堡垒机V3.1.X版本后续将不再开发新的版本进行功能迭代。如果您正在使用堡垒机V3.1版本实例,建议迁移到最新的V3.2版本实例。

说明 您在迁移过程,如有疑问,请加入钉群(钉群号:33097550),联系产品技术专家进行咨询。

V3.2版本的优势

重要 V3.1版本上的某些功能,例如工单、VNC运维、离线播放录像、Radius用户等,在V3.2版本上暂不支持,如果您的业务对这些功能的依赖度较高,建议您继续使用V3.1版本。更多V3.1版本与V3.2版本功能差异信息,请参见功能差异说明

迁移前须知

  • 迁移前,您需要提前了解V3.1版本与V3.2版本的功能差异及迁移后的数据变化差异。详细信息,请参见功能差异说明迁移数据说明
  • 如需保留V3.1版本历史日志,需提前通过SFTP/FTP、文件下载导出(录像文件需要下载离线播放器)等方式导出及备份会话审计日志、操作日志及录像文件。
  • 迁移窗口期建议选择在业务空闲时间段。
  • 迁移V3.2版本前,需将V3.1.X版本的堡垒机实例升级至V3.1.17及以上版本。
  • 经典网络中堡垒机实例不支持迁移。

迁移方案

  • 当您选择将V3.1版本堡垒机实例迁移到V3.2版本时,后台会为您自动构建一台V3.2版本的堡垒机实例,并将V3.1版本实例上的配置数据导入至新构建的V3.2版本的实例中。
  • 新构建的V3.2版本的堡垒机实例的到期时间与V3.1版本实例相同,迁移完成后,V3.1版本实例和V3.2版本实例并存。
    重要 如果原V3.1版本实例在1个月内到期,会在原实例到期时按流程释放;如果原V3.1版本实例在1个月后到期,原V3.1版本实例会在迁移完成后一个月到期释放。

迁移方法

由于版本差异,迁移过程中会导致部分数据丢失,请按照迁移数据说明中提供的解决方案备份相关数据。

  1. 登录堡垒机系统。具体操作,请参见登录系统
  2. 可选:定位到要升级的实例,单击实例版本区域的升级,将V3.1.X版本堡垒机实例升级至V3.1.17及以上版本。
    如果您的实例已是V3.1.17及以上版本,请忽略此步骤。升级
  3. 单击实例右上角迁移迁移
  4. 版本迁移须知对话框中阅读迁移须知内容后,选中我已阅读上述信息并单击确定迁移须知
  5. 版本选择对话框,选择需要迁移的版本,单击确定
    重要 企业双擎版因功能配置不同,续费时会有费用变化。
    版本选择
  6. 系统会为您新构建一台堡垒机实例,并将V3.1版本实例上的配置数据导入至新构建的V3.2版本的实例中。新实例构建预计持续20~60分钟(具体时间与用户、资产、授权数量相关),请您耐心等待。升级中

迁移后相关配置

  • 通知运维人员更换新的运维地址。您可以按照单个用户进行通知,具体操作,请参见管理用户
  • 堡垒机上已授权的安全组会默认迁移,其余未自动授权的ECS安全组需手动添加访问规则,允许堡垒机的出口IP访问该安全组下ECS。具体操作,请参见添加安全组规则
  • 若您开启了云防火墙保护堡垒机,请您参考云防火墙和运维安全中心(堡垒机)联合部署访问策略的最佳实践进行配置。
  • 待V3.2版本实例运行稳定后,请关闭V3.1版本实例自动续费,开启V3.2版本实例自动续费。具体操作,请参见续费概述

功能差异说明

功能 V3.1版本 V3.2版本
运维地址 IP模式。 域名模式。
授权 可基于用户或用户组、主机组或账号组或主机账号创建一条授权规则。
  • 基于用户或用户组的维度授权主机或主机组,可以选择关联授权账号。
  • 基于用户或用户组、主机或主机组创建一条授权规则。
工单 申请登录审核。 暂不支持。
账户组授权 将不同主机的账号打包成组,以便于批量授权。 授权主机组时指定主机账号完成批量授权。
控制策略配置方式 主机侧配置及授权规则配置。 独立控制策略配置。
运维协议 VNC、telnet、SSH、RDP。 SSH、RDP。
共享账户 共享账户。 使用私有账户,不使用共享账户。
日志导出 通过文件下载导出。 通过SLS服务转存。
录像导出 单个会话下载SFTP方式批量归档至FTP服务器。 暂不支持。
带宽、存储 固定带宽、存储。 可按需扩容。
堡垒机控制台权限 管理员、运维员。 管理员、运维员、审计员、只读权限、以及自定义角色。
B/S运维 通过单点登录器启用本地客户端。 Web Terminal运维方式:高可用版本可直接Web页面主机运维,无需安装运维软件。
用户认证 本地用户、RAM、LDAP、AD、Radius。 本地用户、RAM、LDAP、AD。
操作日志告警外送 配置邮件或Syslog告警外发。 SLS细粒度配置告警。
系统诊断工具 查看网卡、内存、磁盘使用情况。 云化架构不涉及。
未授权登录 未授权登录。 新版本不支持该功能。

迁移数据说明

  • 迁移时会保留的数据
    保留数据 备注
    用户 无。
    用户组 无。
    主机 无。
    主机账户 只保留SSH、RDP协议。目前不支持empty及SFTP账户的迁移。
    主机组 无。
    运维授权 账户组授权拆分为主机的私有账户授权。
    系统设置 运维空闲时间配置(由于两者配置的时间范围不一致,当V3.1大于V3.2配置的最大值,迁移为不设置空闲时间)。
  • 不迁移数据
    不迁移数据 解决方案
    Admin账号、Radius账号 Admin变为内置账号,页面无该账号,不再支持Radius账号。
    共享账号 共享账号关联的主机迁移为主机的单个独立的主机账号,只保留SSH、RDP的账户,登录方式为密钥时,会都迁移到共享密钥。
    控制策略 需要重新设置。
    操作日志、运维日志、审计录像 迁移前通过SFTP、Syslog、文件下载导出相关日志及录像。
    本地用户有效期 需要重新配置。