私有部署 配置管理
使用管理控制台

一、登录行云管家管理控制台

通过在谷歌或火狐浏览器地址栏输入“http://IP地址/console”即可登录行云管家管理控制台,管理控制台超级管理员账号是superadmin(注意:4.18版本是superadmin,旧版本或旧版本升级上来的是admin);

二、系统设置-基础设置

在“系统设置”的“基础设置”中,我们可以进行下列这些配置:

2.1、配置访问协议及访问方式

根据您的团队使用习惯,您可以指定协议、端口来访问私有部署门户网址。建议刚开始使用时就确认好后续需要使用的协议及端口,否则后续切换后可能因为Proxy、Agent(直连模式)连接不上门户原网址导致Proxy、Agent断连!!!

根据您的团队使用习惯,您可以把门户服务器内网IP映射后的公网IP填入“访问方式”里的“服务器IP”,或把已映射的域名填入“绑定域名”里,并选择您已添加的“CA证书”;

注意:请不要随意修改门户服务器内网IP,否则可能因为Proxy、Agent(直连模式)连接不上门户网址导致Proxy、Agent断连!!!添加IP或域名不会受影响;

延伸阅读:变更访问协议以及端口需要注意什么?

延伸阅读:添加域名证书详细操作步骤

2.2、配置系统参数

(1)OTP校验允许偏离范围:OTP校验时,可以设置允许当前时间前后若干个验证码,每个验证码有效期为30秒,为0表示不允许偏离;

(2)敏感操作二次认证有效期:在执行主机运维策略中定义的需要双因子认证的敏感操作时,用户认证后在有效期内无需重复认证;

(3)成员邀请链接有效期:邀请好友加入团队时,邀请链接的有效期;

(4)数据库工具闲置断开时长:使用数据库工具访问数据库时,如果连续在指定时长内未做任何操作,将自动断开连接;

(5)图形验证码强度:图形验证码的强度,强度越大代表干扰线越多,越难识别,但相应的防破解强度更高;

(6)支持FTP协议会话:是否允许创建FTP协议的主机会话,关闭后将无法创建FTP会话。由于FTP协议的安全性较低,请根据实际情况考虑是否启用;

(7)允许匿名参与会话分享:会话开启分享时,是否允许匿名访客进入。禁止后,会话分享将禁止匿名访客进入会话;

(8)允许门户重复登录:是否允许同一个用户同时在不同浏览器登录门户,禁止后,用户登录时,会强制结束该用户在其它浏览器登录的门户会话;

(9)允许密码登录SSH跳板机:是否允许使用密码登录行云管家跳板机并访问主机,关闭后将只能使用密钥登录;

(10)自定义RDP会话标题:WEB及本地工具RDP会话的标题;支持参数+文本,参数包括:主机IP ${hostip}、主机名${hostname}、主机账户${account}

(11)自定义SSH会话标题:WEB及本地工具SSH会话的标题;支持参数+文本,参数包括:主机IP ${hostip}、主机名${hostname}、主机账户${account}

(12)自定义VNC会话标题:WEB的VNC会话的标题;支持参数+文本,参数包括:主机IP ${hostip}、主机名${hostname}、主机账户${account}

(13)自定义Telnet会话标题:WEB的Telnet会话的标题;支持参数+文本,参数包括:主机IP ${hostip}、主机名${hostname}、主机账户${account}

2.3、配置安全策略

配置系统的各项安全策略,保障当前部署的行云管家私有部署安全运行;

2.3.1、配置门户安全策略:

注意,这里是登录门户网址的安全策略,不是登录管理控制台的安全策略;

(1)设置用户密码策略

(此设置对通过外部认证服务器(LDAP)导入的用户无效):

(2)设置身份认证:

用户在登录行云管家时,可以设置是否对用户进行二次身份验证,二次身份认证可以选择“短信认证”、“OTP”、“第三方应用”、“RADIUS”等作为认证方式。且可以设置“是否允许通过第三方应用扫码登录门户”(前提是在管理控制台里配置了对应的第三方应用)以及设置“登录门户后的超时时长”;

(3)设置防暴力破解:

设置门户安全策略白名单,将只允许白名单中的IP登录门户,此项设置适合在明确访问来源的情况下设置,同时避免互联网环境下的异地登录;

设置门户安全策略为黑名单,可以开启防暴力破解机制,连续尝试密码失败的IP将被加入IP黑名单,黑名单中的IP将不允许登录门户;

设置完后点击“确定”,在这里我们可以看到“门户IP黑名单”(在没有开启黑白名单时是看不到的),点击“设置”;

此时可以手动添加IP至黑名单,并设置“有效期”;

(4)设置异地登录提醒:

当用户登录门户的公网IP不属于TA经常登录的城市时,将通过成员已经配置好的微信、短信、邮件进行消息提醒;

(如果系统未配置有效的消息推送方式,异地登录提醒无法生效)

2.3.2、配置管理控制台安全策略:

注意,这里是登录管理控制台网址的安全策略,不是登录门户网址的安全策略;

(1)设置用户密码策略:

(2)设置身份认证:

用户在登录管理控制台时,将对用户进行二次身份验证。另外还可以设置“登录管理控制台后的超时时长”;

扩展阅读:开启管理控制台二次认证后,因手机丢失等原因无法通过二次认证进入管理控制台,该如何关闭

(3)设置防暴力破解:

在白名单策略下,将只允许白名单中的IP登录管理控制台,此项设置适合在明确访问来源的情况下设置,同时避免互联网环境下的异地登录;

设置管理控制台安全策略为黑名单,可以开启防暴力破解机制,连续尝试密码失败的IP将被加入IP黑名单,黑名单中的IP将不允许登录管理控制台;

设置完后点击“确定”,在这里我们可以看到“管理控制台IP黑名单”(在没有开启黑白名单时是看不到的),点击“设置”;

此时可以手动添加IP至黑名单,并设置“有效期”;

2.4、配置存储方式

在这里您可以查看或配置团队网盘、主机网盘、审计录像、冗余文件的路径到本地存储及阿里云OSS或AWS S3,如无特别需求,建议用默认存储路径即可。

注意:在修改存储方式时,对于已经产生的数据,系统并不提供迁移的功能,因此修改存储方式后,在行云管家中将无法再访问这些历史数据,请谨慎操作;

如果您想配置路径到阿里云OSS或AWS S3或Azure Blob,请查看配置网盘和审计日志存储至对象存储指引

2.5、日志文件归档

随着用户使用行云管家的时间逐渐增加,导致用户的审计日志文件越来越繁多,十分占用系统磁盘空间,在这里您可以进行日志文件归档设置。将操作日志、审计日志、审计录像及冗余文件进行归档以节省日志存放的磁盘空间,可有效提升系統响应速度。

可设置的内容:(1)您可以设置归档位置的路径。(2)选择是否开启自动归档。(3)选择归档策略,保留系统最近N个月的日志记录(系统每月1号的0时检查系统日志记录,并自动进行归档)。(4)当存储满时,选择“自动删除最早的归档文件”或“不再归档日志文件”;

2.6、日志备份至syslog服务器

在这里您可以进行日志备份至syslog服务器设置。您配置好您自己的syslog服务器地址后,会实时将选择的日志文件备份到syslog服务器。可以备份“主机操作日志”、“门户登录日志”、“主机会话指令审计日志”、“主机告警记录”、“数据库审计日志”;

注意:发送者标识随意填写即可、一般syslog的默认端口都是514、协议请参考syslog本身的配置文件;

在这里您可以定义您的产品名称、公司名称、备案号、产品Logo、登录页背景;

在这里您可以配置您的电话客服号码、QQ客户号码、旺旺客服号码;

在这里您启用或禁用公告栏;

开启公告栏后,可在管理控制台中发布公告文章到所有团队,在团队的首页可查看发布的公告信息,具体操作请在开启后参考公告栏使用指引

2.8、配置短信网关

在这里您可以配置短信网关,手机短信服务应用于双因子认证和密码重置等验证码应用场景;

行云管家官方为用户提供默认的短信网关,但使用过程有以下限制:

(1)当前主机必须要能够和行云管家的官网通讯;

(2)我们为您提供了共计1000条的短信配额,配额不足时请和行云管家在线客服联系;

(3)默认短信网关仅支持国内短信,如有国际短信需求请和行云管家在线客服联系;

如您想接入已有的短信网关平台,请按照短信网关接口规范文档中的说明完成短信网关API的开发;

2.9、配置邮件服务器

在这里您可以配置邮件服务器,通过配置您的邮件SMTP服务器,来开启当前邮件通知等功能,邮件通知适用于用户邮件注册、用户找回密码等场景,具体配置方式请参考邮件配置指引

2.10、配置微信、企业微信、钉钉

在这里您可以配置微信、企业微信、钉钉其中任意一种应用支持,具体配置方式请参考微信配置指引企业微信配置指引钉钉配置指引

三、系统设置-其他设置

3.1、系统设置-许可管理

私有部署提供免费下载及15天试用期,只要用户下载行云管家私有部署安装包(或镜像),即包含了一个15天免费试用的License许可,试用到期后,用户可以向行云管家在线客服购买正式版本License许可或者申请延长License许可试用期限。

若要更换License,请登录行云管家私有部署管理控制台,如下图,导出服务器标识,将该服务器标识发送给厂商的客户经理,由其为您颁发新的License许可;

在“许可管理”中,点击“导入许可”;将您获得的新License信息填入,点击“确认”按钮,如果License许可合法,则将成功更换。

3.2、系统设置-中转管理

在私有部署里,门户服务和会话中转服务可以部署在同一个虚拟机之中,也可以独立部署,独立部署的好处是:当并发会话数量过大时,能够将负载压力有效的均衡分布在多个会话中转服务之上。该设置适用于会话并发数量非常多的情况,如需使用该功能,请先和行云管家客服或商务联系,一般建议安装多Proxy来进行云账户会话负载均衡即可,无需安装多中转;

一般默认门户服务器自带中转,无需另外安装。如和客服确定需要安装及管理其他中转,请参考中转部署管理

3.3、系统设置-OpenAPI

在这里可以启用API,具体使用方式请参考OpenAPI使用指引

3.4、系统设置-备份与还原

点击“系统设置”、“备份与还原”,在这里可以查看备份文件所占用的存储资源概况,修改备份目录。可以设置备份策略以及创建备份。

  • 扩展阅读:

(1)备份服务对应门户服务器(安装行云管家的服务器)端口配置文件是/opt/cloudbility/conf/cloudEnt.properties

(2)备份服务对应门户服务器的端口号默认为10000

(3)备份服务在门户服务器里重启方式/opt/cloudbility/native/backup/guanjia_backup service restart

(4)中止备份:在门户服务器里输入ps -ef |grep backup.sh|grep -v grep|awk '{print $2}' | xargs kill -9

3.5、系统设置-升级管理

针对资产规模较大的私有部署客户,在升级时可能遇到批量升级Agent及Proxy所带来的流量风暴的困扰。私有部署的"升级管理"功能,可自定义系统升级时,对Agent或Proxy是否进行自动升级、升级的并发数量及升级限速进行设置;同时如果关闭了自动升级,也支持手动对Agent及Proxy进行升级。

3.5.1、Proxy升级管理

点击“设置”,可以设置Proxy是否自动升级,并且开启自动升级后,可以设置“升级时最多允许同时升级”的数量,以及设置“每个Proxy升级时限速”,这样可以避免所有Proxy同时进行升级导致网络内的流量风暴;

您还可以点击左下角“强制升级”来升级您需要升级的Proxy;

点击某台Proxy的“查看详情”,可以“强制升级Proxy”,也可以在这里“下载升级日志”(需要先点击上传升级日志);

3.5.2、Agent升级管理

点击“设置”,可以设置Agent是否自动升级,并且开启自动升级后,可以设置“升级时最多允许同时升级”的数量,以及设置“每个Agent升级时限速”,这样可以避免所有Agent同时进行升级导致网络内的流量风暴;

您还可以点击左下角“强制升级”来升级您需要升级的Agent;

点击某台Agent的“查看详情”,可以“强制升级Agent”,也可以在这里“下载升级日志”(需要先点击上传升级日志);

四、团队管理-团队及用户管理

4.1、团队管理-基础信息

(1)在“团队管理”菜单下的“团队管理”中,可以创建、删除团队;

(2)在“团队管理”菜单下的“团队管理”中,点击团队的“详情”,在如图“团队信息”中可以编辑“团队名称”以及更换“团队拥有者”;

4.2、团队管理-产品管理

  • 注意:该功能只适用于行云管家运营版;

运营版License许可控制的是多团队运营形态下当前实例能够为团队开通哪些产品。团队默认不开通产品,团队可进行产品自助式开通或申请开通,开通记录将以订单的形式进行记录;

在“团队管理”菜单下的“团队管理”中,点击团队的“开通产品”或“详情”,在如图“产品管理”中可以变更、续费、开通相关产品;

4.3、基础设置-租户资产模型

在“团队管理”菜单下的“基础设置”中,在“可管理资产配置”这里可以选择“租户资产模型”;

建议标准版及企业版许可的选择“租户共享模式”,意味着所有或单个团队共享当前系统可用配额的总数。而在运营版中,租户资产模型固定为租户配额模式,无法修改。

4.4、基础设置-配额管理

在“团队管理”菜单下的“团队管理”中,点击团队的“详情”,在如图“配额管理”中可以编辑相关产品配额,可以修改并发会话数量、主机审计日志保留时长、文件传输冗余文件保存时长、并发作业/任务数量、会话最大时长、网盘单个文件大小、文件传输下行流量、文件中转站存储空间等;

4.5、用户管理

4.5.1、用户创建、删除

在“团队管理”菜单下的“用户管理”中,如图可以创建新用户、删除用户,在“进入批量管理”里还能批量删除用户;

4.5.2、用户管理

在“团队管理”菜单下的“用户管理”中,在每个用户的最后面,可以点击该用户的“详情”,在这里我们可以对用户进行密码重置、锁定、手机邮箱动态令牌的绑定及解绑、安全策略设置、登录时段设置;

注意:由于通过第三方认证服务器认证的用户无法重置密码,所以AD/LDAP和RADIUS认证的用户都不允许重置密码;

(1)对门户用户进行密码修改、锁定,给用户绑定手机、邮箱,给用户解绑动态令牌(这里只能解绑):

(2)用户安全策略设置:

(3)用户登录时段设置:

4.5.2、团队成员添加与移除

在“团队管理”菜单下的“团队管理”中,点击“详情”后可以在“成员信息”里为当前团队添加“已有用户”或“创建新成员”,也可以移除“团队成员”;

五、团队管理-登录方式管理

在“团队管理”菜单下的“基础设置”中,可以设置多种登录方式;

5.1、OIDC单点登录

在“团队管理”菜单下的“基础设置”中,在“用户登录认证设置”里的“登录方式”这里可以选择“OIDC单点登录”,开启OIDC单点登录后,行云管家门户登录将被禁用,用户只能通过统一门户进行单点登录。

注意:此种模式如有需要,可以联系行云管家商务人员进行需求沟通。

5.2、CAS单点登录

在“团队管理”菜单下的“基础设置”中,在“用户登录认证设置”里的“登录方式”这里可以选择“CAS单点登录”,开启CAS单点登录后,行云管家门户登录将被禁用,用户只能通过统一门户进行单点登录。

具体配置方式请参考CAS单点登录配置指引

5.3、ACC单点登录

在“团队管理”菜单下的“基础设置”中,在“用户登录认证设置”里的“登录方式”这里可以选择“ACC单点登录”,ACC单点登录是电信行业解决方案,开启后仍然通过行云管家门户登录,但由ACC服务器进行用户的身份认证。

具体配置方式请参考ACC单点登录配置指引

5.4、配置AD域/LDAP

在“团队管理”菜单下的“基础设置”中,在“认证服务器”这里可以配置“AD域/LDAP”;

具体配置方式请参考AD域/LDAP配置指引

5.5、配置RADIUS

在“团队管理”菜单下的“基础设置”中,在“认证服务器”这里可以配置“RADIUS”;

具体配置方式请参考RADIUS配置指引

六、运营中心

注意:如果您是购买的私有部署标准版或企业版等单团队版本,请直接去门户网址里进行下列设置,管理控制台里的运营中心适用于多团队的运营版来使用;

6.1、订单管理

运营版License许可控制的是多团队运营形态下当前实例能够为团队开通哪些产品。团队默认不开通产品,团队可进行产品自助式开通或申请开通,开通记录将以订单的形式进行记录;

在“运营中心”的“订单管理”中可以看到所有开通的订单服务信息;

点击“详情”可以看到订单服务具体信息;

6.2、工单中心

在“运营中心”的“订单管理”中可以创建相关运营中心的工单;

点击“新建运营工单模板”,可以创建“服务申请工单”、“客服工单”、“主机申请工单”、“主机变配工单”;

6.3、资源池管理

在“运营中心”的“资源池管理”中可以添加新的资源池,具体资源池使用方式请参考资源池管理

添加后请注意该资源池是否有授权给对应的团队;

6.4、成本计费规则

6.5、主机模板管理

6.6、公告栏管理

七、控制台管理

注意:这里是管理控制台的用户及角色管理,不是门户网址的用户管理,如不需要为管理控制台添加管理控制台的用户,则无需在这里进行创建管理。

7.1、后台用户管理

管理控制台用户管理;

7.2、后台角色管理

管理控制台角色管理;

7.3、用户登录日志

可以查看到用户通过门户网页、跳板机等登录的相关日志:

7.4、控制台登录日志

用户登录管理控制台网页的日志;

7.5、系统日志

管理控制台的系统日志;

八、管理控制台密码修改

8.1、知道密码,可以直接在管理控制台里修改密码

管理控制台密码修改,如图,当您可以进入管理控制台时,可以在这里进行修改;

8.2、忘记密码,重置密码方式

管理控制台的密码是在系统初始化时设置的,如果一旦您在后期遗忘了该密码,请按照以下步骤进行重置:

(1)通过SSH登录行云管家私有部署服务器,如果您使用的是我们提供的镜像版安装方式,那么服务器root用户密码为:12345@AbcdE ;

(2)执行以下命令,进入行云管家的安装目录下的bin文件夹:

cd /opt/cloudbility/bin

 

(3)执行以下命令,并输入两次新的密码,修改管理控制台密码成功(账号默认是admin)。

./gjpasswd --reset