全部產品
Search
文件中心

Elastic Compute Service:在控制台通過會話管理串連執行個體

更新時間:Dec 18, 2024

您可以在控制台直接通過會話管理一鍵串連到ECS執行個體,支援免密串連無公網執行個體。相比於傳統的SSH或RDP直連的方式更加安全方便。本文為您介紹如何在阿里雲控制台通過會話管理串連執行個體。

重要

在通過會話管理串連執行個體時,不論執行個體是Windows系統還是Linux系統,都僅支援命令列介面。

如果您需要使用圖形化介面以會話管理的方式串連Windows執行個體,可以通過連接埠轉寄功能,將Windows的遠端存取連接埠映射到本機,通過RDP工具進行串連,具體操作,請參見通過會話管理CLI的連接埠轉寄訪問無公網執行個體

前提條件

待串連執行個體狀態為運行中

執行個體運行狀態可以在ECS控制台中的執行個體模組查看,運行中的執行個體如圖所示:

查看執行個體狀態的操作說明,請參見查看執行個體資訊

image

image

執行個體需安裝雲助手Agent

會話管理雲端式助手的功能實現,需要在執行個體中安裝雲助手Agent雲助手Agent狀態可以在ECS控制台的雲助手模組查看,已經安裝雲助手的執行個體如圖所示:

2017年12月01日之後使用官方公用鏡像建立的ECS執行個體,預設預裝了雲助手Agent。如果您的執行個體是2017年12月01日之前購買的或使用自行上傳的自訂鏡像建立的執行個體,需自行安裝雲助手Agent,請參見安裝雲助手Agent

image

image

查看雲助手Agent狀態以及處理異常狀態的具體操作,請參見查看雲助手狀態及異常狀態處理

確保網路連通(設定安全性群組)

通過會話管理串連ECS執行個體時,需要確保ECS中啟動並執行雲助手Agent與雲助手服務端的網路連通性,即在安全性群組出方向設定以下規則:

與SSH、RDP等串連方式不同,由於會話管理是由雲助手Agent主動與會話管理服務端建立WebSocket串連,因此僅需允許存取出方向的雲助手服務端的WebSocket連接埠。關於會話管理的原理,請參見會話管理工作原理
重要
  • 如果使用普通安全性群組(包括預設安全性群組),預設情況下會允許存取所有的出方向流量,無需配置

  • 如果使用企業安全性群組,預設情況下會禁用所有出方向的流量,需要配置以下規則。更多企業安全性群組的說明,請參見普通安全性群組與企業級安全性群組

添加安全性群組規則的具體操作,請參見添加安全性群組規則

授權策略

優先順序

協議類型

連接埠範圍

授權對象

描述

允許

1

自訂TCP

443

100.100.0.0/16

用於訪問雲助手服務端。

允許

1

自訂TCP

443

100.0.0.0/8

訪問雲助手Agent安裝包所在伺服器,用於安裝或更新您的雲助手Agent

允許

1

自訂UDP

53

0.0.0.0/0

用於解析網域名稱。

此外,如果您計劃僅通過會話管理串連執行個體,為了增加ECS執行個體的安全性,您可以取消允許存取安全性群組入方向上的SSH連接埠(預設22)或者RDP連接埠(預設3389)的規則。

RAM使用者使用該功能需擁有相關許可權

如果RAM使用者需要在控制台使用會話管理串連執行個體,根據最小授權原則,需要具有以下許可權。

  • ecs:StartTerminalSession:通過會話管理串連執行個體的許可權,此外,可以通過Resource欄位,限制RAM使用者可串連(會話管理)的ECS執行個體。

  • ecs:DescribeCloudAssistantStatus:查詢ECS執行個體是否需要安裝雲助手,該許可權用於控制台在串連前進行校正。

  • ecs:DescribeUserBusinessBehavior:查詢會話管理功能是否已經開啟,該許可權用於控制台在串連前進行校正。

  • ecs:ModifyCloudAssistantSettings(可選):開啟或關閉會話管理的許可權,如果當前阿里雲帳號已經開通會話管理,無需分配該許可權。

自訂權限原則樣本如下:

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ecs:StartTerminalSession",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ecs:DescribeUserBusinessBehavior",
        "ecs:DescribeCloudAssistantStatus",
        "ecs:ModifyCloudAssistantSettings"
      ],
      "Resource": "*"
    }
  ]
}

為RAM使用者授權,請參見為RAM使用者授權

操作步驟

  1. 登入ECS管理主控台

  2. 在左側導覽列,選擇執行個體與鏡像 > 執行個體

  3. 在頁面左側頂部,選擇目標資源所在的資源群組和地區。

  4. 執行個體頁面,找到待串連的執行個體,單擊對應操作列的遠端連線

image

  1. 單擊展開其他登入方式,找到通過會話管理遠端連線,確保會話管理已開啟(全地區),如果顯示會話管理已關閉,請先開啟功能開關。

    重要

    開啟會話管理功能開關前,請確保RAM使用者具有查看會話管理配置的DescribeUserBusinessBehavior許可權和開啟或關閉會話管理功能的ModifyUserBusinessBehavior許可權,詳細的權限原則樣本,請參見前提條件

image

image

  1. 單擊免密登入

    串連成功後,Linux執行個體預設以ecs-assist-user使用者登入執行個體,Windows執行個體預設以system使用者登入。以Linux執行個體為例,效果如圖所示。

image

image

相關閱讀

除了在控制台使用會話管理串連執行個體外,您還可以在個人電腦上通過命令列使用會話管理的功能串連執行個體,具體操作,請參見通過會話管理CLI(ali-instance-cli)串連執行個體