【产品技术】云堡垒机进阶

统一身份认证（Identity and Access Management，IAM）是华为云提供权限管理的基础服务。默认情况下，新建的IAM用户没有任何权限，您需要授权IAM用户后，IAM用户才可以基于已有权限对云服务进行操作。CBH服务已开通IAM细粒度权限管理功能，通过IAM权限管理，可对CBH实例的购买、升级、扩容等关键操作进行细粒度授权。

此外，CBH系统管理和运维资源，在云堡垒机系统内配置“用户登录限制”、“访问控制策略”等，细粒度管理用户访问、操作资源的权限。但该功能是CBH系统本身的权限管理功能，IAM不为CBH系统提供权限管理功能。

云堡垒机与云上业务网络通畅情况下，可通过安装应用发布服务器，依赖Windows系统的远程桌面服务，接入ERP生产系统、ERP容灾系统、SAP生产系统、SAP开发/测试系统、SAP Router、SAP Hybris等典型场景的应用、数据库或网页，将ERP和SAP上云业务作为一个网页或应用来审计和录屏操作，实现对企业上云业务的统一管理。

专属云（Dedicated Cloud）是面向企业、政府、金融等客户，提供计算、存储资源池以及网络、管控多级隔离的综合解决方案。用户独享专属资源池，与公有云资源物理隔离，满足特定性能、应用及安全合规等要求。

云堡垒机暂未在专属云上线，即在专属云上不能创建云堡垒机实例。

一个云堡垒机实例代表了一个独立运行的云堡垒机系统。可登录管理控制台，选择“安全 > 云堡垒机”，然后在云堡垒机管理控制台申请和管理实例。

云堡垒机系统是云堡垒机实际运维功能核心，后台采用Linux Centos 7.4操作系统，包含用户管理、资源管理、策略、审计和工单等功能模块，支持对Windows或Linux等操作系统的主机提供安全管控保护。

并发数表示云堡垒机上同一时刻连接的运维协议连接数。云堡垒机系统对登录用户数没有限制，可无限创建用户。但是同时刻不同用户连接协议总数，不能超过当前版本规格的并发数。例如，10个运维人员同时通过云堡垒机运维设备，假设平均每个人产生5条协议连接（例如通过SSH、RDP等协议进行远程连接），则并发数等于50。

可以通过录像方式监控在服务器A上执行的所有操作，包括登录服务器B后的操作。如果是Linux服务器，还可以记录在服务器B上执行的命令。

云堡垒机“基础版”仅支持通过应用运维方式管理数据库，“增强版”支持通过主机运维或应用运维两种方式管理数据库，支持管理多种协议类型的云上数据库，提供命令和视频审计功能。

云堡垒机支持为以下华为云数据库提供运维审计服务：

·       关系型数据库（Relational Database Service，RDS）。

·       弹性云服务器（Elastic Cloud Server ，ECS）的自建数据库。

·       裸金属服务器（Bare Metal Server，BMS）的自建数据库。

云堡垒机管理用户本地数据库，通过远程调用本地数据库客户端工具连接，需确保云堡垒机与本地数据库的网络连接通畅。

主机运维方式

目前云堡垒机主机运维，支持管理四种协议类型的云上数据库，包括MySQL、SQL Server、Oracle、DB2协议类型，暂不支持管理PostgreSQL协议类型。云堡垒机支持数据库协议类型、版本，以及支持调用的数据库客户端软件版本。

主机运维方式管理数据库，提供增删改查操作命令审计。

云堡垒机“桌面”提供下载MySQL Administrator 1.2.17版数据库管理客户端，是MySQL官网提供的正版工具，用户可放心使用。

应用运维方式

云堡垒机应用运维方式管理数据库，需通过在一台支持远程桌面的Windows系统上部署客户端软件工具或浏览器，用户通过Web浏览器直接访问数据库应用或调用客户端工具连接数据库，实现云堡垒机对数据库的运维。

因此通过应用运维方式，可以管理云上或本地所有协议类型数据库。应用运维方式管理数据库，提供操作会话视频审计。