更新时间:2024-08-01 16:11:01

作业

备份与恢复

备份

用户登录管理控制台,点击监控 > 作业 > 备份与恢复 > 备份,进入备份页面。

作业过滤

点击搜索按钮,支持任务(任务名称模糊搜索)、结果(作业状态)、应用类型过滤,如下图:
备份标签页作业过滤.jpg

终止作业

选择可终止状态的作业(如准备中、运行中、异常),点击终止按钮或者列表操作字段的终止文字按钮可终止作业,如下图:
备份标签页终止作业.jpg

删除作业

选择可删除状态的作业(如失败、成功、已终止、部分成功等),点击删除按钮或者作业列表的操作字段删除文字按钮,具体如下图:
备份标签页删除作业.jpg

查看作业执行详情

点击作业列表任务字段,弹出作业执行详情右滑窗,展示作业执行详细信息,并支持执行输出的导出以及过滤。
备份作业执行详情页面.jpg

导出作业执行详情

点击作业列表任务字段,弹出作业执行详情右滑窗,点击导出按钮,可导出作业执行输出,如下图:
导出作业执行输出.jpg

恢复

用户登录管理控制台,点击监控 > 作业 > 备份与恢复 > 恢复,进入恢复页面。

作业过滤

点击搜索按钮,支持任务(任务名称模糊搜索)、结果(作业状态)、应用类型过滤,如下图:
恢复标签页作业过滤.jpg

终止作业

选择可终止状态的作业(如准备中、运行中、异常),点击终止按钮或者列表操作字段的终止文字按钮可终止作业,如下图:
恢复标签页终止作业.jpg

删除作业

选择可删除状态的作业(如失败、成功、已终止、部分成功等),点击删除按钮或者作业列表的操作字段删除文字按钮,具体如下图:
恢复标签页删除作业.jpg

查看作业执行详情

点击作业列表任务字段,弹出作业执行详情右滑窗,展示作业执行详细信息,并支持执行输出的导出以及过滤。
恢复作业执行详情页面.jpg

导出作业执行详情

点击作业列表任务字段,弹出作业执行详情右滑窗,点击导出按钮,可导出作业执行输出,如下图:
导出恢复作业执行输出.jpg

数据清理

用户登录管理控制台,点击监控 > 作业 > 备份与恢复 > 数据清理,进入数据清理页面。

作业过滤

点击搜索按钮,支持数据集(任务名称模糊搜索)、结果(作业状态)、应用类型过滤,如下图:
清理标签页作业过滤.jpg

删除作业

选择可删除状态的作业(如失败、成功等),点击删除按钮或者作业列表的操作字段删除文字按钮,具体如下图:
清理标签页删除作业.jpg

查看作业执行详情

点击作业列表数据集字段,弹出作业执行详情右滑窗,展示作业执行详细信息,并支持执行输出的导出以及过滤。
清理作业执行详情页面.jpg

导出作业执行详情

点击作业列表数据集字段,弹出作业执行详情右滑窗,点击导出按钮,可导出作业执行输出,如下图:
导出清理作业执行输出.jpg

复制

用户登录管理控制台,点击监控 > 作业 > 备份与恢复 > 复制,进入复制页面。

作业过滤

点击搜索按钮,支持任务(任务名称模糊搜索)、结果(作业状态)、应用类型、类型过滤,如下图:
复制标签页作业过滤.jpg

终止作业

选择可终止状态的作业(如运行中),点击终止按钮或者列表操作字段的终止文字按钮可终止作业,如下图:
复制标签页终止作业.jpg

删除作业

选择可删除状态的作业(如失败、成功、已终止、部分成功等),点击作业列表的操作字段删除文字按钮,具体如下图:
复制标签页删除作业.jpg

查看作业执行详情

点击作业列表任务字段,弹出作业执行详情右滑窗,展示作业执行详细信息,并支持执行输出的导出以及过滤。
复制作业执行详情页面.jpg

导出作业执行详情

点击作业列表任务字段,弹出作业执行详情右滑窗,点击导出按钮,可导出作业执行输出,如下图:
导出复制作业执行输出.jpg

副本管理

  1. 登录AnyBackup管理控制台,在左侧导航栏,选择监控 > 作业
  2. 进入作业 - 副本管理页面,可查看当前环境的作业信息。
  3. 点击搜索按钮,可针对名称、挂载目的地、执行状态结果、作业类型、网关类型进行特定的作业过滤。
    作业过滤.jpg
  4. 点击操作列表中删除按钮,或者批量勾选,可以删除对应的作业记录,如果作业状态是执行中,则不允许删除。
    作业删除.jpg
  5. 点击副本名称,可查看作业执行的详情,并且可以继续根据时间、执行作业详情的级别进行特定过滤;点击下载按钮,可以导出xls、txt、csv三种格式的文件。
    作业详情.jpg

事件/告警

事件/告警是记录系统的运行以及用户的操作信息,并根据级别、描述、类型、来源、用户名、日期、IP等进行详细记录。
所有日志分为运行日志和操作日志两大类,均在事件下显示,其中,满足1、符合告警规则的事件ID;2、该条告警规则未被屏蔽;3、告警规则级别非信息 条件的事件会过滤显示到告警下;属于告警的事件又被分为未恢复告警和已恢复告警两类。
租户管理员、租户操作员不能查看运行日志,仅超级管理员可查看运行日志

事件

  1. 登录AnyBackup管理控制台,在左侧导航栏,选择监控 > 事件/告警
  2. 进入事件页面,可查看当前环境的事件信息。
  3. 点击搜索按钮,可针对用户名、日期、类型、级别进行特定过滤。
    image4-1.png
  4. 点击下载按钮,可以导出xls、txt、csv三种格式的文件。
    image4-2.png
  5. 点击描述,可查看事件详情。
    image4-3.png

告警

  1. 登录AnyBackup管理控制台,在左侧导航栏,选择监控 > 事件/告警
  2. 进入告警页面,可查看当前环境的告警信息。
  3. 点击搜索按钮,可针对用户名、日期、状态、级别进行特定过滤。
    image4-4.png
  4. 点击下载按钮,可以导出xls、txt、csv三种格式的文件。
    image4-5.png
  5. 可对未恢复的告警进行手动清除,将告警状态变为“手动清除”。
    新产生的未恢复告警,如果及时手动清除,那么对应告警事件ID的告警规则配置的定时邮件(在告警规则下配置定时邮件告警)将不会推送该条告警信息。
    image4-6.png
  6. 点击描述,可查看事件详情。
    image4-7.png

告警通知

告警通知是配置用来推送告警信息服务器,例如推送邮件需要配置SMTP服务器、推送短信需要配置短信服务器、机器人推送需要配置webhook等。

注意:只有超级管理员租户管理员有权限配置SMTP、短信、Webhook。

SMTP

SMTP是用来推送邮件的服务器,当用户需要推送邮件告警时,需要配置SMTP,同时在用户个人信息中添加对应的收件邮箱地址才可以完成邮件的接收,以及告警规则中配置邮件接收。

添加SMTP服务器

注意

  • 测试 SMTP 管理前,要确保控制台服务器已配置可用的 DNS 服务;
  • 用户要接收告警邮件,需要在个人信息 > 邮箱栏中填入要接收邮件的邮箱;
  • 如需接收告警邮件,首先需要在个人信息 > 邮箱栏添加接收告警短信的邮箱地址,然后在系统 > 告警设置 > 告警规则中配置是否开启邮件告警;
  • SMTP 邮箱可配置无密码邮箱,仅输入发件人邮箱、 SMTP 服务器地址、端口号,而不需要输入密码即可发送邮件,前提是服务器开通了匿名邮箱权限;
  • 在确保DNS、SMTP配置完全正确后,系统发送邮件过于频繁时,可能会出现内部错误,例如:554 邮件发送过于频繁被当成垃圾邮件等,可根据报错内容自行查询;
  • 当前已测试并完全支持的邮箱服务器有:QQ个人邮箱、exchange个人邮箱、hotmail个人邮箱、gmail个人邮箱、umail邮箱、163邮箱、126邮箱和爱数企业邮箱。除此以外其他邮箱服务,不能保证完全兼容。
  1. 登录AnyBackup管理控制台,在左侧导航栏,选择系统 > 告警通知
  2. 进入SMTP > SMTP管理页面,点击新建
  3. 在弹出的窗口中,配置发件人及相关信息。
    发件人邮箱、发件人名称、SMTP地址、SMTP端口为必填项。发件人邮箱必须填写成邮箱格式,SMTP地址需填写成SMTP地址格式。若要使用SSL加密,可勾选使用SSL加密。若SMTP端口设置为不加密端口25时,请取消勾选使用SSL加密选项;如使用SMTP加密端口(如465)时,请勾选使用SSL加密选项。
  4. 配置完成后,点击新建
  5. 选中发件人,点击测试,填写测试邮箱并发送测试邮件,检查是否可正常收到测试邮件。若收到则配置正确;若配置不正确,可对其进行编辑或删除后重新添加。
    image4-8.png
    image4-9.png

开启Mail命令

  1. 登录AnyBackup管理控制台,在左侧导航栏,选择系统 > 告警通知
  2. 进入SMTP > Mail命令管理页面,点击开启,即可使用Mail命令发送邮件。
    或开启设置代理服务器,输入正确的主机名、端口、用户名、密码或者免密登录,即可通过其他主机配置的Mail命令发送邮件。
    image4-10.png

查看推送记录

推送记录页面可查看所有推送记录。
image4-11.png

短信

短信是用来推送短信的短信服务器,当用户需要短信通知时,需要配置短信服务器,同时在用户个人信息中添加对应的收件手机号才可以完成短信的接收,以及告警规则中配置短信接收。

配置短信服务器

注意

  • 支持的短信服务商有:华为云、阿里云、腾讯云;
  • 新建短信服务器中的各项参数请从对应短信服务商获取;
  • 各服务商的短信发送限制,还请参考对应服务商的官方文档;
  • 如需接收告警短信,首先需要在个人信息 > 手机栏添加接收告警短信的手机号,然后在系统 > 告警设置 > 告警规则中配置是否开启短信告警。
  1. 登录AnyBackup管理控制台,在左侧导航栏,选择系统 > 告警通知
  2. 进入短信 > 短信管理页面,点击新建
  3. 选择华为云、阿里云或腾讯云。
    image4-12.png
  4. 在弹出的窗口中,按要求填写信息。
    签名名称、模板ID、APP_KEY、APP_Secret、接入地址、签名通道请从短信服务商平台获取。
  5. 点击新建,短信服务器新建完成。
  6. 选择新建的短信服务器,点击测试,输入测试手机号,验证是否可用。
    image4-13.png
    如需设置各服务商短信模板,点击新建华为云阿里云腾讯云,查看弹框最下方的提示信息,直接复制内容模板至对应服务商。
    image4-14.png
    image4-15.png
    image4-16.png

查看推送记录

推送记录会展示短信服务器测试推送的情况。
image4-17.png

Webhook

webhook是用来推送消息的机器人,支持企业微信和钉钉。当用户需要机器人推送消息时,需要配置webhook令牌,同时在告警规则中配置webhook接收。

配置Webhook

  1. 登录AnyBackup管理控制台,在左侧导航栏,选择系统 > 告警通知
  2. 进入Webhook > Webhook管理页面,点击添加。
  3. 在弹出的窗口中,配置信息。其中名称、Webhook类型、Webhook地址为必填项。
  4. 配置完成后,点击确定
  5. 进入系统 > 告警设置,在告警规则页面,勾选信息级别,点击告警配置
    image4-18.png
    image4-19.png

注意

  • Webhook地址需要填写完整的url的字符,如图:
    image4-20.png
  • 钉钉机器人在创建时,添加自定义的标签“告警”、“Alarm”,以便接收告警信息进行推送,如图:
    image4-21.png

查看推送记录

推送记录会展示Webhook测试推送的情况。
image4-22.png

SNMP

AnyBackup通过SNMP协议将监控数据推送给监控系统,以实现对灾备系统的监控。
推送内容包括:

  1. 告警信息:用于实时推送产生的告警内容至监控平台。告警内容包含告警信息、产品信息。
  2. 服务器信息:用于周期性推送AnyBackup产品部署所在服务器信息至监控平台。服务器信息包含服务器基本信息(服务器机器码及IP、CPU信息、内存信息)、网络信息、卷信息。
  3. 服务信息:用于周期性推送AnyBackup服务信息至监控平台。
  4. 保护对象信息:用于周期性推送保护对象信息至监控平台。保护对象包含客户端、云存储、云平台、虚拟化平台。

注意

  • 只有超级管理员有权限使用SNMP GET功能。
  • 只有超级管理员和租户管理员有权限使用SNMP TRAP功能。
  • 租户管理员的SNMP TRAP功能仅支持推送保护对象信息,且保护对象只支持推送客户端和云存储信息。
    image4-23.png

配置SNMP Trap

  • 添加SNMP服务器
    AnyBackup支持以下SNMP版本服务器:SNMP V3(推荐)、SNMP V2C、SNMP V1。

    • 添加SNMP V3版本
      1. 登录AnyBackup管理控制台,在左侧导航栏,选择系统 > 告警通知
      2. 进入SNMP > SNMP Trap页面,点击新建
      3. 在弹出的窗口中,配置以下信息:
        • SNMP版本:默认选择V3。
        • IP地址/域名:必填,可配置范围为1~255个字符。
        • 端口:默认值为162,可配置范围为1~65535。
        • 用户名:必填,可配置范围为1~32个字符。
        • 引擎ID:选填,可配置范围为10~64个字符,且只可为十六进制字符。
        • 授权认证协议:选择HMACMD5、HMACSHA、HMAC128SHA224、HMAC192SHA256、HMAC256SHA384或HMAC384SHA512
        • 授权认证密码:必填,可配置范围为8~117个字符。
        • 数据加密协议:选择DES、3DESEDE、AesCfb128、AesCfb192或AesCfb256
        • 数据加密密码:必填,可配置范围为8~117个字符。
        • 字符集:必填,默认选择UTF-8,可选GBK,仅影响告警Trap信息中中文文字编码。
      4. 配置完成后,点击确定
        image4-24.png

        注意

        • 添加SNMP服务器后,按默认数据推送规则推送告警通知、服务器通知、服务通知、保护对象通知。
        • 周期性Trap第一次推送数据在创建SNMP服务器后30s左右;后续推送周期按照设置数据推送频率。
        • 添加SNMP服务器后,只推送新增告警。即添加SNMP服务器前已产生的告警不再推送。
        • 重启机器后只推送新增告警。即重启机器前未推送完的告警不再推送。
        • SNMP Trap使用UDP协议,无法确保推送数据时无数据丢失,只需保证AnyBackup端所有数据已推送。
    • 添加SNMP V1/V2C版本
      1. 登录AnyBackup管理控制台,在左侧导航栏,选择系统 > 告警通知
      2. 进入SNMP > SNMP Trap页面,点击新建
      3. 在弹出的窗口中,配置以下信息:
        • SNMP版本:选择V1/V2C。
        • IP地址/域名:必填,可配置范围为1~255个字符。
        • 端口:默认值为162,可配置范围为1~65535。
        • 团体字:必填,可配置范围为1~117个字符。
        • 字符集:必填,默认选择UTF-8,可选GBK,仅影响告警Trap信息中中文文字编码。
      4. 配置完成后,点击确定
        image4-25.png
        配置完成后,如需修改配置内容,选中需要修改的SNMP服务器,点击编辑,即可修改SNMP服务器相关配置项。
  • 设置推送数据

    1. 登录AnyBackup管理控制台,在左侧导航栏,选择系统 > 告警通知
    2. 进入SNMP > SNMP Trap页面,选择需要设置数据推送的SNMP服务器,点击设置推送数据
    3. 在弹出的窗口中,配置推送数据规则:
      • 推送内容:可选择推送告警通知、服务通知、服务器通知、保护对象通知。

      • 推送频率:可配置范围为5~60分钟、1~24小时、1~10天。

      • OID配置:可选择默认配置或自定义配置。
        选择自定义配置时:
        a. 点击下载,下载OID配置文件模板。
        b. 按要求编辑OID配置文件。
        c. 在设置数据推送页面,点击自定义OID配置文件后的浏览按钮。
        d. 选择本地自定义OID文件上传,点击确定,上传自定义OID文件。

        说明

        • 如需兼容华为MIB库,OID配置请选择自定义配置。
        • 配置自定义OID文件,需满足AnyBackup能支持的监控数据要求,请严格按照OID配置文件模板进行配置。其中oid、type、enable可支持按要求配置,模板内容格式、后缀均不可变动。

        e. 配置完成后,点击确定

        注意

        • 告警通知为即时性Trap,产生后立即推送数据至监控平台;服务器通知、服务通知、保护对象通知为周期性Trap,达到推送频率后推送数据至监控平台。
        • 每30s扫描一次数据推送周期是否已达到设置值。如果修改后的推送频率小于已等待时间,推送下一轮数据需等待30s左右。例:第一次配置值为30分钟,等待20分钟后修改推送频率为5分钟,30s左右会自动推送一次数据。
  • 开启/关闭数据推送
    选中需要开启/关闭数据推送的SNMP服务器,点击开启或关闭即可开启、关闭SNMP服务器消息推送。

  • 下载MIB文件
    SNMP Trap管理页面,点击下载MIB文件
    下载MIB文件后导入监控平台MIB库,即可翻译具体oid含义。

  • 查看SNMP推送记录
    点击右上角查看推送记录,可筛选所有SNMP推送记录。

配置SNMP Get

  1. 登录AnyBackup管理控制台,在左侧导航栏,选择系统 > 告警通知
  2. 进入SNMP > SNMP Get页面,点击开启
    • SNMP版本:必填,默认为V2C,可选V1、V2C、V3。
    • 端口:必填,默认为161,可选1~65535。
    • 团体字:必填,默认为public,版本为V1、V2C可配置,范围为1~117个字符。
    • 字符集:必填,默认为UTF-8,可选UTF-8、GBK。
      image4-26.png

注意

  • 使用SNMP Get功能需要关闭防火墙,或开放对应端口。
  • 使用SNMP Get功能需确保对应端口未被占用。
  • 使用SNMP Get功能,SNMP服务器填写的AB端IP仅支持AB端服务正常节点的selfip地址或者selfip映射后的IP地址。

开启SNMP Get功能后,可编辑SNMP Get配置参数。如需修改,点击编辑即可。
image4-27.png
开启SNMP Get功能后,也可自定义OID配置。详情请参考设置推送数据的第3步。

Syslog

AnyBackup通过Syslog告警接入第三方运维平台,以实现对灾备系统的监控。
推送内容包括:告警时间、告警级别合告警内容。
推送记录.jpg

新建Syslog

注意:兼容支持rsyslog和syslog-ng。

  1. 登录AnyBackup管理控制台,在左侧导航栏,选择系统 > 告警通知
  2. 进入Syslog页面,点击新建
  3. 在弹出的窗口中,配置名称、Syslog地址、Syslog端口、Syslog协议、SSL加密(开启要上次CA证书)、备注及相关信息。
    新建Syslog.jpg

查看推送记录

推送记录会展示Syslog测试推送的情况。
推送记录.jpg

告警设置

告警设置可针对不同的告警规则进行推送配置,例如可以对告警级别修改,进行弹窗、邮件、短信以及webhook的告警推送,还可以屏蔽不需要推送的告警。

注意

  • 只有超级管理员租户管理员有权限配置告警规则。
  • 只有超级管理员有权限配置事件保留。

设置告警规则

  1. 登录AnyBackup管理控制台,在左侧导航栏,选择系统 > 告警设置
  2. 进入告警规则页面,选择一项或多项告警规则,点击告警配置
  3. 在侧滑框中,设置告警级别、弹窗告警、邮件告警、短信告警、Webhook告警。
  4. 设置完成后点击确定

注意:级别为信息的告警项即使开启告警推送,也不会推送任何告警信息,只记录在事件中。

image4-28.png

告警配置

针对不需要任何告警推送的告警规则项,可以进行屏蔽。

  1. 选择一项或多项告警规则,点击屏蔽
  2. 在弹出的提示框中,输入YES,点击确定
    image4-29.png

注意:安装Data Service软件包之前,无法设置数据服务相关的告警规则,请在安装Data Service软件包之后,设置数据服务相关的告警规则。

设置事件保留规则

  1. 登录AnyBackup管理控制台,在左侧导航栏,选择系统 > 告警设置
  2. 进入时间保留页面,设置事件保留方式。
    可按照以下两种方式来保存事件:
  • 时间期限保留
  • 事件记录数量保留
  1. 设置完成后点击确定
    image4-30.png

当事件数量达到了事件保留策略设置的最大值时,可通过以下方法达到清理事件的目的:

  1. 如果设置的事件条数不是最高保留数100万条或者不是最高保留期限1年,可以通过增加事件保留条数或者增加保留期限;
  2. 如果设置的事件条数是最高保留数100万条,可以将事件保留条数配置为100万条以下,此时系统会触发事件清理功能,会按照事件的产生的先后顺序进行清理,待腾出一部分事件空间后,再将事件保留条数配置回100万条;
  3. 如果设置的事件保留期限为最高保留期限1年,可以将事件保留期限设置为1年以下时间,此时系统会触发事件清理功能,会按照事件的产生的先后顺序进行清理,待腾出一部分事件空间后,再将事件保留期限改回1年;
  4. 事件保留条数和事件保留期限两个策略也可以互相调整,达到增加或删除事件的目的。

安全策略

本小节介绍配置用户登录的安全策略。

安全策略

设置安全策略与锁定用户解锁

建议为用户登录管理控制台设置安全策略,以提高账户和数据的安全性。支持设置的安全策略分别为超时下线用户名登录锁定登录IP段

注意

  • 仅超级管理员拥有设置安全策略权限。
  • 登录锁定的超级管理员位于超级管理员锁定名单。
  • 登录锁定的租户管理员与租户操作员位于此租户的租户管理员下的锁定名单。
  • 设置手动解锁时,超级管理员与内置的租户管理员可30分钟自动解锁,也可登录非锁定的超级管理员与该租户下的租户管理员进行手动解锁。
  • 设置自动解锁时,仅能等待锁定时间超过设置的自动解锁时间自动解锁。
  1. 超级管理员登录AnyBackup管理控制台,在左侧导航栏,选择系统 > 安全策略
  2. 进入安全策略页面,点击编辑
    image4-31.png
  3. 编辑下列参数:
    • 超时下线:超过 X 分钟未操作时,启动超时下线。其中, X 数值范围为1-60,默认为30。
    • 登录锁定:支持手动解锁和自动解锁,默认为手动解锁,同一用户名连续登录失败 X 次后,锁定该用户。其中, X 数值范围为3-5,默认为3。自动解锁时间范围为30~60分钟。
    • 登录IP段:允许 IP 地址为 X ~ Y 的用户登录。其中, X ~ Y 数值范围为0.0.0.0-255.255.255.255。
  4. 锁定用户解锁
    • 安全策略中设置手动解锁:允许手动解锁,通过点击登录锁定名单中锁定用户后的解锁按钮。
      手动解锁下的登录锁定名单.jpg
    • 安全策略中设置自动解锁:用户锁定时间超过自动解锁时间时,用户自动解锁。
      自动解锁下的登录锁定名单.jpg

管理密码安全性

超级管理员可通过密码安全性管理对管理控制台所有用户登录密码进行设置,从而提高账户安全性。

设置密码规则和弱口令

注意

  • 密码规则一旦设定对系统内所有用户生效(不包括域用户)。
  • 不满足密码规则的用户登录后弹出密码安全提示窗。
  • 开启同时包含大小写字母,密码规则校验用户名时区分大小写,关闭同时包含大小写,密码规则校验用户名不区分大小写。
  • 密码不可与弱口令相同。
  • 密码不可与内置用户的默认密码相同
  • 密码不可与用户名相同
  1. 超级管理员登录AnyBackup管理控制台,在左侧导航栏,选择系统 > 安全策略
  2. 点击密码安全性管理,进入密码安全性管理页面,点击编辑
    image4-32.png
  3. 编辑下列参数:
    • 密码有效期:用户密码使用超过 X 天则需要更换密码。密码到期前 Y 天发出提示消息。其中,X 数值范围为1-365,默认为30;Y 数值范围为1-30,默认为3。
    • 密码长度:密码长度范围。其中, 数值范围为8-64,默认为8-16。
    • 密码复杂度:用户密码的复杂度设置项,包括包含字母、数字、特殊字符,默认开启,其中包含字母下可设置是否同时包含大小写,默认勾选。
    • 连续重复字符数:用户密码中连续字符的个数设置项,默认开启允许连续重复两个字符,可设置为禁止连续重复的字符。
    • 密码与原密码相同:默认选择禁止且不可设置,此时系统中用户的新密码不可与原密码相同。
    • 密码与用户名相同:默认选择禁止且不可设置,此时用户的密码不可与用户名相同。
    • 密码中包含用户名:默认选择禁止,此时用户的密码不可包含用户名,可设置为允许状态。设置为允许,弹窗提示密码存在安全风险。
    • 密码中包含用户名倒写:默认选择禁止,此时用户的密码不可与密码相同或者包含用户名,可设置为允许状态。设置为允许,弹窗提示密码存在安全风险。
      image4-33.png
  4. 设置弱口令。
    点击新建,即可新建一个弱口令。也可以对弱口令进行编辑删除
    弱口令上限为1000。
    image4-34.png

密码安全性提示

当前登录用户密码不符合最新密码规则时,登录后将弹出密码安全性提示弹窗。

  • 点击立即修改,将跳转至修改密码弹窗。修改密码后点击确定。
  • 点击以后修改,则弹窗消失。再次登录时若不满足密码规则,则再次弹出。
    image4-35.png
    image4-36.png

认证管理

AnyBackup认证服务提供用户名/密码认证、AK/SK认证方式。其中用于AK/SK认证的密钥可在系统 > 认证管理 > 访问密钥处进行管理。

角色访问权限:

  • 超级管理角色:超级管理员角色之间可互相查看、操作访问密钥;
  • 操作员:仅支持查看、操作自己的访问密钥;
  • 租户管理员:同租户下,可查看、操作所有租户管理员和租户操作员的访问密钥;
  • 租户操作员:仅支持查看、操作自己的访问密钥。

访问密钥

新建密钥

若您想通过AK/SK认证方式访问控制台,则需要为用户至少新建一个访问密钥。
登录控制台后,进入访问密钥界面点击新建,输入名称和备注即可新建密钥。

密钥下载

访问密钥新建成功后,可通过密钥下载功能,获取Access Key和Secret Access Key。Access Key 用于标识 API 调用者的身份,Secret Access Key用于加密签名字符串和服务器端验证签名字符串的密钥。使用者需要妥善保存,避免泄露。
用户登录控制台后,进入访问密钥界面,选择访问密钥点击密钥下载可下载密钥。禁用状态的访问密钥不可被下载,且每个访问密钥仅可被下载一次。

密钥使用

  1. 拼接请求字符串
    • path参数类:将请求参数格式化成“参数名称=参数值”的形式。将格式化后的各个参数用"&"拼接在一起,最终生成的请求字符串,例如:index=0&count=15
    • body参数类:将请求参数字符串直接进行拼接。例如{"roleType":0,"username":"test"}
  2. 拼接签名原文字符串
    • 请求方法:支持 POST、GET、PUT 等方式;
    • 请求路径:访问地址的路径,例如:https:// 10.2.239.184:9600/oauth/tenants/quota路径地址为:10.2.239.184:9600/oauth/tenants/quota
    • 最终请求字符串:请求方法 + 请求路径 + ? + 请求字符串。示例:GET10.2.239.184:9600/oauth/tenants/quota?index=0&count=15
      POST10.2.239.184:9600/oauths/users? {"roleType":0,"username":"test"}
  3. 生成签名串
    • 首先使用 HMAC-SHA256 算法对上一步中获得的“签名原文字符串”进行签名,然后将生成的签名串使用 UTF-8 进行编码,即可获得最终的签名串。以python语言为例,具体代码如下:
      image4-37.png
  4. AK/SK请求认证
    • 使用接口测试工具,这里以postman为例:
      在请求头Header中添加hostsignature参数,其中signature参数中AccessKey参数为【密钥下载】的Access KeyRequestSign参数为上一步骤中获取的加密签名。Host参数值默认为空即可;接口请求参数与生成加密签名时的请求参数保持相同。
      image4-38.png

删除密钥

用户登录控制台后,进入访问密钥界面,选择一个或者多个访问密钥,点击删除,即可删除不需要的访问密钥。已下载的访问密钥在删除后将无法继续使用。

查看&编辑密钥

用户登录控制台后,进入访问密钥界面可以查看所有的访问密钥,可查看的密钥信息为应用名称Access Key状态web访问状态备注所属用户、访问密钥所属的用户角色。点击编辑可编辑访问密钥的名称和备注。

启用&禁用密钥

访问密钥可以被启用、禁用,已下载的访问密钥在禁用后无法使用。
若您需要启用或者禁用访问密钥,可登录控制台,进入访问密钥界面,选择访问密钥,点击启用或者禁用

开启&关闭Web访问权限

当访问密钥已被下载时,可以关闭该用户对控制台的Web访问权限,关闭后该用户无法通过Web访问控制台,请谨慎操作。关闭后可通过其他用户开启该用户的Web访问权限,或使用AK/SK认证开启Web访问权限接口。
若您需要开启&关闭Web访问权限,可以通过登录控制台,进入访问密钥界面,选择访问密钥,点击Web访问可以开启或者关闭访问密钥所属用户的Web访问权限。

代理管理

超级管理员登录,点击【系统】→【代理管理】,可以配置代理管理相关信息,具体操作可参考代理管理最佳实践。管理界面入口,如图:
代理管理.jpg

密钥更新

控制台服务密钥存在被破解的可能,基于软件安全考虑,需要定期更新服务密钥,密钥采用sha256算法加密,建议每年更新一次。

手动更新密钥

  1. 超级管理员登录AnyBackup管理控制台,在左侧导航栏,选择系统 > 密钥更新
  2. 进入密钥更新页面,点击更新
  3. 在弹出的对话框中,点击确定
    任务发起后,下方将显示任务历史记录:更新时间、任务状态、详情。

自动更新密钥

  1. 登录AnyBackup管理控制台,在左侧导航栏,选择系统 > 密钥更新
  2. 进入密钥更新页面,点击自动更新设置
  3. 在弹出的对话框中,设置以下选项:
    • 自动更新设置可修改项:开启/关闭、更新周期、发起时间
    • 开启/关闭:默认开启(默认发起周期360天,默认发起时间06:00)
    • 发起周期:范围30-720天
    • 发起时间:范围00:00-23:59
  4. 设置完成后点击确定

删除更新历史记录

  1. 超级管理员登录AnyBackup管理控制台,在左侧导航栏,选择系统 > 密钥更新
  2. 进入密钥更新页面,选择待删除的历史更新任务记录,点击删除
  3. 在弹出的对话框中,点击确定

作业记录保留策略工具

作业记录过多时,逐条或逐页删除效率低下,而时间过久价值较低的作业记录,保存过多影响性能。AB内置作业删除工具,当单个任务作业数超过100、保留时间超过90天时默认删除多余作业记录,可通过工具修改作业保留数量与保留时间。
使用方法:

  1. SSH登录集群任一节点系统后台
  2. 进入工具所在目录:/控制台安装目录/AnyBackupServer/script
    例如执行命令:cd /backupsoft/AnyBackupServer/script/
  3. 查看工具使用方式
    ./history_mgm_tool.sh –help
    image4-39.png
  4. 配置作业记录保留工具
    例如:开启作业记录保留策略,保留60天内的90条记录。
    执行命令:··im
    image4-40.png
    --Affect 填写DelPolicy
    --switch 填写onoff来开启或关闭工具;
    --period 填写作业记录保存周期,单位是“天”;
    --keepnum 填写保存作业记录条数

注意

  • 该工具保留期限参数period单位为“天”,策略以服务端当日00:00时间和作业记录生成时间的时间差作为作业记录已保存天数,策略每隔一小时进行一次轮询,查询到已过期作业记录即进行删除。
  • 远程复制作业不会触发策略删除工具
  • 作业记录保留策略中,作业数仅统计任务名下的备份作业与清理作业,恢复作业属于隐式恢复任务,不会触发数量删除,但会触发过期时间。
  • Keepnum参数有效配置范围为10-1000period参数有效配置范围为1-720
  • 备份任务删除后,作业记录不会被自动删除,此时工具只对符合作业记录保存周期条件的被删除任务的作业记录生效。
  • 工具视新建同名任务与原有任务为不同任务,新同名任务的作业记录不会与原有任务合并。
  • 集群场景下,只需要修改单个节点配置就能对整个集群生效,策略依赖数据库中的配置信息生效。
  • 参数修改后,默认为一小时后的整点生效。(例如8:30修改参数,策略执行生效时间为10:00)

控制台通信

V8产品需要新的远程复制功能,进行数据异地保存,发生重大灾难时,保护用户的数据安全,将数据从源端复制到目的端进行保护,需要在源端、目的端服务器之间创建链路完成通信。

前置条件

  • 超级管理员&操作员&租户管理员&租户操作员登录源端&目的端备份域(如admin),点击系统 > 认证管理 > 访问秘钥 > 新建。在弹出框输入名称,点击确定完成AK/SK的添加。
  • 勾选添加成功后的AK、SK,点击秘钥下载,下载并保存访问密钥。
  • 源端与目标端管理网通,有独立的VIP,优先使用VIP通信,直接创建链路即可。
  • 源端与目标端复制平面网络,通过域名的形式访问和通信,需要完成以下前置配置后,再到源端界面创建链路。
    • 使用真实域名,需要提前准备:
      a. 申请域名
      b. 添加DNS记录,要求:域名至少绑定目标端2个控制接待你的复制IP
      c. 确认源端可以连接公网DNS服务器
      d. 在源端ping域名,查看DNS是否生效
    • 使用虚拟域名,需要提前准备:
      a. 在源端所有控制节点上依次在/etc/hosts/文件中配置域名,虚拟域名配置要求:
      (1) 域名至少绑定目标端2个控制台节点的复制IP
      (2) 虚拟域名必须符合与域名命名规则
      (3) 虚拟域名不能重复,且不能与上下文所属真实域名或者其他域名重复
      (4) 虚拟域名需要有较好的说明作用,用户可以通过域名来区分目标端
  • 域名在源端配置完成之后,还需要在目标端的所有控制节点配置复制平面IP:端口的监听。步骤参考如下:
    a. 修改AnyBackupServer/etc/WebService/conf/nginx.conf/conf.d/link.conf, 新增监听复制平面IP:端口(图中IP和端口仅为示例)
    新增监听复制平面IP.jpg
    b. 检查防火墙是否已开放该端口,若未开放,需要先开放该端口
    c. 去除AnyBackupServer/etc/WebService/conf/nginx.conf 注释,如下图:
    去除注释.jpg
    d. 重新加载WebService服务:systemctl restart ABWebService
    e. 检测端口是否监听成功:netstat -anp | grep 新增端口

控制台通信链路

创建链路

  1. 超级管理员登录源端备份域(如admin),在左侧导航栏,选择系统 > 控制台通信
  2. 进入目标端页面,点击创建链路
  3. 在弹出框中输入目标端VIP、代理配置开发不开启(默认不配置)、输入AK、SK配置(前置条件中超级管理员下载并保存的AK、SK)。
  4. 点击确定,展示证书信息提示是否信任证书模态框,首次创建链路源端需要信任目标端证书,默认勾选信任此证书,点击确定,完成链路创建,链路状态显示创建中,点击刷新流转为正常。如果选择不勾选信任此证书,则链路创建失败。
  5. 目标端页面,查看添加后的控制台通信链路,链路状态正常,如图所示。
  6. 超级管理员登录目标端备份域(如admin),在左侧导航栏,选择系统 > 控制台通信
  7. 进入源端页面,可查看已添加的控制台通信链路,链路状态正常。
  8. 源端、目标端显示链路状态均为正常,则源端、目标端服务器之间的通信链路已创建并认证完成。

删除链路

删除目标端链路

  1. 超级管理员登录源端备份域(如admin),在左侧导航栏,选择系统 > 控制台通信
  2. 进入目标端页面,选中任意一条链路,点击删除。完成两端的链路信息删除,其证书也会同步删除。
    • 若选中的目标端链路绑定的有关联任务,直接提示删除失败,且不允许强制删除。
    • 若选中的目标端链路没有绑定关联任务,且提示删除失败,允许强制删除。
  3. 如果删除失败且该条链路无绑定关联任务,弹框提示用户是否强制删除,输入YES,点击确定

注意

  • 强制删除后,目标端会存在残留的链路信息,需要管理员到目标端手动删除残留的链路信息。
  • 删除目标端链路会联动删除该链路上的所有用户AK数据。

删除源端链路

只允许删除状态为异常的链路。

  1. 超级管理员登录目的端备份域(如admin),在左侧导航栏,选择系统 > 控制台通信
  2. 进入源端页面,选中一条状态为异常的链路,点击删除

编辑链路

源端和目标端使用域名的形式通信时,编辑之前需要做的前置准备:

  1. 修改虚拟域名为新的虚拟域名,修改前,请先在目标端的所有控制节点的 **/etc/hosts/**文件中手动修改域名。
  2. 修改真实域名为虚拟域名,修改前,请先在目标端所有控制节点 **/etc/hosts/**文件下,添加虚拟域名和IP映射记录。
  3. 修改虚拟域名为真实域名,请在目标端的所有控制节点的 **/etc/hosts/**文件中手动删除虚拟域名和IP映射的记录。
    源端和目标端使用VIP通信,直接编辑链路信息即可,无需做前置准备。

编辑目标端IP

  1. 超级管理员登录源端备份域(如admin),在左侧导航栏,选择系统 > 控制台通信
  2. 进入目标端页面,选中一条链路,点击目标端IP表头下方的IP超链接。
  3. 在弹出的右滑框中,链路信息默认全部展开,点击基本信息编辑按钮。
  4. 文本框中输入需要修改的目标端IP,点击确定

编辑访问秘钥

  1. 超级管理员登录源端备份域(如admin),在左侧导航栏,选择系统 > 控制台通信
  2. 进入目标端页面,选中一条链路,点击目标端IP表头下方的IP超链接。
  3. 在弹出的右滑框中,链路信息默认全部展开,点击AK/SK配置编辑按钮。
  4. 文本框中输入需要修改的AK/SK,点击确定

编辑目标端端口

  1. 超级管理员登录源端备份域(如admin),在左侧导航栏,选择系统 > 控制台通信
  2. 进入目标端页面,选中一条链路,点击目标端端口表头下方的超链接。
  3. 在弹出的右滑框中,链路信息默认全部展开,点击基本信息编辑按钮。
  4. 数字框中输入需要修改的目标端端口,点击确定

注意:如果使用VIP通信,目标端端口默认使用9600即可,无需修改。

更新证书

建立控制台通信,需确保源端、目的端证书一致,否则无法建立控制台通信。

  1. 超级管理员登录源端备份域(如admin),在左侧导航栏,选择系统 > 控制台通信
  2. 进入目的端页面,选中一条状态为异常且可点击的链路,点击链路状态表头下方的异常超链接。
  3. 在弹出的右滑框中,点击更新证书,模态框提示用户该证书需要信任,默认勾选信任此证书

注意

  • 当且仅当因为证书未同步导致链路状态的“异常”,可点击异常超链接,右滑框提示用户更新证书,其他原因导致的链路异常,不可点击。
  1. 点击确定,完成证书的更新,链路状态由更新中流转为正常,如果选择不勾选信任此证书,则证书更新失败。

用户验证

新建远程复制任务必须要填加目的端用户AK/SK,每个任务都需要添加,用户体验较差,因此控制台链路支持在该链路上新建目的端用户AK/SK验证。

权限要求:超级管理员,操作员,租户管理员,租户操作员。

  1. 超级管理员所有的AKSK共享,不存在超级管理员间的用户隔离。
  2. 超级管理员与租户隔离,超管看不到租户(租户管理员&租户操员)的AKSK数据。
  3. 超级管理员可以查看/删除其他超级管理员和操作员添加的AKSK。
  4. 操作员仅可查看/删除操作员自身的AKSK。
  5. 租户管理员可以查看/删除所属同一租户下的其他租户管理员创建的AKSK和所属同一租户下的租户操作员添加的AKSK。
  6. 租户操作员仅可查看/删除自身的AKSK。

限制性

  1. 每条链路上所有超级管理员最大添加不超过10个AK/SK.。
  2. 每条链路上同一租户下的所有租户管理员最大添加不超过10个AK/SK.。
  3. 每条链路上操作员&租户操作员每个用户最大添加不超过10个AK/SK。
  4. 同一个用户下,超级管理员和操作员创建的用户AK名称允许重复。
  5. 同一租户下,租户管理员和租户操作员创建的用户AK名称允许重复。
  6. 同一超级管理员或者同一操作员之间的用户AK名称不允许重复。
  7. 同一租户下的租户管理员或者租户操作员之间的用户AK名称不允许重复。

添加AK

  1. 超级管理员登录源端备份域(如admin),在左侧导航栏,选择系统 > 控制台通信,在目的端界面创建一条链路信息。
  2. 超级管理员&操作员&租户管理员&租户操作员进入用户验证页面,用户AK数量默认为0,选中一条链路状态正常的用户AK,添加AK按钮高亮(默认禁用),点击添加AK按钮。
  3. 在弹出的右滑框中,输入用户AK名称、输入目的端用户AK、SK(前置条件中下载并保存的AK、SK,AK&SK和用户对应关系需正确)
  4. 点击确定,完成目的端用户AK创建,用户AK数量更新。
  5. 点击用户AK数量栏目下的数字,跳转到目的端用户AK列表界面,展示用户AK信息,在该界面同样也可操作添加AK操作,再次不做阐述,参考上述步骤即可。

注意:用户AK数量大于等于10条、或者目的端链路状态异常,添加AK按钮不可用。

搜索AK

  1. 超级管理员&租户管理员进入用户验证界面,点击用户AK数量栏目下的数字,跳转到目的端用户AK列表,点击放大镜图标,可以根据用户AK名称、创建者搜索。
  2. 操作员&租户操作员进入用户验证界面,点击用户AK数量栏目下的数字,跳转到目的端用户AK列表,点击放大镜图标,可以根据用户AK名称搜索。

注意

  • 仅超级管理员&租户管理员拥有“创建者”显示、搜索权限。
  • 当且仅当管理员视角下,若添加这条AK的超级管理员&租户管理员被删除,则该用户AK的创建者更新显示为“---”。
  • 操作员视角下,若添加这条AK的操作员&租户操作员被删除,则对应删除该用户AK信息。

删除AK

  1. 超级管理员进入用户验证界面,点击用户AK数量栏目下的数字,跳转到目的端用户AK列表,选中一条用户AK,列表栏上方删除按钮高亮(默认置灰不可点击),点击删除或者操作栏下方的删除,提示“确认删除该用户AK吗?”
  2. 点击确定,完成用户AK的删除,目的端用户AK列表刷新。
  3. 点击”<”按钮返回到用户验证界面,用户AK数量更新。

注意:被远程复制任务所占用的用户AK会删除失败。

应用场景

注意:以下IP信息仅作为参考,具体以实际为准。

  • 一对一
    环境描述:
    1. 源端集群A的VIP为:10.2.25.35
      目的端集群B的VIP为:10.2.25.37;
    2. 数据流向为:从A到B,即在B端保护A端的数据。
      创建通信链路连接A-B。创建控制台通信链路请参考控制台通信链路-创建链路
  • 双机互备
    环境描述:
    1. 源端集群A的VIP为:10.2.25.35
      目标端集群B的VIP为:10.2.25.37;
    2. 数据流向为:从A到B,从B到A,即A端能保护B端的数据,B端也能保护A端的数据。
      a. 创建通信链路连接A-B。创建控制台通信链路请参考控制台通信链路-创建链路
      b. 再以B为源端,A为目的端,创建通信链路连接B-A。
  • 一对多
    环境描述:
    1. 源端集群A的VIP为:10.2.25.35;
      目的端集群B的VIP为:10.2.25.37;
      另一目的端集群C的VIP为:10.2.25.31;
    2. 数据流向为:从A到B,从A到C,即在B端和C端保护A端的数据。
      a. 创建通信链路连接A-B。创建控制台通信链路请参考控制台通信链路-创建链路
      b. 再创建链路连接A-C,以A为源端,C为目的端。
  • 多对一
    环境描述:
    1. 源端集群A的VIP为:10.2.25.35;
      目的端集群B的VIP为:10.2.25.37;
      另一源端集群C的VIP为:10.2.25.31;
    2. 数据流向为:从A到B,从C到B,即A端、C端的数据在B端保护。
      a. 创建通信链路连接A-B。创建控制台通信链路请参考控制台通信链路-创建链路
      b. 再创建链路连接C-B,以C为源端,B为目的端。
  • 多级(非内外网)
    环境描述:
    1. 源端集群A的VIP为:10.2.25.35;
      目的端集群B的VIP为:10.2.25.37;
      另一目的端集群的VIP为:10.2.25.31;
    2. 数据流向为:从A到B再到C,即C端保护A、B端的数据,B端保护A的数据。
      a. 创建链路连接A-B,创建控制台通信链路请参考控制台通信链路-创建链路
      b. 再创建链路连接B-C,以B为源端,C为目的端。