本文介紹Bastionhost串連伺服器時的常見問題以及解決方案。
通過Bastionhost訪問伺服器失敗,該如何解決?
首先測試Bastionhost與伺服器的IP及連接埠是否連通。具體操作,請參見網路診斷。
如果顯示連通性測試失敗,可以通過以下方法進行排查:
伺服器連接埠號碼是否做過更改(非標準協議連接埠),需在Bastionhost資產管理頁面修改對應主機服務連接埠。具體操作,請參見修改主機的服務連接埠。
檢查安全性群組是否允許存取Bastionhost出口IP。如何添加安全性群組,請參見管理安全性群組規則;您可以訪問Bastionhost控制台,在Bastionhost執行個體列表擷取出口IP。
檢查伺服器本身是否配置有網路ACL、安全性群組、Cloud Firewall、以及伺服器內的iptables或防火牆(Windows防火牆或其他防護軟體)的相關策略是否阻攔Bastionhost訪問。
檢查伺服器的/etc/hosts.allow和/etc/hosts.deny設定檔是否限制Bastionhost訪問。
查看Cloud Firewall開關是否開啟對Bastionhost執行個體的保護以及對應安全性原則是否有限制攔截,具體操作,請參見Cloud Firewall和營運資訊安全中心(Bastionhost)聯合部署存取原則的最佳實務。
如果Bastionhost訪問的是伺服器內網並且不通,需要排查Bastionhost和伺服器是否有打通網路。參考混合營運情境最佳實務。
查看伺服器的IP是否與Bastionhost內網出口IP和內網網域名稱解析出的IP衝突,導致伺服器資料無法到達Bastionhost。
檢查伺服器IP是否為公網私用IP。如果您伺服器IP為公網私用IP,您可以在Bastionhost中配置公網私用,具體操作,請參見配置Bastionhost。
如果顯示連通性測試成功,可以通過以下方法進行排查:
嘗試繞過Bastionhost直接連接伺服器是否能正常訪問,如果不能,則需要排查伺服器本身協議串連問題,建議參考【推薦】無法遠端連線Windows執行個體的處理方法,無法通過SSH遠程登入Linux執行個體時的排查指引。
繞過Bastionhost可以串連,但是通過Bastionhost不能串連,如果有具體報錯可以參考營運常見報錯提示。
如果以上排查均不能定位問題,請提交售後工單。
Bastionhost建立主機賬戶驗密報錯,該如何解決?
您可以通過以下方法解決:
現象一:驗密逾時或失敗。
現象二:驗密失敗,密碼錯誤。
密碼認證時,填寫的賬戶密碼需要和資產上設定的賬戶密碼保持一致,您可以檢查下賬戶密碼的填寫是否正確。具體操作,請參見配置主機賬戶。
如果營運的是Linux主機,請檢查ssh_config檔案中是否禁用了root賬戶或密碼認證。
Bastionhost主機營運頁面看不到主機,是什麼原因?
RAM使用者未授權主機:請您為RAM使用者授權主機後再查看,具體操作,請參見為使用者授權資產及資產賬戶。
RAM使用者已授權主機:請您使用授權主機的RAM使用者登入Bastionhost進行查看。
登入Bastionhost之後為什麼顯示EMPTY賬戶?
您在系統設定中勾選允許使用者未授權資產賬戶訪問資產之後,如果只給營運人員授權了資產但是未授權主機賬戶,登入時就會顯示EMPTY賬戶。如何授權主機賬戶,請參見為使用者授權資產賬戶。
Bastionhost通過密鑰認證方式訪問伺服器失敗,該如何解決?
僅V3.2.38以下版本的Bastionhost會出現該問題。
部分作業系統(如Rocky 9、Ubuntu 22.04及以上)伺服器使用OpenSSH 8.7及以上版本,預設禁用ssh-rsa公開金鑰簽名演算法,導致Bastionhost通過密鑰認證訪問該伺服器失敗。您可以參考以下步驟配置sshd_config檔案,手動啟用伺服器端ssh-rsa公開金鑰簽名演算法的參數。
開啟sshd_config設定檔。
vim /etc/ssh/sshd_config在sshd_config設定檔中,添加如下配置內容並儲存。
HostKeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms +ssh-rsa重啟sshd服務。
systemctl restart sshd