使用限制

本文介绍您在使用运维安全中心(堡垒机)前需要了解的一些相关注意事项。

使用堡垒机分配的域名地址进行运维

为了保障运维的连续性,堡垒机提供固定的公网或私网域名连接堡垒机,我们建议您使用堡垒机分配的域名地址进行连接运维,避免因IP地址发生变化而无法运维。

并发数限制

  • 在一个会话内发起多条TCP连接时,每个连接都会消耗一个并发数限额。堡垒机服务在并发数限制内才可稳定运行,超出并发数限制范围后,可能会出现服务中断的风险。如需查看堡垒机实例并发数配额,请参见计费方式

  • 为了保证系统稳定性,堡垒机设置了过载保护机制,当出现一些高性能消耗的场景导致系统服务过载时,会拒绝新建会话连接,或中断一些在线会话。如果有此类情况发生,请加入钉群(钉群号:33797269),联系产品技术专家进行咨询

    重要

    例如,多个会话使用远程桌面进行复杂图形操作、多个会话打开远程桌面浏览器观看视频等行为、SQL Server数据库运维时的导表操作等可能会造成服务负载过高,触发堡垒机服务过载保护机制。

    假设购买规格为50资产基础版,触发堡垒机服务过载保护机制具体场景示例如下:

    • 假设Windows服务器屏幕分辨率为1080P,通过堡垒机内网运维Windows服务器时,如果开启了一个GIF动图,且动图每隔5秒切换一张图片,持续30分钟。该场景并发运维20个RDP会话后可能会触发堡垒机服务过载保护机制。

    • 通过堡垒机内网运维Linux服务器时,如果每5秒发送一条指令,持续30分钟。该场景并发运维50个SSH会话后可能会触发堡垒机服务过载保护机制。

    • 通过堡垒机连接数据库服务器并执行简单查询语句时,如果每个会话内包含的连接数超过10个。该场景并发运维50个数据库会话后可能会触发堡垒机服务过载保护机制。

运维客户端工具及版本限制

由于远程连接堡垒机的客户端工具及版本较多,实际运维场景较为复杂,因此请您使用堡垒机兼容的客户端远程连接工具进行运维,防止出现连接失败或者影响系统稳定性的情况。兼容的客户端工具以及版本列表,请参见客户端远程连接工具及版本

通过内网进入运维门户限制

堡垒机本地用户、AD/LDAP用户目前不支持通过内网地址进入运维门户进行网页方式运维、申请运维令牌、更改密码等操作。

说明

支持纯内网登录堡垒机或服务器。具体操作,请参见内网安全运维最佳实践

RAM用户可以在控制台管理页面进行网页方式运维及申请运维令牌。具体操作,请参见网页运维

RAM用户双因子认证

RAM用户目前沿用访问控制设置,不支持MFA(Multi Factor Authentication)之外的其他双因子认证方式。

    说明

    如果需要为RAM用户设置双因子认证,您可以登录RAM访问控制台,设置RAM用户的多因素认证MFA。具体操作,请参见为阿里云账号绑定MFA设备

    针对非RAM用户,例如本地用户、AD/LDAP用户,支持短信、邮件、钉钉工作消息通知或者OTP令牌认证发送动态验证码进行双因子认证。

堡垒机用户名字符长度限制

由于客户端限制,进行RDP协议运维时,堡垒机用户名不能超过63字符,若超过63字符,只能通过网页运维方式登录服务器。具体操作,请参见网页运维

运维地址通知短信限制

受运营商限制,国际站堡垒机向中国内地手机号码(+86)发送堡垒机运维地址通知短信,可能会被拦截。在该场景下,建议您使用邮箱认证。

短信双因子认证、消息通知等其他发送短信通知的功能不受限制。

SSH运维审计支持Linux资产的Shell环境

标准bash、标准zsh、标准ksh和标准dash。若资产的Shell环境非以上环境,可能出现运维和审计命令提取不兼容。