更新时间:2024-12-02 GMT+08:00
分享

使用限制

为提高云堡垒机安全管理系统的稳定性和安全性,在CBH实例和系统的使用上有固定一些限制。

网络访问限制

  • 不支持跨区域(Region)直接使用。

    云堡垒机实例与系统资源(系统内管理的弹性云服务器、云数据库等)必须在同一区域内。

    虽跨区域跨VPC可通过云连接(Cloud Connect,CC)虚拟专用网(Virtual Private Network,VPN)等构建跨区域网络,但受限于网络的不稳定性,不建议跨区域使用云堡垒机纳管资源。

  • 不支持跨VPC直接使用。

    云堡垒机实例与系统资源必须在同一个VPC的子网内,才能直接连接访问。

    跨VPC情况下,可通过对等连接打通两个VPC之间网络。

  • 云堡垒机实例与系统资源的安全组,必须允许相互访问。

    系统资源必须处于实例所属安全组允许访问的范围内,且资源所属安全组必须允许实例私有IP访问。

    如果实例与系统资源处于不同的安全组,系统默认不能访问。需要在实例的安全组添加“入”的访问规则。

    实例的安全组默认端口有443和2222,默认支持Web浏览器和SSH客户端访问。若需其他访问方式,需用户手动添加目标端口。

    具体端口限制详见表1

  • 只允许通过IP地址和端口访问CBH系统。
    表1 入/出方向规则配置参考

    场景描述

    方向

    协议/应用

    端口

    通过Web浏览器登录堡垒机(HTTP、HTTPS)

    入方向

    TCP

    80、443、8080

    通过MSTSC客户端登录堡垒机

    入方向

    TCP

    53389

    通过SSH客户端登录堡垒机

    入方向

    TCP

    2222

    通过FTP客户端登录堡垒机

    入方向

    TCP

    20~21

    通过堡垒机的SSH协议远程访问Linux云服务器

    出方向

    TCP

    22

    通过堡垒机的RDP协议远程访问Windows云服务器

    出方向

    TCP

    3389

    通过堡垒机访问Oracle数据库

    入方向

    TCP

    1521

    通过堡垒机访问Oracle数据库

    出方向

    TCP

    1521

    通过堡垒机访问MySQL数据库

    入方向

    TCP

    33306

    通过堡垒机访问MySQL数据库

    出方向

    TCP

    3306

    通过堡垒机访问SQL Server数据库

    入方向

    TCP

    1433

    通过堡垒机访问SQL Server数据库

    出方向

    TCP

    1433

    通过堡垒机访问DB数据库

    入方向

    TCP

    50000

    通过堡垒机访问DB数据库

    出方向

    TCP

    50000

    通过堡垒机访问GaussDB数据库

    入方向

    TCP

    18000

    通过堡垒机访问GaussDB数据库

    出方向

    TCP

    18000

    License注册许可服务器

    出方向

    TCP

    9443

    华为云服务

    出方向

    TCP

    443

    同一安全组内通过SSH客户端登录堡垒机

    出方向

    TCP

    2222

    短信服务

    出方向

    TCP

    10743、443

    DNS域名解析

    出方向

    UDP

    53

    通过堡垒机访问PGSQL数据库

    入方向

    TCP

    15432

    通过堡垒机访问PGSQL数据库

    出方向

    TCP

    5432

支持管理的资源

您购买的非华为云或者云下服务器,只要与华为云云堡垒机网络互通并且协议互相支持,就可以通过云堡垒机纳管相应服务器。

  • 支持的主机类型

    支持SSH、RDP、VNC、TELNET、FTP、SFTP、SCP、Rlogin协议类型的Windows或Linux主机。

  • 支持的数据库类别
    • 关系型数据库(Relational Database Service,RDS)。
    • 弹性云服务器(Elastic Cloud Server ,ECS)的自建数据库。
  • 支持的数据库类型及版本
    表2 支持的数据库引擎及版本

    数据库引擎

    引擎版本

    MySQL

    5.5,5.6,5.7,8.0

    Microsoft SQL Server

    2014、2016、2017、2019、2022

    Oracle

    10g、11g、12c、19c、21c

    DB2

    DB2 Express-C

    PostgreSQL

    11、12、13、14、15

    GaussDB

    2、3

  • 支持应用管理的服务器类型及版本
    仅支持对Windows服务器和Linux上的应用进行管理 ,且支持的服务器系统版本如表3
    表3 支持的应用服务器类型及版本

    系统类型

    系统版本

    Windows

    Windows Server 2008 R2及以上版本

    Linux

    CentOS7.9

    目前仅X86版本云堡垒机支持应用运维,Arm版本云堡垒机不支持应用运维。

支持使用的第三方客户端

云堡垒机需通过第三方客户端登录CBH系统,以及调用第三方客户端,实现安全运维管理。

表4 登录CBH支持的客户端及版本

登录方式

支持使用的客户端

版本

Web浏览器登录

Edge

44及以上版本

说明:

Edge浏览器上传大文件限制:文件上传到主机,支持单个文件最大4G。

Chrome

52.0及以上版本

Safari

10及以上版本

Firefox

50.0及以上版本

SSH客户端登录

SecureCRT

8.0及以上版本

Xshell

5及以上版本

Mac Terminal

2.0及以上版本

表5 运维过程支持调用的客户端

运维方式

资源协议类型/应用类型

支持调用的客户端

数据库运维

(主机运维方式)

MySQL

Navicat 11、12、15、16

MySQL Administrator 1.2.17

MySQL CMD

DBeaver22、23

SQL Server

Navicat 11、12、15、16

SSMS 17

Oracle

Toad for Oracle 11.0、12.1、12.8、13.2

Navicat 11、12、15、16

PL/SQL Developer 11.0.5.1790

DBeaver22、23

DB2

DB2 CMD命令行 11.1.0

文件传输运维

SFTP

Xftp、WinSCP、FlashFXP

FTP

Xftp、WinSCP、FlashFXP、FileZilla

应用发布运维

MySQL Tool

MySQL Administrator

Oracle Tool

PL/SQL Developer

SQL Server Tool

SSMS

dbisql

dbisql

Chrome

Chrome

Edge

Edge

Firefox

Firefox

VNC Client

VNC Viewer

SecBrowser

SecBrowser

VSphere Client

VSphere Client

Radmin

Radmin

堡垒机与系统的版本对应关系

不同的堡垒机镜像安装的系统版本存在差异,详情如下:

表6 堡垒机与使用的系统版本对应关系

堡垒机版本

系统架构

系统版本

3.3.37.X及以下版本

x86

EulerOS 2.2

arm

EulerOS 2.8

3.3.38.0及以上版本至3.3.50.X及以下版本

x86

EulerOS 2.10

arm

3.3.52.0及以上版本

x86

HCE 2.0

arm

其他约束与限制

  • 云堡垒机能纳管资源的最大数量不能超过实例规格的总资产数。
  • 云堡垒机能同时登录运维资源的最大数量不能超过实例规格的总并发数。

资产数是云堡垒机管理的云服务器上运行的资源数,同一个云服务器上对应有多个需要运维的协议、应用等资源。

并发数是云堡垒机同一时刻连接运维协议的连接数。

详细说明请参见基本概念

相关文档