您可以在控制台直接通過會話管理一鍵串連到ECS執行個體,支援免密串連無公網執行個體。相比於傳統的SSH或RDP直連的方式更加安全方便。本文為您介紹如何在阿里雲控制台通過會話管理串連執行個體。
重要 在通過會話管理串連執行個體時,不論執行個體是Windows系統還是Linux系統,都僅支援命令列介面。
如果您需要使用圖形化介面以會話管理的方式串連Windows執行個體,可以通過連接埠轉寄功能,將Windows的遠端存取連接埠映射到本機,通過RDP工具進行串連,具體操作,請參見通過會話管理CLI的連接埠轉寄訪問無公網執行個體。
前提條件
待串連執行個體狀態為運行中
執行個體運行狀態可以在ECS控制台中的執行個體模組查看,運行中的執行個體如圖所示:
查看執行個體狀態的操作說明,請參見查看執行個體資訊。
執行個體需安裝雲助手Agent
會話管理雲端式助手的功能實現,需要在執行個體中安裝雲助手Agent。雲助手Agent狀態可以在ECS控制台的雲助手模組查看,已經安裝雲助手的執行個體如圖所示:
2017年12月01日之後使用官方公用鏡像建立的ECS執行個體,預設預裝了雲助手Agent。如果您的執行個體是2017年12月01日之前購買的或使用自行上傳的自訂鏡像建立的執行個體,需自行安裝雲助手Agent,請參見安裝雲助手Agent。
查看雲助手Agent狀態以及處理異常狀態的具體操作,請參見查看雲助手狀態及異常狀態處理。
確保網路連通(設定安全性群組)
通過會話管理串連ECS執行個體時,需要確保ECS中啟動並執行雲助手Agent與雲助手服務端的網路連通性,即在安全性群組出方向設定以下規則:
與SSH、RDP等串連方式不同,由於會話管理是由雲助手Agent主動與會話管理服務端建立WebSocket串連,因此僅需允許存取出方向的雲助手服務端的WebSocket連接埠。關於會話管理的原理,請參見會話管理工作原理。
添加安全性群組規則的具體操作,請參見添加安全性群組規則。
授權策略 | 優先順序 | 協議類型 | 連接埠範圍 | 授權對象 | 描述 |
允許 | 1 | 自訂TCP | 443 | 100.100.0.0/16
| 用於訪問雲助手服務端。 |
允許 | 1 | 自訂TCP | 443 | 100.0.0.0/8
| 訪問雲助手Agent安裝包所在伺服器,用於安裝或更新您的雲助手Agent。 |
允許 | 1 | 自訂UDP | 53 | 0.0.0.0/0
| 用於解析網域名稱。 |
此外,如果您計劃僅通過會話管理串連執行個體,為了增加ECS執行個體的安全性,您可以取消允許存取安全性群組入方向上的SSH連接埠(預設22)或者RDP連接埠(預設3389)的規則。
RAM使用者使用該功能需擁有相關許可權
如果RAM使用者需要在控制台使用會話管理串連執行個體,根據最小授權原則,需要具有以下許可權。
ecs:StartTerminalSession
:通過會話管理串連執行個體的許可權,此外,可以通過Resource
欄位,限制RAM使用者可串連(會話管理)的ECS執行個體。
ecs:DescribeCloudAssistantStatus
:查詢ECS執行個體是否需要安裝雲助手,該許可權用於控制台在串連前進行校正。
ecs:DescribeUserBusinessBehavior
:查詢會話管理功能是否已經開啟,該許可權用於控制台在串連前進行校正。
ecs:ModifyCloudAssistantSettings
(可選):開啟或關閉會話管理的許可權,如果當前阿里雲帳號已經開通會話管理,無需分配該許可權。
自訂權限原則樣本如下:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": "ecs:StartTerminalSession",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ecs:DescribeUserBusinessBehavior",
"ecs:DescribeCloudAssistantStatus",
"ecs:ModifyCloudAssistantSettings"
],
"Resource": "*"
}
]
}
為RAM使用者授權,請參見為RAM使用者授權。
操作步驟
登入ECS管理主控台。 在左側導覽列,選擇。 在頁面左側頂部,選擇目標資源所在的資源群組和地區。 在執行個體頁面,找到待串連的執行個體,單擊對應操作列的遠端連線。
| |
單擊展開其他登入方式,找到通過會話管理遠端連線,確保會話管理已開啟(全地區),如果顯示會話管理已關閉,請先開啟功能開關。
重要 開啟會話管理功能開關前,請確保RAM使用者具有查看會話管理配置的DescribeUserBusinessBehavior 許可權和開啟或關閉會話管理功能的ModifyUserBusinessBehavior 許可權,詳細的權限原則樣本,請參見前提條件。
| |
單擊免密登入。 串連成功後,Linux執行個體預設以ecs-assist-user使用者登入執行個體,Windows執行個體預設以system使用者登入。以Linux執行個體為例,效果如圖所示。
| |