本文介紹Bastionhost串連伺服器時的常見問題以及解決方案。
通過Bastionhost訪問伺服器公網地址失敗,該如何解決?
您可以通過以下方法進行排查:
測試Bastionhost與伺服器的連接埠是否連通。具體操作,請參見網路診斷。如若伺服器連接埠號碼做過更改(非標準連接埠),需在Bastionhost資產管理頁面修改對應主機服務連接埠。具體操作,請參見修改主機的服務連接埠。
檢查安全性群組是否允許存取Bastionhost公網出口IP。如何添加安全性群組,請參見添加安全性群組規則。
您可以訪問Bastionhost控制台,在Bastionhost執行個體列表擷取公網出口IP。
檢查伺服器本身是否配置有防火牆firewall或iptables(Windows防火牆或其他防護軟體)禁止了Bastionhost訪問。
檢查是否存在Cloud Firewall等中間裝置阻攔Bastionhost訪問伺服器。查看Cloud Firewall開關是否開啟對Bastionhost執行個體的保護以及對應安全性原則是否有限制攔截,具體操作,請參見Cloud Firewall和營運資訊安全中心(Bastionhost)聯合部署存取原則的最佳實務。
通過Bastionhost訪問伺服器內網地址失敗,該如何解決?
您可以通過以下方法進行排查:
測試Bastionhost與伺服器的連接埠是否連通。具體操作,請參見網路診斷。如若伺服器連接埠號碼做過更改(非標準連接埠),需在Bastionhost資產管理頁面修改對應主機服務連接埠。具體操作,請參見修改主機的服務連接埠。
檢查安全性群組是否允許存取Bastionhost內網出口IP。如何添加安全性群組,請參見添加安全性群組規則。
您可以訪問Bastionhost控制台,在Bastionhost執行個體列表擷取內網出口IP。
排查Bastionhost與伺服器的內網網路是否打通,是否在同一個VPC下。若沒有在同一個VPC,請您使用雲企業網打通Bastionhost與伺服器之間的VPC或者升配Bastionhost規格版本為企業雙擎版通過公網Proxy 伺服器訪問另一個VPC下ECS資產。具體操作,請參見什麼是雲企業網或混合營運情境最佳實務。
說明若Bastionhost與伺服器所在VPC不在同一地區,您需要購買雲企業網頻寬。如果您不購買頻寬包,預設跨地區訪問的資料轉送速率僅有1 Kbps,雖然網路互連,但是不足以保證正常營運。具體操作,請參見使用頻寬包。
檢查伺服器是否處於傳統網路,如果伺服器使用傳統網路,需要通過ClassicLink打通BastionhostVPC與該傳統網路。ClassicLink功能更多資訊,請參見ClassicLink概述。
說明打通傳統網路與VPC之後,如果Bastionhost仍無法訪問伺服器,請您檢查Elastic Compute Service安全性群組是否放開Bastionhost出口IP。您可以登入Bastionhost控制台,在Bastionhost執行個體列表擷取出口IP。
添加安全性群組的具體操作,請參見添加安全性群組規則。
檢查伺服器本身是否配置有防火牆firewall或iptables(Windows防火牆或其他防護軟體)禁止了Bastionhost訪問。
檢查是否存在Cloud Firewall等中間裝置阻攔Bastionhost訪問伺服器。查看Cloud Firewall開關是否開啟對Bastionhost執行個體的保護以及對應安全性原則是否有限制攔截,具體操作,請參見Cloud Firewall和營運資訊安全中心(Bastionhost)聯合部署存取原則的最佳實務。
查看伺服器的IP是否與Bastionhost內網出口IP和內網網域名稱解析出的IP衝突,導致伺服器資料無法到達Bastionhost。
檢查伺服器IP是否為公網私用IP。如果您伺服器IP為公網私用IP,您可以在Bastionhost中配置公網私用,具體操作,請參見配置公網私用。
用戶端作業系統升級到Windows11 24H2版本後,通過Bastionhost使用遠端桌面連線營運時出現花屏、卡頓,該如何解決?
可以回退mstsc版本,在"C:\Windows.old\Windows\System32\mstsc.exe"找到升級前的mstsc版本 ,使用升級前的mstsc串連Bastionhost進行營運。
如果作業系統原生版本是Win11 24H2,暫不相容。
Bastionhost建立主機賬戶驗密報錯,該如何解決?
您可以通過以下方法解決:
現象一:驗密逾時或失敗。
驗密逾時一般是網路不通導致,需要先測試Bastionhost到資產的連通性。具體操作,請參見網路診斷。
如果連通性不正常,可能是Bastionhost到主機的網路不通。更多資訊,請參見通過Bastionhost訪問伺服器公網地址失敗,該如何解決?和通過Bastionhost訪問伺服器內網地址失敗,該如何解決?。
如果連通性正常,但還是顯示驗密逾時或失敗,可能是網路同步不及時。您可以先把賬戶密碼託管到Bastionhost上,再嘗試資產營運。託管賬戶密碼到Bastionhost,請參見配置主機賬戶。
現象二:驗密失敗,密碼錯誤。
密碼認證時,填寫的賬戶密碼需要和資產上設定的賬戶密碼保持一致,您可以檢查下賬戶密碼的填寫是否正確。具體操作,請參見配置主機賬戶。
Bastionhost主機營運頁面看不到主機,是什麼原因?
RAM使用者未授權主機:請您為RAM使用者授權主機後再查看,具體操作,請參見為使用者授權資產及資產賬戶。
RAM使用者已授權主機:請您使用授權主機的RAM使用者登入Bastionhost進行查看。
登入Bastionhost之後為什麼顯示EMPTY賬戶?
您在系統設定中勾選允許使用者未授權資產賬戶訪問資產之後,如果只給營運人員授權了資產但是未授權主機賬戶,登入時就會顯示EMPTY賬戶。如何授權主機賬戶,請參見為使用者授權資產賬戶。
Bastionhost通過密鑰認證方式訪問伺服器失敗,該如何解決?
僅V3.2.38以下版本的Bastionhost會出現該問題。
部分作業系統(如Rocky 9、Ubuntu 22.04及以上)伺服器使用OpenSSH 8.7及以上版本,預設禁用ssh-rsa公開金鑰簽名演算法,導致Bastionhost通過密鑰認證訪問該伺服器失敗。您可以參考以下步驟配置sshd_config檔案,手動啟用伺服器端ssh-rsa公開金鑰簽名演算法的參數。
開啟sshd_config設定檔。
vim /etc/ssh/sshd_config
在sshd_config設定檔中,添加如下配置內容並儲存。
HostKeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms +ssh-rsa
重啟sshd服務。
systemctl restart sshd