华为云用户手册

响应示例 状态码： 200 请求成功。 { "control_operation" : { "operation_control_status_id" : "string", "operation_type" : "string", "status" : "string", "message" : "string", "start_time" : "string", "end_time" : "string" } }

背景说明 通过RGC服务，预计可实现以下功能： RGC将会拥有必要的权限来治理Organizations内的所有组织单元以及成员账号。 您需要在RGC中搭建Landing Zone，并且设置您的多账号环境治理范围。RGC不会将云上环境治理扩展到您Organizations服务内现有的其他组织单元和成员账号。 当您将现有组织单元由RGC纳入治理范围的过程，称为注册组织单元。 在搭建Landing Zone后，您可以在RGC中注册现有的组织单元。

相关说明 后续需要对现有的组织单元和成员账号进行部署和管理，请参见组织管理概述。 Landing Zone搭建成功后，系统将自动为核心账号所在的组织单元绑定所有的预防性控制策略。 Landing Zone搭建成功后，系统将为存放日志的OBS桶自动配置名为“AllowCtsAccessBucket”和“AllowConfigAccessBucket”的桶策略，详细的桶策略内容可以前往OBS控制台进行查看。 Landing Zone搭建成功后，系统将为存放日志的OBS桶自动配置“对象读权限”，使核心账号拥有查看桶内日志的权限。

注册华为账号 并实名认证 如果您已有一个华为账号，请跳到下一个任务。如果您还没有华为账号，请参考以下步骤创建。 打开https://www.huaweicloud.com/，单击“注册”。 根据提示信息完成注册，详细操作请参见“如何注册华为云管理控制台的用户？”。 注册成功后，系统会自动跳转至您的个人信息界面。 参考“实名认证”完成企业账号实名认证。 当前RGC服务暂不收取费用。但您需要根据使用情况为以下服务付费： SMN 、OBS等。

拓扑 拓扑是对应用间调用关系和依赖关系的可视化展示（拓扑图）。拓扑图主要是由圆圈、箭头连线、资源组成。每个圆圈代表一个服务，圆圈上每个分区代表一个实例。每个圆圈中的分数表示活跃的实例/总实例数。分数下的内容分别表示在当前所选的时间中应用的服务时延、应用被调用次数、错误数。每个箭头连线代表一个调用关系。调用次数越多，连线越粗。连线上的数据表示吞吐量和整体时延。吞吐量即所选时间的调用次数。拓扑使用Apdex对用户应用性能满意度进行量化，并使用不同颜色对不同区间Apdex的值进行标识，方便用户快速发现问题，并进行定位。

TP99时延 TP99时延=完成99%的网络请求所需要的最短耗时。在 APM 中，所有的时延都是指TP99时延。 举例：假设总请求数为100个，它们的请求耗时分别为1s、2s、3s、4s……98s、99s、100s。若要完成99%的请求，我们至少需要99s，故TP99为99s。 计算：将所有请求按照耗时从小到大排序，第（99%*总请求数）个请求的耗时即为TP99时延。若（99%*总请求数）出现小数则向上取整。

ICAgent支持的Linux操作系统 ICAgent支持多个Linux操作系统，在购买弹性云服务器时您选择ICAgent支持的操作系统，详见表1。 表1 支持的操作系统及版本 操作系统 版本 SUSE SUSE Enterprise 11 SP4 64bit SUSE Enterprise 12 SP1 64bit SUSE Enterprise 12 SP2 64bit SUSE Enterprise 12 SP3 64bit OpenSUSE 13.2 64bit 15.0 64bit 暂不支持syslog日志采集。 42.2 64bit EulerOS 2.2 64bit 2.3 64bit 2.5 64bit CentOS 6.3 64bit 6.5 64bit 6.8 64bit 6.9 64bit 6.10 64bit 7.1 64bit 7.2 64bit 7.3 64bit 7.4 64bit 7.5 64bit 7.6 64bit 7.7 64bit 7.8 64bit 7.9 64bit 8.0 64bit 8.1 64bit 8.2 64bit Ubuntu 16.04 server 64bit 18.04 server 64bit 22.04 server 64bit 24.04 server 64bit Fedora 24 64bit 25 64bit 29 64bit Debian 7.5.0 32bit 7.5.0 64bit 8.2.0 64bit 8.8.0 64bit 9.0.0 64bit 对于Linux x86_64服务器，ICAgent支持上表中所有的操作系统及版本。 对于Linux ARM服务器，CentOS操作系统仅支持7.4 及其以上版本，上表所列的其他操作系统对应版本均支持。

APM支持的JAVA类型 APM支持JAVA类应用，目前已支持多种主流Java框架、web服务器、通讯协议、数据库等，可实现应用轻松接入。当前支持的类型详见表 APM支持的Java类型。 表2 APM支持的Java类型 类型 名称 版本 工具 JDK jdk7、jdk8 通讯协议 httpclient apache httpclient3、apache httpclient4、jdk httpurlconnection Java框架 CXF Client 2.6.0～3.2.1 iBatis 2.3.0、2.3.4.726 jersey 2.0～2.9.1 mybatis 1.0.0～1.3.1（Mybatis-Spring）、3.0.1～3.4.5（Mybatis3） spring 3.1.x～5.0.x springboot 1.2.x~1.5.x、2.0.4～2.0.9 Dubbo 2.5.3~2.6.2（Dubbo RPC、Dubbo REST）、2.8.4（Dubbo RPC、Dubbo REST） CS E(HuaWei) 1.0.0.B011~1.1.0.B046（REST over Servlet、REST over Vert.x、Highway RPC） gRPC 1.11.x~1.14.x 数据库 MySQL mysql-connector-java 5.1.X Oracle ojdbc5、ojdbc6、ojdbc14 Sybase 2.6.0~3.2.1 mariadb 1.3.x voltdb 6.x~7.x PostgreSQL 9.0.x, 9.1.x, 9.2.x, 9.3.x, 9.4.x, 42.0.x, 42.1.x web服务器 Tomcat 6.x、7.x、8.x Jetty 7.6.x~8.0.0, 8.1.x~9.x.x JBoss 说明： JBoss在使用javaagent探针的时候，需要特殊的设置。详见如何对JBoss Standalone模式接入APM。 7.0.0~12.0.0 undertow 1.4.x 消息队列 ActiveMQ 5.6.x~5.15.x RocketMQ 4.1.x~4.2.x RabbitMQ 1.3.3+（spring-rabbit）、2.7.x（amqp-client）、2.6.0、3.6.5 Kafka 0.9.0.1~0.10.0.2 NoSQL Redis jedis 2.0.0~2.9.0 Memcache 2.9.0~2.12.3(arcus) Mongodb 3.0.x~3.6.x Casandra 2.1.x~3.2.x zookeeper 1.0.x（com.github.adyliu.zkclient）、0.1.x（com.github.sgroschupf.zkclient） ElasticSearch 2.4.x、5.1.x Rest Client Common HTTP 2.x、3.x、4.x（httpclient）、ALL（HttpURLConnection）

使用限制 单账号跟踪的事件可以通过 云审计 控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的 CTS /system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到 对象存储服务 (OBS)或 云日志 服务(LTS)，才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 CTS新版事件列表不显示数据类审计事件，您需要在旧版事件列表查看数据类审计事件。

约束限制 目前仅SSH、RDP协议主机，支持通过Web运维上传/下载文件。 Web运维不能通过执行rz/sz命令等方式上传/下载文件，仅能通过“文件传输”操作上传/下载文件。 Linux主机资源支持在客户端执行命令方式传输文件，例如在SSH客户端执行rz/sz命令上传/下载文件。但该方式不能被CBH系统记录上传/下载的具体文件，不能达到对全程安全审计的目的。 支持下载一个或多个文件，不支持下载文件夹。 不支持断点续传，文件上传或下载过程请勿终止或暂停。 不支持传输大小超过1G的超大文件，建议分批次上传/下载文件，或通过FTP客户端传输文件。 空间不足会导致上传失败，需清理磁盘或扩充磁盘容量。

密钥所有者和接受者权限说明 密钥所有者可以对密钥执行任何操作，接受者仅可以执行部分操作，接受者支持的操作说明如表 密钥接受者支持的操作列表所示。 表1 密钥接受者支持的操作列表 角色 支持的操作 操作说明 接受者 kms:cmk:get 通过控制台或API进行访问 kms:cmk:createDataKey 仅能通过API访问 kms:cmk:createDataKeyWithoutPlaintext 仅能通过API访问 kms:cmk:encryptDataKey 仅能通过API访问 kms:cmk:decryptDataKey 仅能通过API访问 kms:cmk:encryptData 通过控制台或API进行访问 kms:cmk:decryptData 通过控制台或API进行访问 kms:cmk:sign 仅能通过API访问 kms:cmk:verify 仅能通过API访问 kms:cmk:generateMac 仅能通过API访问 kms:cmk:verifyMac 仅能通过API访问 kms:cmk:getPublicKey 通过控制台或API进行访问 kms:cmk:getRotation 通过控制台或API进行访问 kms:cmk:getTags 通过控制台或API进行访问

云审计支持的CBH实例操作 云审计服务（Cloud Trace Service，简称CTS），是华为 云安全 解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 开启了云审计服务后，系统开始记录 云堡垒机 实例的相关操作，云审计服务管理控制台将保存最近7天的操作记录。云审计服务支持的CBH实例操作参考表1。 表1 支持CBH实例操作列表 操作名称 资源类型 事件名称 创建 堡垒机 cbh createInstance 删除堡垒机 cbh deleteInstance 重启堡垒机 cbh rebootCBH 启动堡垒机 cbh startCBH 关闭堡垒机 cbh stopCBH 提交堡垒机订单 cbh subscribeOrder 更新堡垒机订单状态 cbh updateCloudServiceType 更新堡垒机metadata信息 cbh updateMetadata 查询变更jobs cbh jobsAsynQuery 升级堡垒机 cbh upgradeInstance 变更堡垒机规格 cbh alterInstanceSpec 回退升级的堡垒机 cbh rollbackInstance 重置Admin密码 cbh resetPassword 重置Admin登录方式 cbh resetLoginMethod 变更堡垒机网络实例 cbh changeNetworkOfCBH 父主题： 审计实例关键操作

示例流程 图1 给用户授予CBH权限流程 创建用户组并授权 在 IAM 控制台创建用户组，并授予云堡垒机的只读权限“CBH ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择云堡垒机，进入CBH实例主界面，单击“购买云堡垒机”，尝试购买CBH实例，若提示权限不足，无法购买CBH实例（假设当前权限仅包含“CBH ReadOnlyAccess”），表示“CBH ReadOnlyAccess”生效。 在“服务列表”中选择除云堡垒机外（假设当前策略仅包含“CBH ReadOnlyAccess”）的任一服务，若提示权限不足，表示“CBH ReadOnlyAccess”已生效。

规格选型 在申请发布服务器时，建议根据需要运维的资源数量来选择发布服务器的内存规格，以确保能正常运维所有资源。 表1 应用发布服务器建议规格与资产数 内存规格 空负载时系统占用内存 剩余可用内存 支持的资产并发数（个） 4GiB 约800MiB 约3.2GiB 约16 8GiB 约800MiB 约7.2GiB 约36 16GiB 约800MiB 约15.2GiB 约76 32GiB 约800MiB 约31.2GiB 约156 64GiB 约800MiB 约63.2GiB 约316 128GiB 约800MiB 约127.2GiB 约636

后续管理 运维任务创建完成后，可在任务列表页面，管理已创建任务，包括管理关联执行账户、删除任务 、启停任务、立即执行任务等。 若需补充关联执行账户，可单击“关联”，快速关联执行账户、账户组。 若需删除任务，可一个或多个选择目标任务，单击“删除”，立即删除任务。 若需禁用任务的周期执行，可勾选一个或多个“已启用”状态的任务，单击“禁用”，任务状态变更为“已禁用”，任务立即失效。 若需立即执行任务，可单击“立即执行”，立即执行运维任务。 任务执行过程中，按照任务步骤依次执行。当一个任务步骤被中断或所选资源不可达时，后续任务步骤将被终止不再执行。

后续管理 账户同步策略创建完成后，可在策略列表页面，管理已创建策略，包括管理关联资源、删除策略、启停策略、立即执行策略等。 若需补充关联资源，可单击“关联”，快速关联资源账户、账户组。 若需删除策略，可选择目标策略，单击“删除”，立即删除策略。 若需禁用策略同步账户，可勾选一个或多个“已启用”状态的策略，单击“禁用”，策略状态变更为“已禁用”，策略立即失效。 若需立即同步主机账户，可单击“立即执行”，立即执行账户同步任务。

后续管理 数据库控制策略创建完成后，可在策略列表页面，管理已创建策略，包括管理关联用户或资源、删除策略、启停策略、策略排序等。 若需补充关联用户或资源，可单击“关联”，快速关联用户、用户组、资源账户、账户组。 若需删除策略，可选择目标策略，单击“删除”，立即删除策略。 若需禁用策略授权，可勾选一个或多个“已启用”状态的策略，单击“禁用”，策略状态变更为“已禁用”，策略授权立即失效。 若需排序策略优先等级，可选中策略行上下拖动策略，改变策略排序。

AD域服务安装向导 安装AD域，单击“下一步”。 单击“下一步”。 选择“在新林中新建域”，单击“下一步”。 单击“下一步”。 设置林功能级别，在下拉菜单中选择“Windows Server 2008 R2”，单击“下一步”。 勾选“DNS服务器”，单击“下一步”。 界面显示“无法创建DNS委派”，单击“是”，然后继续。 选择数据库文件和日志文件的目录，采用默认配置即可，单击“下一步”。 设置目录还原模式的密码，还原模式的Administrator密码不等于系统密码，单击“下一步”。 界面显示信息概要，单击“下一步”。 勾选“完成后重新启动”。 重启后，使用域用户登录。 AD域环境安装完成。

前提条件 已获取证书，并下载签发证书。 推荐您通过 云证书管理服务 （Cloud Certificate Manager，CCM）购买签发证书，CCM证书申请流程请参见CCM快速入门，下载签发证书后，并转换证书格式为jks格式，具体的操作请参见转换证书格式。 该证书文件大小不超过20KB，且证书文件包含证书密码。 上传证书绑定的 域名 已解析到绑定堡垒机实例的弹性公网IP，具体的操作请参见增加A类型记录集。 用户已获取“系统”模块管理权限。

实例配置概述 系统配置包括安全、网络、端口、外发、认证、工单、告警、审计、HA备份等配置。为确保系统安全运行，默认仅系统管理员admin可修改系统配置，整体管理系统运行状况。 安全配置，详情请参见登录安全管理。 网络配置，详情请参见系统网络配置。 端口配置，详情请参见系统端口配置。 外发配置，详情请参见系统外发配置。 用户有效期倒计时邮件：配置完成后在到期前5天才会发送邮件。 认证配置，详情请参见远程认证配置。 工单配置，主要介绍工单配置的基本模式、高级模式、审批流程等，详情请参考工单配置管理。 告警配置，详情请参见系统告警配置。 系统风格，详情请参见系统风格变更。 父主题： 实例配置

示例三：建立固定流程的会签审批工单 前提条件 已完成部门、用户、角色和资源等项的规划和设置。部门设置请参考部门，用户和角色设置请参考用户，资源设置请参考资源。 工单审批流程设置如表3所示，具体操作请参考工单配置。 表3 工单配置参数说明 参数 内容 审批流程 固定流程 审批形式 会签审批 审批节点 3 签核流程 用户提起工单电子流，申请访问非用户所属部门的资源。 工程部管理员User B和User C均拥有审批权，两者都批准则该环节审批通过，任意一人驳回则该环节审批不通过。工程部管理员审批通过后，下一环节将由财务部管理员User D进行审批，以此类推，直到财务部管理员User E审批通过后，用户即可获得相应的权限。审批过程中任意一个环节驳回，则该工单审批不通过，用户不能获取相应的权限。 拥有admin管理员权限的账号可在任意节点审批或驳回任意工单，且结果为最终结果。

示例一：按用户所属部门申请资源，建立分级流程工单 前提条件 已完成部门、用户、角色和资源等项的规划和设置。部门设置请参考部门，用户和角色设置请参考用户，资源设置请参考资源。 工单审批流程设置如表1所示，具体操作请参考工单配置。 表1 工单配置参数说明 参数 值 审批流程 分级流程 审批形式 多人审批 审批节点 用户所属部门-部门管理员 审批级数 3 审批流程 用户提起工单电子流，按用户所属部门申请访问资源。 大队管理员User A和User B均拥有审批权，只要任意一人批准，则该环节审批通过，任意一人驳回，则该环节审批不通过。大队管理员审批通过后，下一环节将由村管理员User C进行审批。以此类推，直到镇管理员User D审批通过后，用户即可获得相应的权限。审批过程中任意一个环节驳回，则该工单审批不通过，用户不能获得相应的权限。 拥有admin管理员权限的账号可在任意节点审批或驳回任意工单，且结果为最终结果。

示例二：按资源所属部门申请资源，建立分级流程工单 前提条件 已完成部门、用户、角色和资源等项的规划和设置。部门设置请参考部门，用户和角色设置请参考用户，资源设置请参考资源。 工单审批流程设置如表2所示，具体操作请参考工单配置。 表2 工单配置参数说明 参数 值 审批流程 分级流程 审批形式 多人审批 审批节点 用户所属部门-部门管理员 审批级数 3 审批流程 用户提起工单电子流，按资源所属部门申请访问资源。 镇管理员User D进行审批，审批通过则由县管理员User E进行下一环节的审批，审批不通过则工单被驳回。以此类推，直到市管理员User F审批通过后，用户即可获得相应的权限。审批的过程中任意一个环节驳回，则该工单审批不通过，用户不能获取相应的权限。 拥有admin管理员权限的账号可在任意节点审批或驳回任意工单，且结果为最终结果。

后续管理 提交工单申请后，相关管理员即可在“消息中心”收到提醒，查看详细工单内容。并可在工单审批页面收到工单，可对工单进行批准或驳回操作。 提交工单申请后，若需修改已提交的工单，可单击“撤回”，取消已提交的工单申请，工单状态变为“已撤回”。 创建工单后，若需查看工单和修改工单信息，可单击“管理”，进入工单详情页面查看和修改工单信息。 “审批中”状态的工单仅能查看工单详情信息，不能修改工单内容。“已撤回”和“待提交”状态的工单才能被修改。 若已提交的工单已过期，可单击“删除”，管理工单列表。亦可勾选多条工单，单击列表左下角删除，批量删除工单。 删除后工单信息不能找回，请谨慎操作。

用户状态 呈现僵尸账户和密码强度的用户账号数量。 僵尸账户是当前未登录时间超过14天的已生效用户，按未登录天数统计。 默认呈现TOP5僵尸账户信息。可选择查看TOP5、TOP10、TOP20的僵尸账户。 在“详细数据”区域，可查看上一次成功登录的时间、用户登录名、来源IP、操作、操作结果等信息。 密码强度则是对系统内用户密码强度的划分，分为高、中、低三个等级。 在“详细数据”区域，可查看上一次改密的用户登录名、密码强度、上次改密时间，以密码强度由低至高排列。 密码强度的划分具体按照以下规则： 高：8位及以上，包含大写字母、小写字母、数字、特殊字符。 中：8位及以上，包含大写字母、小写字母、数字、特殊字符中的两种或三种。 低：8位及以上，包含大写字母、小写字母、数字、特殊字符中的一种，或8位以下。

约束限制 趋势图最多呈现连续180天的运维数据变化趋势。 默认按小时呈现当天运维数据变化趋势。 筛选周期时间在同一月且在同一周时，仅可选择按天呈现趋势图。 筛选周期时间跨月且在同一周时，可选择按天和按月呈现趋势图。 筛选周期时间在同一月且跨周时，仅可选择按天和按周呈现趋势图。 筛选周期时间跨月且跨周时，仅可选择按天、按周和按月呈现趋势图。 趋势图可选择线状图、柱状图、饼状图形式。 表示线状图形式。 表示柱状图形式。 仅命令拦截动作趋势图可呈现饼状图形式。 默认呈现运维时间段内总的趋势图。 支持按目标用户呈现运维统计趋势图，最多可选择5个目标用户。 支持按目标资源呈现运维统计趋势图，最多可选择5个目标资源。

后续管理 改密策略创建完成后，可在策略列表页面，管理已创建策略，包括管理关联资源、删除策略、启停策略、立即执行策略等。 若需补充关联资源，可单击“关联”，快速关联资源账户、账户组。 若需删除策略，可选择目标策略，单击“删除”，立即删除策略。 若需禁用策略改密，可勾选一个或多个“已启用”状态的策略，单击“禁用”，策略状态变更为“已禁用”，策略立即失效。 若需立即修改资源账户密码，可单击“立即执行”，立即执行改密任务。

配置Windows 10服务器相关参数 登录Windows 10服务器。 启动winRM服务。 搜索“组件服务”，进入“组件服务”页面。 在左侧导航树中，选择“服务（本地）”，在右侧弹框中，找到“Windows Remote Management(WS-Management)”。 右键单击“Windows Remote Management(WS-Management)”，在弹窗中单击“启动”。 配置winRM。 以管理员身份运行cmd，执行以下命令： winrm qc （执行两次）回显后，根据提示输入y。 执行以下命令： winrm set winrm/config/service '@{AllowUnencrypted="true"}' 执行以下命令： winrm set winrm/config/service/auth '@{Basic="true"}' （如果已是管理员，可不执行该步骤）执行以下命令，添加用户到用户组。 例如，用户名为“appuser01”。 net localgroup "Remote Management Users" appuser01 /add 在power shell会话框中执行以下命令，添加防火墙命令。 New-NetFirewallRule -DisplayName "WinRM-5985" -Direction Inbound -LocalPort 5985 -Protocol TCP -Action Allow

约束限制 仅SSH，MySQL，SQL Server，Oracle，RDP和Telnet协议类型的主机，支持通过改密策略修改资源账户密码。 Windows主机资源需启用SMB服务，并放开主机安全组445端口，才能通过改密策略修改资源账户密码。 Windows 10不能使用SMB方式改密，关联Windows 10资源账户前，需配置winRM后进行改密策略的创建，可参照配置Windows 10服务器相关参数进行服务器相关参数的配置。

自定义关联命令 命令控制策略关联的自定义的命令，关联命令后，在执行相关命令或参数时，触发拦截和允许操作。 自定义关联命令大小写敏感，严格按照设置的关联命令进行审核和过滤，若执行命令与设置命令不一致，则不能触发策略规则。详细设置说明和示例，请参考如下说明： 支持单命令格式。 如设置拒绝执行查询命令，即设置关联命令为ls，执行单命令操作时触发策略规则。 支持命令路径格式。 如设置动态授权查询日志，即设置关联命令为ls /var/log/，执行命令参数操作时触发策略规则。此时若执行ls /var/log，则无法触发策略拦截规则。 支持命令带“*”通配符，“*”表示任意多个字符。 如设置拒绝执行所有删除命令，即设置关联命令为rm *，执行命令加任意参数触发策略拦截，如执行rm -rf。此时若执行rm命令本身，则不会触发策略拦截规则。 支持命令带“?”通配符，“?”表示任意单个字符，输入几个“?”就代表几个未知字符。 如设置拒绝执行删除两个字符名称的文件或目录，即设置关联命令为rm -rf ??，执行命令加任意两个字符触发策略拦截，如执行rm -rf ts。此时若执行rm -rf test，则不会触发策略拦截规则。 支持命令带“[]”通配符，“[]”表示框内的任意字符、范围、取反（使用“|”或“^”取反）。 如设置动态授权删除带abcd名称的文件或目录，即设置关联命令为rm -rf [abcd]，执行命令加任意abcd字符触发策略拦截，如执行rm -rf cloud。此时若执行rm -rf test或rm -rf ABCD，则不会触发策略拦截规则。 父主题： 命令控制策略