全部产品
Search
文档中心

运维安全中心(堡垒机):客户端连接堡垒机相关问题

更新时间:Mar 07, 2024

本文介绍使用客户端工具连接堡垒机时可能出现的问题以及解决方法。

客户端无法访问堡垒机公网地址,如何排查?

您可以通过以下方式进行排查:

  • 检查堡垒机配置是否正确。

    • 在您的客户端使用ping命令测试客户端与堡垒机的网络是否连通,如果连接失败,请您登录堡垒机控制台,查看堡垒机是否开启公网。公网

    • 在您的客户端使用telnet命令测试客户端与堡垒机的端口(60022、63389、443)是否连通。如果连接失败,请您查看堡垒机相关端口是否配置正确,具体操作,请参见配置端口号

    • 查看白名单配置是否添加了本地PC的公网IP,配置白名单会限制访问堡垒机的公网地址。具体操作,请参见配置白名单

    如需了解配置堡垒机的更多信息,请参见配置堡垒机

  • 检查是否使用云防火墙。查看云防火墙开关是否开启对堡垒机实例的保护以及对应安全策略是否有限制拦截,具体操作,请参见云防火墙和运维安全中心(堡垒机)联合部署访问策略的最佳实践

  • 检查是否为客户端本地防火墙限制。您可以使用其他客户端连接堡垒机测试是否连接成功,如果连接失败,则是您的客户端设置了防火墙限制。

  • 检查是否为中国境外堡垒机。如果是中国境外堡垒机,可能存在被拦截的情况,建议您通过VPN或其它专线进行连接。

    如果需要测试堡垒机的运行情况,可以购买一台与堡垒机同地域的云服务器ECS,尝试访问堡垒机。关于云服务器ECS的说明,参见什么是云服务器ECS

客户端无法访问堡垒机内网地址,如何排查?

请您确认是否已通过VPN或专线等方式打通客户端与堡垒机所在的VPC网络。

  • 如已通过VPN或专线等方式打通客户端与堡垒机间的内网,可通过客户端访问与堡垒机同VPC下其它服务器,来验证堡垒机服务是否正常。

  • 如已通过VPN或专线等方式打通客户端与堡垒机间的内网,并且公网访问正常,只有内网访问会出现卡顿的情况(例如主机列表不显示),可能是因为VPN的mtu设置过大导致,请您调整VPN的mtu值后再次尝试。

客户端通过密钥认证方式访问堡垒机失败,该如何解决?

说明

仅V3.2.38以下版本的堡垒机会出现该问题。

部分客户端(如Mac 13.0.1及以上版本)使用OpenSSH 8.7及以上版本,默认禁用ssh-rsa公钥签名算法,导致客户端通过密钥认证访问堡垒机失败。您可以参考以下步骤配置sshd_config文件,手动启用客户端ssh-rsa公钥签名算法的参数。

  1. 打开ssh_config配置文件。

    vim /etc/ssh/ssh_config
  2. 在ssh_config配置文件中,添加如下配置内容并保存。

    HostKeyAlgorithms +ssh-rsa
    PubkeyAcceptedAlgorithms +ssh-rsa

运维令牌的有效期最长能设置到多少?

  • 运维令牌最大支持设置的有效时长为8小时,堡垒机同时支持设置运维员可自主续期运维令牌,且允许续期次数最大可以设置为20次,单次可续期1小时。运维令牌有效时长和运维令牌续期配置操作,请参见运维配置

  • 如果您针对用户运维数据库开启了运维审批,则令牌有效期以审批通过时允许登录的时长为准。运维审批相关说明,请参见运维审批