堡塁ホストとサーバー間の接続に関する FAQ - Bastionhost

このトピックでは、Bastionhost とサーバー間の接続に関するよくある質問への回答を提供します。

堡塁ホストからサーバーのパブリック IP アドレスを使用してサーバーにアクセスできない場合はどうすればよいですか?

この問題のトラブルシューティングには、次の方法を使用できます。

堡塁ホストが構成済みのポート経由でサーバーにアクセスできるかどうかを確認します。詳細については、「ネットワークの問題を診断する」をご参照ください。サーバーのポートが非標準ポートに変更された場合は、堡塁ホストのコンソールの Assets モジュールでサーバーのサービスポートを変更する必要があります。詳細については、「ホストのサービスポートを変更する」をご参照ください。
セキュリティグループが堡塁ホストの送信パブリック IP アドレスからのアクセスを許可しているかどうかを確認します。セキュリティグループルールの追加方法の詳細については、「セキュリティグループルールを追加する」をご参照ください。
堡塁ホストコンソールにログインし、堡塁ホストリストで堡塁ホストの送信パブリック IP アドレスを取得できます。
サーバーに、堡塁ホストからのアクセスをブロックするファイアウォールまたは iptables や Windows ファイアウォールなどの他の保護ソフトウェアが構成されているかどうかを確認します。
Cloud Firewall などのサービスが、堡塁ホストからサーバーへのアクセスリクエストをブロックしているかどうかを確認します。 Cloud Firewall を使用して堡塁ホストを保護しているかどうか、および堡塁ホストからのアクセスをブロックするようにアクセス制御ポリシーが構成されているかどうかを確認します。詳細については、「Cloud Firewall と堡塁ホストを一緒にデプロイするシナリオでアクセス制御ポリシーを構成する」をご参照ください。

堡塁ホストからサーバーのプライベート IP アドレスを使用してサーバーにアクセスできない場合はどうすればよいですか?

この問題のトラブルシューティングには、次の方法を使用できます。

堡塁ホストが構成済みのポート経由でサーバーにアクセスできるかどうかを確認します。詳細については、「ネットワークの問題を診断する」をご参照ください。サーバーのポートが非標準ポートに変更された場合は、堡塁ホストのコンソールの [アセット] モジュールでサーバーのサービスポートを変更する必要があります。詳細については、「ホストのサービスポートを変更する」をご参照ください。
セキュリティグループが堡塁ホストの送信プライベート IP アドレスからのアクセスを許可しているかどうかを確認します。セキュリティグループルールの追加方法の詳細については、「セキュリティグループルールを追加する」をご参照ください。
堡塁ホストコンソールにログインし、堡塁ホストリストで堡塁ホストの送信プライベート IP アドレスを取得できます。
堡塁ホストがプライベートネットワーク経由でサーバーと通信できるかどうか、および堡塁ホストとサーバーが同じ仮想プライベートクラウド ( VPC ) にあるかどうかを確認します。同じ VPC にない場合は、Cloud Enterprise Network ( CEN ) を使用して堡塁ホストが存在する VPC をサーバーが存在する VPC に接続するか、堡塁ホストを Enterprise Edition にアップグレードして、堡塁ホストがパブリックプロキシサーバーを使用して別の VPC の Elastic Compute Service ( ECS ) アセットにアクセスできるようにします。詳細については、「CEN とは」または「ハイブリッド O&M のベストプラクティス」をご参照ください。
説明
堡塁ホストの VPC がサーバーの VPC と同じリージョンにない場合は、CEN 帯域幅プランを購入する必要があります。帯域幅プランを購入しない場合、リージョン間のアクセスのデータ伝送速度はデフォルトで 1 Kbit/s のみであり、通常の O&M を保証するには不十分です。詳細については、「帯域幅プランを操作する」をご参照ください。
サーバーがクラシックネットワークにあるかどうかを確認します。サーバーがクラシックネットワークにある場合は、ClassicLink を使用して、堡塁ホストが存在する VPC をこのクラシックネットワークに接続する必要があります。 ClassicLink 機能の詳細については、「概要」をご参照ください。
説明
堡塁ホストが存在する VPC をクラシックネットワークに接続した後も問題が解決しない場合は、堡塁ホストの送信 IP アドレスが ECS セキュリティグループで許可されているかどうかを確認します。堡塁ホストコンソールにログインし、堡塁ホストリストで堡塁ホストの送信 IP アドレスを取得できます。
セキュリティグループルールの追加方法の詳細については、「セキュリティグループルールを追加する」をご参照ください。
サーバーに、堡塁ホストからのアクセスをブロックするファイアウォールまたは iptables や Windows ファイアウォールなどの他の保護ソフトウェアが構成されているかどうかを確認します。
Cloud Firewall などのサービスが、堡塁ホストからサーバーへのアクセスリクエストをブロックしているかどうかを確認します。 Cloud Firewall を使用して堡塁ホストを保護しているかどうか、および堡塁ホストからのアクセスをブロックするようにアクセス制御ポリシーが構成されているかどうかを確認します。詳細については、「Cloud Firewall と堡塁ホストを一緒にデプロイするシナリオでアクセス制御ポリシーを構成する」をご参照ください。
サーバーの IP アドレスが堡塁ホストの送信プライベート IP アドレスおよび内部ドメイン名から解決された IP アドレスと競合しているかどうかを確認します。これにより、サーバーデータの堡塁ホストへの送信が失敗します。
サーバーがプライベートに使用されるパブリック IP アドレスを使用しているかどうかを確認します。サーバーがプライベートに使用されるパブリック IP アドレスを使用している場合は、堡塁ホストコンソールで IP アドレスを構成できます。詳細については、「堡塁ホストを構成する」トピックの「プライベートに使用されるパブリック IP アドレスを構成する」セクションをご参照ください。

堡塁ホストで新しいホストアカウントのパスワード検証中にエラーが返された場合はどうすればよいですか?

問題のトラブルシューティングには、次の方法を使用できます。

問題 1：パスワード検証がタイムアウトまたは失敗しました。
パスワード検証のタイムアウトは、一般にネットワークの切断が原因で発生します。まず、堡塁ホストとホスト間の接続を確認する必要があります。詳細については、「ネットワークの問題を診断する」をご参照ください。
- 接続例外が発生した場合、堡塁ホストとホスト間のネットワークが切断されている可能性があります。詳細については、このトピックの「堡塁ホストからサーバーのパブリック IP アドレスを使用してサーバーにアクセスできない場合はどうすればよいですか?」セクションと「堡塁ホストからサーバーのプライベート IP アドレスを使用してサーバーにアクセスできない場合はどうすればよいですか?」セクションをご参照ください。
- 接続例外が発生しない場合、エラーの原因はネットワークの同期遅延である可能性があります。ホストの O&M を実行する前に、堡塁ホストでアカウントとパスワードをホストできます。堡塁ホストでアカウントとパスワードを管理する方法の詳細については、「ホストのアカウント設定を構成する」をご参照ください。
問題 2：パスワードが正しくないため、パスワード検証に失敗しました。
- パスワード検証に入力したアカウントとパスワードは、ホストに設定されているものと同じである必要があります。入力したアカウントとパスワードが正しいかどうかを確認できます。詳細については、「ホストのアカウント設定を構成する」をご参照ください。
- Linux ホストで O&M 操作を実行する場合は、ssh_config ファイルで root アカウントまたはパスワード認証が無効になっているかどうかを確認します。

堡塁ホストのコンソールの [ホスト O&M] ページにホストが表示されないのはなぜですか?

使用している Resource Access Management ( RAM ) ユーザーにホストにアクセスするための権限がない場合は、ホストを表示する前に RAM ユーザーに権限を付与します。詳細については、「アセットとアセット account を管理するためのユーザーの承認」をご参照ください。
RAM ユーザーにホストにアクセスする権限がある場合は、RAM ユーザーを使用して堡塁ホストのコンソールにログインし、ホストを表示します。

O&M エンジニアが堡塁ホストにログインした後、EMPTY が表示されるのはなぜですか?

堡塁ホストの [システム設定] モジュールで [未承認のアセット Account を許可する] を選択した後、O&M エンジニアにアセットの権限を付与したが、ホスト account の権限を付与しなかった場合、O&M エンジニアが堡塁ホストにログインした後、EMPTY が表示されます。ホスト account の権限をユーザーに付与する方法の詳細については、「アセットとアセット account を管理するためのユーザーの承認」トピックの「1 つ以上のアセットの account を管理するためのユーザーの承認」セクションをご参照ください。

堡塁ホストからキーペアを使用してサーバーにアクセスできない場合はどうすればよいですか?

説明

この問題は、バージョンが V3.2.38 より前の堡塁ホストでのみ発生します。

この問題は、Rocky Linux 9.0 以降や Ubuntu 22.04 以降などのオペレーティングシステムを実行しているサーバーが OpenSSH 8.7 以降を使用しているため、ssh-rsa 公開鍵署名アルゴリズムがデフォルトで無効になっていることが原因で発生します。その結果、堡塁ホストからキーペアを使用してサーバーにアクセスできません。サーバーで ssh-rsa 公開鍵署名アルゴリズムを手動で有効にするには、次の手順を実行して sshd_config 構成ファイルを構成できます。

sshd_config 構成ファイルを開きます。
```
vim /etc/ssh/sshd_config
```
次の設定項目を sshd_config 構成ファイルに追加し、変更を保存します。
```
HostKeyAlgorithms +ssh-rsa
PubkeyAcceptedAlgorithms +ssh-rsa
```
sshd を再起動します。
```
systemctl restart sshd
```