通過ali-instance-cli使用會話管理便捷安全地遠端連線執行個體 - Elastic Compute Service

會話管理是雲助手提供的功能，用於便捷安全地遠端連線ECS執行個體。本文介紹如何通過會話管理CLI串連ECS執行個體。

前提條件

需要串連的目標執行個體中已安裝雲助手Agent，並且Windows用戶端版本大於等於2.1.3.256、Linux用戶端版本大於等於2.2.3.256。具體操作，請參見安裝雲助手Agent。
已開啟會話管理功能，具體操作，請參見通過會話管理串連執行個體。

背景資訊

使用會話管理CLI遠端連線目標ECS執行個體時，無需暴露執行個體公網IP與連接埠，只需擷取阿里雲ECS執行個體ID與密碼，即可通過會話管理用戶端串連目標執行個體。相比SSH、VNC等方式，可以更便捷地遠端連線ECS執行個體，且兼具安全性。關於會話管理的更多資訊，請參見會話管理概述。

Linux、macOS作業系統

說明

本文操作以test使用者為例，具體操作以您實際操作的使用者和使用者目錄為準。

登入工作階段管理用戶端。

在會話管理用戶端安裝ali-instance-cli。

不同作業系統的用戶端安裝方式不同，具體說明如下：

Linux

curl -O https://aliyun-client-assist.oss-accelerate.aliyuncs.com/session-manager/linux/ali-instance-cli
chmod a+x ali-instance-cli

macOS：

curl -O https://aliyun-client-assist.oss-accelerate.aliyuncs.com/session-manager/mac/ali-instance-cli
chmod a+x ali-instance-cli

配置AccessKey、STS Token或CredentialsURI。
關於如何擷取AccessKey或STS Token，請參見建立AccessKey和什麼是STS。
1. 切換到test目錄。
```
cd /home/test
```
2. 配置鑒權認證方式。
  支援以下三種配置方式：
  - AccessKey配置方式
    執行如下命令，根據介面提示，輸入AccessKey ID、AccessKey Secret、RegionID。
    ./ali-instance-cli configure --mode AK
  - STS Token配置方式
    說明
    region、ak、sk、token要修改為實際的Region ID、AccessKey ID、AccessKey Secret和STS Token。
```
./ali-instance-cli configure set --mode StsToken --region "region" --access-key-id "ak"  --access-key-secret "sk"   --sts-token "token"
```
  - CredentialsURI配置方式
    執行如下命令，根據介面提示，輸入CredentialsURI和RegionID。
    說明
    CredentialsURI為您配置的證明伺服器的地址。
    ./ali-instance-cli configure --mode=CredentialsURI
  當回顯出現如圖所示內容時，說明鑒權方式已配置完成。
執行如下命令，串連目標執行個體。
```
./ali-instance-cli session --instance instance-id
```
說明
instance id請替換成目標執行個體ID。
當回顯如下圖所示時，說明已經通過Session Manager方式串連到目標執行個體。

Windows作業系統

使用會話管理用戶端的Windows作業系統已安裝OpenSSH。具體操作，請參見使用雲助手在Windows執行個體中安裝OpenSSH程式。

說明

本文操作以test使用者為例，具體操作以您實際操作的使用者和使用者目錄為準。

登入工作階段管理用戶端。
具體操作，請參見串連方式概述。
在會話管理用戶端下載ali-instance-cli。
下載Windows版ali-instance-cli並儲存到本地檔案夾中，如C:\Users\test。
配置AccessKey或STS Token。
關於如何擷取AccessKey或STS Token，請參見建立AccessKey和什麼是STS。
1. 選擇開始 > 運行，輸入cmd，按Enter鍵，開啟命令提示字元視窗。
2. 切換到test目錄。
```
cd C:\Users\test
```
3. 配置鑒權認證方式。
  支援以下三種配置方式：
  - AccessKey配置方式
    執行如下命令，根據介面提示，輸入AccessKey ID、AccessKey Secret、RegionID。
    ali-instance-cli.exe configure --mode AK
  - STS Token配置方式
    說明
    region、ak、sk、token要修改為實際的Region ID、AccessKey ID、AccessKey Secret和STS Token。
```
ali-instance-cli.exe configure set --mode StsToken --region "region" --access-key-id "ak"  --access-key-secret "sk"   --sts-token "token"
```
  - CredentialsURI配置方式
    執行如下命令，根據介面提示，輸入CredentialsURI和RegionID。
    ali-instance-cli.exe configure --mode=CredentialsURI
  當回顯出現如圖所示內容時，說明鑒權方式已配置完成。
執行如下命令，串連目標執行個體。
```
.\ali-instance-cli.exe session --instance instance-id
```
說明
instance id請替換成目標執行個體ID。
當回顯如下圖所示時，說明已經通過Session Manager方式串連到目標執行個體。

常見問題

當使用會話管理用戶端出現問題時，您可以通過查看log分析具體問題。

查看會話管理用戶端的日誌：當前log目錄，如/home/test/log/aliyun_ecs_session_log.2022XXXX。

查看雲助手Agent日誌：

Linux

/usr/local/share/aliyun-assist/雲助手版本號碼/log/

Windows

C:\ProgramData\aliyun\assist\雲助手版本號碼\log

會話管理功能未開啟

若會話管理功能未開啟，使用會話管理用戶端串連遠程執行個體，會出現ssh_exchange_identification: Connection closed by remote host的錯誤提示。並且，會話管理用戶端的日誌裡面會出現session manager is disabled, please enable first。請通過控制台開啟會話管理功能，具體操作，請參見通過會話管理串連執行個體。

會話管理自動斷開

使用會話管理串連到目標執行個體後，如果長時間沒有任何操作串連會自動斷開。預設的串連空閑時間為3分鐘，您可以通過--idle-timeout參數自訂最大空閑時間。例如執行以下命令串連到目標執行個體後，串連空閑達到10分鐘就會自動斷開。

此功能需確保ali-instance-cli不低於以下版本：

Linux：1.2.0.48
Windows：1.1.0.48

macOS：1.3.0.48

./ali-instance-cli session --instance instance-id --idle-timeout 600