全部產品
Search
文件中心

Elastic Compute Service:通過Workbench使用密碼或密鑰認證登入Linux執行個體

更新時間:Aug 21, 2024

相比於VNC,Workbench支援多使用者遠端連線同一台Linux執行個體。登入執行個體時,Workbench有密碼、金鑰組、臨時金鑰組和憑據四種認證方式供您選擇,非常便捷高效。

前提條件

  • 已建立服務關聯角色。首次使用Workbench登入ECS執行個體時,系統會提示您建立Workbench服務關聯角色。更多資訊,請參見Workbench服務關聯角色

    重要

    通過RAM使用者使用Workbench登入ECS執行個體時,請確保已為該RAM使用者授予AliyunECSWorkbenchFullAccess系統許可權,否則會提示使用者沒有許可權。關於如何授權,請參見為RAM使用者授權

  • 執行個體已設定登入密碼或者綁定金鑰組。具體操作,請參見重設執行個體登入密碼綁定SSH金鑰組

  • 執行個體處於運行中狀態。

  • 執行個體已安裝雲助手。具體操作,請參見安裝雲助手Agent

  • 執行個體所在安全性群組已允許Workbench服務相關的IP訪問執行個體。安全性群組規則詳情和執行個體的網路類型有關。具體操作,請參見添加安全性群組規則

    專用網路執行個體

    串連專用網路執行個體時,請在安全性群組規則頁面的入方向頁簽添加安全性群組規則,如下表所示。

    授權策略

    優先順序

    協議類型

    連接埠範圍

    授權對象

    允許

    1

    自訂TCP

    • Linux執行個體預設開放22連接埠:選擇SSH(22)

    • 如果您手動開放了其他連接埠:手動輸入連接埠範圍。

    • 如果通過執行個體的公網IP(包括固定公網IP和EIP)串連:添加161.117.0.0/16

    • 如果通過執行個體的專用網路私網IP串連:添加100.104.0.0/16。

    警告

    您也可以添加0.0.0.0/0,但存在安全風險,請謹慎使用。

    傳統網路執行個體

    • 通過公網串連傳統網路執行個體時,請在安全性群組規則頁面的公網入方向頁簽添加安全性群組規則,如下表所示。

      授權策略

      優先順序

      協議類型

      連接埠範圍

      授權對象

      允許

      1

      自訂TCP

      • Linux執行個體預設開放22連接埠:選擇SSH(22)

      • 如果您手動開放了其他連接埠:手動輸入連接埠範圍。

      通過執行個體的公網IP(包括固定公網IP和EIP)串連:添加161.117.90.22

      警告

      您也可以添加0.0.0.0/0,但存在安全風險,請謹慎使用。

    • 通過內網串連傳統網路執行個體,請在安全性群組規則頁面的入方向頁簽添加安全性群組規則,如下表所示。

      授權策略

      優先順序

      協議類型

      連接埠範圍

      授權對象

      允許

      1

      自訂TCP

      • Linux執行個體預設開放22連接埠:選擇SSH(22)

      • 如果您手動開放了其他連接埠:手動輸入連接埠範圍。

      通過執行個體的傳統網路內網IP串連:添加161.117.90.22

      警告

      為內網入方向規則添加0.0.0.0/0存在高安全風險,不建議使用。

操作步驟

Workbench的遠端連線會話預設維持6個小時,如果您超過6小時沒有任何操作,串連會自動斷開,您需要重新串連執行個體。

  1. 登入ECS管理主控台

  2. 在左側導覽列,選擇執行個體與鏡像 > 執行個體

  3. 在頁面左側頂部,選擇目標資源所在的資源群組和地區。地區

  4. 在執行個體列表頁面,找到需要串連的執行個體,單擊對應操作列下的遠程連接

  5. 在彈出的遠程連接對話方塊中,單擊通過Workbench遠端連線對應的立即登錄

  6. 在彈出的登入執行個體對話方塊中,輸入登入資訊。

    一般情況下按精簡選項輸入資訊即可,如下表所示。

    配置項

    說明

    執行個體

    自動填滿當前執行個體的資訊,您也可以手動輸入其他執行個體的IP或名稱。

    網路連接

    • 專用網路執行個體支援選擇公網IP或私網IP串連。

    • 傳統網路執行個體支援選擇公網IP或內網IP串連。

    關於不同網路類型說明,請參見專用網路概述傳統網路的IP

    認證方式

    選擇認證方式,支援的認證方式如下:

    • 密碼認證:輸入使用者名稱(例如root或ecs-user),需要繼續輸入登入密碼。

    • SSH密鑰認證:輸入使用者名稱(例如root或ecs-user),需要繼續輸入或上傳私密金鑰。如果私密金鑰檔案已加密,還需要輸入私密金鑰口令。

    • 憑據認證:選擇已定義好的憑據或者新增憑據。

      憑據用於儲存執行個體的使用者名稱、密碼和密鑰等資訊,您無需每次登入都輸入使用者名稱、密碼,直接選擇憑據即可安全登入執行個體。如果您在Workbench中沒有憑據,請新增憑據。具體操作,請參見新增憑據實現免密登入

    • 臨時SSH密鑰認證:直接填入需要登入的使用者名稱(例如root或ecs-user)即可,預設使用root登入。

      說明

      臨時SSH密鑰認證功能雲端式助手的公用命令實現。

      1. Workbench登入執行個體時產生一個有效時間為1分鐘的臨時SSH金鑰組。

      2. 並觸發雲助手調用InvokeCommand,執行名稱為ACS-ECS-EnableSshPublicKey-linux.shACS-ECS-SendSshPublicKey-linux.sh的公用命令,將公開金鑰發送給目標執行個體,交於執行個體中啟動並執行雲助手Agent管理。

      3. Workbench通過臨時金鑰組成功登入執行個體。

      在Workbench側,金鑰組不會儲存到資料庫,有效時間為1分鐘,失效後需要重新登入產生。

    在對話方塊底部單擊完整選項可以展開更多配置項,如下表所示。

    配置項

    說明

    資源群組

    預設為全部,即可以手動選擇任一資源群組的資源。

    地區

    預設為全部,即可以手動選擇任一地區的資源。

    連線協定

    預設為終端串連(SSH)

    說明

    如果您需要使用遠端桌面(RDP)串連Linux執行個體,需要在執行個體上安裝RDP服務(例如xrdp)和圖形化介面。關於如何安裝圖形化介面,請參見如何在Linux系統的ECS執行個體中安裝圖形介面

    連接埠

    連線協定為終端串連(SSH)時,預設連接埠為22。

    如果您修改過遠端連線連接埠,請輸入該連接埠。

    說明

    連線協定為遠端桌面(RDP),預設連接埠為3389。

    語言環境

    偏好語言影響輸出的內容,選擇預設時,Workbench自動探測您遠程主機的語言設定並進行合適的配置。

    字元集

    偏好字元集影響輸出內容的顯示結果,選擇預設時,Workbench自動探測您遠程主機的字元集設定並進行合適的配置。

  7. 單擊確定

如果確定已滿足本文的前提條件,串連執行個體時仍失敗,請檢查執行個體內部配置是否滿足要求:

  • 開啟SSHD的遠程服務,例如Linux系統中的SSHD服務。

  • 開放終端串連連接埠,通常為22連接埠。

  • 如果使用root使用者登入Linux執行個體,需要保證在/etc/ssh/sshd_config檔案中配置PermitRootLogin yesPasswordAuthentication yes。具體操作,請參見為Linux執行個體開啟root使用者遠程登入

新增憑據實現免密登入

以下操作指導您在Workbench中如何新增憑據,登入ECS執行個體時通過憑據進行身份認證。

  1. 登入ECS管理主控台

  2. 在左側導覽列,選擇執行個體與鏡像 > 執行個體

  3. 在頁面左側頂部,選擇目標資源所在的資源群組和地區。地區

  4. 在執行個體列表頁面,找到需要串連的執行個體,單擊對應操作列下的遠程連接

  5. 在彈出的遠程連接對話方塊中,單擊通過Workbench遠端連線對應的立即登錄

  6. 在彈出的登入執行個體對話方塊中,輸入登入資訊。

  7. 新增憑據。

    1. 一般情況下按精簡選項輸入資訊即可,如下表所示。

      配置項

      說明

      執行個體

      自動填滿,您也可以手動選擇其他執行個體。

      網路連接

      • 專用網路執行個體支援選擇公網IP或私網IP串連。

      • 傳統網路執行個體支援選擇公網IP或內網IP串連。

      認證方式

      1. 選擇憑據認證

      2. 憑據下拉表選擇新增憑據

    2. 新增憑據對話方塊中,輸入新增憑據的資訊。

      配置項

      說明

      憑據名稱

      輸入新增憑據的名稱。

      使用者名稱

      輸入使用者名稱,例如root或ecs-user。

      憑據類型

      支援以下類型:

      • 密碼:必須繼續輸入執行個體的登入密碼。

      • 私密金鑰:必須繼續輸入或上傳私密金鑰檔案。如果私密金鑰檔案已加密,還需要輸入私密金鑰口令。

      材料名稱

      輸入認證材料的名稱。

      密碼

      輸入執行個體的登入密碼。

      密碼指紋

      根據認證材料自動產生密碼指紋。

    3. 單擊確定

  8. 登入執行個體對話方塊中,選擇新增的憑據,然後單擊確定

為Linux執行個體開啟root使用者遠程登入

部分Linux系統中,SSHD服務預設禁用root使用者遠程登入,導致登入時提示使用者名稱或密碼錯誤。您可以按照以下步驟開啟root使用者遠程登入。

  1. 使用VNC方式串連執行個體。

    具體操作,請參見使用VNC登入執行個體

  2. 開啟SSH設定檔。

    vim /etc/ssh/sshd_config
  3. i鍵進入編輯模式。

  4. PermitRootLoginPasswordAuthentication參數值設定為yes,如下所示。

    PermitRootLogin yes
    PasswordAuthentication yes
  5. Esc鍵,輸入:wq儲存修改。

  6. 重啟SSHD服務。

    systemctl restart sshd.service