本文介紹使用用戶端工具串連Bastionhost時可能出現的問題以及解決方案。
用戶端無法訪問Bastionhost公網地址,如何排查?
您可以通過以下方式進行排查:
檢查Bastionhost配置是否正確。
在您的用戶端使用ping命令測試用戶端與Bastionhost的網路是否連通,如果串連失敗,請您登入Bastionhost控制台,查看Bastionhost是否開啟公網。
在您的用戶端使用telnet命令測試用戶端與Bastionhost的連接埠(60022、63389、443)是否連通。如果串連失敗,請您查看Bastionhost相關連接埠是否配置正確,具體操作,請參見配置連接埠號碼。
查看白名單配置是否添加了本地PC的公網IP,配置白名單會限制訪問Bastionhost的公網地址。具體操作,請參見配置白名單。
如需瞭解配置Bastionhost的更多資訊,請參見配置Bastionhost。
檢查是否使用Cloud Firewall。查看Cloud Firewall開關是否開啟對Bastionhost執行個體的保護以及對應安全性原則是否有限制攔截,具體操作,請參見Cloud Firewall和營運資訊安全中心(Bastionhost)聯合部署存取原則的最佳實務。
檢查是否為用戶端本地防火牆限制。您可以使用其他用戶端串連Bastionhost測試是否串連成功,如果串連失敗,則是您的用戶端設定了防火牆限制。
檢查是否為中國境外Bastionhost。如果是中國境外Bastionhost,可能存在被攔截的情況,建議您通過VPN或其它專線進行串連。
如果需要測試Bastionhost的運行情況,可以購買一台與Bastionhost同地區的Elastic Compute Service,嘗試訪問Bastionhost。關於Elastic Compute Service的說明,參見什麼是Elastic Compute Service。
用戶端無法訪問Bastionhost內網地址,如何排查?
請您確認是否已通過VPN或專線等方式打通用戶端與Bastionhost所在的VPC網路。
如已通過VPN或專線等方式打通用戶端與Bastionhost間的內網,可通過用戶端訪問與Bastionhost同VPC下其它伺服器,來驗證Bastionhost服務是否正常。
如已通過VPN或專線等方式打通用戶端與Bastionhost間的內網,並且公網訪問正常,只有內網訪問會出現卡頓的情況(例如主機列表不顯示),可能是因為VPN的mtu設定過大導致,請您調整VPN的mtu值後再次嘗試。
用戶端通過密鑰認證方式訪問Bastionhost失敗,該如何解決?
僅V3.2.38以下版本的Bastionhost會出現該問題。
部分用戶端(如Mac 13.0.1及以上版本)使用OpenSSH 8.7及以上版本,預設禁用ssh-rsa公開金鑰簽名演算法,導致用戶端通過密鑰認證訪問Bastionhost失敗。您可以參考以下步驟配置sshd_config檔案,手動啟用用戶端ssh-rsa公開金鑰簽名演算法的參數。
開啟ssh_config設定檔。
vim /etc/ssh/ssh_config在ssh_config設定檔中,添加如下配置內容並儲存。
HostKeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms +ssh-rsa