集团数据中心基础环境及混合云平台整体设计方案-3

ITSM-1-QM-01IT服务管理手册PAGE\*Arabic4导入资源池主机导入vCenter资源池后，我们可以将vCenter资源池中的虚拟机导入，实现对vCenter虚拟机的访问、安装Agent乃至监控等操作。我们会以以API接口形式来导入和管理vCenter主机。（参考：导入资源池）导入资源池主机与导入公有云、私有云主机一样，需要在“主机”页面进行。2.1、点击“主机”菜单，进入主机页面2.2、点击“导入主机”-“从资源池导入主机”菜单，打开导入向导2.3、选择要导入其主机的资源池，点击“下一步”，将列出资源池中的主机2.4、选择要导入的主机，点击“下一步”2.5、指定云账户名称，点击“确定”，开始导入主机2.6、导入主机完成后，点击“关闭”，即可完成从资源池导入主机操作2.7、返回主机页面，可以看到创建了云账户，并且显示了导入的主机对于从vCenter资源池导入纳管的主机，联想HyperXCM支持以vCenter管理终端对其进行访问。以vCenter管理终端对主机进行访问的前提是在资源池管理设置中开启了“vCenter管理终端”。参考：资源池设置。3.1、在主机页面，点击某台从资源池导入纳管的主机，展开主机页面3.2、在主机页面下方快速访问框内即可找到vCenter管理终端访问入口，点击“立即访问”即可打开vCenter管理终端，打开vCenter管理终端入口3.3、在vCenter管理终端入口中，点击“打开会话”，即可通过vCenter管理终端连接至主机创建主机联想HyperXCM中，支持向阿里云云账户及资源池（vCenter）云账户中创建主机。创建主机的方式有两种：直接创建主机和通过工单流程申请主机。创建主机将依据主机模板来进行，因此创建主机之前，请先配置主机模板。（参考：主机模板）创建主机需在“主机”栏目中进行，请先进入到“主机”栏目中以工单流程来申请主机，由您发起工单申请，然后按工单流程，通过审批环节及主机创建环节，主机创建成功后，将会导入至您的云账户中。（参考：使用工单流程）如果您要在阿里云云账户中创建主机，则请先设置阿里云云账户为允许创建主机。（参考：云账户设置）2.1、在“主机”栏目中，点击“创建主机/工单流程申请主机”，将弹出云账户及主机模板选择框2.2、指定要创建主机的云账户及主机模板，点击“立即申请”，将进入主机申请向导界面2.3、首先确定您所申请主机的实例规格，点击“下一步”2.4、再指定系统配置信息，如主机数量、实例名称等，点击“下一步”2.5、确认订单后，点击“发起申请工单”2.6、填写工单主题及内容，点击“发起新的工单”，即可发起主机申请工单流程，并弹出提示框2.7、在提示框中，提示您可以在“我发起的工单”中查看流程信息，点击“立即前往”可以进入查看“我发起的工单”您的申请主机工单发起后，相应的工单流程处理人员将会接到工单处理请求，在所有工单环节处理完毕后，将会创建好主机并导入至您的云账户中。（参考：处理工单）相对于工单流程申请主机而言，直接创建主机无需经过审批流程，直接在资源池或阿里云云账户中创建主机。如果您要在阿里云云账户中创建主机，则请先设置阿里云云账户为允许创建主机。（参考：云账户设置）2.1、在“主机”栏目中，点击“创建主机/直接创建主机”，将弹出云账户及主机模板选择框2.2、指定要创建主机的云账户及主机模板，点击“准备创建”，将进入创建主机向导界面2.3、首先确定您要创建主机的实例规格，点击“下一步”2.4、再指定系统配置信息，如主机数量、实例名称等，点击“下一步”2.5、确认订单后，点击“立即创建”，将开始创建主机2.6、待主机创建完毕，其将被导入至您的云账户中，点击“前往云账户”可进入您的云账户中查看主机管理管理主机一、进入主机菜单模块管理主机资源，您需要进入到主机菜单页面；在主机模块中，针对主机列表，您可以选择“网络视图”、“标签视图”以及“分组视图”（基于分组授权）来进行查看主机；1.1、网络视图：1.2、标签视图：具体请参考主机标签指引；1.3、分组视图：在“分组视图”里，用户仅能看到被授权的分组及分组中包含的主机资源与物理网络关联的主机资源。“分组视图”是基于分组授权来进行管理的，您需要先对您的所有主机进行授权，具体请参考分组授权指引；二、主机搜索功能点击这里的搜索主机功能，您可以搜索整个主机菜单页面所有的主机，可根据主机的ID、名称、IP、标签值等关键字进行主机搜索；而在这里输入主机搜索进行，可以在您当前的云账户下进行搜索；三、主机页面显示字段方案管理点击这里的私有云默认方案的下拉键，您可以选择我们提供的默认方案，亦或者选择主机字段方案管理，自定义您想要的方案字段；四、主机批量导出功能点击这里的批量管理功能，您可以在这里批量选择您要导出的主机（当前云账户里的主机）以及要导出的主机字段；如果您要导出所有云账户的主机，或者某些标签的主机，您可以点击按标签，然后在标签页这里进行导出；五、查看主机详情在云账户主机列表中，您可以点击任意的主机图标进入该主机的详情页面；主机详情从主机信息、主机Agent、网络信息、监控信息、成本信息、体检信息、主机标签、接入方式等多个角度展示主机信息；5.1、主机信息设置：您可以在这里进行主机信息设置，设置主机名称、主机描述；您也可以设置主机的操作系统、内外网IP、实例规格及磁盘容量，同时如图，您可以通过点击自动维护信息设置，通过勾选来选择哪些由系统自动维护（需要安装有Agent才能自动维护），哪些由用户自己来手动修改；5.2、重启主机、重置密码：如果您是局域网方式管理主机，那么您可以在这里进行重启主机、重置密码等操作，前提是您安装有Agent；如果您是云主机，那么您无需安装Agent就可以在这里进行重启主机、重置密码等操作；5.3、主机标签这里显示当前主机对应的主机标签，具体标签管理您可以查看主机标签管理；5.4、主机快速访问这里显示当前主机可以使用的远程方式，具体远程方式使用请查看主机远程方式管理；5.5、主机轨迹这里显示当前主机审计日志等信息，具体审计日志信息管理您可以查看主机操作及审计日志；六、移除主机用户可随时移除已导入到联想HyperXCM中的主机，在云账户主机列表中，将鼠标移入主机图标，出现“移除”按钮，点击后在弹出的提示框中选择“确定”。移除后，您还可以通过“添加云主机”的方式再次导入该主机。主机标签在联想HyperXCM中，您可以使用标签对主机进行不同方式（例如：按用途、所有者或所处位置等）的分类，这样有助于您根据分配给主机的标签快速识别主机，对主机进行检索、按类别显示等操作，极大提高主机管理的便利性。在主机列表界面中，您可以创建标签、为主机打标签，并按标签进行检索、显示。首先登录联想HyperXCM，并进入主机页面。1、在主机列表界面中，点击“按标签”，进入标签列表界面2、点击“创建新的标签”，显示标签设置框3、在标签设置框中输入标签名，例如“系统”4、输入标签名后，再点击“√”，即可创建标签1、在主机标签列表界面中，选中一个标签，并点击“为主机打标签”，弹出批量设置主机标签框2、在批量设置主机标签框中，设置标签值，并勾选主机，再点击“添加”，即可以为主机打上标签1、在主机列表界面中，默认的主机列表显示类似下图2、点击“按标签过滤”，将弹出标签选择下拉框3、在标签选择下拉框中，选择您要显示的标签（主机），主机列表中将显示打了相应标签的主机1、在主机列表界面中，点击“主机字段方案”下拉框，弹出下拉菜单2、在下拉菜单中，点击“主机字段方案管理”，将弹出主机字段方案管理框3、在主机字段方案管理框中，选中当前的默认字段方案4、在待显示字段列表中，选中要显示的标签（按住Ctrl键可以多选），并点击“<”，将其加入当前显示字段列表中5、点击“确定”按钮，返回主机列表界面，即可看到列表中增加显示了您要显示的标签列6、点击标签列，您将可以以该标签的标签值对主机进行排序主机监控在联想HyperXCM中，我们为用户提供了两种模式的监控服务：云厂商监控和联想HyperXCMAgent监控（需要在主机上安装联想HyperXCMAgent）；对于公有云主机而言，联想HyperXCM通过API集成了各大云厂商监控服务，用户可直接在联想HyperXCM中查看云厂商的监控数据。同时，如果云主机上已经安装了联想HyperXCMAgent，也可采用联想HyperXCMAgent监控；而对于局域网主机，只能通过安装联想HyperXCMAgent来获得监控服务。受限于公有云厂商API的限制，云厂商监控模式存在诸如监控项过少、监控数据丢失、监控频率过低等问题。联想HyperXCMAgent监控模式，由安装在主机上的联想HyperXCMAgent插件直接向服务器汇报监控数据，有着稳定性高、频率高的优点，下面表格展示了两种监控模式的差异：对比项云厂商监控联想HyperXCMAgent监控数据来源云厂商监控Agent联想HyperXCMAgent监控项数量不同云厂商，监控项数量不一致10项监控频率5分钟/次（收费版团队阿里云主机2分钟/次）1分钟/次稳定性和准确性依赖于云厂商Agent和API高不论用户采用何种监控模式，联想HyperXCM都将默认提供一些基础监控项（如CPU），若用户需要更丰富的监控项，请进入主机详情页面，点击“监控概览”；然后点击“设置监控项”，就可以进行监控项设置了。需要注意的是，云主机某些监控项依赖于云厂商的监控Agent（延伸阅读：安装阿里云监控插件、安装腾讯云监控插件），否则将无法获取监控数据；如图为联想HyperXCMAgent监控；如图以阿里云为例，此为阿里云监控；通过上述点击“主机详情”里该主机的“监控概览”，可以看到主机监控概览。您可以通过点击上图里主机任意一个监控概览的图形界面或右下角的详情来进入到该监控项的监控详情，下图以CPU监控为例；根据监控项的不同，联想HyperXCM提供了相应的告警设置，您可以依据真实情况修改告警的阈值或停用部分告警，下图以CPU监控的告警项设置为例。当云主机某项负载达到告警阈值时，还将产生如图告警记录；同时，在主机图标中，将标记告警状态，提示用户当前云主机的异常状态；我们注意到，从2018年4月开始，陆续有联想HyperXCM用户反馈，经常收到来自阿里云的一封主题为“【云监控】资源使用超过配额提醒”的邮件。这封邮件中提到的问题是由于阿里云云监控服务已经于2018年4月2日正式商用，针对云监控的各项服务都有相关的配额限制，其中可能影响到联想HyperXCM用户的一项配额是“查询监控数据API月调用量”，对于免费使用阿里云云监控的用户而言，每个月的云监控API调用次数配额为100万次/月；在联想HyperXCM中，如果您的阿里云主机使用云厂商监控模式，那么主机的监控数据将通过阿里云API来获取，联想HyperXCM对阿里云API调用的逻辑规则如下：云主机的监控数据获取频率是基础版团队是5分钟/次，收费版本是2分钟/次；一个云账户每次获取监控数据时，并不是每台主机分开查询，而是整个云账户批量查询，这样有效降低了查询API的次数，不论您的云账户中有多少台云主机，查询的次数都是一样的；联想HyperXCM目前支持的阿里云监控项是30个，由于阿里云API的限制，每次监控数据的查询，监控项都会去调用一次API；阿里云监控API的调用会有相当的失败概率，联想HyperXCM有相应的补偿机制会对缺失的相关数据进行再次查询，这也增加了调用次数；CDN、OSS等云资源的监控和云主机是分开查询的，如果您同时在联想HyperXCM中管理CDN和OSS，那么相应的API调用次数也会增加；根据上述规则，我们可以计算出，基础版团队一个云账户每月请求阿里云查询监控数据API的次数至少是：30次/5分钟x12次/小时x24小时x30天=259200次，如果是收费版团队，每月调用次数至少是：259200次x2.5倍=648000次，这对于一个月100万次的免费额度是不一定够的；那么对于已经收到阿里云相关邮件的用户来说，我们建议，您可以考虑以下处理方式：1、如果您不关心主机监控数据的获取，可以不理会阿里云的配额提醒，并且可以在联想HyperXCM门户网页里的“团队设置”->“团队设置”->“云账户”->“基本信息”->“云厂商监控”进行关闭；2、如果您非常关注主机监控，同时又希望继续在联想HyperXCM中使用阿里云官方的监控服务，可以考虑按照阿里云的提示购买相应的服务，以提升API调用量配额；3、考虑使用联想HyperXCM提供的Agent进行监控，这需要为每台主机都安装Agent，我们提供了批量安装的功能（阅读：了解联想HyperXCMAgent）。ProxyProxy是一种类VPN的解决方案，它能够使用户通过内网IP访问云主机，避免将不必要的端口暴露到公网，从而起到安全运维的目的。同时，Proxy原生支持RDP/SSH/VNC协议，并通过协议精简能力，只需极小的带宽，便可获得流畅的操作体验。在确认要使用内网IP访问后，请在该云主机所在区域（或私有网络）选择一台云主机作为宿主机来安装Proxy，无需逐台主机安装，宿主机的选择请遵循以下原则：a）宿主机必须已经纳入到联想HyperXCM主机管理页面中；b）宿主机能够访问其他主机的远程端口，与之内网相通；c）宿主机无需具备公网IP，但必须要能够访问公网（私有部署版里需要能访问联想HyperXCM门户服务器）；d）宿主机建议拥富余的可用磁盘空间，以及内存、CPU；e）如果需要用到后面介绍的联想HyperXCMAgent，那么宿主机需要对外开放8326端口；a）在“网络”栏目，将列出您名下所有云账户及其下的区域和专有网络（以下简称VPC）。Proxy只能承担其所在区域/VPC内的内网访问服务，因此您在每一个需要开启内网访问服务的区域/VPC中，都需要部署至少一个Proxy；b）找到您要部署Proxy的区域/VPC后进入，在下图所示红框位置，点击“立即部署”；c）在打开的“安装Proxy”向导中，阅读完第一步安装要求后，点击“下一步”；d）按照上一步的要求选择好宿主机，点击“下一步”（如果是局域网主机，这里可以选择用脚本方式在未导入到联想HyperXCM的主机里执行脚本安装）；e）提供“自动安装”和“手动安装”两种安装方式，如果选择手动安装，系统会根据宿主机操作系统，生成相应的安装脚本，您需要复制脚本内容，将脚本在宿主机上执行（建议使用这种手动安装方式）；f）如果选择自动安装，需要输入主机的登录凭证或者选择一个已有的快捷方式，SSH类主机建议使用root账户，而Windows类主机必须使用administrator用户进行安装，并且联想HyperXCM门户服务器必须要能访问宿主机的远程端口才能完成安装；g）选择“手动安装”后，如果您已经实现了“云拷贝”功能，您可以直接将脚本粘贴到宿主机的CMD窗口上（Windows）或SSH中（Linux），再执行安装脚本（必须是管理员身份）；h）如果您没有“云拷贝”功能，请通过联想HyperXCM的“复制/粘贴”功能将安装脚本发送到宿主机中；i）安装过程如果遇到问题，您可以点击“安装遇到问题”链接，或查看Proxy的FAQ指引尝试自助处理；助手安装成功后，将会自动出现新增的Proxy，可以通过刷新浏览器来查看当前Proxy最新状态，请确保该助手的状态是正常，若为异常，请按提示进行操作；Proxy安装成功后，该区域/VPC的主机将激活“内网IP访问”功能，点击“立即访问”输入登录凭证后即可通过内网访问主机。Proxy是纯绿色软件，卸载后不会在系统中留下任何垃圾或隐患，当您确认要卸载Proxy时，请按以下步骤执行卸载操作：6.1、在网页上删除Proxy在“网络”菜单页面，进入相应的网络/VPC，选择对应的Proxy，点击设置按钮，打开Proxy属性窗口；点击“卸载”按钮，系统将自动在宿主机上卸载该Proxy（前提是网络处于连通状态），卸载后请刷新当前浏览器；6.2、执行卸载脚本如果卸载后宿主机上的Proxy并未完全卸载成功，您可以按照以下方式进行卸载：a）Linux版本方式一：进入Proxy安装目录（默认是：cd/usr/local/CloudGateway/bin），执行以下命令：./uninstallCloudGateway.sh方式二：也可以使用root权限执行以下脚本：sudouninstallCloudGateway.shb）Windows版本进入Proxy安装目录（默认是：C:\ProgramFiles(x86)\Cloudbility\CloudGateway\bin），双击执行以下脚本：uninstallCloudGateway.bat6.3、强行卸载方式（Windows）如果按上述卸载后CloudGateway服务仍然存在，您可以按照以下方式进行卸载：请先用管理员权限打开CMD命令提示符，然后执行以下两句来删除服务：scqueryCloudGateway执行完再执行scdeleteCloudGateway然后即可直接删除Proxy目录（默认是：C:\ProgramFiles(x86)\Cloudbility\CloudGateway）如果您在Proxy使用或安装过程中出现问题，您可以查看Proxy的FAQ指引尝试自助处理；Agent通过前面的章节，我们已经了解到在联想HyperXCM中，我们通过API来实现云主机的管理，通过Proxy来实现局域网主机的管理（私有部署版还可以通过直连模式来实现），但不论是云主机还是局域网主机，背后所管理的资源都是主机。在默认情况下，云主机通过API已经能够获得大部分管理功能。而局域网主机由于缺乏监控手段，无法实现监控功能。另外在自动化运维场景中，我们除了SSH快捷方式这一种执行方式外，还需要一种更稳定更可靠的执行方案。在这种需求下，我们推出联想HyperXCMAgent这一产品，将其部署在目标主机上，以完成局域网主机监控、自动化运维等高级特性。需要注意的是，联想HyperXCMAgent是通过内网安装和工作的，也就是说它需要依托于Proxy（私有部署版直连模式可以依托于门户中转），如果您要在云主机上安装Agent，请先在网络中安装Proxy来启用内网访问，局域网主机天然已经具备了内网访问能力。而联想HyperXCMAgent工作过程中的监控数据汇报、自动化运维脚本和命令执行、文件分发，登录凭证批量改密，都是通过Proxy来与门户进行通信的。了解了联想HyperXCMAgent工作原理，我们可以知道联想HyperXCMAgent在工作时，只会与内网络中的Proxy进行通信，所汇报的数据统一由Proxy提交给联想HyperXCM门户，联想HyperXCMAgent成功安装的前提有以下几点：Proxy模式：内网中的Proxy工作正常；Proxy模式：安装Agent的主机能够访问Proxy宿主机的8326端口；直连模式：安装Agent的主机能够访问联想HyperXCM门户服务器的80端口（默认是80）；安装Agent的主机能够通过内网创建会话，远程桌面/终端能够正常访问；安装Agent时，需要使用系统管理员身份安装；（a）如果您只需在单台主机上安装联想HyperXCMAgent，请进入主机详情页，在主机基本信息Agent状态处，点击“未安装”，将打开Agent安装对话框。（b）联想HyperXCM为您提供了自动安装和手动安装两种方式（主机少或者Windows主机建议使用手动安装方式）；（c）如果您选择自动安装，您需要输入这台主机的登录凭证或者选择一个已有的快捷方式，SSH类主机建议使用root账户，而Windows类主机必须使用administrator用户进行安装，并且Proxy宿主机必须要能访问目标机的远程端口才能完成安装；（d）如果您选择手动安装，请根据您的操作系统类型，登录到主机的远程桌面/终端，执行这段脚本进行安装；（a）进入“网络”栏目，将列出您名下所有云账户及其下的区域和专有网络（以下简称VPC）；（b）找到您需要主机所在的区域/VPC并进入，如果Proxy运行正常，那么可以看到右侧的主机列表下方的“批量安装主机Agent”是可点击的。（c）点击打开Agent批量安装向导，首先需要选择主机操作系统，如果您的主机既有Windows也有Linux，请分批安装，下面以Linux为例来介绍安装过程；（d）接下来设置主机的安装信息，为了方便您快速便捷的安装，如果您的主机SSH连接信息都是标准化的，建议您通过批量设置功能设置安装信息（也可以指定SSH快捷方式）；（e）点击“批量设置”，需要输入这些主机的登录凭证，SSH类主机建议使用root账户（或至少得是sudo方式），而Windows类主机必须使用administrator用户进行安装，并且Proxy宿主机必须要能访问目标机的远程端口才能完成安装，点击“设置”；（f）设置完成后，勾选相应的主机，点击“下一步”按钮，开始安装；（g）显示安装过程，列表中将列出每台主机的安装进度；（h）安装完成后，自动显示最终安装结果，如果有安装失败的情况，将在这里统一展示，您可以将错误信息发送给我们的在线客服进行排查。如果您的服务器环境，Powershell和Bat脚本都无法执行（一般出现在Windows2003操作系统），那么您可以通过下载安装包的方式来安装联想HyperXCMAgent，但请注意以下两点：这种方式仅适用于Windows服务器，Linux请通过脚本安装；这种方式依旧需要确保Proxy的8326端口已经向目标主机开放；（a）下载联想HyperXCMAgent根据您的操作系统类型从以下地址将联想HyperXCMAgent安装包下载到目标主机上（如果是私有部署版，请将域名修改成您的实际联想HyperXCM门户地址）：32位：/downloads/cloudGateway/YunAgent-windows32-latest.zip64位：/downloads/cloudGateway/YunAgent-windows64-latest.zip（b）解压文件以Windows为例，在目标主机上手工创建目录：C:\ProgramFiles(x86)\Cloudbility\（32位系统目录是：C:\ProgramFiles\Cloudbility\），并将安装包解压到这个目录中；（c）获取安装信息以Windows为例，打开联想HyperXCMAgent的安装窗口，切换到“Windows主机”，按照下图中的2，找到安装脚本中这段信息，将其复制下来，第一段是导入key，第二段信息是一个ip地址列表，表示一个或多个IP，用逗号连接，IP之间无空格；（d）修改配置文件用文本编辑器打开解压目录下的文件：\wrapper\conf\parameter_file.conf，将上一步拷贝的信息，粘贴到文件末尾最后一行，并保存。如图所示：（e）安装并启动服务使用管理员身份打开CMD命令提示行，根据操作系统32位或64位来选择执行以下命令：32位："C:\ProgramFiles\Cloudbility\YunAgent\wrapper\bin\AppCommand.bat"installstart

64位："C:\ProgramFiles(x86)\Cloudbility\YunAgent\wrapper\bin\AppCommand.bat"installstart

如果结果如下图所示，则表示联想HyperXCMAgent安装成功。Agent是纯绿色软件，卸载后不会在系统中留下任何垃圾或隐患，当您确认要卸载Agent时，请按以下步骤执行卸载操作：4.1、在网页上删除Agent在“主机”菜单页面，进入要卸载Agent的那台主机详情，在主机Agent这一项下点击卸载Agent，点击后稍请稍等会然后刷新浏览器即可看到Agent状态；4.2、执行卸载脚本如果卸载后宿主机上的Agent并未完全卸载成功，您可以按照以下方式进行卸载：a）Linux版本进入Agent安装目录（默认是：cd/usr/local/YunAgent/bin），执行以下命令：./uninstallYunAgent.shb）Windows版本进入Agent安装目录（默认是：C:\ProgramFiles(x86)\Cloudbility\YunAgent\bin），双击执行以下脚本：uninstallYunAgent.bat4.3、强行卸载方式如果按上述卸载后YunAgent服务仍然存在，您可以按照以下方式进行卸载：a）Linux版本请先查出Agent进程：ps-ef|grepYunAgent查询Agent进程PID，然后通过kill等命令来杀掉这两个PID；然后进入Agent安装目录（默认是：cd/usr/local/YunAgent/bin），执行以下命令：./uninstallYunAgent.shb）Windows版本请先用管理员权限打开CMD命令提示符，然后执行以下两句来删除服务：scqueryYunAgent执行完再执行scdeleteYunAgent然后即可直接删除Agent目录（默认是：C:\ProgramFiles(x86)\Cloudbility\YunAgent）如果您在Agent安装过程中出现失败的情况，您可以查看Agent的FAQ指引尝试自助处理；主机会话访问主机在联想HyperXCM中，想要访问一台主机，有两种途径：1.1、想访问某台主机，那么进入该主机的主机详情中，通过“快速访问”、“快捷方式”、“登录凭证”等方式打开主机来访问；1.2、在云账户主机列表中，找到该台主机的图标，通过“接入方式”菜单打开，“接入方式”里可以选择所有能访问的方式，一般默认的接入方式是上一次的访问方式；进入该主机的主机详情中，可以下拉看到“快速访问”这种方式来打开主机；通过这种方式访问的主机，都不会保存密码，每次通过快速访问来访问主机，都需要手动输入密码或放入密钥；在实际运维过程中，我们更习惯将主机的登录信息形成一个配置文件，避免每次使用时都需要输入。在联想HyperXCM中，我们提供了一种叫做“快捷方式”的解决方案，用户可以将访问凭证保存为快捷方式，避免下次访问时重复输入，甚至可以将快捷方式分享给指定的团队内其他成员，无需向其透露主机登录密码；在点击“快速访问”时，输入账号、密码后可以存为快捷方式；并且您可以设置该“快捷方式”的公开性，来选择把该“快捷方式”分享给哪些成员；保存后，可以看到“快捷方式”里有刚保存的访问方式，此时，通过这个新保存的“快捷方式”访问该主机，就不需要输入密码，并且以后打开都不需要密码；此时，您还可以通过图中的编辑按钮来编辑“快捷方式”的端口、用户名、密码、公开性等等；快捷方式是一种保存某台主机访问凭证的访问方式，但如果主机数量过多时，为了方便管理，我们就需要一种批量为主机设置访问凭证的方法；在联想HyperXCM中，我们把这种方法称为“登录凭证”，只要创建一个登录凭证，设置好主机的访问协议、用户名等信息，再将相关的主机加入到这个凭证中并录入主机的密码，这些主机便自然能够使用这个登录凭证来访问；具体登录凭证使用及管理，请参考登录凭证使用指引在联想HyperXCM中，提供四种访问主机的方式，分别是Web桌面访问、本地工具访问、管理终端访问、跳板机功能访问；直接通过浏览器Web方式访问目标主机，Web方式支持四种协议，分别是RDP、SSH、VNC、TELNET访问协议；访问时支持自动或手动设置分辨率：访问时支持通过密码、密钥方式来登录，支持设置行列值，以及设置字符集（UTF-8、GBK、ISO8859-1）：同时，我们SSHWeb会话还支持高清屏。4K屏已经普及了，联想HyperXCM针对高清屏幕支持了SSH的Web桌面的高清会话，告别渣画质（4.15版本）；访问时请输入目标VNC的密码（不是目标主机的登录密码）：如果您想使用VNC复制粘贴功能，请先配置VNC服务端进行支持，具体请参考VNC服务端开启复制功能访问时支持使用用户名、密码登录或设置Telnet协议的自定义登录参数，还支持设置字符集（UTF-8、GBK、ISO8859-1）及行列值；如何填写自定义登录参数，在上图里选择“自定义登录参数”，并点击“立即设置”；此时以思科交换机登录为例，与普通Telnet服务端不同，在通过Telnet登录设备时，需要分别填写“会话密码”和“管理密码”，而不是常见的“用户名”和“密码”；详见下图：对应图片中的登录参数我们需要在界面中设置“会话密码”和“管理密码”的登录参数；假定会话密码为“1234”，管理密码为“abcd”；在输入会话密码：1234后，需要执行“回车”（\n），并输入“en”，才能输入登录密码，因此在界面中我们需要输入：设置好会话密码后，我们设置管理密码：abcd，如图：至此，登录参数设置完毕，点击“确定”后，即可在打开会话弹窗中访问目标设备；同时也可以将此次设置的自定义参数保存为快捷方式。联想HyperXCM提供了很多种访问主机的方式，但是都是基于浏览器的行为，而运维人员在访问主机时，更喜欢使用诸如Putty、SecureCRT、mstsc等本地访问工具。考虑到用户的使用习惯，联想HyperXCM为这些用户提供了基于本地工具的访问方式；通过本地工具访问的前提是安装有本地工具客户端，本地工具客户端安装请参考浏览器插件安装使用指引，里面分别有Windows、Mac、Linux等系统下的安装方式，安装完成后请通过3.2.1以及3.2.2的访问方式来访问。点击“快捷方式”或“登陆凭证”的“本地工具”；此时有两种方式来使用“本地工具”功能，分别是“一键唤醒本地工具功能”以及“访问串访问本地工具功能”；方式一：一键唤醒本地工具功能我们以Windows系统的Putty为例，点击“打开会话”，此时会弹出提醒，请点击“允许”；此时就通过一键唤醒功能打开目标会话了：方式二：访问串访问本地工具功能我们以Windows系统的SecureCRT为例，打开您本地的SecureCRT工具，点击快速连接会话；回到联想HyperXCM网页，点击“查看访问串”，把“访问串”生成的信息填入此时的SecureCRT连接框里，点击“打开”；此时就通过访问串方式打开目标会话了；基于原厂的管理终端访问方式（如：阿里云管理终端、腾讯云管理终端、vCenter管理终端等）输入云厂商管理终端的密码后就可以进入到目标主机的远程会话中了；4.14版本中支持了联想HyperXCMSSH跳板机的功能，只需使用任意SSH本地工具SSH到联想HyperXCM中转（私有部署版中转默认和门户服务器在一起），并输入登录联想HyperXCM的用户名与密码，即可在SSH的本地工具中直接获取所有授权主机的列表，简单操作后即可快速进入到目标主机的会话中；（1）私有部署版：以私有部署版为例，打开用户本地电脑的SSH工具（这里以SecureCRT为例），点击快速连接；输入“IP”私有部署版中转服务器IP（私有部署版中转默认和门户服务器在一起）、“端口”8022（中转服务器防火墙必须开放8022端口）、“用户名”请填写您的联想HyperXCM账号（这里以用户admin为例）、“密码”请填写您的联想HyperXCM账号对应的密码；此时我们就进入到了跳板机里，只要在主机列表里选择对应主机点击键盘“enter”按钮即可登录到目标主机（注意，必须有目标主机的登录凭证或快捷方式才能进入该主机），图中我们可以看到，我们还可把光标移动到“团队”、“云账户”、“操作系统”、“查找(F3)”上进行团队、云账户等的选择以及进行相关查找。注意：跳板机功能只支持远程到SSH主机；（2）SaaS：SaaS用户如果想使用此功能，请SSH到联想HyperXCM的各中转域名或IP。中转域名及IP您也可以在“网络菜单-->会话中转优化-->中转站点详情”中查看。会话中转地址IP地址域名深圳36北京40杭州02成都00香港40海外（美西）02海外（欧洲）1这里以深圳中转为例，通过深圳中转进行连接，如图，“主机名”可填写36或、“端口”请填写8022、“用户名”SaaS版一般为您的手机号码；（3）SSH跳板机按键操作指引a）显示本帮助信息登录进跳板机后，按<帮助>按钮或者F1即可显示本帮助信息；b）切换团队按<团队(T)>按钮或者shift+t即可显示团队切换对话框；c）退出跳板机按<退出(F10)>按钮或者F10即可退出跳板机，默认情况下，键盘无任何输入12小时后会自动退出跳板机，故执行预期时长较长的脚本时，最好采用后台执行的方式，避免由于退出跳板机导致脚本执行中断；d）按操作系统筛选主机按<操作系统(O)>按钮或者shift+o即可调出操作系统筛选对话框；e）筛选主机按<筛选(F2)>按钮或F2即可调出筛选对话框，在左侧列表移动光标可切换筛选方式，而右侧列表为具体按哪一项进行筛选；按云账户：按云账户筛选主机，右侧会列出当前用户能看到的所有云账户；按标签：按标签筛选主机，右侧会显示当前用户能看到的所有标签；按分组：按虚拟分组或者是开启分组视图之后的树形分组来过滤当前主机；f）查找主机按<查找(F3)>按钮或F3，输入关键字即可对主机列表进行过滤，并且高亮显示关键字；主机列表非空的情况下，按字符/即可进入类vim的查找模式，在当前主机列表里按关键字查找主机；例如需要查找包含mysql的主机，只要先按/进入查找模式，输入mysql回车，此时主机列表会自动选中一个包含关键字mysql的主机，按n查找下一下，按N查找上一个，按Esc取消查找；g）快捷命令在任意非输入状态下按字符:(shift+;)可进入类vim的命令模式，目前支持的命令有：help：调出本帮助文档；exit：退出跳板机；setlang：支持输入setlang=en_US和setlang=zh_CN来切换国际化，目前仅支持en_US和zh_CNsetteam=xxx：切换团队，允许按tab键对团队名进行自动补全；setcloud=xxx：切换云账户，允许按tab键对云账户名进行自动补全；settag=xxx：切换标签，允许按tab键对标签名进行自动补全；setgroup=xxx：切换分组，允许按tab键对分组名进行自动补全(只支持切换资源分组)；如果您在创建会话过程中遇到创建失败的情况，您可以查看创建会话失败的FAQ指引尝试自助处理；如果您想在远程会话时使用复制粘贴功能，您可以查看会话文字复制粘贴使用指引；如果您想在远程会话时使用协同会话功能，您可以查看协同会话使用指引；如果您想在远程会话时使用文件传输功能，您可以查看文件传输使用指引；如果您想在远程会话时使用会话守护功能，您可以查看会话守护使用指引；复制粘贴联想HyperXCM远程会话时，有三种方式可以实现目标主机与用户客户端之间进行字符的复制粘贴；分别是普通复制粘贴方式、剪切板复制粘贴方式、云拷贝方式（强烈推荐使用）；不同于RDP、SSH等协议的会话远程方式，VNC远程需要用户先对目标主机进行VNCServer配置；若您的目标主机是Linux，在确保您的客户端已正确安装联想HyperXCM浏览器插件（即云拷贝功能）后，如果VNC仍然无法进联想拷贝，请在目标Linux中执行以下命令：~]#vncconfig-nowin&这样在Linux桌面环境中会出现：请确保图中三个复选框均为选中状态，此时您便可以在本机与Linux之间实现复制粘贴功能了；如果您的Linux没有vncconfig命令，您还可以尝试如下做法，输入：~]#xcutsel&这样在Linux桌面环境启动后会出现一个小小的程序，里面有3项：在您本机中复制文本后，点击第3项：copy0toprimary，然后在Linux中点击鼠标中键，即可实现将文本复制到Linux中；同理，在Linux中复制文本内容后，点击第2项：copyprimaryto0，然后就可以复制到您的本机了。建议安装浏览器插件使用云拷贝功能来进行复制粘贴，如果没有安装，那么普通复制粘贴方式如下：在不使用会话下面的剪切板功能以及不使用云拷贝的情况下，无法从本地客户端复制字符到目标主机，而从目标主机复制并在本地客户端粘贴方式如下：RDP会话：复制（两次Ctrl+C）、粘贴（Ctrl+Shift+V）；SSH工具：由于“Ctrl+C”作为快捷键被SSH会话终端所占用，因此您无法在SSH会话中执行“Ctrl+C”来复制会话界面中的文本，我们在SSH会话中使用的快捷键为：复制（Ctrl+Shift+C）、粘贴（Ctrl+Shift+V）；建议安装浏览器插件使用云拷贝功能来进行复制粘贴，如果没有安装，那么剪切板复制粘贴方式如下：使用剪切板进行复制粘贴，RDP会话复制粘贴方式如图，可以获取目标主机剪切板内容，或者从本地复制文字字符发送到目标主机（内容不得超过2万个字符）：SSH会话复制粘贴如图，可以获取目标主机光标选中的内容，或者从本地复制文字字符发送到目标主机（内容不得超过2万个字符）：云拷贝的安装及使用方式请参考浏览器插件安装使用指引；通过运维策略来限制用户的复制粘贴使用，请参考主机剪切板运维策略以及云账户剪切板运维策略会话协同在对主机运维时，我们会碰到需要多方进行“协同会诊”的场景，而最好的协同是让参与者面对相同的工作场景。因此，联想HyperXCM提供了针对会话进行协同分享的功能特性。只要您是一个会话的创建者，您就可以通过一个URL，邀请协同方进入这个会话，他便可以看到您分享的会话，并可以在您允许的情况下对会话进行控制。在联想HyperXCM中，任何会话都是可以分享的，您进入会话后，可以参照以下步骤进行分享：2.1、进入“协同分享”在会话界面中，将右侧面板切换到“协同分享”页签，然后点击“开始分享”（会话分享状态默认是关闭的）；2.2、确定开启会话分享在“确定开启分享会话”时可以选择是否勾选“允许参与者在获取控制权的情况下进行文件传输”；2.3、生成分享链接进入到会话分享页面，可以点击“邀请好友进入会话”按钮，获得分享链接及授权码，然后通过复制链接及授权码的方式发给被分享者（也可以直接发送到被分享者手机或邮件里）；2.4、协同方打开链接将您的分享链接及授权码发送给被分享者，其打开该链接后将需要输入授权码；2.5、协同方参与分享输入授权码后，被分享者可以选择登录已有的账号来进行协同分享，也可以以“访客身份”进行临时进入；2.6、会话协同白板为加大会话协同分享中用户之间的沟通效率，我们还支持协同白板的功能，无论是会话创建者还是被分享者都可以基于会话白板中的“文字”、“画图”等协同操作进行高效沟通（PS：Linux由于现实大小以及滚动条等原因，所以是不适用协同白板功能的）；其次，Linux有滚动条的问题，导致每个人看到的内容可能不一致；）；2.7、切换会话控制权为了避免会话中出现“抢鼠标”的现象，我们限制一个会话同时只能有一个人有控制权，而其它参与者只能够观察。会话的创建者可以随时获取控制权，也可以随时剥夺其它参与者的控制权。会话的参与者只有在无人有控制权时，才可以抢夺控制权。我们可以依据参与人员列表中“小鼠标”，来判断当前控制权的状态，实心鼠标代表该用户已经获取控制权。相反，空心鼠标表示该用户未获得控制权。当需要切换控制权时，只需要点击“小鼠标”即可。2.8、结束分享在协同分享完成后，您可以选择将协同方“踢出”会话，并将会话分享状态关闭，这样对方都会从当前会话中离开；在“团队设置”菜单页面，“权限管理”的“功能授权”里，我们可以对“会话分享”来进行授权，授权对象将获得“允许在其创建的会话中开启协同分享功能”的权限；文件传输在主机运维过程中，我们经常需要在客户端和主机之间进行文件交互，如上传补丁文件、下载日志文件等。在联想HyperXCM中，受限于远程连接主机的方式限制，我们难于直接在客户端和主机之间建立一个文件传输通路，需要一个网盘作为中间介质来实现客户端和主机之间的文件传输。在联想HyperXCM中，我们提供了两种类型网盘：团队网盘、主机网盘，它们各司其职，作用如下：团队网盘是整个团队的公共存储空间，所有成员皆拥有读写权限，通常用于成员存放一些常用的文件。它无法与云主机进行文件传输，但可以将团队网盘的文件复制到主机网盘中，继而将文件传输至云主机；受限于B/S架构，用户在会话中无法直接在远程桌面/SSH终端进行文件的上传和下载，为了实现这个需求，我们在用户导入主机时，自动为每台主机分配了一个主机网盘，该网盘将在远程连接主机过程中被挂载成主机的逻辑磁盘，方便用户传输文件（RDP文件传输、SSH文件传输）。在文件传输过程中，如果我们通过公网传输，很显然会受到公网带宽的限制，并且传输还会和业务系统争夺宝贵的公网带宽资源，严重影响应用质量。针对这个现象，我们特别对于云主机提供了文件传输区域优化的特性：将主机网盘部署在云主机同一个内网中，充分利用云厂商内网千兆带宽的优势。用户只要使用“内网IP访问”（了解如何启用内网访问）访问云主机，便能够获得10~30Mbps峰值速率（即1.25MB~3.75MB）的“极速文件传输”，无需占用用户云主机的公网带宽。在分配主机网盘时，为了保证主机网盘和云主机位于同一内网，我们将主机网盘部署在云厂商的对象存储资源中，这样就实现了云主机和主机网盘的内网互通。但这种方案存在一个缺点：要求云厂商在云主机所在区域内部署有对象存储资源。而目前云厂商开通的对象存储资源有限，因此如果云主机所在的区域不支持对象存储，将导致云主机无法获得文件传输区域优化的特性，目前能够支持文件传输区域优化的区域列表如下：云厂商区域区域简称阿里云华南1cn-shenzhen华北1cn-qingdao华北2cn-beijing华北3cn-zhangjiakou华北5cn-huhehaote华东1cn-hangzhou华东2cn-shanghai香港cn-hongkong亚太东北1（东京）ap-northeast-1亚太东南1(新加坡)ap-southeast-1亚太东南2(悉尼)ap-southeast-2美国东部1(弗吉尼亚)us-east-1美国西部1(硅谷)us-west-1欧洲中部1(法兰克福)eu-central-1中东东部1(迪拜)me-east-1腾讯云北京一区(华北)tj北京bj上海(华东)sh广州(华南)gz成都(西南)cd香港hk新加坡sgp多伦多ca法兰克福ger除以上区域云主机外，都不支持文件传输区域优化特性，文件将通过公网来传输。网盘容量指的是团队网盘和主机网盘之和，目前基础版团队将免费获得1GB大小的网盘，其它收费版团队将获得相应大小的网盘。了解详情如需获得更大网盘容量，请将您的团队升级为更高版本。需要注意的是，无论是何种协议的会话，都将在“主机网盘”的基础上进行文件传输。RDP会话中，“主机网盘”将被挂载成云主机的逻辑驱动器。4.1、进入会话为了获得最流畅的文件传输效果，建议以内网IP访问形式创建会话。进入会话后，在RDP会话右侧面板，默认为“文件传输”页签。4.2、查看主机上的YUPAN此时，联想HyperXCM已经将“主机网盘”挂载成云主机一个叫做“GUANJIA上的YUNPAN”的逻辑驱动器。也就是说，您在文件传输面板上传的文件，都在这个YUNPAN中，您可以直接在主机上对其进行操作；4.3、上传文件点击“上传”按钮，您可以将本地上传文件到“GUANJIA上的YUNPAN”（即主机网盘）；上传过程中，您可以随时通过“传输队列”查看文件传输进度；您也可以打开云主机上的“计算机/GUANJIA上的YUNPAN”查看刚才上传的文件；4.4、下载文件同样的，您在主机“计算机/GUANJIA上的YUNPAN”上增删的文件，也能同步体现在文件传输面板上。另外，您也可以将YUNPAN上的文件下载到本地。4.5、查看主机网盘前面已经提到，“GUANJIA上的YUNPAN”其实就是主机网盘，我们可以通过“网盘资源/主机网盘”中对应的主机网盘来找到刚才的文件。同样的，我们日常上传到主机网盘中的文件，可以在下次访问云主机时，在该云主机上的“YUNPAN”中找到。5.1、进入会话和RDP会话一样，为了获得最流畅的文件传输效果，建议以内网IP访问形式创建会话。在右侧面板，默认为“文件传输”页签，但SSH文件传更加简单，打开SSH会话后，在文件传输面板您就可以直接查看到主机的文件目录（注意：SSH中显示的是云主机的文件系统，而不是主机网盘）；5.2、上传下载文件接下来，您可以像FTP一样通过文件传输面板的上传和下载按钮进行文件传输。5.3、压缩解压缩支持压缩与解压缩（4.15版本）：针对选中的文件/文件夹自动生成压缩或解压命令；5.4、支持文件检索支持文件检索（4.15版本）：可对当前目录下文件进行检索，提高工作效率；5.5、手动输入路径支持手动输入路径（4.15版本）：由于VNC和Telnet协议自身的限制，无法提供文件传输的能力，因此用户在联想HyperXCM中使用VNC（包括阿里云管理终端）和Telnet相关协议访问主机时，无法进行文件传输。建议有相关需求的用户，尽量使用RDP或者SSH协议访问主机。如果您在文件传输过程中出现问题，您可以查看文件传输的FAQ指引尝试自助处理；（1）如图，通过“功能权限”来进行文件传输及网盘传输限制；（2）通过运维策略来限制文件传输，请参考主机剪切板运维策略以及云账户剪切板运维策略会话守护在联想HyperXCM中打开的会话，其生命周期是在云端进行维护的，而在浏览器中显示的窗口仅仅是会话的展示界面。因此，我们可以在云端对会话进行守护，从而对会话的生命周期进行管理，这样，即便您中途离开甚至关闭浏览器或者由于网络环境较差导致连接断开，该会话依然可以在云端持续运行。会话守护默认是关闭的，若您希望打开此功能，请在“会话详情/会话设置”中开启。用户除了可以每次进入会话后临时设置会话守护，也可以设置用户自身的全局会话守护；访问会话后，我们可以在会话右边栏的“会话详情”里，看到会话守护，此时默认是关闭的，您可以通过设置为ON来开启并设置会话守护的时长，如图；此时设置的会话守护将在会话结束后失效，每次开启会话都需要手动设置该会话的会话守护；通过远程会话来临时设置会话守护，有时并不方便，此时，可以设置全局会话守护（只对当前用户有效），点击用户头像下的系统设置；在系统设置里，会话守护默认为关闭，您可以根据需要来开启并设置守护的时长；在远程会话时，我们可以在会话右边栏的“会话详情”里，看到会话时长，在会话时长的最大时长过后，该会话会自动结束；团队管理员可以在私有部署版的联想HyperXCM管理控制台里进行团队会话时长的设置，如图，点击“租户管理”、“租户团队管理”、“运行时资源配置”、“详情”，在这里可以设置“会话最大时长”；安全组与防火墙云主机安全组云主机安全组是一种云厂商为其用户提供的虚拟防火墙。用于设置单台或多台云主机的网络访问控制，这个分组是由同一个地域（或VPC网络）内具有相同安全保护需求并相互信任的云主机组成。它是重要的网络安全隔离手段，您可以在云端划分安全域。在安全组配置正确的情况下，可以确保云主机能够有效的降低网络攻击风险。目前，联想HyperXCM已经支持阿里云和腾讯云的安全组管理，点击“网络”标签，进入网络管理页面；在联想HyperXCM中，公有云主机网络是以区域或者专有网络（VPC）来划分；如果是局域网主机，网络则是以云账户为划分（局域网并不提供安全组管理功能）。请选择相应的云账户网络进入；进入网络管理界面，点击“安全组”标签页，打开安全组管理；在安全组管理界面中，您可以在这里创建新的安全组、增删改安全组规则、将主机添加到安全组中等常规安全组操作；我们在配置入网规则时，为了方便考虑经常会设置类似以下的规则：方向：网络入行为：允许授权对象：IP地址IP地址：/0（即全部IP地址）协议：TCP端口范围：ALL（即全部端口）如果您的安全组配置中有以上的规则，那么您需要重新审视自己应用的目客户来源以及需要对外暴露的端口和服务，至少您可能具有以下的风险：1、任何IP都可以访问到您的云主机；2、云主机全部端口被暴露；建议：正确的做法是，先拒绝所有的端口对外开放。安全组应该是白名单访问。例如，如果您需要暴露Web服务，请先创建一条优先级低的全部拒绝策略，再创建优先级较高的端口开放策略，开放80和443之类的常用TCP端口。在上一个最佳实践中我们已经知道，尽量关闭不需要的入网规则。鉴于安全考虑，如果用户云主机的日常远程访问只通过联想HyperXCM来进行，建议您设置一定的访问权限，仅允许联想HyperXCM服务器访问您的主机的远程端口。联想HyperXCM服务器IP列表如下（截止2019年4月22日）：服务器所在区域IP地址深圳36北京40杭州02成都00香港40海外（美西）02海外（欧洲）1温馨提示：以上IP指的是联想HyperXCMSaaS环境下的服务器IP列表，如果您使用的是联想HyperXCM私有部署版，那么IP就是您部署联想HyperXCM的服务器IP；如果您的云主机采用公网IP直连的方式访问，那么只需要允许联想HyperXCM服务器访问主机远程端口即可，请参照以下指引配置安全组：1、创建一个新的安全组，命名为“联想HyperXCM安全组”，并备注描述信息：为联想HyperXCM服务器配置安全组策略；2、将需要公网访问的主机，加入到该刚刚创建的安全组中；3、创建一个公网入安全组规则，禁止所有的公网入访问；4、允许联想HyperXCM服务器访问到安全组内主机的22和3389端口，为每一个联想HyperXCM服务器IP创建以下规则；5、最终，公网IP访问的安全组规则如下图（省略部分IP，具体IP列表请参考前表）：如果您的云主机采用内网IP访问，我们先来看看云主机内网访问的示意图：通过上图我们可以看到，内网访问方式中云主机并不会直接与联想HyperXCM进行通信，而是以Proxy为跳板进行代理转发。因此，我们需要分两部分来制定安全组策略，第一部分是为联想HyperXCMProxy宿主机设置安全组：1.1、和公网访问一样，创建一个新的安全组，命名为“联想HyperXCMProxy安全组”，并备注描述信息：为联想HyperXCMProxy配置安全组策略；1.2、将Proxy宿主机，加入到该刚刚创建的安全组中；1.3、允许Proxy的宿主机访问所有的联想HyperXCM服务器的80（Web服务）和443（Https服务）端口，为每一个联想HyperXCM服务器IP创建以下规则（阿里云经典网络为公网出、阿里云VPC或腾讯云为网络出）；1.4、最终，Proxy安全组规则如下图（省略部分IP，具体IP列表请参考前表）：第二部分是为被访问的目标主机设置安全组，只允许Proxy访问目标主机的远程端口：2.1、创建一个新的安全组，命名为“联想HyperXCM主机内网访问安全组”，并备注描述信息：为联想HyperXCM被管理主机配置安全组策略；2.2、将被管理的目标主机，全部加入到该安全组中；2.3、允许Proxy的宿主机通过内网访问被管理主机的远程访问端口，创建以下规则（阿里云经典网络为内网入、阿里云VPC或腾讯云为网络入），将授权对象设置为“本账号安全组”，安全组选择刚才创建的“联想HyperXCMProxy安全组”；2.4、最终，联想HyperXCM主机内网访问安全组规则如下图：2.5、最后，由于联想HyperXCMAgent安装时，目标主机需要访问到Proxy宿主机的8326端口，因此，我们为之前创建的“联想HyperXCMProxy安全组”，再添加一条内网入规则，将授权对象设置为“本账号安全组”，安全组选择刚才创建的“联想HyperXCM主机内网访问安全组”，目的是让所有的被管理主机能够访问助手的8326端口：通过以上两个安全组，我们成功的实现了：允许Proxy可以反向访问联想HyperXCM，但不允许公网主动去访问Proxy。同时，Proxy可以访问目标主机，避免了将目标主机暴露在公网上。云主机的内网访问原理，和局域网主机的Proxy代理转发机制是完全相同的。因此，我们在为局域网主机设置防火墙规则时，也可以参考云主机内网访问方式下的安全组设置规则。如果您的云主机由于安全组的原因导致无法访问RDP远程桌面/SSH终端，您可以尝试按照以下规则将远程端口3389或22开放：方向：阿里云经典网络为公网入、阿里云VPC或腾讯云为网络入行为：允许授权对象：IP地址IP地址：如果是完全开放请填写“/0（即全部IP地址）”，如果是部分开放请填写具体的IP地址协议：TCP端口范围：22、3389在安装联想HyperXCMAgent时，需要确保区域/网络内的主机能够访问Proxy的内网8326端口，我们建议创建以下安全组规则：方向：阿里云经典网络为内网入、阿里云VPC或腾讯云为网络入行为：允许授权对象：IP地址IP地址：此处请根据实际情况填写您的主机内网IP（或IP段）协议：TCP端口范围：8326防火墙配置参考联想HyperXCM作为一个一站式的云计算管理平台，我们希望用户能够使用联想HyperXCM来完成所有的日常运维工作。同时，作为一个以堡垒机为核心特性的产品，本身也要求目标设备不能够被其它终端直接访问，而应该以联想HyperXCM为跳板机的方式进行访问。这样可以避免团队中的一些成员直接访问目标设备，从而绕过联想HyperXCM的审计。联想HyperXCM在部署模型上，不会改变现有网络结构，侵入性小。我们需要限制对目标设备的访问时，就需要通过防火墙策略来实现访问隔离。在规划防火墙设置策略之前，我们需要先设定以下准则，所有的防火墙策略均在以下前提下来制定：任何人都不允许直接访问目标主机资源，必须登录到联想HyperXCM门户来访问主机资源；目标主机也不会直接与联想HyperXCM门户进行通信，而是以Proxy作为代理与联想HyperXCM门户进行通信；由于操作系统和防火墙类型过多，无法一一举例，本文中的仅以防火墙规则来进行说明，而不做具体的设置说明；本文仅讨论如何通过防火墙来设置网络策略，如果您需要通过云主机的安全组来实现网络隔离，请阅读：安全组最佳实践在设置防火墙之前，您还需要了解联想HyperXCM的服务器IP列表（截止2019年4月22日）：服务器所在区域IP地址深圳36北京40杭州02成都00香港40海外（美西）02海外（欧洲）1温馨提示：以上IP指的是联想HyperXCMSaaS环境下的服务器IP列表，如果您使用的是联想HyperXCM私有部署版，那么IP就是您部署联想HyperXCM的服务器IP；从联想HyperXCM部署模型上，我们可以看到，一个完整的主机访问过程包含两部分：Proxy通过公网访问联想HyperXCM、Proxy通过内网访问目标主机。下面分别介绍公网和内网的防火墙策略设置。在公网方面，联想HyperXCM独创的内网访问服务是由Proxy来主动反向连接联想HyperXCM门户，我们只需要确保所有的Proxy能够访问到联想HyperXCM服务器的【服务端口】即可，无需专门为联想HyperXCM开放公网入方向的端口。因此，您大可以根据业务需要，将所有不必要的公网入端口关闭。所谓联想HyperXCM的服务端口，在联想HyperXCMSaaS版中指：联想HyperXCM服务器的80（Web服务）和443（Https服务）端口，在联想HyperXCM私有部署版，是指【访问端口】，默认是80；如果您的办公网络中，公网出方向的访问能力是不受限的，您无需做任何设置。但如果您的办公网络有相关限制，请在防火墙规则中增加策略：允许Proxy宿主机访问联想HyperXCM所有服务器的服务端口内网访问策略，我们需要切断除Proxy之外的所有终端来访问目标主机的【远程端口】（远程端口包括：22（SSH协议）、3389（RDP协议）以及其它需要用到的协议端口），因此请增加策略：禁止除Proxy宿主机之外的任何主机通过内网访问目标主机的远程端口最后，由于联想HyperXCMAgent安装时，目标主机需要访问到Proxy宿主机的8326端口，因此请增加策略：允许目标主机访问Proxy（或内网访问助手）宿主机的8326端口公有云资源磁盘快照磁盘管理磁盘资源是作为云主机的一种附属而存在的，因此在联想HyperXCM中，磁盘是以云主机为维度来查看。1、进入“磁盘快照”栏目2、以主机维度查看磁盘：在磁盘列表中，可以一目了然的知道磁盘类型、容量、成本甚至是最新快照信息3、查看主机磁盘详情：点击一台主机，进入该主机的磁盘详情联想HyperXCM中，用户可以对磁盘的名称、是否随实例释放、释放时是否删除自动快照等做设置。需要注意的是，这些操作需要拥有“磁盘设置”权限。当用户有闲置磁盘时，方可将磁盘挂载到某台主机上。需要将某块磁盘从主机上卸载下来时，点击“卸载”按钮，注意：对于Linux操作系统，需要先在云主机执行Unmount操作后再卸载：需要更换主机操作系统时，先将主机处于停机状态，点击“更换”按钮，进行更换主机系统盘操作（阿里云主机执行本操作后，磁盘ID将会发生变化）。目前腾讯云暂不支持本操作，执行初始化磁盘操作时，将会把当前磁盘恢复到初始化状态：如果为数据盘且是直接创建的空盘，则初始化到空盘状态；如果为数据盘且是通过快照创建的，则初始化到快照状态；如果为系统盘，则初始化到镜像的初始状态；快照管理快照是磁盘的一种备份方式，是某一个时间点上某一个磁盘的数据备份，用户可以将快照作为数据的备份，也可以是创建新磁盘时的镜像文件，快速克隆出多块磁盘，以达到快速部署的目的。通常来说，快照由云厂商负责存储，而不会占据用户的存储空间。快照的生成方式分手动和自动两种，用户可以在任意一个时间点手动创建快照，亦可以通过设置快照策略来自动创建快照（腾讯云没有提供自动快照策略）。联想HyperXCM作为第三方的云资源管理平台，是通过调用云厂商相关的API查询出用户的快照资源，联想HyperXCM自身并不提供独立的快照机制。用户可以主机为维度指定生成该主机下的磁盘快照；需要注意的是，联想HyperXCM快照策略是第三方快照策略，支持自动生成磁盘快照，建议用户如果设置了联想HyperXCM快照策略后，将云厂商的自动快照策略停用，避免重复执行创建快照操作，影响系统性能；点击“快照策略”，打开自动快照策略，系统默认为每个用户创建了一个快照策略；用户可根据实际情况，设置快照策略的名称、执行时间、重复日期及执行策略；有两种途径为云主机指定快照策略，第一种是直接在快照策略中，将云主机添加进入，策略中的云主机在执行时间到达后，将自动批量创建快照；第二种是进入主机磁盘详情，在快照策略下拉菜单中，选中快照策略；联想HyperXCM支持手动和自动执行，在用户开启“自动执行”并设置了自动执行的时间和日期后，快照策略将在指定时间自动创建快照；当用户需要立即执行快照策略时，点击“立即执行”按钮，即时创建策略下所有云主机磁盘的快照策略。在联想HyperXCM通过快照回滚磁盘有两种方式：回滚单个磁盘和批量回滚主机中的所有磁盘。回滚前，请确保主机已停机。双击一个状态为“已完成”的快照，打开该快照的详情，点击“回滚”按钮，确认后即开始回滚；点击主机的“时光机”按钮，主机下的磁盘快照将以时光机的形式展现，用户可以选择需要回滚的快照和时间点执行回滚操作（同时只能回滚同一天的快照）；镜像管理镜像提供了创建云主机实例所需要的所有数据信息，可以仅有操作系统信息，也可包含所有数据盘文件，我们可通过镜像批量部署软件环境，也可作为一台服务器运行环境的备份。对于云厂商，通常会提供四种类型的镜像：公共镜像：所有用户均可使用，涵盖大部分主流操作系统；服务市场镜像：所有用户均可使用，除操作系统外还集成了某些特定应用程序，部分镜像需要收取一定的费用；自定义镜像：仅创建者和共享对象可以使用，由现有运行的实例创建或由外部导入而来；共享镜像：由其他用户共享而来的镜像，仅能用作创建实例。需要特别说明的是，本着简化管理过程的目的，联想HyperXCM现阶段仅提供管理用户的自定义镜像及其他用户的共享镜像；在“磁盘快照”栏目中，选择“镜像管理”标签页，按云账户的维度查看镜像，目前可供用户查看/修改镜像基本信息、镜像组成、通过镜像创建的实例、删除镜像等功能；用户可将现有云主机上的数据创建自定义镜像，目前提供了4种创建方式：1、通过不同磁盘的快照灵活组合创建：在某个系统盘快照的基础上，可搭配其它云主机所生成的任意数据盘快照灵活组合创建成一个镜像；2、通过时光机创建：选取某台云主机的时光机的任意一天快照，创建该云主机的镜像；3、通过系统盘快照创建：通过某台云主机系统盘的某个快照发起创建，自由组合其它主机的数据盘快照来创建镜像；4、通过云主机创建：直接将某台云主机当前状态生成一个全新镜像。共享镜像是指将自定义镜像共享给同一个云厂商的其他账户，接受共享镜像的账户可将该镜像用于创建实例，但需要注意的是，一旦镜像被取消共享，所创建的实例将无法再进行初始化操作。在需要共享的镜像中，点击“共享状态”，弹出当前镜像的共享信息窗口；点击“添加”，将出现账号ID填写文本框；输入对方的账号ID，点击“应用”图标，如果账号ID填写正确，即可完成共享操作（延伸阅读：获取阿里云账号ID、获取腾讯云账号ID）；如要取消共享，在共享状态中对该账号“结束共享”即可；对象存储对象存储管理对象存储是由云厂商提供海量、稳定、安全、高效、低成本的云存储服务，用户可通过调用API的方式，在任何应用、任何时间、任何地点上传和下载数据，实现数据的管理和处理。目前各大厂商均有此类产品，例如阿里云的OSS、腾讯云COS、亚马逊S3、百度BOS等。对象存储服务的基本存储空间是Bucket，它是存储对象的容器，所有的对象都必须隶属于某个Bucket。您可以设置和修改Bucket属性用来控制地域、访问权限、生命周期等，这些属性设置直接作用于该Bucket内所有对象，因此您可以通过灵活创建不同的Bucket来完成不同的管理功能。和导入云主机一样，导入Bucket时，也需要先拥有云账户，该云账户可与云主机共用同一云账户，亦可新建另一云账户（创建过程可参考：创建云账户，当前只支持阿里云OSS）。当用户在对象存储页面左侧树结构中选择某个云账户节点时，右侧将显示该云账户中所管理的Bucket当月用量统计，统计指标有：已用空间、公网出站流量、请求数（Put及Get）。当用户在对象存储页面左侧树结构中选择某个Bucket节点时，右侧是该Bucket的Object管理界面，用户可在此进行Object的操作。目前可支持的操作有：新建文件夹、上传、下载、删除、重命名、复制/移动（支持跨区域传输）。通常来说，由于跨区域传输需要消耗公网出站流量，故云厂商都不提供Object的跨区域传输。而联想HyperXCM通过在不同区域部署中转节点的方式，为用户提供了有限的跨区域传输的功能，只要用户的目标Bucket在某些特定的区域内，即可实现跨区域传输。但受限于中转节点的个数，目前能够支持跨区域传输的区域情况如下：

云厂商区域区域简称是否支持阿里云华南1cn-shenzhen支持华北2cn-beijing支持更多区域敬请期待...当用户需要删除某个Bucket时，只需在左侧树结构中选择该Bucket，点击“删除”图标，即可将该Bucket删除。注意：此处删除Bucket仅表示不再通过联想HyperXCM管理该Bucket，而不会从云厂商的对象存储服务中将该Bucket物理删除。服务监控目前，联想HyperXCM的对象存储服务监控，提供了按天查看出站流量、请求次数、HttpCode（请求返回码）三个维度的监控，最长可支持31天的监控数据查询。每个维度下面，分别展示了对应维度的数据。同时，也提供了对应维度的预警通知设置。下面以出站流量维度为例，来介绍对象存储监控特性。点击某一个Bucket，选择“出站流量”标签页。通过对当天总公网流出流量和单IP公网流出流量两个指标的运行情况进行预警，当上述指标达到所设置的阈值时，将向用户推送预警微信通知（需要用户绑定微信）。点击预警通知区域，将打开预警设置窗口，用户可根据实际情况对预警项进行预警阈值和启停设置。同时也可以查看历史预警消息记录。出站流量的每日汇总，展示了所选日期里由公网流出流量、CDN回源流量、跨区域复制组成的计费流量，以及免费的内网流出流量的情况，让用户通过一张流量流向图，即可了解当天的对象存储的服务情况。