管理控制台
管理控制台功能简介

一、登录行云管家管理控制台

通过在谷歌或火狐浏览器地址栏输入“http://IP地址/console”即可登录行云管家管理控制台,管理控制台超级管理员账号是superadmin;

二、系统设置-基础设置

在“系统设置”的“基础设置”中,我们可以进行下列这些配置:

2.1、配置访问协议及访问方式

根据您的团队使用习惯,您可以指定协议、端口来访问私有部署门户网址。建议刚开始使用时就确认好后续需要使用的协议及端口,否则后续切换后可能因为Proxy、Agent(直连模式)连接不上门户原网址导致Proxy、Agent断连!!!

根据您的团队使用习惯,您可以把门户服务器内网IP映射后的公网IP填入“访问方式”里的“服务器IP”,或把已映射的域名填入“绑定域名”里,并选择您已添加的“CA证书(证书请选择Nginx类型,以crt或pem为后缀,而证书密钥以key为后缀)”;

注意:请不要随意修改门户服务器内网IP,否则可能因为Proxy、Agent(直连模式)连接不上门户网址导致Proxy、Agent断连!!!添加IP或域名不会受影响;

延伸阅读:变更访问协议以及端口需要注意什么?

延伸阅读:添加域名证书详细操作步骤

2.2、配置系统参数

(1)OTP校验允许偏离范围:OTP校验时,可以设置允许当前时间前后若干个验证码,每个验证码有效期为30秒,为0表示不允许偏离;

(2)敏感操作二次认证有效期:在执行主机运维策略中定义的需要双因子认证的敏感操作时,用户认证后在有效期内无需重复认证;

(3)成员邀请链接有效期:邀请好友加入团队时,邀请链接的有效期;

(4)数据库工具闲置断开时长:使用数据库工具访问数据库时,如果连续在指定时长内未做任何操作,将自动断开连接;

(5)图形验证码强度:图形验证码的强度,强度越大代表干扰线越多,越难识别,但相应的防破解强度更高;

(6)支持TELNET协议会话:是否允许创建TELNET协议的主机会话,关闭后将无法创建TELNET会话。由于TELNET协议的安全性较低,请根据实际情况考虑是否启用;

(7)支持FTP协议会话:是否允许创建FTP协议的主机会话,关闭后将无法创建FTP会话。由于FTP协议的安全性较低,请根据实际情况考虑是否启用;

(8)会话守护最大时长默认值:设置会话守护最大时长的默认值,需要注意的是当会话剩余时长小于默认值时,则会话守护时间为会话剩余结束时间;默认值范围:30~20000

(9)允许匿名参与会话分享:会话开启分享时,是否允许匿名访客进入。禁止后,会话分享将禁止匿名访客进入会话;

(10)允许门户重复登录:是否允许同一个用户同时在不同浏览器登录门户,禁止后,用户登录时,会强制结束该用户在其它浏览器登录的门户会话;

(11)允许密码登录SSH跳板机:是否允许使用密码登录行云管家跳板机并访问主机,关闭后将只能使用密钥登录;

(12)自定义RDP会话标题:WEB及本地工具RDP会话的标题;支持参数+文本,参数包括:主机IP ${hostip}、主机名${hostname}、主机账户${account}

(13)自定义SSH会话标题:WEB及本地工具SSH会话的标题;支持参数+文本,参数包括:主机IP ${hostip}、主机名${hostname}、主机账户${account}

(14)自定义VNC会话标题:WEB的VNC会话的标题;支持参数+文本,参数包括:主机IP ${hostip}、主机名${hostname}、主机账户${account}

(15)自定义Telnet会话标题:WEB的Telnet会话的标题;支持参数+文本,参数包括:主机IP ${hostip}、主机名${hostname}、主机账户${account}

(16)自定义会话水印内容:打开会话时会话水印的内容;支持的参数包括:用户团队昵称${username}、用户id${userid}、会话创建时间${sessiontime}、会话id${sessionid}、团队名称${teamname}

(17)数据库代理端口策略:Proxy作为数据库代理时,默认使用的是9000-65535的端口号,若Proxy宿主机上有相关业务端口在此范围中,请添加至黑名单,数据库代理将不会使用此清单中的端口。支持范围端口(如:9000-9100)和单端口输入,多个规则用半角“,”隔开。

(18)允许创建永久有效的主机/数据库访问串:是否允许创建永久有效的主机/数据库访问串,禁止后,只能创建有效时长类型的访问串。

2.3、配置安全策略

配置系统的各项安全策略,保障当前部署的行云管家私有部署安全运行;

2.3.1、配置门户安全策略:

注意,这里是登录门户网址的安全策略,不是登录管理控制台的安全策略;

(1)设置用户密码策略

(此设置对通过外部认证服务器(LDAP)导入的用户无效):

(2)设置身份认证:

用户在登录行云管家时,可以设置是否对用户进行二次身份验证,二次身份认证可以选择“短信认证”、“邮箱认证”、“OTP”、“第三方应用”、“RADIUS”等作为认证方式。且可以设置“是否允许通过第三方应用扫码登录门户”(前提是在管理控制台里配置了对应的第三方应用)以及设置“登录门户后的超时时长”;

(3)设置防暴力破解:

设置门户安全策略白名单,将只允许白名单中的IP登录门户,此项设置适合在明确访问来源的情况下设置,同时避免互联网环境下的异地登录;

设置门户安全策略为黑名单,可以开启防暴力破解机制,连续尝试密码失败的IP将被加入IP黑名单,黑名单中的IP将不允许登录门户;

设置完后点击“确定”,在这里我们可以看到“门户IP黑名单”(在没有开启黑白名单时是看不到的),点击“设置”;

此时可以手动添加IP至黑名单,并设置“有效期”;

(4)设置异地登录提醒:

当用户登录门户的公网IP不属于TA经常登录的城市时,将通过成员已经配置好的微信、短信、邮件进行消息提醒;

(如果系统未配置有效的消息推送方式,异地登录提醒无法生效)

2.3.2、配置管理控制台安全策略:

注意,这里是登录管理控制台网址的安全策略,不是登录门户网址的安全策略;

(1)设置用户密码策略:

(2)设置身份认证:

用户在登录管理控制台时,将对用户进行二次身份验证。另外还可以设置“登录管理控制台后的超时时长”;

扩展阅读:开启管理控制台二次认证后,因手机丢失等原因无法通过二次认证进入管理控制台,该如何关闭

(3)设置防暴力破解:

在白名单策略下,将只允许白名单中的IP登录管理控制台,此项设置适合在明确访问来源的情况下设置,同时避免互联网环境下的异地登录;

设置管理控制台安全策略为黑名单,可以开启防暴力破解机制,连续尝试密码失败的IP将被加入IP黑名单,黑名单中的IP将不允许登录管理控制台;

设置完后点击“确定”,在这里我们可以看到“管理控制台IP黑名单”(在没有开启黑白名单时是看不到的),点击“设置”;

此时可以手动添加IP至黑名单,并设置“有效期”;

2.4、配置存储方式

在这里您可以查看或配置团队网盘、主机网盘、审计录像、冗余文件的路径到本地存储及阿里云OSS或AWS S3,如无特别需求,建议用默认存储路径即可。

注意:在修改存储方式时,对于已经产生的数据,系统并不提供迁移的功能,因此修改存储方式后,在行云管家中将无法再访问这些历史数据,请谨慎操作;

如果您想配置路径到阿里云OSS或AWS S3或Azure Blob,请查看配置网盘和审计日志存储至对象存储指引

2.5、日志文件归档

随着用户使用行云管家的时间逐渐增加,导致用户的审计日志文件越来越繁多,十分占用系统磁盘空间,在这里您可以进行日志文件归档设置。将操作日志、审计日志、审计录像及冗余文件进行归档以节省日志存放的磁盘空间,可有效提升系統响应速度。

可设置的内容:(1)您可以设置归档位置的路径。(2)选择是否开启自动归档。(3)选择归档策略,保留系统最近N个月的日志记录(系统每月1号的0时检查系统日志记录,并自动进行归档)。(4)当存储满时,选择“自动删除最早的归档文件”或“不再归档日志文件”;

2.6、日志备份至syslog服务器

在这里您可以进行日志备份至syslog服务器设置。您配置好您自己的syslog服务器地址后,会实时将选择的日志文件备份到syslog服务器。可以备份“主机操作日志”、“门户登录日志”、“主机会话指令审计日志”、“主机告警记录”、“数据库审计日志”;

注意:发送者标识随意填写即可、一般syslog的默认端口都是514、协议请参考syslog本身的配置文件;

在这里您可以定义您行云管家门户网页里的产品名称、公司名称、备案号、产品Logo以及登录页里的背景(可选择视频、图片、颜色)、字体颜色、页眉页脚链接;

  • 注意:这里修改的行云管家门户网页,并不会对管理控制台网页生效;

在这里您可以配置您的电话客服号码、QQ客户号码、旺旺客服号码;

在这里您启用或禁用公告栏;

开启公告栏后,可在管理控制台中发布公告文章到所有团队,在团队的首页可查看发布的公告信息,具体操作请在开启后参考公告栏使用指引

2.8、配置短信网关

在这里您可以配置短信网关,手机短信服务应用于双因子认证和密码重置等验证码应用场景;

(1)行云管家官方为用户提供默认的短信网关,但使用过程有以下限制:

  • a)当前主机必须要能够和行云管家的官网通讯;

  • b)我们为您提供了共计1000条的短信配额,配额不足时请和行云管家在线客服联系;

  • c)默认短信网关仅支持国内短信,如有国际短信需求请和行云管家在线客服联系;

(2)如您想接入您企业的阿里云、腾讯云、sendcloud短信网关服务,请按照阿里云短信网关腾讯云短信网关sendcloud短信网关指引进行配置;

(3)如您想接入您企业自带的短信网关平台,请按照短信网关接口规范文档中的说明完成短信网关API的开发;

2.9、配置邮件服务器

在这里您可以配置邮件服务器,通过配置您的邮件SMTP服务器,来开启当前邮件通知等功能,邮件通知适用于用户邮件注册、用户找回密码等场景,具体配置方式请参考邮件配置指引

2.10、配置微信、企业微信、钉钉、飞书

在这里您可以配置微信、企业微信、钉钉、飞书其中任意一种应用支持,具体配置方式请参考微信配置指引企业微信配置指引钉钉配置指引飞书配置指引

三、系统设置-其他设置

3.1、系统设置-许可管理

私有部署提供免费下载及15天试用期,只要用户下载行云管家私有部署安装包(或镜像),即包含了一个15天免费试用的License许可,试用到期后,用户可以向行云管家在线客服购买正式版本License许可或者申请延长License许可试用期限。

若要更换License,请登录行云管家私有部署管理控制台,如下图,导出服务器标识,将该服务器标识发送给厂商的客户经理,由其为您颁发新的License许可;

在“许可管理”中,点击“导入许可”;将您获得的新License信息填入,点击“确认”按钮,如果License许可合法,则将成功更换。

3.2、系统设置-中转管理

在私有部署里,门户服务和会话中转服务可以部署在同一个虚拟机之中,也可以独立部署,独立部署的好处是:当并发会话数量过大时,能够将负载压力有效的均衡分布在多个会话中转服务之上。该设置适用于会话并发数量非常多的情况,如需使用该功能,请先和行云管家客服或商务联系,一般建议安装多Proxy来进行云账户会话负载均衡即可,无需安装多中转;

一般默认门户服务器自带中转,无需另外安装。如和客服确定需要安装及管理其他中转,请参考中转部署管理

3.3、系统设置-OpenAPI

在这里可以启用API,具体使用方式请参考OpenAPI使用指引

3.4、系统设置-备份与还原

点击“系统设置”、“备份与还原”,在这里可以查看备份文件所占用的存储资源概况,修改备份目录。可以设置备份策略以及创建备份。

  • 扩展阅读:

(1)备份服务对应门户服务器(安装行云管家的服务器)端口配置文件是/opt/cloudbility/conf/cloudEnt.properties

(2)备份服务对应门户服务器的端口号默认为10000

(3)备份服务在门户服务器里重启方式/opt/cloudbility/native/backup/guanjia_backup service restart

(4)中止备份:在门户服务器里输入ps -ef |grep backup.sh|grep -v grep|awk '{print $2}' | xargs kill -9

3.5、系统设置-升级管理

针对资产规模较大的私有部署客户,在升级时可能遇到批量升级Agent及Proxy所带来的流量风暴的困扰。私有部署的"升级管理"功能,可自定义系统升级时,对Agent或Proxy是否进行自动升级、升级的并发数量及升级限速进行设置;同时如果关闭了自动升级,也支持手动对Agent及Proxy进行升级。

3.5.1、Proxy升级管理

点击“设置”,可以设置Proxy是否自动升级,并且开启自动升级后,可以设置“升级时最多允许同时升级”的数量,以及设置“每个Proxy升级时限速”,这样可以避免所有Proxy同时进行升级导致网络内的流量风暴;

您还可以点击左下角“强制升级”来升级您需要升级的Proxy;

点击某台Proxy的“查看详情”,可以“强制升级Proxy”,也可以在这里“下载升级日志”(需要先点击上传升级日志);

3.5.2、Agent升级管理

点击“设置”,可以设置Agent是否自动升级,并且开启自动升级后,可以设置“升级时最多允许同时升级”的数量,以及设置“每个Agent升级时限速”,这样可以避免所有Agent同时进行升级导致网络内的流量风暴;

您还可以点击左下角“强制升级”来升级您需要升级的Agent;

点击某台Agent的“查看详情”,可以“强制升级Agent”,也可以在这里“下载升级日志”(需要先点击上传升级日志);

3.6、系统设置-系统运行状态

在行云管家管理控制台中,我们可以通过“系统设置”中的“系统运行状态”来查看到行云管家各个服务的当前运行状态:

具体使用请参考系统运行服务管理指引

四、团队管理-团队及用户管理

4.1、团队管理-基础信息

(1)在“团队管理”菜单下的“团队管理”中,可以创建、删除团队;

(2)在“团队管理”菜单下的“团队管理”中,点击团队的“详情”,在如图“团队信息”中可以编辑“团队名称”以及更换“团队拥有者”;

4.2、团队管理-产品管理

  • 注意:该功能只适用于行云管家运营版;

运营版License许可控制的是多团队运营形态下当前实例能够为团队开通哪些产品。团队默认不开通产品,团队可进行产品自助式开通或申请开通,开通记录将以订单的形式进行记录;

在“团队管理”菜单下的“团队管理”中,点击团队的“开通产品”或“详情”,在如图“产品管理”中可以变更、续费、开通相关产品;

4.3、基础设置-租户资产模型

在“团队管理”菜单下的“基础设置”中,在“可管理资产配置”这里可以选择“租户资产模型”;

建议标准版及企业版许可的选择“租户共享模式”,意味着所有或单个团队共享当前系统可用配额的总数。而在运营版中,租户资产模型固定为租户配额模式,无法修改。

4.4、基础设置-配额管理

在“团队管理”菜单下的“团队管理”中,点击团队的“详情”,在如图“配额管理”中可以编辑相关产品配额,可以修改并发会话数量、主机审计日志保留时长、并发作业/任务数量、最大会话时长、网盘单个文件大小、文件传输下行流量、文件中转站存储空间、数据库审计日志保留时长等;

4.5、用户管理

4.5.1、用户创建、删除

在“团队管理”菜单下的“用户管理”中,如图可以创建新用户、删除用户,在“进入批量管理”里还能批量删除用户;

4.5.2、用户管理

在“团队管理”菜单下的“用户管理”中,在每个用户的最后面,可以点击该用户的“详情”,在这里我们可以对用户进行密码重置、锁定、手机邮箱动态令牌的绑定及解绑、安全策略设置、登录时段设置;

注意:由于通过第三方认证服务器认证的用户无法重置密码,所以AD/LDAP和RADIUS认证的用户都不允许重置密码;

(1)对门户用户进行密码修改、锁定,给用户绑定手机、邮箱,给用户解绑动态令牌(这里只能解绑):

(2)用户安全策略设置:

  • 注意1:IP限制时请根据您实际情况进行填写,日常通过内网IP方式打开行云管家门户网站时,这里要填写用户电脑客户端的内网IP,而日常是通过外网IP或域名打开行云管家门户网站,这里要填写用户电脑客户端的外网出口IP,否则无法限制生效。

  • 注意2:MAC地址限制只对内网访问行云管家门户网站时生效,并且要求同一个内网网段;例如行云管家门户网站是192.168.2.2,那么用户电脑客户端IP如果是192.168.3.2,不在一个网段内,此时设置MAC白名单后,用户也无法登录进行云管家门户网站。

(3)用户登录时段设置:

4.5.2、团队成员添加与移除

在“团队管理”菜单下的“团队管理”中,点击“详情”后可以在“成员信息”里为当前团队添加“已有用户”或“创建新成员”,也可以移除“团队成员”;

五、团队管理-登录方式管理

在“团队管理”菜单下的“基础设置”中,可以设置多种登录方式;

5.1、配置AD域/LDAP

在“团队管理”菜单下的“基础设置”中,在“认证服务器”这里可以配置“AD域/LDAP”;

具体配置方式请参考AD域/LDAP配置指引

5.2、配置RADIUS

在“团队管理”菜单下的“基础设置”中,在“认证服务器”这里可以配置“RADIUS”;

具体配置方式请参考RADIUS配置指引

5.3、OIDC单点登录

在“团队管理”菜单下的“基础设置”中,在“用户登录认证设置”里的“登录方式”这里可以选择“OIDC单点登录”,开启OIDC单点登录后,行云管家门户登录将被禁用,用户只能通过统一门户进行单点登录。

注意:此种模式如有需要,可以联系行云管家商务人员进行需求沟通。

5.4、CAS单点登录

在“团队管理”菜单下的“基础设置”中,在“用户登录认证设置”里的“登录方式”这里可以选择“CAS单点登录”,开启CAS单点登录后,行云管家门户登录将被禁用,用户只能通过统一门户进行单点登录。

具体配置方式请参考CAS单点登录配置指引

5.5、ACC单点登录

在“团队管理”菜单下的“基础设置”中,在“用户登录认证设置”里的“登录方式”这里可以选择“ACC单点登录”,ACC单点登录是电信行业解决方案,开启后仍然通过行云管家门户登录,但由ACC服务器进行用户的身份认证。

具体配置方式请参考ACC单点登录配置指引

5.6、OAuth2.0单点登录

在“团队管理”菜单下的“基础设置”中,在“用户登录认证设置”里的“登录方式”这里可以选择“OAuth2.0单点登录”,OAuth2.0单点登录是电信行业解决方案,开启后仍然通过行云管家门户登录,但由OAuth2.0服务器进行用户的身份认证。

具体配置方式请参考OAuth2.0单点登录配置指引

六、运营中心

注意:如果您是购买的私有部署标准版或企业版等单团队版本,请直接去门户网址里进行下列设置,管理控制台里的运营中心适用于多团队的运营版来使用;

6.1、订单管理

运营版License许可控制的是多团队运营形态下当前实例能够为团队开通哪些产品。团队默认不开通产品,团队可进行产品自助式开通或申请开通,开通记录将以订单的形式进行记录;

在“运营中心”的“订单管理”中可以看到所有开通的订单服务信息;

点击“详情”可以看到订单服务具体信息;

6.2、工单中心

在“运营中心”的“订单管理”中可以创建相关运营中心的工单;

点击“新建运营工单模板”,可以创建“服务申请工单”、“客服工单”、“主机申请工单”、“主机变配工单”;

6.3、云环境管理

在“运营中心”的“资源池管理”中可以添加新的云环境,具体云环境使用方式请参考云环境管理

在“运营中心”的“云环境管理”中可以管理已添加的云环境。

6.4、资源池管理

在“运营中心”的“资源池管理”中可以添加新的云环境,添加云环境后即可管理资源池,具体资源池使用方式请参考资源池管理

添加后请注意该资源池是否有授权给对应的团队;

6.5、成本计费规则

6.6、主机模板管理

6.7、公告栏管理

七、控制台管理

注意:这里是管理控制台的用户及角色管理,不是门户网址的用户管理,如不需要为管理控制台添加管理控制台的用户,则无需在这里进行创建管理。

7.1、后台用户管理

管理控制台用户管理;

(1)对管理控制台用户进行密码修改、锁定:

(2)管理控制台用户安全策略设置:

  • 注意1:IP限制时请根据您实际情况进行填写,日常通过内网IP方式打开行云管家管理控制台时,这里要填写用户电脑客户端的内网IP,而日常是通过外网IP或域名打开行云管家管理控制台,这里要填写用户电脑客户端的外网出口IP,否则无法限制生效。

  • 注意2:MAC地址限制只对内网访问行云管家管理控制台时生效,并且要求同一个内网网段;例如行云管家门户网站是192.168.2.2,那么用户电脑客户端IP如果是192.168.3.2,不在一个网段内,此时设置MAC白名单后,用户也无法登录进行云管家管理控制台。

7.2、后台角色管理

管理控制台角色管理;

7.3、用户登录日志

可以查看到用户通过门户网页、跳板机等登录的相关日志,在右上角处可以导出:

7.4、控制台登录日志

用户登录管理控制台网页的日志,在右上角处可以导出:

7.5、系统日志

管理控制台的系统日志;

八、管理控制台密码修改

8.1、知道密码,可以直接在管理控制台里修改密码

管理控制台密码修改,如图,当您可以进入管理控制台时,可以在这里进行修改;

8.2、忘记密码,重置密码方式

管理控制台的密码是在系统初始化时设置的,如果一旦您在后期遗忘了该密码,请按照以下步骤进行重置:

(1)通过SSH登录行云管家私有部署服务器,如果您使用的是我们提供的镜像版安装方式,那么服务器root用户密码为:12345@AbcdE ;

(2)执行以下命令,进入行云管家的安装目录下的bin文件夹:

cd /opt/cloudbility/bin

 

(3)执行以下命令,并输入两次新的密码,修改管理控制台密码成功(账号默认是superadmin)。

./gjpasswd --reset