相比於VNC,Workbench支援多使用者遠端連線同一台Linux執行個體。登入執行個體時,Workbench有密碼、金鑰組、臨時金鑰組和憑據四種認證方式供您選擇,非常便捷高效。
前提條件
已建立服務關聯角色。首次使用Workbench登入ECS執行個體時,系統會提示您建立Workbench服務關聯角色。更多資訊,請參見Workbench服務關聯角色。
重要通過RAM使用者使用Workbench登入ECS執行個體時,請確保已為該RAM使用者授予AliyunECSWorkbenchFullAccess系統許可權,否則會提示使用者沒有許可權。關於如何授權,請參見為RAM使用者授權。
執行個體已設定登入密碼或者綁定金鑰組。具體操作,請參見重設執行個體登入密碼或綁定SSH金鑰組。
執行個體處於運行中狀態。
執行個體已安裝雲助手。具體操作,請參見安裝雲助手Agent。
執行個體所在安全性群組已允許Workbench服務相關的IP訪問執行個體。安全性群組規則詳情和執行個體的網路類型有關。具體操作,請參見添加安全性群組規則。
專用網路執行個體
串連專用網路執行個體時,請在安全性群組規則頁面的入方向頁簽添加安全性群組規則,如下表所示。
授權策略
優先順序
協議類型
連接埠範圍
授權對象
允許
1
自訂TCP
Linux執行個體預設開放22連接埠:選擇SSH(22)。
如果您手動開放了其他連接埠:手動輸入連接埠範圍。
如果通過執行個體的公網IP(包括固定公網IP和EIP)串連:添加161.117.0.0/16。
如果通過執行個體的專用網路私網IP串連:添加100.104.0.0/16。
警告您也可以添加0.0.0.0/0,但存在安全風險,請謹慎使用。
傳統網路執行個體
通過公網串連傳統網路執行個體時,請在安全性群組規則頁面的公網入方向頁簽添加安全性群組規則,如下表所示。
授權策略
優先順序
協議類型
連接埠範圍
授權對象
允許
1
自訂TCP
Linux執行個體預設開放22連接埠:選擇SSH(22)。
如果您手動開放了其他連接埠:手動輸入連接埠範圍。
通過執行個體的公網IP(包括固定公網IP和EIP)串連:添加161.117.90.22。
警告您也可以添加0.0.0.0/0,但存在安全風險,請謹慎使用。
通過內網串連傳統網路執行個體,請在安全性群組規則頁面的入方向頁簽添加安全性群組規則,如下表所示。
授權策略
優先順序
協議類型
連接埠範圍
授權對象
允許
1
自訂TCP
Linux執行個體預設開放22連接埠:選擇SSH(22)。
如果您手動開放了其他連接埠:手動輸入連接埠範圍。
通過執行個體的傳統網路內網IP串連:添加161.117.90.22。
警告為內網入方向規則添加0.0.0.0/0存在高安全風險,不建議使用。
操作步驟
Workbench的遠端連線會話預設維持6個小時,如果您超過6小時沒有任何操作,串連會自動斷開,您需要重新串連執行個體。
登入ECS管理主控台。
在左側導覽列,選擇。
在頁面左側頂部,選擇目標資源所在的資源群組和地區。
在執行個體列表頁面,找到需要串連的執行個體,單擊對應操作列下的遠程連接。
在彈出的遠程連接對話方塊中,單擊通過Workbench遠端連線對應的立即登錄。
在彈出的登入執行個體對話方塊中,輸入登入資訊。
一般情況下按精簡選項輸入資訊即可,如下表所示。
配置項
說明
執行個體
自動填滿當前執行個體的資訊,您也可以手動輸入其他執行個體的IP或名稱。
網路連接
專用網路執行個體支援選擇公網IP或私網IP串連。
傳統網路執行個體支援選擇公網IP或內網IP串連。
認證方式
選擇認證方式,支援的認證方式如下:
密碼認證:輸入使用者名稱(例如root或ecs-user),需要繼續輸入登入密碼。
SSH密鑰認證:輸入使用者名稱(例如root或ecs-user),需要繼續輸入或上傳私密金鑰。如果私密金鑰檔案已加密,還需要輸入私密金鑰口令。
憑據認證:選擇已定義好的憑據或者新增憑據。
憑據用於儲存執行個體的使用者名稱、密碼和密鑰等資訊,您無需每次登入都輸入使用者名稱、密碼,直接選擇憑據即可安全登入執行個體。如果您在Workbench中沒有憑據,請新增憑據。具體操作,請參見新增憑據實現免密登入。
臨時SSH密鑰認證:直接填入需要登入的使用者名稱(例如root或ecs-user)即可,預設使用root登入。
說明臨時SSH密鑰認證功能雲端式助手的公用命令實現。
Workbench登入執行個體時產生一個有效時間為1分鐘的臨時SSH金鑰組。
並觸發雲助手調用InvokeCommand,執行名稱為
ACS-ECS-EnableSshPublicKey-linux.sh和ACS-ECS-SendSshPublicKey-linux.sh的公用命令,將公開金鑰發送給目標執行個體,交於執行個體中啟動並執行雲助手Agent管理。Workbench通過臨時金鑰組成功登入執行個體。
在Workbench側,金鑰組不會儲存到資料庫,有效時間為1分鐘,失效後需要重新登入產生。
在對話方塊底部單擊完整選項可以展開更多配置項,如下表所示。
配置項
說明
資源群組
預設為全部,即可以手動選擇任一資源群組的資源。
地區
預設為全部,即可以手動選擇任一地區的資源。
連線協定
預設為終端串連(SSH)。
說明如果您需要使用遠端桌面(RDP)串連Linux執行個體,需要在執行個體上安裝RDP服務(例如xrdp)和圖形化介面。關於如何安裝圖形化介面,請參見如何在Linux系統的ECS執行個體中安裝圖形介面。
連接埠
連線協定為終端串連(SSH)時,預設連接埠為22。
如果您修改過遠端連線連接埠,請輸入該連接埠。
說明連線協定為遠端桌面(RDP),預設連接埠為3389。
語言環境
偏好語言影響輸出的內容,選擇預設時,Workbench自動探測您遠程主機的語言設定並進行合適的配置。
字元集
偏好字元集影響輸出內容的顯示結果,選擇預設時,Workbench自動探測您遠程主機的字元集設定並進行合適的配置。
單擊確定。
如果確定已滿足本文的前提條件,串連執行個體時仍失敗,請檢查執行個體內部配置是否滿足要求:
開啟SSHD的遠程服務,例如Linux系統中的SSHD服務。
開放終端串連連接埠,通常為22連接埠。
如果使用root使用者登入Linux執行個體,需要保證在/etc/ssh/sshd_config檔案中配置
PermitRootLogin yes和PasswordAuthentication yes。具體操作,請參見為Linux執行個體開啟root使用者遠程登入。
新增憑據實現免密登入
以下操作指導您在Workbench中如何新增憑據,登入ECS執行個體時通過憑據進行身份認證。
登入ECS管理主控台。
在左側導覽列,選擇。
在頁面左側頂部,選擇目標資源所在的資源群組和地區。
在執行個體列表頁面,找到需要串連的執行個體,單擊對應操作列下的遠程連接。
在彈出的遠程連接對話方塊中,單擊通過Workbench遠端連線對應的立即登錄。
在彈出的登入執行個體對話方塊中,輸入登入資訊。
新增憑據。
一般情況下按精簡選項輸入資訊即可,如下表所示。
配置項
說明
執行個體
自動填滿,您也可以手動選擇其他執行個體。
網路連接
專用網路執行個體支援選擇公網IP或私網IP串連。
傳統網路執行個體支援選擇公網IP或內網IP串連。
認證方式
選擇憑據認證。
在憑據下拉表選擇新增憑據。
在新增憑據對話方塊中,輸入新增憑據的資訊。
配置項
說明
憑據名稱
輸入新增憑據的名稱。
使用者名稱
輸入使用者名稱,例如root或ecs-user。
憑據類型
支援以下類型:
密碼:必須繼續輸入執行個體的登入密碼。
私密金鑰:必須繼續輸入或上傳私密金鑰檔案。如果私密金鑰檔案已加密,還需要輸入私密金鑰口令。
材料名稱
輸入認證材料的名稱。
密碼
輸入執行個體的登入密碼。
密碼指紋
根據認證材料自動產生密碼指紋。
單擊確定。
在登入執行個體對話方塊中,選擇新增的憑據,然後單擊確定。
為Linux執行個體開啟root使用者遠程登入
部分Linux系統中,SSHD服務預設禁用root使用者遠程登入,導致登入時提示使用者名稱或密碼錯誤。您可以按照以下步驟開啟root使用者遠程登入。
使用VNC方式串連執行個體。
具體操作,請參見使用VNC登入執行個體。
開啟SSH設定檔。
vim /etc/ssh/sshd_config按
i鍵進入編輯模式。將
PermitRootLogin和PasswordAuthentication參數值設定為yes,如下所示。PermitRootLogin yes PasswordAuthentication yes按
Esc鍵,輸入:wq儲存修改。重啟SSHD服務。
systemctl restart sshd.service