云堡垒机实例和系统中使用了一些固有限制,以保障云堡垒机服务的稳定性和安全性。本文介绍使用云堡垒机服务过程中存在的一些限制条件。
推荐将云堡垒机实例和纳管资源部署在相同 VPC 下,以保证网络连通性和相互访问能力。因此,需要注意以下网络限制:
不支持直接跨地域使用:虽然可以使用 云企业网 跨地域打通网络,但网络性能可能受限。如需跨地域或 VPC,建议使用 多网域 功能。
不支持直接跨 VPC 使用:同一 VPC 中的资源默认可以直接访问,但同地域内跨 VPC 场景需要通过 云企业网 等技术打通两个 VPC 网络之间的连通性,或使用 多网域 功能。
云堡垒机实例与纳管资源的安全组,必须允许相互访问。尽可能保证云堡垒机实例与纳管资源处在相同的安全组,若使用不同安全组,需保证入方向规则放通 2002 端口和客户端访问协议的端口。
云堡垒机支持纳管 SSH、RDP、SFTP 协议类型的 Windows 主机和 Linux 主机,以及 Mysql、PostgreSQL 数据库。
限制告警通知消息的发送频率,避免短时间内发送大量消息干扰用户。详细限制如下:
双因子认证短信/邮件消息:单用户限制每分钟 1 次,每分钟最多允许并发 100 条消息。
自动阻断命令通知消息:单用户限制每 10 秒一次,每分钟最多允许并发 100 条消息。
命令审批通知消息:单用户限制每 5 秒一次,每分钟最多接收 12 条,每天最多接收 200 条,每分钟最多允许并发 10 条消息。
需要通过第三方客户端登录云堡垒机执行管理/运维/审计工作,推荐使用以下第三方客户端登录云堡垒机。
| 登录方式 | 本地操作系统 | 支持的客户端 | 使用限制 |
|---|---|---|---|
| Web 浏览器登录 | Windows | Chrome | 103.0 及以上版本 |
| MacOS | Chrome | 103.0 及以上版本 | |
SSH 客户端登录 | Windows | Xshell | 7 |
| SecureCRT | 8.1.0 及以上版本 | ||
| Putty | 0.78 及以上版本 | ||
MacOS | Terminal | 无版本限制 | |
| SecureCRT | 8.1.0 及以上版本 | ||
| nuoshell | 0.11.2 | ||
| Iterm2 | 3.4.15 | ||
| SFTP 客户端登录 | Windows | SecureFX | 9.0.0 及以上版本 |
| SecureCRT | 8.1.0 及以上版本 | ||
| WinSCP | 5.21.8 及以上版本,以及客户端配置要求,详见:禁用 WinSCP 客户端缓存。 | ||
| Xftp | 7 及以上版本,以及客户端配置要求,详见:Xftp 客户端设置主连接。 | ||
| FileZilla | 3 及以上版本,以及客户端配置要求,详见:FileZilla 客户端最大连接数配置。 | ||
| MacOS | Terminal | 无版本限制 | |
| SecureFX | 9.0.0 及以上版本 | ||
| Iterm2 | 3.4.15 | ||
| FileZilla | 3 及以上版本,以及客户端配置要求,详见:FileZilla 客户端最大连接数配置。 | ||
| RDP 客户端登录 | Windows | 远程桌面连接 (Remote Desktop Connection) | 无版本限制,客户端配置要求,详见:远程桌面连接“允许我保存凭证”。 |
| 远程桌面 (Microsoft Remote Desktop) | 无版本限制 | ||
| MacOS | Microsoft Remote Desktop | 无版本限制 |
| 数据库 | 本地操作系统 | 支持的客户端 | 使用限制 |
|---|---|---|---|
| MySQL | Windows | Navicat for MySQL | 16.0.14 及以上版本 |
MacOS | Navicat for MySQL | 16.0.14 及以上版本 | |
| MySQL | 5.7 和 8.0 版本 | ||
| MariaDB | 10.5 及以上版本 | ||
| Terminal | 无版本限制 | ||
| PostgreSQL | Windows | DataGrip | 2024.1.3 及以上版本 |
| MacOS | DataGrip | 2024.1.3 及以上版本 | |
| Terminal | 无版本限制 |
目前只允许通过 IP 地址和端口登录云堡垒机。
云堡垒机实例创建完成后,不允许修改私有网络和子网。
每个火山引擎账号在同一地域内可创建 3 台云堡垒机,若资源配额不足,请前往 配额中心 申请。