们可以看到“门户IP黑名单”（在没有开启黑白名单时是看不到的），点击“设置”；

此时可以手动添加IP至黑名单，并设置“有效期”；

（4）设置异地登录提醒：

当用户登录门户的公网IP不属于TA经常登录的城市时，将通过成员已经配置好的微信、短信、邮件进行消息提醒；

（如果系统未配置有效的消息推送方式，异地登录提醒无法生效）

2.3.2、配置管理控制台安全策略：

注意，这里是登录管理控制台网址的安全策略，不是登录门户网址的安全策略；

（1）设置用户密码策略：

（2）设置身份认证：

用户在登录管理控制台时，将对用户进行二次身份验证。另外还可以设置“登录管理控制台后的超时时长”；

扩展阅读：开启管理控制台二次认证后，因手机丢失等原因无法通过二次认证进入管理控制台，该如何关闭

（3）设置防暴力破解：

在白名单策略下，将只允许白名单中的IP登录管理控制台，此项设置适合在明确访问来源的情况下设置，同时避免互联网环境下的异地登录；

设置管理控制台安全策略为黑名单，可以开启防暴力破解机制，连续尝试密码失败的IP将被加入IP黑名单，黑名单中的IP将不允许登录管理控制台；

设置完后点击“确定”，在这里我们可以看到“管理控制台IP黑名单”（在没有开启黑白名单时是看不到的），点击“设置”；

此时可以手动添加IP至黑名单，并设置“有效期”；

2.4、配置存储方式

在这里您可以查看或配置团队网盘、主机网盘、审计录像、冗余文件的路径到本地存储及阿里云OSS或AWS S3，如无特别需求，建议用默认存储路径即可。

注意：在修改存储方式时，对于已经产生的数据，系统并不提供迁移的功能，因此修改存储方式后，在行云管家中将无法再访问这些历史数据，请谨慎操作；

如果您想配置路径到阿里云OSS或AWS S3或Azure Blob，请查看配置网盘和审计日志存储至对象存储指引；

2.5、日志文件归档

随着用户使用行云管家的时间逐渐增加，导致用户的审计日志文件越来越繁多，十分占用系统磁盘空间，在这里您可以进行日志文件归档设置。将操作日志、审计日志、审计录像及冗余文件进行归档以节省日志存放的磁盘空间，可有效提升系統响应速度。

可设置的内容：（1）您可以设置归档位置的路径。（2）选择是否开启自动归档。（3）选择归档策略，保留系统最近N个月的日志记录（系统每月1号的0时检查系统日志记录，并自动进行归档）。（4）当存储满时，选择“自动删除最早的归档文件”或“不再归档日志文件”；

2.6、日志备份至syslog服务器

在这里您可以进行日志备份至syslog服务器设置。您配置好您自己的syslog服务器地址后，会实时将选择的日志文件备份到syslog服务器。可以备份“主机操作日志”、“门户登录日志”、“主机会话指令审计日志”、“主机告警记录”、“数据库审计日志”；

注意：发送者标识随意填写即可、一般syslog的默认端口都是514、协议请参考syslog本身的配置文件；

2.7、配置产品信息、Logo、客服、公告

在这里您可以定义您的产品名称、公司名称、备案号、产品Logo、登录页背景；

在这里您可以配置您的电话客服号码、QQ客户号码、旺旺客服号码；

在这里您启用或禁用公告栏；

开启公告栏后，可在管理控制台中发布公告文章到所有团队，在团队的首页可查看发布的公告信息，具体操作请在开启后参考公告栏使用指引

2.8、配置短信网关

在这里您可以配置短信网关，手机短信服务应用于双因子认证和密码重置等验证码应用场景；

行云管家官方为用户提供默认的短信网关，但使用过程有以下限制：

（1）当前主机必须要能够和行云管家的官网通讯；

（2）我们为您提供了共计1000条的短信配额，配额不足时请和行云管家在线客服联系；

（3）默认短信网关仅支持国内短信，如有国际短信需求请和行云管家在线客服联系；

如您想接入已有的短信网关平台，请按照短信网关接口规范文档中的说明完成短信网关API的开发；

2.9、配置邮件服务器

在这里您可以配置邮件服务器，通过配置您的邮件SMTP服务器，来开启当前邮件通知等功能，邮件通知适用于用户邮件注册、用户找回密码等场景，具体配置方式请参考邮件配置指引

2.10、配置微信、企业微信、钉钉

在这里您可以配置微信、企业微信、钉钉其中任意一种应用支持，具体配置方式请参考微信配置指引、企业微信配置指引、钉钉配置指引

三、系统设置-其他设置

3.1、系统设置-许可管理

私有部署提供免费下载及15天试用期，只要用户下载行云管家私有部署安装包（或镜像），即包含了一个15天免费试用的License许可，试用到期后，用户可以向行云管家在线客服购买正式版本License许可或者申请延长License许可试用期限。

若要更换License，请登录行云管家私有部署管理控制台，如下图，导出服务器标识，将该服务器标识发送给厂商的客户经理，由其为您颁发新的License许可；

在“许可管理”中，点击“导入许可”；将您获得的新License信息填入，点击“确认”按钮，如果License许可合法，则将成功更换。

3.2、系统设置-中转管理

在私有部署里，门户服务和会话中转服务可以部署在同一个虚拟机之中，也可以独立部署，独立部署的好处是：当并发会话数量过大时，能够将负载压力有效的均衡分布在多个会话中转服务之上。该设置适用于会话并发数量非常多的情况，如需使用该功能，请先和行云管家客服或商务联系，一般建议安装多Proxy来进行云账户会话负载均衡即可，无需安装多中转；

一般默认门户服务器自带中转，无需另外安装。如和客服确定需要安装及管理其他中转，请参考中转部署管理；

3.3、系统设置-OpenAPI

在这里可以启用API，具体使用方式请参考OpenAPI使用指引；

3.4、系统设置-备份与还原

点击“系统设置”、“备份与还原”，在这里可以查看备份文件所占用的存储资源概况，修改备份目录。可以设置备份策略以及创建备份。

扩展阅读：

（1）备份服务对应门户服务器（安装行云管家的服务器）端口配置文件是/opt/cloudbility/conf/cloudEnt.properties

（2）备份服务对应门户服务器的端口号默认为10000

（3）备份服务在门户服务器里重启方式/opt/cloudbility/native/backup/guanjia_backup service restart

（4）中止备份：在门户服务器里输入ps -ef |grep backup.sh|grep -v grep|awk '{print $2}' | xargs kill -9

3.5、系统设置-升级管理

针对资产规模较大的私有部署客户，在升级时可能遇到批量升级Agent及Proxy所带来的流量风暴的困扰。私有部署的"升级管理"功能，可自定义系统升级时，对Agent或Proxy是否进行自动升级、升级的并发数量及升级限速进行设置；同时如果关闭了自动升级，也支持手动对Agent及Proxy进行升级。

3.5.1、Proxy升级管理

点击“设置”，可以设置Proxy是否自动升级，并且开启自动升级后，可以设置“升级时最多允许同时升级”的数量，以及设置“每个Proxy升级时限速”，这样可以避免所有Proxy同时进行升级导致网络内的流量风暴；

您还可以点击左下角“强制升级”来升级您需要升级的Proxy；

点击某台Proxy的“查看详情”，可以“强制升级Proxy”，也可以在这里“下载升级日志”（需要先点击上传升级日志）；

3.5.2、Agent升级管理

点击“设置”，可以设置Agent是否自动升级，并且开启自动升级后，可以设置“升级时最多允许同时升级”的数量，以及设置“每个Agent升级时限速”，这样可以避免所有Agent同时进行升级导致网络内的流量风暴；

您还可以点击左下角“强制升级”来升级您需要升级的Agent；

点击某台Agent的“查看详情”，可以“强制升级Agent”，也可以在这里“下载升级日志”（需要先点击上传升级日志）；

四、团队管理-团队及用户管理

4.1、团队管理-基础信息

（1）在“团队管理”菜单下的“团队管理”中，可以创建、删除团队；

（2）在“团队管理”菜单下的“团队管理”中，点击团队的“详情”，在如图“团队信息”中可以编辑“团队名称”以及更换“团队拥有者”；

4.2、团队管理-产品管理

注意：该功能只适用于行云管家运营版；

运营版License许可控制的是多团队运营形态下当前实例能够为团队开通哪些产品。团队默认不开通产品，团队可进行产品自助式开通或申请开通，开通记录将以订单的形式进行记录；

在“团队管理”菜单下的“团队管理”中，点击团队的“开通产品”或“详情”，在如图“产品管理”中可以变更、续费、开通相关产品；

4.3、基础设置-租户资产模型

在“团队管理”菜单下的“基础设置”中，在“可管理资产配置”这里可以选择“租户资产模型”；

建议标准版及企业版许可的选择“租户共享模式”，意味着所有或单个团队共享当前系统可用配额的总数。而在运营版中，租户资产模型固定为租户配额模式，无法修改。

4.4、基础设置-配额管理

在“团队管理”菜单下的“团队管理”中，点击团队的“详情”，在如图“配额管理”中可以编辑相关产品配额，可以修改并发会话数量、主机审计日志保留时长、并发作业/任务数量、最大会话时长、网盘单个文件大小、文件传输下行流量、文件中转站存储空间、数据库审计日志保留时长等；

4.5、用户管理

4.5.1、用户创建、删除

在“团队管理”菜单下的“用户管理”中，如图可以创建新用户、删除用户，在“进入批量管理”里还能批量删除用户；

4.5.2、用户管理

在“团队管理”菜单下的“用户管理”中，在每个用户的最后面，可以点击该用户的“详情”，在这里我们可以对用户进行密码重置、锁定、手机邮箱动态令牌的绑定及解绑、安全策略设置、登录时段设置；

注意：由于通过第三方认证服务器认证的用户无法重置密码，所以AD/LDAP和RADIUS认证的用户都不允许重置密码；

（1）对门户用户进行密码修改、锁定，给用户绑定手机、邮箱，给用户解绑动态令牌（这里只能解绑）：

（2）用户安全策略设置：

注意1：IP限制时请根据您实际情况进行填写，日常通过内网IP方式打开行云管家门户网站时，这里要填写用户电脑客户端的内网IP，而日常是通过外网IP或域名打开行云管家门户网站，这里要填写用户电脑客户端的外网出口IP，否则无法限制生效。
注意2：MAC地址限制只对内网访问行云管家门户网站时生效，并且要求同一个内网网段；例如行云管家门户网站是192.168.2.2，那么用户电脑客户端IP如果是192.168.3.2，不在一个网段内，此时设置MAC白名单后，用户也无法登录进行云管家门户网站。

（3）用户登录时段设置：

4.5.2、团队成员添加与移除

在“团队管理”菜单下的“团队管理”中，点击“详情”后可以在“成员信息”里为当前团队添加“已有用户”或“创建新成员”，也可以移除“团队成员”；

五、团队管理-登录方式管理

在“团队管理”菜单下的“基础设置”中，可以设置多种登录方式；

5.1、OIDC单点登录

在“团队管理”菜单下的“基础设置”中，在“用户登录认证设置”里的“登录方式”这里可以选择“OIDC单点登录”，开启OIDC单点登录后，行云管家门户登录将被禁用，用户只能通过统一门户进行单点登录。

注意：此种模式如有需要，可以联系行云管家商务人员进行需求沟通。

5.2、CAS单点登录

在“团队管理”菜单下的“基础设置”中，在“用户登录认证设置”里的“登录方式”这里可以选择“CAS单点登录”，开启CAS单点登录后，行云管家门户登录将被禁用，用户只能通过统一门户进行单点登录。

具体配置方式请参考CAS单点登录配置指引

5.3、ACC单点登录

在“团队管理”菜单下的“基础设置”中，在“用户登录认证设置”里的“登录方式”这里可以选择“ACC单点登录”，ACC单点登录是电信行业解决方案，开启后仍然通过行云管家门户登录，但由ACC服务器进行用户的身份认证。

具体配置方式请参考ACC单点登录配置指引

5.4、配置AD域/LDAP

在“团队管理”菜单下的“基础设置”中，在“认证服务器”这里可以配置“AD域/LDAP”；

具体配置方式请参考AD域/LDAP配置指引

5.5、配置RADIUS

在“团队管理”菜单下的“基础设置”中，在“认证服务器”这里可以配置“RADIUS”；

具体配置方式请参考RADIUS配置指引

六、运营中心

注意：如果您是购买的私有部署标准版或企业版等单团队版本，请直接去门户网址里进行下列设置，管理控制台里的运营中心适用于多团队的运营版来使用；

6.1、订单管理

运营版License许可控制的是多团队运营形态下当前实例能够为团队开通哪些产品。团队默认不开通产品，团队可进行产品自助式开通或申请开通，开通记录将以订单的形式进行记录；

在“运营中心”的“订单管理”中可以看到所有开通的订单服务信息；

点击“详情”可以看到订单服务具体信息；

6.2、工单中心

在“运营中心”的“订单管理”中可以创建相关运营中心的工单；

点击“新建运营工单模板”，可以创建“服务申请工单”、“客服工单”、“主机申请工单”、“主机变配工单”；

6.3、云环境管理

在“运营中心”的“资源池管理”中可以添加新的云环境，具体云环境使用方式请参考云环境管理

在“运营中心”的“云环境管理”中可以管理已添加的云环境。

6.4、资源池管理

在“运营中心”的“资源池管理”中可以添加新的云环境，添加云环境后即可管理资源池，具体资源池使用方式请参考资源池管理

添加后请注意该资源池是否有授权给对应的团队；

6.5、成本计费规则

6.6、主机模板管理

6.7、公告栏管理

七、控制台管理

注意：这里是管理控制台的用户及角色管理，不是门户网址的用户管理，如不需要为管理控制台添加管理控制台的用户，则无需在这里进行创建管理。

7.1、后台用户管理

管理控制台用户管理；

（1）对管理控制台用户进行密码修改、锁定：

（2）管理控制台用户安全策略设置：

注意1：IP限制时请根据您实际情况进行填写，日常通过内网IP方式打开行云管家管理控制台时，这里要填写用户电脑客户端的内网IP，而日常是通过外网IP或域名打开行云管家管理控制台，这里要填写用户电脑客户端的外网出口IP，否则无法限制生效。
注意2：MAC地址限制只对内网访问行云管家管理控制台时生效，并且要求同一个内网网段；例如行云管家门户网站是192.168.2.2，那么用户电脑客户端IP如果是192.168.3.2，不在一个网段内，此时设置MAC白名单后，用户也无法登录进行云管家管理控制台。