全部產品
Search
文件中心

Bastionhost:Bastionhost串連伺服器相關問題

更新時間:Jun 30, 2024

本文介紹Bastionhost串連伺服器時的常見問題以及解決方案。

通過Bastionhost訪問伺服器公網地址失敗,該如何解決?

您可以通過以下方法進行排查:

  • 測試Bastionhost與伺服器的連接埠是否連通。具體操作,請參見網路診斷。如若伺服器連接埠號碼做過更改(非標準連接埠),需在Bastionhost資產管理頁面修改對應主機服務連接埠。具體操作,請參見修改主機的服務連接埠

  • 檢查安全性群組是否允許存取Bastionhost公網出口IP。如何添加安全性群組,請參見添加安全性群組規則

    您可以訪問Bastionhost控制台,在Bastionhost執行個體列表擷取公網出口IP。

  • 檢查伺服器本身是否配置有防火牆firewall或iptables(Windows防火牆或其他防護軟體)禁止了Bastionhost訪問。

  • 檢查是否存在Cloud Firewall等中間裝置阻攔Bastionhost訪問伺服器。查看Cloud Firewall開關是否開啟對Bastionhost執行個體的保護以及對應安全性原則是否有限制攔截,具體操作,請參見Cloud Firewall和營運資訊安全中心(Bastionhost)聯合部署存取原則的最佳實務

通過Bastionhost訪問伺服器內網地址失敗,該如何解決?

您可以通過以下方法進行排查:

  • 測試Bastionhost與伺服器的連接埠是否連通。具體操作,請參見網路診斷。如若伺服器連接埠號碼做過更改(非標準連接埠),需在Bastionhost資產管理頁面修改對應主機服務連接埠。具體操作,請參見修改主機的服務連接埠

  • 檢查安全性群組是否允許存取Bastionhost內網出口IP。如何添加安全性群組,請參見添加安全性群組規則

    您可以訪問Bastionhost控制台,在Bastionhost執行個體列表擷取內網出口IP。

  • 排查Bastionhost與伺服器的內網網路是否打通,是否在同一個VPC下。若沒有在同一個VPC,請您使用雲企業網打通Bastionhost與伺服器之間的VPC或者升配Bastionhost規格版本為企業雙擎版通過公網Proxy 伺服器訪問另一個VPC下ECS資產。具體操作,請參見什麼是雲企業網混合營運情境最佳實務

    說明

    若Bastionhost與伺服器所在VPC不在同一地區,您需要購買雲企業網頻寬。如果您不購買頻寬包,預設跨地區訪問的資料轉送速率僅有1 Kbps,雖然網路互連,但是不足以保證正常營運。具體操作,請參見使用頻寬包

  • 檢查伺服器是否處於傳統網路,如果伺服器使用傳統網路,需要通過ClassicLink打通BastionhostVPC與該傳統網路。ClassicLink功能更多資訊,請參見ClassicLink概述

    說明

    打通傳統網路與VPC之後,如果Bastionhost仍無法訪問伺服器,請您檢查Elastic Compute Service安全性群組是否放開Bastionhost出口IP。您可以登入Bastionhost控制台,在Bastionhost執行個體列表擷取出口IP。

    添加安全性群組的具體操作,請參見添加安全性群組規則

  • 檢查伺服器本身是否配置有防火牆firewall或iptables(Windows防火牆或其他防護軟體)禁止了Bastionhost訪問。

  • 檢查是否存在Cloud Firewall等中間裝置阻攔Bastionhost訪問伺服器。查看Cloud Firewall開關是否開啟對Bastionhost執行個體的保護以及對應安全性原則是否有限制攔截,具體操作,請參見Cloud Firewall和營運資訊安全中心(Bastionhost)聯合部署存取原則的最佳實務

  • 查看伺服器的IP是否與Bastionhost內網出口IP和內網網域名稱解析出的IP衝突,導致伺服器資料無法到達Bastionhost。

  • 檢查伺服器IP是否為公網私用IP。如果您伺服器IP為公網私用IP,您可以在Bastionhost中配置公網私用,具體操作,請參見配置公網私用

Bastionhost建立主機賬戶驗密報錯,該如何解決?

您可以通過以下方法解決:

Bastionhost主機營運頁面看不到主機,是什麼原因?

  • RAM使用者未授權主機:請您為RAM使用者授權主機後再查看,具體操作,請參見為使用者授權資產及資產賬戶

  • RAM使用者已授權主機:請您使用授權主機的RAM使用者登入Bastionhost進行查看。

登入Bastionhost之後為什麼顯示EMPTY賬戶?

您在系統設定中勾選允許使用者未授權資產賬戶訪問資產之後,如果只給營運人員授權了資產但是未授權主機賬戶,登入時就會顯示EMPTY賬戶。如何授權主機賬戶,請參見為使用者授權資產賬戶授權

Bastionhost通過密鑰認證方式訪問伺服器失敗,該如何解決?

說明

僅V3.2.38以下版本的Bastionhost會出現該問題。

部分作業系統(如Rocky 9、Ubuntu 22.04及以上)伺服器使用OpenSSH 8.7及以上版本,預設禁用ssh-rsa公開金鑰簽名演算法,導致Bastionhost通過密鑰認證訪問該伺服器失敗。您可以參考以下步驟配置sshd_config檔案,手動啟用伺服器端ssh-rsa公開金鑰簽名演算法的參數。

  1. 開啟sshd_config設定檔。

    vim /etc/ssh/sshd_config
  2. 在sshd_config設定檔中,添加如下配置內容並儲存。

    HostKeyAlgorithms +ssh-rsa
    PubkeyAcceptedAlgorithms +ssh-rsa
  3. 重啟sshd服務。

    systemctl restart sshd