V3.1迁移V3.2注意事项以及迁移步骤_运维安全中心（堡垒机）(Bastionhost)-阿里云帮助中心

堡垒机V3.1.X版本后续将不再开发新的版本进行功能迭代，建议您迁移到最新的V3.2版本实例。V3.2版本提供更安全的域名模式访问，具有更稳定的云化架构，支持设置主备网络可用区以防止单点故障，支持资产规格、存储、带宽灵活扩缩容，提供更高更可靠的业务稳定性。本文介绍V3.1版本和V3.2版本之间的功能差异、迁移注意事项以及迁移流程等迁移说明。

说明

如有疑问，请加入钉群（钉群号：33097550），联系产品技术专家进行咨询。

V3.2版本优势

功能更加丰富：新增网络域、数据库运维、改密任务、主机运维、配置备份、API功能开放等功能。更多信息，请参见功能特性。
架构更安全灵活：堡垒机的V3.2版本采用云原生架构，可切换堡垒机网络可用区，避免单点故障导致运维业务中断，同时可弹性扩展带宽、存储适应业务扩展需求，并具有双引擎架构，提供更高业务稳定性。

迁移须知

迁移前，您需要提前了解V3.1版本与V3.2版本的功能差异及迁移前后的数据差异。详细信息，请参见功能差异说明、迁移数据说明。
重要
V3.1版本上的某些功能，例如工单、VNC运维、离线播放录像、Radius用户等，在V3.2版本上暂不支持，如果您的业务对这些功能的依赖度较高，建议您继续使用V3.1版本。
V3.1版本与V3.2基础版费用相同。当前迁移实例订单有效期内可免费升级使用企业双擎版，订单到期后续费时，会按照企业双擎版标准定价计算。V3.2版本计费说明，请参见计费方式。
迁移V3.2版本前，需将V3.1.X版本的堡垒机实例升级至V3.1.17及以上。
如需保留V3.1版本历史日志，您可以通过文件下载方式导出审计数据（包括会话审计日志、操作日志及录像文件）或将审计数据归档至OSS。
说明
审计数据归档至OSS具体操作，请参见审计数据归档OSS。录像文件需要下载离线播放器，具体操作，请参见下载离线播放器与Adobe AIR。
建议您选择业务空闲时间段进行迁移。
如果您的堡垒机实例的网络类型为经典网络，请加入钉群（钉群号：33097550），联系产品技术专家进行咨询。

迁移方案

将V3.1版本堡垒机实例迁移到V3.2版本时，后台会为您自动创建一台V3.2版本的堡垒机实例，并将V3.1版本实例上的配置数据导入至V3.2版本的实例中。
新创建的V3.2版本的堡垒机实例的到期时间与V3.1版本实例相同，迁移完成后，V3.1版本实例和V3.2版本实例并存。
重要
- 如果原V3.1版本实例在1个月内到期，原V3.1版本实例会在原实例到期时按流程释放。
- 如果原V3.1版本实例在1个月后到期，原V3.1版本实例会在迁移完成后一个月释放。

迁移方法

登录堡垒机系统。具体操作，请参见登录系统。
定位到要升级的实例，单击实例版本区域的升级，将V3.1.X版本堡垒机实例升级至V3.1.17及以上版本。
警告
升级过程中会影响堡垒机服务的管理和运维操作，预计影响时长10~15分钟。
单击实例右上角迁移。
在版本迁移须知对话框中阅读迁移须知内容后，选中我已阅读上述信息并单击确定。
在版本选择对话框，选择网络和迁移版本，单击确定。
系统会为您新创建一台堡垒机实例，并将V3.1版本实例上的配置数据导入至新创建的V3.2版本的实例中。
迁移时会影响控制台的使用，但是不会影响您在进行中的业务。迁移预计持续20~60分钟（具体时间与用户、资产、授权数量相关），请您耐心等待。

迁移后相关配置

通知运维人员更换新的运维地址。您可以按照单个用户或批量进行通知，具体操作，请参见管理用户。
堡垒机上已授权的安全组会默认迁移，其余未自动授权的ECS安全组需手动添加访问规则，允许堡垒机的出口IP访问该安全组下ECS。具体操作，请参见添加安全组规则。
若您开启了云防火墙保护堡垒机，请您参考云防火墙和运维安全中心（堡垒机）联合部署访问策略的最佳实践进行配置。
待V3.2版本实例运行稳定后，请关闭V3.1版本实例自动续费，开启V3.2版本实例自动续费。具体操作，请参见续费说明。

功能差异说明

功能	V3.1版本	V3.2版本
运维地址	IP模式。	域名模式。
授权	可基于用户或用户组、主机组、账户组、主机账户创建一条运维规则。主机组授权：默认授权主机组内主机的所有账户。	基于用户或用户组的维度授权资产或资产组，可以选择关联授权账户。基于用户或用户组、资产或资产组创建一条授权规则。资产组授权：默认不授权任何账户，需要手动指定账户完成授权。
工单	申请登录审核。	支持运维二次审批。
账户组授权	将不同主机的账户打包成组，以便于批量授权。	授权资产组时指定资产账户完成批量授权。
控制策略配置方式	主机侧配置及授权规则配置。	独立控制策略配置。
运维协议	VNC、telnet、SSH、RDP。	SSH、RDP、MySQL、SQL Server、PostgreSQL、Oracle。
共享账户	共享账户。	支持共享密钥。
日志导出	通过文件下载导出。	通过SLS服务转存。
录像导出	单个会话下载SFTP方式批量归档至FTP服务器。	暂不支持。
带宽、存储	固定带宽、存储。	可按需扩容。
堡垒机控制台权限	管理员、运维员。	管理员、运维员、审计员、只读权限、以及自定义角色。
运维方式	通过单点登录器启用本地客户端。	网页运维、客户端运维。
用户认证	本地用户、RAM用户、LDAP、AD、Radius。	本地用户、RAM用户、LDAP、AD。
操作日志告警外送	配置邮件或Syslog告警外发。	SLS细粒度配置告警。
系统诊断工具	查看网卡、内存、磁盘使用情况。	连通性测试工具
未授权登录	未授权登录。	支持未授权主机账户登录。

迁移数据说明

迁移时会保留的数据

保留数据	说明
用户	无。
用户组	无。
主机	无。
主机账户	若V3.1的SFTP账户在同主机中相存在同登录名的SSH账户，则迁移后只保留SSH账户和授权。若V3.1的SFTP账户在同主机中不存在相同登录名的SFTP账户，则迁移后为仅开启SFTP权限的SSH账户，且保留该账户的授权。 V3.1中的EMPTY账户迁移后仅保留主机授权，V3.2主机没有单独的EMPTY账户。
主机组	无。
运维授权	账户组授权拆分为主机的私有账户授权。
控制策略	保留原实例配置。
系统设置	运维空闲时间配置（由于两者配置的时间范围不一致，当V3.1大于V3.2配置的最大值，迁移为不设置空闲时间）。

不迁移数据

不迁移数据	解决方案
Admin账号、Radius账号	Admin变为内置账号，页面无该账号，不再支持Radius账号。
共享账号	共享账号关联的主机迁移为主机的单个独立的主机账号，只保留SSH、RDP的账号。登录方式为密钥时，会都迁移到共享密钥。说明 V3.1堡垒机中如果存在登录名相同的主机账号和共享账号，迁移之后默认保留主机账号及相关授权，不保留共享账号的授权关系。
操作日志、运维日志、审计录像	迁移前通过文件下载导出相关日志及录像，或归档至OSS。
本地用户有效期	需要重新配置。