相比於VNC,Workbench支援多使用者遠端連線同一台Linux執行個體。登入執行個體時,Workbench有密碼、金鑰組、臨時金鑰組和憑據四種認證方式供您選擇,非常便捷高效。
前提條件
已建立服務關聯角色。首次使用Workbench登入ECS執行個體時,系統會提示您建立Workbench服務關聯角色。更多資訊,請參見Workbench服務關聯角色。
重要通過RAM使用者使用Workbench登入ECS執行個體時,請確保已為該RAM使用者授予AliyunECSWorkbenchFullAccess系統許可權,否則會提示使用者沒有許可權。關於如何授權,請參見為RAM使用者授權。
執行個體已設定登入密碼或者綁定金鑰組。具體操作,請參見重設執行個體登入密碼或綁定SSH金鑰組。
執行個體處於運行中狀態。
執行個體已安裝雲助手。具體操作,請參見安裝雲助手Agent。
執行個體所在安全性群組已允許Workbench服務相關的IP訪問執行個體。安全性群組規則詳情和執行個體的網路類型有關。具體操作,請參見添加安全性群組規則。
專用網路執行個體
串連專用網路執行個體時,請在安全性群組規則頁面的入方向頁簽添加安全性群組規則,如下表所示。
授權策略
優先順序
協議類型
連接埠範圍
授權對象
允許
1
自訂TCP
Linux執行個體預設開放22連接埠:選擇SSH(22)。
如果您手動開放了其他連接埠:手動輸入連接埠範圍。
如果通過執行個體的公網IP(包括固定公網IP和EIP)串連:添加161.117.0.0/16。
如果通過執行個體的專用網路私網IP串連:添加100.104.0.0/16。
警告您也可以添加0.0.0.0/0,但存在安全風險,請謹慎使用。
傳統網路執行個體
通過公網串連傳統網路執行個體時,請在安全性群組規則頁面的公網入方向頁簽添加安全性群組規則,如下表所示。
授權策略
優先順序
協議類型
連接埠範圍
授權對象
允許
1
自訂TCP
Linux執行個體預設開放22連接埠:選擇SSH(22)。
如果您手動開放了其他連接埠:手動輸入連接埠範圍。
通過執行個體的公網IP(包括固定公網IP和EIP)串連:添加161.117.90.22。
警告您也可以添加0.0.0.0/0,但存在安全風險,請謹慎使用。
通過內網串連傳統網路執行個體,請在安全性群組規則頁面的入方向頁簽添加安全性群組規則,如下表所示。
授權策略
優先順序
協議類型
連接埠範圍
授權對象
允許
1
自訂TCP
Linux執行個體預設開放22連接埠:選擇SSH(22)。
如果您手動開放了其他連接埠:手動輸入連接埠範圍。
通過執行個體的傳統網路內網IP串連:添加161.117.90.22。
警告為內網入方向規則添加0.0.0.0/0存在高安全風險,不建議使用。
操作步驟
Workbench的遠端連線會話預設維持6個小時,如果您超過6小時沒有任何操作,串連會自動斷開,您需要重新串連執行個體。
登入ECS管理主控台。
在左側導覽列,選擇 。
在頁面左側頂部,選擇目標資源所在的資源群組和地區。
在執行個體列表頁面,找到需要串連的執行個體,單擊對應操作列下的遠程連接。
在彈出的遠程連接對話方塊中,單擊通過Workbench遠端連線對應的立即登錄。
在彈出的登入執行個體對話方塊中,輸入登入資訊。
一般情況下按精簡選項輸入資訊即可,如下表所示。
配置項
說明
執行個體
自動填滿當前執行個體的資訊,您也可以手動輸入其他執行個體的IP或名稱。
網路連接
專用網路執行個體支援選擇公網IP或私網IP串連。
傳統網路執行個體支援選擇公網IP或內網IP串連。
認證方式
選擇認證方式,支援的認證方式如下:
密碼認證:輸入使用者名稱(例如root或ecs-user),需要繼續輸入登入密碼。
SSH密鑰認證:輸入使用者名稱(例如root或ecs-user),需要繼續輸入或上傳私密金鑰。如果私密金鑰檔案已加密,還需要輸入私密金鑰口令。
憑據認證:選擇已定義好的憑據或者新增憑據。
憑據用於儲存執行個體的使用者名稱、密碼和密鑰等資訊,您無需每次登入都輸入使用者名稱、密碼,直接選擇憑據即可安全登入執行個體。如果您在Workbench中沒有憑據,請新增憑據。具體操作,請參見新增憑據實現免密登入。
臨時SSH密鑰認證:直接填入需要登入的使用者名稱(例如root或ecs-user)即可,預設使用root登入。
說明臨時SSH密鑰認證功能雲端式助手的公用命令實現。
Workbench登入執行個體時產生一個有效時間為1分鐘的臨時SSH金鑰組。
並觸發雲助手調用InvokeCommand,執行名稱為
ACS-ECS-EnableSshPublicKey-linux.sh
和ACS-ECS-SendSshPublicKey-linux.sh
的公用命令,將公開金鑰發送給目標執行個體,交於執行個體中啟動並執行雲助手Agent管理。Workbench通過臨時金鑰組成功登入執行個體。
在Workbench側,金鑰組不會儲存到資料庫,有效時間為1分鐘,失效後需要重新登入產生。
在對話方塊底部單擊完整選項可以展開更多配置項,如下表所示。
配置項
說明
資源群組
預設為全部,即可以手動選擇任一資源群組的資源。
地區
預設為全部,即可以手動選擇任一地區的資源。
連線協定
預設為終端串連(SSH)。
說明如果您需要使用遠端桌面(RDP)串連Linux執行個體,需要在執行個體上安裝RDP服務(例如xrdp)和圖形化介面。關於如何安裝圖形化介面,請參見如何在Linux系統的ECS執行個體中安裝圖形介面。
連接埠
連線協定為終端串連(SSH)時,預設連接埠為22。
如果您修改過遠端連線連接埠,請輸入該連接埠。
說明連線協定為遠端桌面(RDP),預設連接埠為3389。
語言環境
偏好語言影響輸出的內容,選擇預設時,Workbench自動探測您遠程主機的語言設定並進行合適的配置。
字元集
偏好字元集影響輸出內容的顯示結果,選擇預設時,Workbench自動探測您遠程主機的字元集設定並進行合適的配置。
單擊確定。
如果確定已滿足本文的前提條件,串連執行個體時仍失敗,請檢查執行個體內部配置是否滿足要求:
開啟SSHD的遠程服務,例如Linux系統中的SSHD服務。
開放終端串連連接埠,通常為22連接埠。
如果使用root使用者登入Linux執行個體,需要保證在/etc/ssh/sshd_config檔案中配置
PermitRootLogin yes
和PasswordAuthentication yes
。具體操作,請參見為Linux執行個體開啟root使用者遠程登入。
新增憑據實現免密登入
以下操作指導您在Workbench中如何新增憑據,登入ECS執行個體時通過憑據進行身份認證。
登入ECS管理主控台。
在左側導覽列,選擇 。
在頁面左側頂部,選擇目標資源所在的資源群組和地區。
在執行個體列表頁面,找到需要串連的執行個體,單擊對應操作列下的遠程連接。
在彈出的遠程連接對話方塊中,單擊通過Workbench遠端連線對應的立即登錄。
在彈出的登入執行個體對話方塊中,輸入登入資訊。
新增憑據。
一般情況下按精簡選項輸入資訊即可,如下表所示。
配置項
說明
執行個體
自動填滿,您也可以手動選擇其他執行個體。
網路連接
專用網路執行個體支援選擇公網IP或私網IP串連。
傳統網路執行個體支援選擇公網IP或內網IP串連。
認證方式
選擇憑據認證。
在憑據下拉表選擇新增憑據。
在新增憑據對話方塊中,輸入新增憑據的資訊。
配置項
說明
憑據名稱
輸入新增憑據的名稱。
使用者名稱
輸入使用者名稱,例如root或ecs-user。
憑據類型
支援以下類型:
密碼:必須繼續輸入執行個體的登入密碼。
私密金鑰:必須繼續輸入或上傳私密金鑰檔案。如果私密金鑰檔案已加密,還需要輸入私密金鑰口令。
材料名稱
輸入認證材料的名稱。
密碼
輸入執行個體的登入密碼。
密碼指紋
根據認證材料自動產生密碼指紋。
單擊確定。
在登入執行個體對話方塊中,選擇新增的憑據,然後單擊確定。
為Linux執行個體開啟root使用者遠程登入
部分Linux系統中,SSHD服務預設禁用root使用者遠程登入,導致登入時提示使用者名稱或密碼錯誤。您可以按照以下步驟開啟root使用者遠程登入。
使用VNC方式串連執行個體。
具體操作,請參見使用VNC登入執行個體。
開啟SSH設定檔。
vim /etc/ssh/sshd_config
按
i
鍵進入編輯模式。將
PermitRootLogin
和PasswordAuthentication
參數值設定為yes
,如下所示。PermitRootLogin yes PasswordAuthentication yes
按
Esc
鍵,輸入:wq儲存修改。重啟SSHD服務。
systemctl restart sshd.service