В настоящее время CBH предоставляет стандартные и профессиональные редакции. Стандартная редакция предоставляет следующие спецификации активов: 10, 20, 50, 100, 200, 500, 1,000, 5,000 и 10,000. Профессиональная редакция предоставляет следующие спецификации активов: 10, 20, 50, 100, 200, 500, 1,000, 5,000 и 10,000.
Для получения более подробной информации см. What Are the Editions of the CBH Service?
CBH предоставляет следующие спецификации активов: 50, 100, 200, 500, 1,000, 2,000, 5,000 и 10,000. Для получения подробной информации о спецификациях см. Table 1.
Asset Quantity | Max. Concurrent Connections | CPUs | Memory | System Disk | Data Disk |
|---|---|---|---|---|---|
50 | 50 | 4 vCPUs | 8 GB | 100 GB | 500 GB |
100 | 100 | 4 vCPUs | 8 GB | 100 GB | 1,000 GB |
200 | 200 | 4 vCPUs | 8 GB | 100 GB | 1,000 GB |
500 | 500 | 8 vCPUs | 16 GB | 100 GB | 2,000 GB |
1,000 | 1,000 | 8 vCPUs | 16 GB | 100 GB | 2,000 GB |
2,000 | 1,500 | 8 vCPUs | 16 GB | 100 GB | 2,000 GB |
5,000 | 2,000 | 16 vCPUs | 32 GB | 100 GB | 3,000 GB |
10,000 | 2,000 | 16 vCPUs | 32 GB | 100 GB | 4,000 GB |
Количество одновременных соединений в Table 1 включает только соединения, установленные клиентами O&M, использующими протоколы на основе символов (например, SSH или клиент MySQL). Соединения, установленные клиентами O&M, использующими графические протоколы (например, веб H5 и клиент RDP), не включаются, что составляет только одну треть от этого числа.
Обе редакции предоставляют аутентификацию личности, контроль разрешений, управление учётными записями и аудит операций. Помимо этих функций, расширенная редакция также предоставляет автоматический аудит O&M и аудиторские функции базы данных O&M.
Для получения подробной информации о функциях, поддерживаемых различными редакциями, см. Table 2.
Function Module | Function | Description | Standard Edition | Professional Edition |
|---|---|---|---|---|
Profile | Basic Info | Вы можете просмотреть сведения о текущем пользователе, вошедшим в систему, и изменить имя, номер телефона, адрес электронной почты и пароль. | √ | √ |
Mobile OTP | Вы можете получить руководство по привязке токена мобильного телефона и генерации динамического пароля. | √ | √ | |
SSH Pubkey | Вы можете просматривать информацию обо всех публичных ключах, добавлять и управлять публичными SSH-ключами. | √ | √ | |
My Permission | Вы можете просматривать разрешения, предоставленные вошедшему пользователю. | √ | √ | |
My Log | Вы можете проверять журналы входов в экземпляры, операций и журналов ресурсов, выполненные вошедшим пользователем. | √ | √ | |
Basic system information | Дашборд | Дашборд отображает состояние работы bastion host, включая сеансы, тикеты, статус входа, статус операций, типы хостов, типы приложений и состояние системы. | √ | √ |
Download Center | Вы можете загрузить некоторые инструменты удалённого входа и локальные плеер‑инструменты. | √ | √ | |
Messages | После настройки правил тревоги, тревога генерируется при срабатывании правила тревоги. | √ | √ | |
System | Эта область отображает детали системы, такие как идентификатор системы, учетные данные, используемая версия и дата выпуска. Вы также можете обновлять учетные данные и HA‑ключи и получать коды сервиса в этом модуле. | √ | √ | |
Authentication management | MFA | Вы можете входить в bastion host, используя учетную запись (имя пользователя и пароль), токен мобильного телефона, SMS‑сообщение, USB‑ключ или OTP‑токен.
| √ | √ |
Remote authentication | Вы можете настроить удаленную аутентификацию, чтобы CBH централизованно управлял всеми учетными записями. CBH также позволяет аутентифицировать личности пользователей через AD, RADIUS, LDAP, Azure AD и SAML удаленную аутентификацию. | Supported | √ | |
System accounts | User management | Вы можете создавать, импортировать, экспортировать и удалять аккаунты, настраивать группы пользователей и управлять ограничениями входа в аккаунт. | √ | √ |
User group management | Пользователи могут управляться группой. Вы можете назначать разрешения всем пользователям в группе одновременно. Вы можете создавать, удалять и редактировать группу пользователей. | √ | √ | |
Role management | Вы можете связывать пользователей с ролями и назначать операции и доступные разрешения ролям, включая администраторов отделов, администраторов политик, администраторов аудита и инженеров эксплуатации. Только admin учетная запись может добавлять роли и изменять разрешения ролей. | √ | √ | |
Resource account management | Ресурсный аккаунт используется для входа в ресурс, управляемый экземпляром bastion host. Можно создать несколько ресурсных аккаунтов для ресурса. Имя пользователя и пароль ресурсного аккаунта в CBH должны совпадать с оригинальными учетными данными ресурса. В противном случае вход в ресурс может не удаваться, и операции через bastion host невозможны. | √ | √ | |
Resource account group management | Вы можете управлять ресурсными аккаунтами по группам. Можно авторизовывать и проверять ресурсные аккаунты пакетно, авторизуя группы аккаунтов. Можно создавать, удалять и поддерживать группы аккаунтов и управлять информацией о группе аккаунтов. | √ | √ | |
Resource | Host resource management | Вы можете добавить хост‑ресурсы в bastion host, создавая, автоматически обнаруживая, импортируя или клонируя хост‑ресурсы. Вы можете просматривать детали всех хост‑ресурсов и управлять ими через bastion host централизованно. | √ | √ |
Application resource management | Вы можете импортировать и создавать ресурсы приложений через сервер приложений. Затем вы можете просматривать детали всех ресурсов приложений и управлять ими через bastion host централизованно. Обратите внимание, что необходимо сначала создать сервер приложений. | √ | √ | |
Cloud resource management | Вы можете импортировать и создавать ресурсы приложений через сервер Kubernetes. Затем вы можете просматривать детали всех контейнерных ресурсов и управлять ими через bastion host централизованно. Обратите внимание, что необходимо сначала создать сервер Kubernetes. | × | √ | |
Resource OS type management | Вы можете добавить теги к типам ОС и затем группировать и управлять ресурсами по этим тегам. С помощью тегов типа ОС можно одновременно менять пароли серверов, хранить параметры смены пароля и выполнять правила паролей для ресурсов определённого типа ОС. | √ | √ | |
System policies | ACL rules | Этот тип правила контролирует, кто может получить доступ к каким ресурсам. Правила ACL связываются с пользователями или группами пользователей. Правило ACL может ограничивать передачу файлов, управление файлами и время входа. Правила ACL также могут быть связаны с ресурсными аккаунтами. | √ | √ |
Command rules |
| √ | √ | |
Database control rules |
| × | √ | |
Password rules | Этот тип правила связан с ресурсными аккаунтами хостов, чтобы пользователь мог одновременно менять пароли ресурсных аккаунтов, связанных с политикой. | √ | √ | |
Account synchronization rules | Этот тип правила помогает синхронизировать детали учетных записей хост‑ресурсов. Правила синхронизации связываются с ресурсными аккаунтами. Вы можете выполнить правило синхронизации, чтобы одновременно синхрон��зировать детали всех ресурсных аккаунтов, связанных с правилом. | × | √ | |
Resource operation | Host resource operation | Вы можете входить в хост‑ресурсы через браузеры и клиенты и выполнять операции, такие как совместное использование сессий, передача файлов, управление файлами и предустановленные команды. | √ | √ |
Application resource operation | Вы можете входить в ресурс приложений через браузер и выполнять операции, такие как совместное использование сессий, передача файлов и управление файлами. | √ | √ | |
Cloud service resource operation | Вы можете входить в контейнерные ресурсы через браузер и выполнять операции, включая совместное использование сессий. | × | √ | |
Operation script management | Вы можете импортировать и редактировать скрипты, которые будут выполнены на bastion host для выполнения сложных или повторяющихся задач, повышая эффективность. | × | √ | |
Fast operation | Вы можете непосредственно запускать предустановленные команды и скрипты и передавать файлы на bastion host для быстрого выполнения ресурсов. Предоставляются журналы всех операций. | × | √ | |
Operation task management | Вы можете настраивать ручные, запланированные или периодические задачи операций для команд, скриптов и передачи файлов. Предоставляются журналы всех задач. | × | √ | |
System audit | Live session audit | Все текущие сеансы записываются. Вы можете просматривать ресурс, тип, аккаунт и IP-адрес источника любого сеанса. | √ | √ |
Historical session audit | Все завершённые исторические сеансы записываются. Вы можете просматривать ресурс, тип, аккаунт и IP-адрес источника любого сеанса. | √ | √ | |
System log audit | Все входы и операции на bastion host подробно записываются. Вы можете проверить, кто входил в систему с какого IP‑адреса и в какое время, а также какие функции и операции выполнялись после каждого входа. | √ | √ | |
Operation report audit | Отчет об операции собирает статистику о времени операции, количестве доступов к ресурсам, длительности сеанса, статусе доступа IP‑адресов, совместной работе сеансов, двух‑пользовательском подтверждении, перехвате команд, количестве символных команд и количестве переданных файлов по времени, пользователю и ресурсу. | √ | √ | |
System report audit | Системный отчет собирает статистику об управлении системой, работе ресурсов, IP‑адресах источника, режиме входа, аномальных входах, сеансах и их статусе. | √ | √ | |
Ticket | ACL tickets | Если у вас нет разрешения доступа к ресурсу, вы можете подать заявку на получение разрешения. Такие разрешения включают передачу файлов, управление файлами, аудит клавиатуры. Это разрешение действительно для конкретного ресурсного аккаунта в фиксированном временном диапазоне. | √ | √ |
Command control ticket management | Если у вас нет разрешения выполнять команды для определённого ресурса, вы можете подать заявку на получение разрешения для ресурса. Такое разрешение действительно для конкретного ресурсного аккаунта в фиксированном временном диапазоне. | √ | √ | |
Database ticket management | Если у вас нет разрешения выполнять операции над ресурсом базы данных, вы можете подать заявку на получение разрешения. Такое разрешение действительно для конкретного ресурсного аккаунта в фиксированном временном диапазоне. | × | √ | |
Ticket approval management | На этой странице отображаются детали всех заявок. Вы можете просматривать заявки на этой странице. | √ | √ | |
Ticket configuration | Вы можете настраивать область, способ подачи, срок действия и процесс утверждения заявки. | √ | √ | |
System configuration | Security | Вы можете настроить максимальное количество неправильных попыток ввода пароля, «зомби‑пользователей», период смены пароля, таймаут входа, сертификаты, уровень прокси‑безопасности, токен мобильного телефона, USB‑ключ, проверки, уведомления об истечении срока и ограничения сеансов. | √ | √ |
Network | Вы можете просматривать список сетевых интерфейсов, DNS и детали шлюза по умолчанию bastion host и настраивать статические маршруты. | √ | √ | |
HA | Если bastion host развернут в режиме основной/резервный, вы можете включать или отключать HA. | √ | √ | |
Port | Вы можете проверять порты, используемые для операций, веб‑консоли и SSH‑консоли. При необходимости также можно изменить порт, однако это не рекомендуется. | √ | √ | |
Outgoing | Вы можете настроить способ отправки тревог. В настоящее время поддерживаются email, SMS и LTS. После установки агента LTS LTS может отправлять логи bastion host на сервер. | √ | √ | |
Alarm | Вы можете настроить режим и уровень тревоги для разных типов сообщений, включая статус входа, действия пользователей, события операций над ресурсами и операции. | √ | √ | |
Theme | Логотип bastion host по умолчанию может быть изменён. | √ | √ | |
Bastion host system maintenance | Data storage maintenance | Вы можете просматривать использование системного и диска данных, изменять объём веб‑диска, настраивать период хранения логов и автоматически или вручную удалять логи. | √ | √ |
Log backup | Вы можете делать резервные копии логов на локальный ПК, сервер OBS, syslog‑сервер или FTP/SFTP‑сервер. | √ | √ | |
System maintenance | Вы можете просматривать состояние системы, настраивать системный адрес и время, выполнять резервное копирование и восстановление ОС, просматривать информацию об авторизации и диагностировать сеть и систему. | √ | √ |