監控從業人員越來越多��,對于剛剛加入這個行業的新人來講,可能首先要從最基層的設備安裝做起,在實踐中逐漸積累經驗�,成為能夠獨立負責項目的項目經理�,那么監控攝像機安裝過程中�����,攝像機的安全保護又應該注意哪些事項呢����?
監控安裝不能忽視的幾點:
1����、位置需求
對于監控攝像機來說,所處位置的好壞直接關系著設備的成像效果�。因此��,不少用戶將監控的效果視為監控攝像機安裝位置的首要參考。不過�,他們卻忽視了十分重要的一點:監控攝像機并非萬能����,在安裝位置的選擇上��,它同樣有著自己的要求,首先就是在安裝的位置上�����,為了能夠使攝像機避免周圍環境的干擾�����,實現一個更佳的拍照和生存效果�����。在室內環境安裝時,我們要盡可能的保證設備的高度不低于2.5米���,而在室外環境中,我們也要將監控設備置身于距離地面3米半以上的高度�。否則���,無論是從攝像機自我保護��,還是設備監控角度來說,都會產生不少負面的效應����。只有考慮到了這些最基本的問題之后���,角度才是我們考慮的方面����。
2�����、安裝角度
主要分為兩種:筒型和半球型。其中筒型比較常見�,室內外通用�����;半球型一般用于室內,體積較小,可以壁掛或吸頂式安裝�����。
監控攝像機安裝還應注意角度問題,對于沒有寬動態功能的普通攝像機�����,應避免直射光源����,最好不要逆光安裝,攝像機逆光補償調整的原理與方法����!監控攝像機在安裝過程中固定一定要牢固��,以防畫面抖動。對于墻面可使用沖擊鉆打眼����,塞上漲塞��,然后用自攻絲將支架固定在墻面,對于天花板吊頂�����,可在上邊放木塊�,讓自攻絲穿過天花板擰到木塊里���,還有一個關鍵問題:攝像機安裝支架的選擇上也要注意����。
室外盡量選擇室外專用支架,多花不了幾個錢,但是抗風系數就大大不一樣了�,無線網橋知道用一個粗點的支架�����,而攝像機則選擇一個如此的支架,稍微有點風吹草動的,攝像機立馬位置就變了。
3、安裝高度
監控攝像機的安裝高度不能太低���,防止他人惡意破壞,也不能太高,不方便以后的維修,建議安裝高度在三四米即可�,踩個梯子就能夠得到��,還有就是如果高立桿安裝的攝像機,一定要考慮到后期維護方面。比如可以在立桿中安裝爬梯等措施�,租用高空作業車是一項成本很高的事情�����,同時因為監控攝像機安裝高度較高,需使用梯子等輔助工具���,因此在爬梯子時一定要注意安全,以防高空跌落造成危險����。對于位置較高的���,一定要系好安全帶再進行施工����。
4����、用電安全
監控攝像機需要進行單獨供電��,在進行強電接線時�����,同樣應該注意安全,可用萬用表�、測電筆先進行測試����,保證斷電之后再進行接電,還有就是在安裝室外的監控攝像機�,要做好防水處理���,最好購買配有防水尾線的網絡監控攝像機�。另外�,可在監控攝像機下方安裝一個小的防水盒,將電源及接頭置于防水箱內�。
注意避雷��,容易遭受雷擊的地區,監控攝像機一定要做好防雷擊處理�,可采用視頻防雷模塊�,電源模塊等進行防雷處理�����。
供電方式有DC直流電源供電和POE供電兩種����,PoE供電相對于直流電源供電��,只需連接PoE交換機或PoE網絡硬盤錄像機即可供電,施工和維護更加簡單方便�。
非PoE供電:每個攝像頭需要電線��、網線、PVC套管�、插座��、安防電源……配件一大堆,線路煩亂�,安裝復雜���,維護不易�。
PoE供電:一個攝像頭一條網線����,數據、電力同時傳輸�,簡單方便���。
對比兩種供電方式����,PoE供電更簡潔�����,成本可能比非PoE供電更低�。
5���、照明環境的需求
夜晚使用監控攝影機時���,為了避免反射和陰影�����,通常需要照明設備,可以使用紅外線照明燈代替普通燈泡。不過用戶必須使用黑白監控攝影機和帶有紅外線照明設備的網路監控攝像機,因為黑白監控攝影機對紅外線感光較為靈敏�,而彩色監控攝影機則無法發揮紅外線功能��。
如今,已經有不少的攝像機都開始采用寬動態的功能,提升自己在逆光環境下的成像能力���,但是,這并非就意味著攝像機可以在強光的環境下持續的完成工作。因為在強光的照耀下,直射的強光容易造成攝像機難以正常的定位準確的圖像,最終造成感測器晶片上的彩色濾光器永久性脫色,使攝像機在監控影像中出現條紋�����。
因此�����,如果可以的話���,我們盡可能的使攝像機處于一種"順光"的模式�,但是無論如何�,我們都要避免強光長時間對攝像機鏡頭的直接刺激。
要想夜晚監控也到位�,就得用夜視效果好的IPC�����。夜視距離主要由紅外燈數量決定��。單燈的夜視距離為30米,雙燈的夜視距離為50米�。
6�、線纜和接頭:
對于網絡攝像機來說��,它的線路架設方式顯然要比傳統的模擬設備更為豐富�����。不過���,無論是采用哪種的傳輸方式�����,干擾都是我們不得不注意的問題之一���。尤其對于有線傳輸的視頻信號來說����,信號線與大功率電線的同向傳輸無疑是架線過程中的大忌��,更不可為了施工的方便而將二者放在相同的傳輸線管內�。
即使受到環境的限制����,實在無法將二者分離開來的話,也要保證至少半米的間隔距離。只有這樣的規劃,才能更好的避免強磁干擾對于視頻傳輸的影響��,而對于采用無線信號傳輸的設備來說�����,雖然在線路的限制上更少一些�。
但是攝像機本身也要避開周邊的強磁干擾源��。同時保證攝像機與地面的絕緣隔離�,此外����,我們也要注意避免線路對于云臺工作的影響和阻礙。采用無氧銅0.5線徑的國標網線,鍍金的水晶頭����,電源線30米以內用RVV 2*0.5護套線,30-50米用RVV 2*0.75護套線����,50米以上用RVV 2*1.0護套線���,穿線管一般用PVC的即可�,要是地埋或者防爆采用鍍鋅鋼管��。
7���、設備配件的安裝
除了上面提到的一些完整的方面外����,一些攝像機的輔助設備安裝規范也是我們在施工中不得忽視的環節����。比如說,要讓攝像機云臺�、機架等設備的安裝位置符合設計要求���,安裝應平穩牢固����、便于操作維護�。機架的背面和側面離墻距離要符合維修要求�����;必要的時候,我們要對攝像機加裝保護罩或者溫度控制裝置等等�。
而對于擁有復雜線路相接的環節,我們也應該注明每條線路的用處以及特點��,以便日后的維護與梳理�����,上面提到的�,就是我們在架設簡單網絡監控系統時所需關注的重點環節�����。相比于一些復雜的大型監控系統來說����,這些方面顯然也更加的簡單與直觀�。
但是從關鍵性的角度來說,這些可以說是影響攝像機工作質量的命脈環節�����,是絕對不可以忽視的�����,只有我們把握了上面提到的這些重要卻又容易忽視的要素時���,才可能享受到更加高效和便利的網絡監控效果���。
8����、安裝操作小知識:
(1)�、硬盤錄像機格式化硬盤很慢�,什么原因?
這個應該是硬盤的問題,可以替換硬盤試試
(2)、網絡攝像機老掉線什么原因�?
供電不穩����、網絡接觸不良�����、網線頭沒做好
(3)��、網絡攝像機,卡頓嚴重,什么原因?
攝像機碼流過大��,交換機�、NVR帶寬不夠用
(4)、解碼器上墻怎么設置?
通過電腦瀏覽器輸入解碼器地址�,進入的解碼器的管理界面進行設置�,或都有通過IVMS4200客戶端軟件進行設置�。
(5)、網絡攝像頭報警怎么連接?
需要支持報警輸入的攝像機����,攝像機的尾線上有"Alarm in"
(6)����、網絡攝像頭音頻怎么連接��?
需要支持音頻的攝像機�����,攝像機的尾線上有"A in"或"Audio in"字樣
(7)、集中直流供電怎么計算功率?
一般的攝像機都是DC12V1A供電,對于帶紅外補光燈的攝像機���,需要做出一定的電流冗余量,選擇DC12V2A電源,以防止切換到紅外模式時攝像機供電不足��。
(8)����、SYV75-3視頻線能傳輸多遠距離?
理論上講���,SYV75-3視頻線能傳輸300米,實際項目中很少有人這么做�,100米以內用75-3
(9)���、SYV75-5視頻線能傳輸多遠距離��?
理論上講,SYV75-5視頻線能傳輸500米,實際項目中很少有人這么做,200米以內用75-5
9��、錄像機怎么添加���?
(1)自動添加����,NVR自動掃描,即可顯示所有在線的攝像機,選擇"全部添加"即可�;
(2)手動添加�,選擇相應的通道�,點"編輯"輸入攝像機的相關信息,"確定"
10、攝像機怎么更改IP�?
(1)從電腦瀏覽器里打開攝像機的管理界面��,找到網絡選項,填上需更改的地址���;
(2)從NVR里面,搜到攝像機之后�����,點"編輯"輸入更改的地址�。
11、球機怎么改地址碼���?
網絡球機一般不需要更改地址碼���。模擬球機地址碼的更改有兩種方式:
(1)硬開關更改��,在球機的機芯上有相應的撥碼開關�,一般是二進制�����,撥動開關����,調到需要的地址�;
(2)軟件修改,通過預置位��,調出球機菜單�,里面有地址碼修改選項,進入修改即可�。
12�、鏡頭毫米數怎么確定�?
一般情況是根據場所需要的距離除以2再除以1000,得出鏡頭毫米數����,再根據所需照攝角度���,適當調整毫米數����。
鏡頭焦距
攝像頭鏡頭焦距有2.8mm/4mm/6mm/8mm/12mm等多種���,每個產品系列均可以選擇鏡頭焦距����,可以滿足室內外各種環境的拍攝需求��。一般來說�,焦距越大�,視場角越小,而監控距離越遠。
放到實際使用場景中,2.8mm焦距適用于電梯����、樓梯等較為狹小的環境�����,4mm適用于會議室�����、商店稍大一些的場景等,而停車場�、工廠車間����、庭院等更開闊的地方則可以選用6mm以上的鏡頭�����;具體選擇可以根據需要而定���。
13��、調焦攝像機在哪里調節?
攝像機側面或尾部都有"FOCUS""ZOOM"字樣,用螺絲刀調節即可
14��、磁盤陣列怎么選型��?
先計算出全部前端攝像機圖像所需的存儲容量�,除以單塊硬盤容量��,得出盤位數,再加上RAID所需管理盤數量,熱備盤數量��,得出陣列盤位數�����。
15�、網絡球機通過什么方式控制�����?
NVR�、電腦客戶端��、網絡鍵盤�,都可以對網絡球機進行控制�����。
16�、485是什么�?
485通訊接口一個對通訊接口的硬件描述,它只需要兩根通訊線��,即可以在兩個或兩個以上的設備之間進行數據傳輸�����。這種數據傳輸的連接����,是半雙工的通訊方式�。一個設備只能進行發送數據或接收數據。安防監控用的485,一般是指云臺控制接口。設置好控制設備與被控制設備之間的協議、速率后��,即可進行控制操作���。
17�����、如何根據實際情況配置光纖?
根據系統光傳輸設備需要的總芯數����、傳輸模式來選擇光纖類型和芯數���。根據所需傳輸的距離確定光纖數量�����。
18�、在多遠的距離下配置光纖收發器���?
超出網線信號傳輸距離之后(一般100米)���,就該考慮用光纖傳輸了����。
19、錄像機如何調試遠程?
(1)在主菜單里進入系統設置——網絡設置——DDNS——啟用DDNS打鉤——DDNS類型里選擇合適的域名服務站——輸入在此網址注冊的用戶名、密碼——確定����。
(2)進入錄像機上網接入的路由器����,找到"轉發規則"選項��,添加轉發端口然后保存。
20���、模擬錄像機找不到鼠標是什么原因?
1����、如果是?����?底詭У氖髽耍冗B續按幾下中間滾輪���,如果不行,換個USB接口2.在系統設置里更改一下主輸出端口
21�����、300萬的攝像頭一個小時錄像內存是多少�?
300萬攝像機1小時錄像存儲占用空間約3G,根據攝像機所設置的碼流大小,所需硬盤存儲空間會有所差別
22����、200萬的攝像頭一個小時錄像內存是多少�����?
200萬攝像機1小時錄像存儲占用空間約2G,根據攝像機所設置的碼流大小,所需硬盤存儲空間會有所差別
23�����、300萬接入標稱16路200萬的錄像機時����,接入路數需要減半嗎����?
網絡錄像機的接入路數=錄像機的總帶寬÷攝像機碼流,碼流越大,接入路數越少��、300萬像素攝像機理論上比200萬攝像機碼流大1/3
24����、平臺一體機和解碼器如何選型?
平臺一體機集成解碼、管理���、拼接等功能于一體的設備,解碼器只是解碼、上墻(拼接、畫面分割)�����,可根據用戶的功能需求進行選擇����。
25、流媒體服務器的作用�����?
大量客戶端貨WEB訪問監控攝像機的時候��,一般的錄像機承受不了太大的網絡壓力���,這時候需要流媒體服務器做一下轉發���,把客戶端的訪問壓力轉到服務器上來����。
26�、在使用磁盤陣列的情況下還需要錄像機嗎�����?
磁盤陣列的存儲功能��,數據往里面存儲,需要有存儲服務器來管理�����。一般來講�����,有磁盤陣列就不需要錄像機了��?
27、一體機和機芯的區別?
機芯是不帶外殼的一體機����,一體機是可以獨立工作����,機芯不能獨立工作����。需接到球機里才能正常工作
28、LED燈和點陣燈的區別?
兩種燈本質上是一樣的�����,點陣燈比普通LED燈功率更大���,使用壽命更長����。
29����、混合錄像機接入網絡和模擬的數量怎么計算?
模擬攝像機接入數量無需計算���,錄像機上的BNC輸入接口數量就是上限。網絡攝像機��,根據攝像機的像素高低乘以攝像機數量��,小于錄像機的網絡接入帶寬即可�����,停用1路模擬信號,可增加1路網絡信號���。
30、IPC添加后顯示不在線怎么辦����?
1)����、IPC的IP地址設置跟NVR地址不在同一網段
2)、網絡連接不暢�����,檢查網線的8芯是否全部測通���。
31���、本地預覽無聲音怎么辦��?
1、先確認音頻線�、拾音器電源線連接是否完好
2���、預覽界面的聲音開關是否打開
32�����、怎么選攝像機鏡頭毫米數?
一般情況是根據場所需照射的距離除以2再除以1000�,得出所需鏡頭大概毫米數����,再根據所需照攝角度�,適當的調整毫米數,照攝角度越大��,鏡頭越小�。
33、為什么使用手機客戶端軟件預覽圖像黑屏�?
1�����、服務端設備不在線2、客戶端添加設備不正確���,IP地址、端口����、用戶名�、密碼錯誤
34����、監控顯示不用監視器�,想用自己家的臺式電腦怎么接?
在錄像機上的RJ45接口���,用網線連接到電腦上,通過電腦客戶端軟件訪問錄像機圖像
35、拾音器的接法?
市面上的拾音器�,一般提供三根線���,電源線+(多數為紅色)音頻線+(多數白色)公共接地G(多數為黑色)�����,電源線"+"接電源的"+",音頻"+"接攝像機的音頻輸入的AUDIO IN,公共接地G接電源的"-"和音頻輸入的G
36、監控室的錄像��,想要分出一部分給另一個監控室看�����,如何操作�����?
模擬系統的可通過視頻分配器分出一路信號分給另一個監控室,網絡系統直接網線連接即可,通過電腦客戶端打開需要看的圖像
37�、什么時候會用到編碼器�����?編碼器是NVS么?
編碼器的英文名字:NETVIDEO SERVER(網絡視頻服務器)也叫視頻編碼器�����,其作用是把模擬攝像機視頻信號編碼成網絡信號�。當模擬攝像機視頻信號需要接入到網絡系統中的時候,需要用到編碼器���。
IPC和NVR支持的編碼標準有兩種:H.264和H.265,后者為新一代編碼標準,可以在不損失圖像質量的同時�����,將視頻大小壓縮至前者的一半���。在帶寬相同的情況下���,H.265可以傳輸更加高清的視頻�。
38、電梯里面是用編碼器嗎?有什么利弊�����?
電梯里用編碼器�,是因為電梯里的隨行線纜只有同軸線,沒有網線��,當市面上有比較經濟實用的電梯網線普及之后���,建議還是考慮用網絡攝像機����。編碼器的最高分辨率是WD1,遠不如網絡攝像機的像素高����。
39����、視頻監控的攝像機和視頻采集卡有什么關系���?
視頻采集卡采集的信號是前端的模擬攝像機提供的��,經采集卡采集、編碼��,給電腦提供數字集號�,實時顯示并存儲,出于穩定性和成本考慮���,目前市面上使用采集卡的已不多。
40�、攝像機集中供電怎么布線�?
所謂集中供電�,是指所有的前端設備用電,都是從后端中控室統一提供�。分兩種情況:1�����、集中提供市電到前端,攝像機的電源適配器放在攝像機端��,這種情況布線的時候���,電源線要跟視頻信號線分開�,電源線需穿JDG管保護2、集中提供攝像機所需的直流電源到前端�����,攝像機電源適配器放在后端控制室����,這種情況布線的時候,電源線和視頻線可以共走同一線路�,要求不嚴格的情況下����,可用PVC管���。同時注意直流電傳輸距離和線徑關系�����,傳輸越遠��,所需線徑越大。
41����、什么是寬動態�?
寬動態技術是在非常強烈的光纖對比下�,讓攝像機看到影像的特色而運用的一種技術。當在強光源(日光��、燈具或反光等)照攝下的高亮度區域及陰影�、逆光等相對亮度較低的區域在圖像中同時存在時,攝像機輸出的圖像會出現明亮區域�,因曝光過度成為白色��,而黑暗區域因曝光不足成為黑色,嚴重影響圖像質量�,攝像機在同一場景中對最亮區域及較暗區域的表現是存在局限的���,這種局限就是通常所講的"動態范圍"
42�����、影響網絡監控運行穩定的因素有哪些呢?說一下最常見的因素:
1、帶寬����,顧名思義交換機的配置
2�����、網線����,傳輸線纜的選擇,質量好快有關系
3、水晶頭,施工人員施工工藝水平
4���、綜合平臺的選擇,大品牌值得信賴
、理清楚視頻卡頓分析思路
1�����、IPC設備跟電腦直連都卡頓(排除網線和電腦問題)用VLC和WEB�����,SDK測試DEMO都驗證過卡頓����。那后續就不用排查其它問題�����,直接聯系研發進行問題處理�����。
2、直連測試正常,則按照下面講述的數據流向,把數據流梳理清楚��,把網絡拓撲圖搞清楚��。按照網絡拓撲圖逐級進行排查�,看到底是哪級網絡點出現卡頓�����。
這個部分是基礎首先要明確IPC都有哪些對外的數據流向,出現卡頓到底是出在哪條數據流上�。
1)WEB端瀏覽視頻圖像走的是80端口���,視頻流采用的流媒體協議��。
2)IPC跟第3方NVR對接,基本都是走的ONVIF協議����。視頻流采取也是通過流媒體協議�����。
3)IPC跟公司NVR或者EVS對接�,則走的是大華私有協議(SDK)�。
4)IPC跟第3方平臺對接,則走的是IPC中一個獨立的功能模塊(接入功能模塊)接入這塊功能有專門的開發小組進行維護�����。
5)IPC跟公司自己的DSS,SMARTPSS平臺對接�,則走的也是大華私有協議(SDK)。
明確了上述流后,確認是哪條環節上視頻流出現卡頓。把對應這條數據流上的網絡拓撲信息圖搞清楚����。按照提供的網絡拓撲圖信息進行分級進行定位���。排查到底是那級節點出現卡頓�。調試卡頓現象時候一定要把網絡拓撲搞清楚����。
3���、嘗試降低編碼參數�,比如降低碼流。如果降低碼流就不卡頓���,初步可以判定是整個網絡帶寬不足導致預覽視頻卡頓。
4��、嘗試如果修改WEB端預覽視頻模式(實時和流暢)調整到流暢模式就不卡頓�����,也可以初步判斷是網絡問題導致���。
5��、如果通過降低碼流,調整預覽視頻流暢模式還是卡頓�。則這個時候查看設備端資源占用情況���。如果設備端CPU占用率特別高���,那就可能是設備端性能不足導致發送視頻流有問題����,從而引起卡頓�。設備端CPU占用率過高有可能是開啟功能過多,也有可能是編碼性能不足�。如果把設備配置恢復默認還是設備端占用CPU過高�,那就聯系研發進行問題排查�。另外一種情況就有可能是有過多的IP登錄IPC,導致前端IPC資源緊張����,從而引起視頻卡頓����。還有一種情況就是設置編碼的FPS為25幀/秒����,但實際上上來的碼流只有20幀/秒�����,這樣也會導致視頻流卡頓�����。
6、如果前端IPC一起正常(CPU資源很空閑����,直連也不卡頓)�,平臺端和NVR端還是卡頓。這個時候就要著手定位網絡問題���。
二、案例總結:
1�����、蘭州監獄NVR播放錄像卡頓
定位為解碼庫問題�,NVR端處理。
2�、杭州--地鐵4號線視頻卡頓
定位原因:385光口設備的網絡驅動導致網卡適應成10M網卡了���。
3�����、江蘇--南京地鐵3號線
問題描述:HF3200圖像卡頓
原因分析:網絡中存在大量的 ARP 包���,導致設備對這些包一直在握手���,導致CPU占用率為100%
解決方案:沒有定位到根本原因����,出規避程序去掉IP搜索功能。
4�、新疆米東區平安市區我司IPC在宇視NVR卡頓問題
解決:宇視NVR上的數據是通過接入協議取視頻流�����,接入組進行解決。
5、國內-甘肅��,我司NVS0104EF接入NVR6000和SVR3016丟幀問題
解決:修改發送數據緩沖大小�。
6、杭州地鐵二號線IPC-HF3301P-F、HDB3301視頻卡頓需求
原因:杭州地鐵二號線設備程序缺陷�,在現場發現8M視頻預覽卡頓現象�����,經檢查發現是接入庫問題,由研發提供新的接入庫,但程序需要在地鐵二號線的訂制需求基礎上開發。
7����、虎門公安視頻監控項目
現象:虎門公安視頻監控項目用到我司DH-IPC-HF5200和DH-SD6A82C-HN這兩款前端�����,目前發現通過UDP傳輸會出現卡頓現象,TCP傳輸正常��,接入組對UDP進行優化��。
8����、洪湖平安城市IPC5200
現象:只要接入模塊啟動�����,WEB端預覽圖像就會卡頓。
原因:經過定位是接入模塊占用CPU過高��,導致數據發送不均勻��,從而引起卡頓��。根本原因是接入回調函數中處理事情過多,導致編碼線程數據發送卡頓����。
9�、西科姆IPC項目視頻播放卡頓
原因:確認是網絡環境導致�,現場網絡帶寬驗證不足導致,客戶讓網絡集成商改善網絡后解決問題����。
10�、杭州電警永翔IPC-HF3300P-P
問題現象:杭州電警永翔全景相機,接入北京的一家公司的智能分析服務器�����,視頻出現拖影卡頓�����。
問題原因:是第3方解碼問題導致�。
11���、上海松江--HF3231卡頓問題
問題描述:上海反饋HF3231現場卡頓問題
問題原因:網絡卡頓------優化內核����,開啟流控�����;I幀過大------優化I幀大小
12���、IPC-HX3(2)XXX華鼎漳州海西高速項目組播拉視頻流
問題現象:第3方平臺組播取視頻流出現花屏��。
問題原因:區域提需求錯誤,客戶需要的組播裸碼流����,而區域提需求要的是TS流����,導致客戶端解碼數據有問題�。
13、關于福億安防公司定制需求【重要】-網絡卡頓問題--區域問題
問題描述:IPC設備通過客戶自己定制的交換機��,圖像會條秒卡頓現象
定位原因:交換機問題��。高世達技術給出的解釋是:現場使用的交換機網口是百兆的����,但是現場使用中把網口限制到12M���。帶寬不夠導致瀏覽視頻卡頓�����。
14、東莞樟木頭攝像機卡頓問題
定位原因:網絡帶寬問題�,網絡供應商解決問題�����。
總結卡頓的原因:I幀過大;網卡驅動異常;網絡環境中網絡帶寬不足���;設備編碼性能不足;解碼庫不兼容;設備端功能打開過多導致設備CPU過高影響數據發送;數據發送緩沖設置過?�?����;網絡環境差的條件下沒有對數據做均勻發送處理����;交換機問題��;網絡帶寬不足�����。
述
前面介紹了安裝部署teleport的教程,今天主要對teleport的一些功能做一下大致介紹,雖然整體界面好像沒有jumpserver美觀�,也沒有自動化運維功能(ansible批量發送命令)��,不過它也有自己的特色,例如上傳下載功能就做的很實用��,下載附件批量添加主機等。
01
登陸界面
官方文檔: https://docs.tp4a.com/guide_asset/#_1
02
資產管理
點擊左側菜單,展開“資產”項目����,然后點擊“主機及賬號”�,會打開主機管理頁面��,遠程主機和遠程登錄賬號的管理主要在此界面中操作
1���、 添加主機
點擊頁面右上方的“添加主機”按鈕,然后在彈出的對話框中根據你要添加的遠程主機的信息選擇和填寫相關內容:
- 遠程主機系統: 可選擇Windows或者Linux/Unix;
- 遠程主機地址: 填寫遠程主機的IP地址,目前teleport尚未支持域名方式連接遠程主機��;
- 連接模式: 可選擇直接連接或者端口映射模式�;
- 名稱/資產編號/備注: (選填)為方便區分可填寫相關信息。
其中“連接模式”一項,如果此遠程主機可以由teleport服務器直接連接�����,則可以選擇“直接連接”模式��,例如遠程主機與teleport服務器處于同一個局域網中�����,或者遠程主機是開放了遠程連接端口的云端服務器等。
如果遠程主機與teleport服務器之間需要通過其他網絡設備進行端口映射方可連接的����,則需要選擇“端口映射”模式����。在這種模式下����,teleport服務器實際上連接的是配置的 路由主機 的地址和映射端口,而非遠程主機地址��。
端口映射模式常用于以下場景:
- teleport服務器處于公司內網�,被維護的遠程主機在云端且沒有公網IP,需要通過一臺有公網IP的服務器進行跳轉����。集群服務器常使用這種方式�。
- 使用teleport服務器管理運行docker的主機以及進入docker內部進行管理�。
主機信息填寫完畢后,點擊“確定”按鈕即可完成主機的添加。
2�����、添加賬號
添加完主機后�����,還需要為此主機設置遠程登錄的賬號,點擊主機的賬號數量���,或者右側操作菜單中的“管理遠程賬號”,會顯示遠程賬號管理對話框�����。
然后點擊“添加賬號”按鈕�,彈出添加遠程賬號的對話框。需要注意的是���,如果主機的連接模式使用端口映射模式,那么這里的“端口”項是無法更改的�。
遠程賬號信息填寫完畢后���,可以使用對話框上的“測試連接”按鈕來進行測試��。
2.1、RDP協議
添加賬號時����,如果遠程賬號是Windows域用戶��,那么賬號名稱需要使用 user@domain 這樣的形式,而不能使用 domain\user 的形式��。后者雖然可以正常遠程登錄使用��,但會導致無法進行錄像回放�����。因為teleport在回放RDP錄像時,會下載錄像文件到本地����,文件名中會包含遠程賬號名稱���,而遠程賬號中的字符 \ 是操作系統的路徑風格符�����,從而導致無法創建本地文件使得下載失敗。
有時 rdp客戶端連接windows服務器失敗����,日志提示“協議不支持”��。
被遠程的服務器端打開 計算機-屬性-遠程設置,將默認的“僅允許運行使用網絡級別身份驗證的遠程桌面的計算機連接”�,更改為“允許運行任意版本遠程桌面的計算機連接” 即可正常連接.
2.2��、 SSH協議
如果是SSH協議,那么認證方式可以選擇“SSH私鑰認證”�����,此時密碼輸入框將被替換為SSH私鑰輸入框�。目前teleport 僅支持RSA私鑰,且私鑰不能是密碼加密后的��。私鑰的格式如下所示:
-----BEGIN RSA PRIVATE KEY-----
MIIEoAIBAAKCAQBki7kohX+oa0AELV8Oflrz545PQS47H5mh/sQ6KRHkt7bErVC3 watQdeXFHrnH0uKbmglFS6MVni86/tltqxxt+dcgTBsNyFiuUtSQBlIIwBiqtpFl ......
JQKBgBWsgyj+So3nB8nVsRFawarouM+xfwN+12CeLrlHVxvOdJ5LBF+uhPUO75qG jU8XyGm54zSLsZfjyJ5IQu4WmiuEhzQagceML9x2INHHXE3w
-----END RSA PRIVATE KEY-----
如果你使用的私鑰不是以上格式���,請用相關工具進行轉換方可在teleport中使用��。
注意����,私鑰對應的公鑰應該預先部署在你的遠程主機上了�����,具體操作可搜索“SSH免密碼登錄”。
2.3、 TELNET協議
在添加telnet協議的遠程賬號時,如果使用用戶名/密碼認證方式,會要求填寫“用戶名預期提示”和“密碼預期提示”兩項內容�����。這是因為telnet本身是弱協議���,也就是說它并沒有明確定義用戶如何登陸���,何時輸入用戶名或者密碼�����,不同的telnet服務有著各自不同的實現方式���。比如說��,有些telnet服務會顯示 Login: 來提示用戶輸入用戶名,而另一些則用 username: 進行提示,還有的用 login:進行提示��。而teleport在檢測到對應的提示時��,才能夠正確填寫相應的用戶名和密碼來完成自動登錄����。
所以����,在添加telnet協議的遠程賬號之前��,你需要手動連接一次你的telnet服務器���,查看它的提示語���,然后將其填寫到預期提示的輸入框中���。
小技巧:默認的預期提示 ogin: 和 assword:��,其實是 login: 和 password: 去掉了第一個字母��,是因為常見的telnet服務多數使用這兩個提示語,但是一些首字母是大寫����,一些首字母是小寫�。跳過第一個字母則可以增加適配性����。
3、批量添加主機和賬號
在“資產-主機及賬號”頁面的右上角,點擊“導入主機和賬號”按鈕�,會彈出導入資產對話框����。
點擊圖標上傳你的資產信息文件�����。如果還沒有準備資產信息文件���,可以從對話框中的下載鏈接中下載一份進行修改����。
資產信息文件是一個CSV格式(逗號分隔)的文本文件�����,你可以用 Office 2016 及以上版本的 Excel 打開編輯,也可以用普通的文本編輯工具進行編輯�,比如 EditPlus��、UltraEdit,或者 NotePad++等�����。
注意:建議使用文本編輯工具進行編輯�����,某些版本的Excel會在保存時去掉部分逗號�����,導致最終文件格式不合法而無法導入。
3.1����、 資產文件格式
下面對資產信息文件進行詳細說明���。首先來看一個示例:
用Excel打開的效果:
在資產信息文件中���,#開頭的行是注釋���,注釋行和空行在導入時將被忽略��。Teleport要求資產信息文件中��,主機與賬號各自獨立成行��,不能寫到同一行上。正確的做法是,一行主機信息,后面緊跟著一到多行的賬號信息。
下面詳細解釋各個字段的含義(除特別說明外,加粗字段是必填項):
3.2、 批量導入常見問題
- 在編輯資產信息文件期間���,頁面會話已經超時了,需要重新登錄后再執行導入操作。
- 主機和賬號寫到同一行上了�����。
- 逗號分隔符數量不正確。例如密碼中包含英文逗號,但是在資產文件中逗號被當做分隔符使用�,導致格式錯誤���?����;蛘哂玫桶姹镜腅xcel編輯后保存,有可能導致某些行的逗號丟失����。
- 文本編輯工具或者Excel打開后是亂碼����。請更換編輯工具或高版本的Excel��。
03
分組管理
1�����、 主機分組管理
為便于管理(例如運維授權或者審計授權時),可以將主機進行分組�。
分組操作非常簡單�,在“資產-主機分組管理”頁面�����,點擊右上角的“創建主機分組”按鈕并填寫分組名稱,即可建立一個新的分組�����。
分組建立之后���,點擊某個分組的名稱�����,即可進入對應分組的主機成員列表頁面���,管理此分組中的主機�。在此頁面中可以添加或者刪除主機��。
向分組中添加主機��,或者刪除分組,均不影響現存的主機數據,但如果此分組已經在運維策略或者審計策略中被授權了�����,那么刪除分組會影響到分組中所有主機的授權�。
2、 賬號分組管理
賬號分組管理功能與主機分組的操作一致�����,此處不再贅述����。
04
分組最佳實踐
在teleport系統中�,主機、賬號����、用戶均可以進行分組管理�,而且�����,每一項也可以屬于多個分組�。例如��,一臺運行數據庫的Linux主機����,可以屬于 “Linux” 分組,同時可以屬于 “數據庫” 分組�����,還可以屬于 “阿里云ECS” 分組�����。
靈活使用分組�,可以高效快捷地管理主機���、賬號和用戶����,尤其是在管理大量資產時,利用分組可以大大減少管理難度��。下面通過幾個示例進行說明�����,當然,需要根據你的實際使用場景進行靈活處理�。
1���、資產管理
某公司有大量虛擬主機�����,部分運行在云端,部分運行在自建機房��,為了方便管理��,可以從不同分類的維度創建一些主機分組來進行區分�����,例如:
- 按地域或機房劃分:總部機房/自建-華東區/自建-西南區/阿里云/騰訊云/AWS/…
- 按設備類型劃分:物理主機/虛擬機/交換機/路由器/…
- 按用途劃分:防火墻/網關/蜜罐系統/數據庫服務器/應用發布服務器/…
這樣可以在主機管理界面通過分組過濾器快速分揀出需要的主機列表。
2����、 運維授權管理
雖然teleport支持將主機授權給某個用戶���,從而使用戶可以使用該主機上的任意一個賬號進行遠程連接�、運維���,但從日常使用場景來看�����,給運維人員分配的權限往往需要映射到具體的某臺主機的某個賬號上。
在實際工作中,會因為運維人員的經驗����、崗位等不同而為其分配不同的遠程賬號�。例如����,有經驗的運維人員可以為其分配遠程主機的root賬號,而數據庫運維人員會為其分配一些運行數據庫服務的主機的dba賬號。因此,可以從不同維度創建一些賬號分組來進行方便授權操作�����,例如:
- 按業務類型劃分:www/database/自動構建/系統管理員/…
- 按地域劃分:總部機房管理員賬號/華東辦事處管理員賬號組/…
同樣的�,也可以對用戶進行分組,比如:
- 按崗位劃分:管理員組/QA用戶組/運維組/…
- 按職責劃分:應用發布組/灰度測試組/基礎部署組/…
因為teleport可按組進行授權,因此設置好授權策略并按分組進行授權之后����,后續有主機����、賬號或者運維人員的變更時�,只需要將其加入對應的一個或者多個組(或者從相應組的成員列表中移除),即可獲得或失去對應的授權����。
3�、安裝Teleport 助手
windows下載地址:https://tp4a.com/static/download/teleport-assist-windows-3.2.2.exe
安裝后點擊SSH和RDP就可以了
點擊SSH
點擊SFTP
點擊RDP
如果要上傳下載文件只需要直接拉進去就可以了,不過對于超過2G大小的文件還沒測試過。
后面會分享更多devops和DBA方面的內容�,感興趣的朋友可以關注一下~
