使用限制
为提高云堡垒机安全管理系统的稳定性和安全性,在CBH实例和系统的使用上有固定一些限制。
网络访问限制
- 不支持跨区域(Region)直接使用。
云堡垒机实例与系统资源(系统内管理的弹性云服务器、云数据库等)必须在同一区域内。
虽跨区域跨VPC可通过云连接(Cloud Connect,CC)、虚拟专用网(Virtual Private Network,VPN)等构建跨区域网络,但受限于网络的不稳定性,不建议跨区域使用云堡垒机纳管资源。
- 不支持跨VPC直接使用。
云堡垒机实例与系统资源必须在同一个VPC的子网内,才能直接连接访问。
跨VPC情况下,可通过对等连接打通两个VPC之间网络。
- 云堡垒机实例与系统资源的安全组,必须允许相互访问。
系统资源必须处于实例所属安全组允许访问的范围内,且资源所属安全组必须允许实例私有IP访问。
如果实例与系统资源处于不同的安全组,系统默认不能访问。需要在实例的安全组添加“入”的访问规则。
实例的安全组默认端口有443和2222,默认支持Web浏览器和SSH客户端访问。若需其他访问方式,需用户手动添加目标端口。
具体端口限制详见表1。
- 只允许通过IP地址和端口访问CBH系统。
表1 入/出方向规则配置参考 场景描述
方向
协议/应用
端口
通过Web浏览器登录堡垒机(HTTP、HTTPS)
入方向
TCP
80、443、8080
通过MSTSC客户端登录堡垒机
入方向
TCP
53389
通过SSH客户端登录堡垒机
入方向
TCP
2222
通过FTP客户端登录堡垒机
入方向
TCP
20~21
通过堡垒机的SSH协议远程访问Linux云服务器
出方向
TCP
22
通过堡垒机的RDP协议远程访问Windows云服务器
出方向
TCP
3389
通过堡垒机访问Oracle数据库
入方向
TCP
1521
通过堡垒机访问Oracle数据库
出方向
TCP
1521
通过堡垒机访问MySQL数据库
入方向
TCP
33306
通过堡垒机访问MySQL数据库
出方向
TCP
3306
通过堡垒机访问SQL Server数据库
入方向
TCP
1433
通过堡垒机访问SQL Server数据库
出方向
TCP
1433
通过堡垒机访问DB数据库
入方向
TCP
50000
通过堡垒机访问DB数据库
出方向
TCP
50000
通过堡垒机访问GaussDB数据库
入方向
TCP
18000
通过堡垒机访问GaussDB数据库
出方向
TCP
18000
License注册许可服务器
出方向
TCP
9443
华为云服务
出方向
TCP
443
同一安全组内通过SSH客户端登录堡垒机
出方向
TCP
2222
短信服务
出方向
TCP
10743、443
DNS域名解析
出方向
UDP
53
通过堡垒机访问PGSQL数据库
入方向
TCP
15432
通过堡垒机访问PGSQL数据库
出方向
TCP
5432
支持管理的资源
您购买的非华为云或者云下服务器,只要与华为云云堡垒机网络互通并且协议互相支持,就可以通过云堡垒机纳管相应服务器。
- 支持的主机类型
支持SSH、RDP、VNC、TELNET、FTP、SFTP、SCP、Rlogin协议类型的Windows或Linux主机。
- 支持的数据库类别
- 关系型数据库(Relational Database Service,RDS)。
- 弹性云服务器(Elastic Cloud Server ,ECS)的自建数据库。
- 支持的数据库类型及版本
表2 支持的数据库引擎及版本 数据库引擎
引擎版本
MySQL
5.5,5.6,5.7,8.0
Microsoft SQL Server
2014、2016、2017、2019、2022
Oracle
10g、11g、12c、19c、21c
DB2
DB2 Express-C
PostgreSQL
11、12、13、14、15
GaussDB
2、3
- 支持应用管理的服务器类型及版本
仅支持对Windows服务器和Linux上的应用进行管理 ,且支持的服务器系统版本如表3。
目前仅X86版本云堡垒机支持应用运维,Arm版本云堡垒机不支持应用运维。
支持使用的第三方客户端
云堡垒机需通过第三方客户端登录CBH系统,以及调用第三方客户端,实现安全运维管理。
登录方式 |
支持使用的客户端 |
版本 |
---|---|---|
Web浏览器登录 |
Edge |
44及以上版本
说明:
Edge浏览器上传大文件限制:文件上传到主机,支持单个文件最大4G。 |
Chrome |
52.0及以上版本 |
|
Safari |
10及以上版本 |
|
Firefox |
50.0及以上版本 |
|
SSH客户端登录 |
SecureCRT |
8.0及以上版本 |
Xshell |
5及以上版本 |
|
Mac Terminal |
2.0及以上版本 |
运维方式 |
资源协议类型/应用类型 |
支持调用的客户端 |
---|---|---|
数据库运维 (主机运维方式) |
MySQL |
Navicat 11、12、15、16 MySQL Administrator 1.2.17 MySQL CMD DBeaver22、23 |
SQL Server |
Navicat 11、12、15、16 SSMS 17 |
|
Oracle |
Toad for Oracle 11.0、12.1、12.8、13.2 Navicat 11、12、15、16 PL/SQL Developer 11.0.5.1790 DBeaver22、23 |
|
DB2 |
DB2 CMD命令行 11.1.0 |
|
文件传输运维 |
SFTP |
Xftp、WinSCP、FlashFXP |
FTP |
Xftp、WinSCP、FlashFXP、FileZilla |
|
应用发布运维 |
MySQL Tool |
MySQL Administrator |
Oracle Tool |
PL/SQL Developer |
|
SQL Server Tool |
SSMS |
|
dbisql |
dbisql |
|
Chrome |
Chrome |
|
Edge |
Edge |
|
Firefox |
Firefox |
|
VNC Client |
VNC Viewer |
|
SecBrowser |
SecBrowser |
|
VSphere Client |
VSphere Client |
|
Radmin |
Radmin |
堡垒机与系统的版本对应关系
不同的堡垒机镜像安装的系统版本存在差异,详情如下:
堡垒机版本 |
系统架构 |
系统版本 |
---|---|---|
3.3.37.X及以下版本 |
x86 |
EulerOS 2.2 |
arm |
EulerOS 2.8 |
|
3.3.38.0及以上版本至3.3.50.X及以下版本 |
x86 |
EulerOS 2.10 |
arm |
||
3.3.52.0及以上版本 |
x86 |
HCE 2.0 |
arm |
其他约束与限制
- 云堡垒机能纳管资源的最大数量不能超过实例规格的总资产数。
- 云堡垒机能同时登录运维资源的最大数量不能超过实例规格的总并发数。