平台安全
IP黑白名单
工作原理
- 若未添加任何黑白名单,默认允许全部IP访问。
- 若只添加黑名单,则黑名单中的IP访问将被拒绝,其余IP允许访问。
- 若同一个IP同时被添加进黑名单和白名单中,则白名单的优先级高于黑名单,将允许该IP访问。
- 不支持单独使用白名单。请确保平台内已添加至少一条黑名单,否则白名单不生效。
添加IP黑白名单
您可以参考以下步骤添加一个IP黑名单或白名单:
- 导航至。
- 点击添加IP黑白名单。
您可以参考以下示例完成配置:
- 名称:IP黑白名单的名称
- 简介:IP黑白名单的简介
- 类型:选择黑名单或白名单
- IP地址:支持逐个添加和批量添加两种方式,可输入IP地址、IP地址范围、IP/掩码格式,多个IP地址间使用英文逗号隔开,最多添加100条。
管理IP黑白名单
您可以管理IP黑白名单,包括编辑名称简介、修改配置、删除操作。
- 导航至。
- 选择一个名单,然后点击操作。
- 若需修改名单的名称和简介,选择编辑名称简介。
- 若需修改名单中的IP地址,选择修改配置。
- 若需取消某名单对平台的IP访问限制,选择删除。
证书管理
ZStack ZSphere支持配置和管理SSL证书。
导入第三方证书
前提条件
- 已部署最新的 ZStack ZSphere 环境,双管理节点环境需确保每个管理节点正常。
- 需具备 admin 权限才能配置证书。
- 已持有有效的商用 CA 签发证书。
- 证书文件和证书链仅支持 CTR 或 PEM 格式、证书私钥仅支持 KEY 或 PEM
格式。Note: 若您持有的证书不符合格式要求,请自行进行格式转换。
操作步骤
- 在导航栏中,选择。
- 在证书管理页面,点击导入证书。
-
在导入证书弹窗中,参考以下示例完成配置:
- 导入模式:选择第三方证书
- 证书文件:导入或填入证书公钥Note:
- 仅支持 CTR 格式和 PEM 格式。
- 证书内容需以
----BEGIN CERTIFICATE----开头,以----END CERTIFICATE----结尾。
- 证书私钥:导入或填入证书私钥Note:
- 仅支持 KEY 格式和 PEM 格式。
- 证书私钥内容需以
----BEGIN (RSAIEC) PRIVATE KEY----开头,以----END (RSAIEC) PRIVATE KEY----结尾。
- 证书链:导入或填入证书链Note:
- 仅支持 CTR 格式和 PEM 格式。
- 证书链的证书内容需以
----BEGIN CERTIFICATE----开头,以----END CERTIFICATE----结尾。
- HTTP 重定向:可选项,默认开启。开启后,系统自动将请求从 HTTP 地址的 80 端口重定向到 HTTPS 地址的 443 端口
- 确认证书信息无误后,点击确定。
结果
成功导入第三方证书后,系统将重新建立会话,并通过 HTTPS 协议的 443 端口重新访问 UI 管理界面。导入系统自签证书
前提条件
- 已部署最新的 ZStack ZSphere 环境,双管理节点环境需确保每个管理节点正常。
- 需具备 admin 权限才能配置证书。
操作步骤
- 在导航栏中,选择。
- 在证书管理页面,点击导入证书。
-
在导入证书弹窗中,参考以下示例完成配置:
- 导入模式:选择系统自签证书
- 有效期:可选 3 个月、1 年、3 年、5 年、10 年,默认为 3 年
- HTTP 重定向:可选项,默认开启。开启后,系统自动将请求从 HTTP 地址的 80 端口重定向到 HTTPS 地址的 443 端口
- 自定义信息:可选项,默认关闭。开启后,可自定义系统自签证书信息
- 公用名称 (CN):可选项,设置公用名称,默认为 localhost
长度为 1~64 个字符,仅支持输入英文大小写字母、数字和以下特殊字符:~`@#$%^&*()-_+={}[]|:;'<>.?/
- 企业单位名称 (O):可选项,设置企业单位名称,默认为
localhost
长度为 1~64 个字符,仅支持输入英文大小写字母、数字和以下特殊字符:~`@#$%^&*()-_+={}[]|:;'<>.?/
- 部门 (OU):可选项,设置部门
长度为 1~64 个字符,仅支持输入英文大小写字母、数字和以下特殊字符:~`@#$%^&*()-_+={}[]|:;'<>.?/
- 国家/地区 (C):可选项,设置国家/地区,仅支持设置为 CN
- 省/自治区/直辖市 (S):可选项,设置省/自治区/直辖市
长度为 1~128 个字符,仅支持输入中文、英文大小写字母、数字和以下特殊字符:~`@#$%^&*()-_+={}[]|:;'<>.?/
- 城市 (L):可选项,设置城市
长度为 1~128 个字符,仅支持输入中文、英文大小写字母、数字和以下特殊字符:~`@#$%^&*()-_+={}[]|:;'<>.?/
- 电子邮箱:可选项,设置电子邮箱地址
- 公用名称 (CN):可选项,设置公用名称,默认为 localhost
- 确认证书信息无误后,点击确定。
结果
成功导入系统自签证书后,系统将重新建立会话,并通过 HTTPS 协议的 443 端口重新访问 UI 管理界面。更新证书
前提条件
- 已部署最新的 ZStack ZSphere 环境,双管理节点环境需确保每个管理节点正常。
- 需具备 admin 权限才能配置证书。
- 已添加的证书发生了变更或临近有效期,需及时同步更新证书信息。
操作步骤
- 在导航栏中,选择。
- 在证书管理页面,点击导入新证书。
-
在导入证书弹窗中,更新证书配置信息。
Note: 更新证书时,系统会检测当前证书路径,并将证书信息写入该路径。
- 确认证书信息无误后,点击确定。
结果
成功更新证书后,您可继续通过 HTTPS 协议的 443 端口访问 UI 管理界面。切换为HTTP方式登录UI
前提条件
- 已部署最新的 ZStack ZSphere 环境,双管理节点环境需确保每个管理节点正常。
- 需具备 admin 权限才能配置证书。
- 已配置SSL证书。
操作步骤
- 在导航栏中,选择。
- 在证书管理页面,点击切换为 HTTP。
- 在二次确认弹窗中,确认风险提示信息。
结果
成功切换为 HTTP 协议访问 UI 管理界面后,系统将重新建立会话,并通过 HTTP 协议的 80 端口重新访问 UI 管理界面。安全设置
ZStack ZSphere提供安全设置,可适用于强安全性的平台场景。
修改安全设置
您可以参考以下步骤修改安全设置:
- 导航至。
- 选择要修改的条目,然后点击修改图标,进行修改即可。
附录: 安全设置条目
| 条目类别 | 条目名称 | 条目描述 |
|---|---|---|
| 登录策略 | 禁止同一用户多会话连接 | 默认关闭开关,用于设置是否禁止同一用户多会话连接。若打开开关,则同一用户只能存在一个登录会话,历史会话将强制退出。 |
| 会话超时时间 | 默认为 2 小时,单位为秒/分/小时/天,当前会话登录超过该会话时间后,系统将不可用,需重新登录。 | |
| 平台登录验证码策略 | 默认关闭开关,用于设置是否启用登录控制中的验证码功能。若开启,连续登录失败次数超过上限将触发验证码保护机制,要求输入正确的账户名、密码以及验证码才能成功登录平台,设置连续登录失败的最大次数默认为 6 次。 | |
| 平台登录密码更新周期 | 默认关闭开关,用于设置是否开启按周期修改密码功能。若打开开关,密码使用时间达到所设置的密码更新周期后,重新登录将提示修改密码,默认为 90 天。在重新设置密码时,新密码不能与之前已使用过的历史密码重复,支持配置不重复次数,默认为5,标识新密码不能与之前 3 次已使用过的历史密码重复。 | |
| 平台连续登录失败锁定用户 | 默认关闭开关,用于设置是否启用连续登录失败锁定用户。若打开开关,表示连续登录失败数次后,账户将被锁定一段时间。连续登录失败次数上限默认为 6,锁定时长默认为 10 分钟。 | |
| 平台登录密码强度 | 默认关闭开关,若打开开关,则可以手动设置密码的长度和选择是否启用数字、大小写和特殊字符组合的策略。 | |
| 平台登录双因子认证 | 默认关闭开关,用于设置登录平台时,是否开启双因子认证。 | |
| 虚拟机 | VNC控制台密码 | 默认关闭,用于设置是否启用密码登录 VNC 控制台。注意:VNC 密码长度范围格式为 m-n,取值范围[6,8]的整数,默认为 6-8,并支持选择是否启用数字、大小写和特殊字符组合的策略。 |
| 虚拟机密码强度 | 默认关闭,用于设置是否启用密码登录虚拟机。
|
|
| 主机 | 主机密码加密存储 | 默认为
None,用于设置主机密码在数据库中的加密存储策略。可选策略为:None、LocalEncryption。
|