私有部署版 配置管理
使用管理控制台

一、登录行云管家管理控制台

通过在谷歌或火狐浏览器地址栏输入“http://IP地址/console”即可登录行云管家管理控制台,管理控制台超级管理员账号是superadmin(注意:4.18版本是superadmin,旧版本或旧版本升级上来的是admin);

二、系统设置-基础设置

在“系统设置”的“基础配置”中,我们可以进行下列这些配置:

2.1、配置访问协议及访问方式

根据您的团队使用习惯,您可以指定协议、端口来访问私有部署版门户网址。建议刚开始使用时就确认好后续需要使用的协议及端口,否则后续切换后可能因为Proxy、Agent(直连模式)连接不上门户原网址导致Proxy、Agent断连!!!

根据您的团队使用习惯,您可以把门户服务器内网IP映射后的公网IP填入“访问方式”里的“服务器IP”,或把已映射的域名填入“绑定域名”里,并选择您已添加的“CA证书”;

注意:请不要随意修改门户服务器内网IP,否则可能因为Proxy、Agent(直连模式)连接不上门户网址导致Proxy、Agent断连!!!添加IP或域名不会受影响;

延伸阅读:变更访问协议以及端口需要注意什么?

延伸阅读:添加域名证书详细操作步骤

2.2、配置系统参数(4.19版本新增功能)

(1)OTP偏离:OTP校验时,可以设置允许当前时间前后若干个验证码,每个验证码有效期为30秒,为0表示不允许偏离;

(2)敏感操作:在执行主机运维策略中定义的需要双因子认证的敏感操作时,用户认证后在有效期内无需重复认证;

(3)成员邀请:邀请好友加入团队时,邀请链接的有效期;

(4)数据库工具:使用数据库工具访问数据库时,如果连续在指定时长内未做任何操作,将自动断开连接;

(5)验证码强度:图形验证码的强度,强度越大代表干扰线越多,越难识别,但相应的防破解强度更高,修改后需要超级管理员进入门户服务器(安装行云管家的服务器)重启服务/etc/init.d/jetty restart才会生效,注意该重启操作请谨慎执行;

(6)FTP协议会话:是否允许创建FTP协议的主机会话,关闭后将无法创建FTP会话。由于FTP协议的安全性较低,请根据实际情况考虑是否启用;

2.3、配置安全策略

配置系统的各项安全策略,保障当前部署的行云管家私有部署版安全运行;

2.3.1、配置门户安全策略:

注意,这里是登录门户网址的安全策略,不是登录管理控制台的安全策略;

(1)设置用户密码策略

(此设置对通过外部认证服务器(LDAP)导入的用户无效):

(2)设置身份认证:

用户在登录行云管家时,可以设置是否对用户进行二次身份验证,二次身份认证可以选择“短信认证”、“OTP”、“第三方应用”、“RADIUS”等作为认证方式。且可以设置“是否允许通过第三方应用扫码登录门户”(前提是在管理控制台里配置了对应的第三方应用)以及设置“登录门户后的超时时长”;

(3)设置防暴力破解:

设置门户安全策略白名单,将只允许白名单中的IP登录门户,此项设置适合在明确访问来源的情况下设置,同时避免互联网环境下的异地登录;

设置门户安全策略为黑名单,可以开启防暴力破解机制,连续尝试密码失败的IP将被加入IP黑名单,黑名单中的IP将不允许登录门户;

设置完后点击“确定”,在这里我们可以看到“门户IP黑名单”(在没有开启黑白名单时是看不到的),点击“设置”;

此时可以手动添加IP至黑名单,并设置“有效期”;

(4)设置异地登录提醒:

当用户登录门户的公网IP不属于TA经常登录的城市时,将通过成员已经配置好的微信、短信、邮件进行消息提醒;

(如果系统未配置有效的消息推送方式,异地登录提醒无法生效)

2.3.2、配置管理控制台安全策略:

注意,这里是登录管理控制台网址的安全策略,不是登录门户网址的安全策略;

(1)设置用户密码策略:

(2)设置身份认证:

用户在登录管理控制台时,将对用户进行二次身份验证。另外还可以设置“登录管理控制台后的超时时长”;

(3)设置防暴力破解:

在白名单策略下,将只允许白名单中的IP登录管理控制台,此项设置适合在明确访问来源的情况下设置,同时避免互联网环境下的异地登录;

设置管理控制台安全策略为黑名单,可以开启防暴力破解机制,连续尝试密码失败的IP将被加入IP黑名单,黑名单中的IP将不允许登录管理控制台;

设置完后点击“确定”,在这里我们可以看到“管理控制台IP黑名单”(在没有开启黑白名单时是看不到的),点击“设置”;

此时可以手动添加IP至黑名单,并设置“有效期”;

2.4、配置存储方式

在这里您可以查看或配置团队网盘、主机网盘、审计录像、冗余文件的路径到本地存储及阿里云OSS或AWS S3,如无特别需求,建议用默认存储路径即可。

注意:在修改存储方式时,对于已经产生的数据,系统并不提供迁移的功能,因此修改存储方式后,在行云管家中将无法再访问这些历史数据,请谨慎操作;

如果您想配置路径到阿里云OSS或AWS S3或Azure Blob,请查看配置网盘和审计日志存储至对象存储指引

2.5、日志文件归档(4.16版本支持)

随着用户使用行云管家的时间逐渐增加,导致用户的审计日志文件越来越繁多,十分占用系统磁盘空间,在这里您可以进行日志文件归档设置。将操作日志、审计日志、审计录像及冗余文件进行归档以节省日志存放的磁盘空间,可有效提升系統响应速度。

可设置的内容:(1)您可以设置归档位置的路径。(2)选择是否开启自动归档。(3)选择归档策略,保留系统最近N个月的日志记录(系统每月1号的0时检查系统日志记录,并自动进行归档)。(4)当存储满时,选择“自动删除最早的归档文件”或“不再归档日志文件”;

2.6、日志备份至syslog服务器

在这里您可以进行日志备份至syslog服务器设置。您配置好您自己的syslog服务器地址后,会实时将选择的日志文件备份到syslog服务器。可以备份“主机操作日志”、“门户登录日志”、“主机会话指令审计日志”、“主机告警记录”;

注意:发送者标识随意填写即可、一般syslog的默认端口都是514、协议请参考syslog本身的配置文件;

在这里您可以定义您的产品名称、公司名称、备案号、产品Logo、登录页背景;

在这里您可以配置您的电话客服号码、QQ客户号码、旺旺客服号码;

在这里您启用或禁用公告栏;

开启公告栏后,可在管理控制台中发布公告文章到所有团队,在团队的首页可查看发布的公告信息,具体操作请在开启后参考公告栏使用指引

2.8、配置短信网关

在这里您可以配置短信网关,手机短信服务应用于双因子认证和密码重置等验证码应用场景;

行云管家官方为用户提供默认的短信网关,但使用过程有以下限制:

(1)当前主机必须要能够和行云管家的官网通讯;

(2)我们为您提供了共计1000条的短信配额,配额不足时请和行云管家在线客服联系;

(3)默认短信网关仅支持国内短信,如有国际短信需求请和行云管家在线客服联系;

如您想接入已有的短信网关平台,请按照短信网关接口规范文档中的说明完成短信网关API的开发;

2.9、配置邮件服务器

在这里您可以配置邮件服务器,通过配置您的邮件SMTP服务器,来开启当前邮件通知等功能,邮件通知适用于用户邮件注册、用户找回密码等场景,具体配置方式请参考邮件配置指引

2.10、配置微信、企业微信、钉钉

在这里您可以配置微信、企业微信、钉钉其中任意一种应用支持,具体配置方式请参考微信配置指引企业微信配置指引钉钉配置指引

三、系统设置-其他设置

3.1、系统设置-中转管理

该设置适用于资源数量非常多的情况,如需使用该功能,请先和行云管家客服或商务联系;

一般默认门户服务器自带中转,无需另外安装。如需安装及管理其他中转,请参考中转部署管理

3.2、系统设置-OpenAPI

在这里可以启用API,具体使用方式请参考OpenAPI使用指引

3.3、系统设置-License信息

私有部署版提供免费下载及15天试用期,只要用户下载行云管家私有部署版安装包(或镜像),即包含了一个15天免费试用的License,试用到期后,用户可以向行云管家在线客服购买正式版本License或者申请延长License试用期限。

若要更换License,请登录行云管家私有部署版管理控制台,如下图,获取服务器标识,将该服务器标识发送给厂商的客户经理,由其为您颁发新的License;

在“License信息”中,点击“更换License”;将您获得的新License信息填入,点击“确认”按钮,如果License合法,则将成功更换。

3.4、系统设置-备份与还原

点击“系统设置”、“备份与还原”,在这里可以查看备份文件所占用的存储资源概况,修改备份目录。可以设置备份策略以及创建备份。

3.5、系统设置-升级管理

针对资产规模较大的私有部署版客户,在升级时可能遇到批量升级Agent及Proxy所带来的流量风暴的困扰。在4.17版本中,我们新增了私有部署版本的"升级管理"功能,可自定义系统升级时,对Agent或Proxy是否进行自动升级、升级的并发数量及升级限速进行设置;同时如果关闭了自动升级,也支持手动对Agent及Proxy进行升级。

3.5.1、Proxy升级管理

点击“设置”,可以设置Proxy是否自动升级,并且开启自动升级后,可以设置“升级时最多允许同时升级”的数量,以及设置“每个Proxy升级时限速”,这样可以避免所有Proxy同时进行升级导致网络内的流量风暴;

您还可以点击左下角“强制升级”来升级您需要升级的Proxy;

点击某台Proxy的“查看详情”,可以“强制升级Proxy”,也可以在这里“下载升级日志”(需要先点击上传升级日志);

3.5.2、Agent升级管理

点击“设置”,可以设置Agent是否自动升级,并且开启自动升级后,可以设置“升级时最多允许同时升级”的数量,以及设置“每个Agent升级时限速”,这样可以避免所有Agent同时进行升级导致网络内的流量风暴;

您还可以点击左下角“强制升级”来升级您需要升级的Agent;

点击某台Agent的“查看详情”,可以“强制升级Agent”,也可以在这里“下载升级日志”(需要先点击上传升级日志);

四、租户管理-用户及配额管理

4.1、租户资产模型

点击“租户管理”菜单下的“租户基础设置”,在“可管理资产配置”这里可以选择“租户资产模型”;

建议您选择“租户共享模式”,意味着所有团队共享当前系统可用配额的总数。

4.2、配置团队信息

点击“租户管理”菜单下的“租户团队管理”,点击“详情”后可以在“团队信息”里修改“团队名称”、更换“团队拥有者”;

4.3、配置成员信息

点击“租户管理”菜单下的“租户团队管理”,点击“详情”后可以在“成员信息”里为当前团队添加“已有用户”或“创建新成员”,也可以移除“团队成员”;

4.4、配置资源信息

如果您在“租户资产模型”里选择“租户共享模式”,将不需要在这里修改资源配额,系统会自动分配,建议您下图这里选择“租户共享模式”。

如果您在“租户资产模型”里选择“租户配额模式”,那么需要在这里手动修改资源配额,否则可能导致主机或数据库等配额不够用,不建议选择该模式。

点击“租户管理”菜单下的“租户团队管理”,点击“详情”后可以在“资源信息”里调整license对应的配额到各类资源中,总计不能超过团队可管理资产配额总数。“租户共享模式”不需要调整配额,建议使用“租户共享模式”;

4.5、配置运行时资源配额

点击“租户管理”菜单下的“租户团队管理”,点击“详情”后可以在“运行时资源配额”里修改并发会话数量、会话录像保存时长、文件传输冗余文件保存时长、并发作业/任务数量、会话最大时长、网盘单个文件大小、文件传输下行流量、文件中转站存储空间;

4.6、门户用户管理

点击“租户管理”菜单下的“租户用户管理”,在每个用户的最后面,可以点击该用户的“详情”,在这里我们可以对用户进行密码重置、锁定、安全策略设置、登录时段设置,还可以创建、删除用户;

注意:由于通过第三方认证服务器认证的用户无法重置密码,所以AD/LDAP和RADIUS认证的用户都不允许重置密码;

(1)对门户用户进行密码修改、锁定,给用户绑定手机、邮箱,给用户解绑动态令牌(这里只能解绑):

(2)用户安全策略设置:

(3)用户登录时段设置:

五、租户管理-登录方式管理

在“租户基础设置”里,可以设置多种登录方式;

5.1、OIDC单点登录

点击“租户管理”菜单下的“租户基础设置”,在“用户登录认证设置”里的“登录方式”这里可以选择“OIDC单点登录”,开启OIDC单点登录后,行云管家门户登录将被禁用,用户只能通过统一门户进行单点登录。

注意:此种模式如有需要,可以联系行云管家商务人员进行需求沟通。

5.2、CAS单点登录(4.18版本新增功能)

点击“租户管理”菜单下的“租户基础设置”,在“用户登录认证设置”里的“登录方式”这里可以选择“CAS单点登录”,开启CAS单点登录后,行云管家门户登录将被禁用,用户只能通过统一门户进行单点登录。

具体配置方式请参考CAS单点登录配置指引

5.3、ACC单点登录(4.19新增)

点击“租户管理”菜单下的“租户基础设置”,在“用户登录认证设置”里的“登录方式”这里可以选择“ACC单点登录”,ACC单点登录是电信行业解决方案,开启后仍然通过行云管家门户登录,但由ACC服务器进行用户的身份认证。

具体配置方式请参考ACC单点登录配置指引

5.4、配置AD域/LDAP

点击“租户管理”菜单下的“租户基础设置”,在“认证服务器”这里可以配置“AD域/LDAP”;

具体配置方式请参考AD域/LDAP配置指引

5.5、配置RADIUS(4.19新增)

点击“租户管理”菜单下的“租户基础设置”,在“认证服务器”这里可以配置“RADIUS”;

具体配置方式请参考RADIUS配置指引

六、运营中心

注意:如果您是购买的私有部署版标准版等单团队版本,请直接去门户网址里进行下列设置,管理控制台里的运营中心适用于多团队的运营版来使用;

6.1、团队资源池管理

6.2、成本计费规则

6.3、主机模板管理

6.4、工单中心

6.5、公告栏管理

七、管理控制台设置

注意:这里是管理控制台的用户及角色管理,不是门户网址的用户管理,如不需要为管理控制台添加管理控制台的用户,则无需在这里进行创建管理。

7.1、管理控制台用户管理

7.2、管理控制台角色管理

八、系统日志

8.1、租户用户登录日志

8.2、管理控制台用户登录日志

8.3、管理控制台系统日志

九、管理控制台密码修改

9.1、知道密码,可以直接在管理控制台里修改密码

管理控制台密码修改,如图,当您可以进入管理控制台时,可以在这里进行修改;

9.2、忘记密码,重置密码方式

管理控制台的密码是在系统初始化时设置的,如果一旦您在后期遗忘了该密码,请按照以下步骤进行重置:

(1)通过SSH登录行云管家私有部署版服务器,如果您使用的是我们提供的镜像版安装方式,那么服务器root用户密码为:12345@AbcdE ;

(2)执行以下命令,进入行云管家的安装目录下的bin文件夹:

cd /opt/cloudbility/bin

 

(3)执行以下命令,并输入两次新的密码,修改管理控制台密码成功(账号默认是admin)。

./gjpasswd --reset