本文介紹您在使用Bastionhost前需要瞭解的一些相關注意事項。
使用Bastionhost分配的網域名稱地址進行營運
為了保障營運的連續性,Bastionhost提供固定的公網或私網網域名稱串連Bastionhost,我們建議您使用Bastionhost分配的網域名稱地址進行串連營運,避免因IP地址發生變化而無法營運。
並發數限制
在一個會話內發起多條TCP串連時,每個串連都會消耗一個並發數限額。Bastionhost服務在並發數限制內才可穩定運行,超出並發數限制範圍後,可能會出現服務中斷的風險。如需查看Bastionhost執行個體並發數配額,請參見計費方式。
為了保證系統穩定性,Bastionhost設定了過載保護機制,當出現一些高效能消耗的情境導致系統服務過載時,會拒絕建立會話串連,或中斷一些線上會話。如果有此類情況發生,請加入釘群(釘群號:33797269),聯絡產品技術專家進行諮詢。
重要例如,多個會話使用遠端桌面進行複雜圖形操作、多個會話開啟遠端桌面瀏覽器觀看視頻等行為、SQL Server資料庫營運時的導表操作等可能會造成服務負載過高,觸發Bastionhost服務過載保護機制。
假設購買規格為50資產基礎版,觸發Bastionhost服務過載保護機制具體情境樣本如下:
假設Windows伺服器螢幕解析度為1080P,通過Bastionhost內網營運Windows伺服器時,如果開啟了一個GIF動圖,且動圖每隔5秒切換一張圖片,持續30分鐘。該情境並發營運20個RDP會話後可能會觸發Bastionhost服務過載保護機制。
通過Bastionhost內網營運Linux伺服器時,如果每5秒發送一條指令,持續30分鐘。該情境並發營運50個SSH會話後可能會觸發Bastionhost服務過載保護機制。
通過Bastionhost串連資料庫伺服器並執行簡單查詢語句時,如果每個會話內包含的串連數超過10個。該情境並發營運50個資料庫會話後可能會觸發Bastionhost服務過載保護機制。
營運用戶端工具及版本限制
由於遠端連線Bastionhost的用戶端工具及版本較多,實際營運情境較為複雜,因此請您使用Bastionhost相容的用戶端遠端連線工具進行營運,防止出現串連失敗或者影響系統穩定性的情況。相容的用戶端工具以及版本列表,請參見用戶端遠端連線工具及版本。
通過內網進入營運門戶限制
Bastionhost本機使用者、AD/LDAP使用者目前不支援通過內網地址進入營運門戶進行網頁方式營運、申請營運令牌、更改密碼等操作。
支援純內網登入Bastionhost或伺服器。具體操作,請參見內網安全營運最佳實務。
RAM使用者可以在控制台管理頁面進行網頁方式營運及申請營運令牌。具體操作,請參見網頁營運。
RAM使用者雙因子認證
RAM使用者目前沿用存取控制設定,不支援MFA(Multi Factor Authentication)之外的其他雙因子認證方式。
如果需要為RAM使用者佈建雙因子認證,您可以登入RAM存取控制台,設定RAM使用者的多因素認證MFA。具體操作,請參見為阿里雲帳號綁定MFA裝置。
針對非RAM使用者,例如本機使用者、AD/LDAP使用者,支援簡訊、郵件、DingTalk工作訊息通知或者OTP令牌認證發送動態驗證碼進行雙因子認證。
Bastionhost使用者名稱字元長度限制
由於用戶端限制,進行RDP協議營運時,Bastionhost使用者名稱不能超過63字元,若超過63字元,只能通過網頁營運方式登入伺服器。具體操作,請參見網頁營運。
營運地址通知簡訊限制
受電訊廠商限制,國際站Bastionhost向中國內地手機號碼(+86)發送Bastionhost營運地址通知簡訊,可能會被攔截。在該情境下,建議您使用郵箱認證。
簡訊雙因子認證、訊息通知等其他傳送簡訊通知的功能不受限制。
SSH營運審計支援Linux資產的Shell環境
標準bash、標準zsh、標準ksh和標準dash。若資產的Shell環境非以上環境,可能出現營運和審計命令提取不相容。