运维安全中心（堡垒机）：使用限制

使用堡垒机分配的域名地址进行运维

为了保障运维的连续性，堡垒机提供固定的公网或私网域名连接堡垒机，我们建议您使用堡垒机分配的域名地址进行连接运维，避免因IP地址发生变化而无法运维。

并发数限制

• 在一个会话内发起多条TCP连接时，每个连接都会消耗一个并发数限额。堡垒机服务在并发数限制内才可稳定运行，超出并发数限制范围后，可能会出现服务中断的风险。如需查看堡垒机实例并发数配额，请参见计费方式。

• 为了保证系统稳定性，堡垒机设置了过载保护机制，当出现一些高性能消耗的场景导致系统服务过载时，会拒绝新建会话连接，或中断一些在线会话。如果有此类情况发生，请加入钉群（钉群号：33797269），联系产品技术专家进行咨询。

  重要

  例如，多个会话使用远程桌面进行复杂图形操作、多个会话打开远程桌面浏览器观看视频等行为、SQL Server数据库运维时的导表操作等可能会造成服务负载过高，触发堡垒机服务过载保护机制。

  假设购买规格为50资产基础版，触发堡垒机服务过载保护机制具体场景示例如下：

  • 假设Windows服务器屏幕分辨率为1080P，通过堡垒机内网运维Windows服务器时，如果开启了一个GIF动图，且动图每隔5秒切换一张图片，持续30分钟。该场景并发运维20个RDP会话后可能会触发堡垒机服务过载保护机制。

  • 通过堡垒机内网运维Linux服务器时，如果每5秒发送一条指令，持续30分钟。该场景并发运维50个SSH会话后可能会触发堡垒机服务过载保护机制。

  • 通过堡垒机连接数据库服务器并执行简单查询语句时，如果每个会话内包含的连接数超过10个。该场景并发运维50个数据库会话后可能会触发堡垒机服务过载保护机制。

运维客户端工具及版本限制

由于远程连接堡垒机的客户端工具及版本较多，实际运维场景较为复杂，因此请您使用堡垒机兼容的客户端远程连接工具进行运维，防止出现连接失败或者影响系统稳定性的情况。兼容的客户端工具以及版本列表，请参见客户端远程连接工具及版本。

通过内网进入运维门户限制

堡垒机本地用户、AD/LDAP用户目前不支持通过内网地址进入运维门户进行网页方式运维、申请运维令牌、更改密码等操作。

RAM用户双因子认证

RAM用户目前沿用访问控制设置，不支持MFA（Multi Factor Authentication）之外的其他双因子认证方式。

说明

如果需要为RAM用户设置双因子认证，您可以登录RAM访问控制台，设置RAM用户的多因素认证MFA。具体操作，请参见为阿里云账号绑定MFA设备。

针对非RAM用户，例如本地用户、AD/LDAP用户，支持短信、邮件、钉钉工作消息通知或者OTP令牌认证发送动态验证码进行双因子认证。

堡垒机用户名字符长度限制

由于客户端限制，进行RDP协议运维时，堡垒机用户名不能超过63字符，若超过63字符，只能通过网页运维方式登录服务器。具体操作，请参见网页运维。

运维地址通知短信限制

受运营商限制，国际站堡垒机向中国内地手机号码（+86）发送堡垒机运维地址通知短信，可能会被拦截。在该场景下，建议您使用邮箱认证。

短信双因子认证、消息通知等其他发送短信通知的功能不受限制。

SSH运维审计支持Linux资产的Shell环境

标准bash、标准zsh、标准ksh和标准dash。若资产的Shell环境非以上环境，可能出现运维和审计命令提取不兼容。