通過Workbench串連執行個體 - Elastic Compute Service

Workbench是阿里雲提供的在瀏覽器使用的遠端連線工具，使用該工具，無需額外安裝任何軟體即可通過瀏覽器直接存取ECS執行個體。

什麼是Workbench？

Workbench介紹

Workbench是阿里雲提供的一款Web遠端連線工具，該工具無需安裝，直接在瀏覽器使用。使用該工具串連ECS執行個體流程如圖所示。

Workbench的特點

支援多種串連方式
通過Workbench可以使用多種方式串連執行個體，如SSH（Linux常用）、RDP（Windows常用）。
相關文檔
- 使用Workbench登入Linux執行個體
- 使用Workbench登入Windows執行個體

支援通過公網或私網串連執行個體
當您在使用Workbench通過SSH或RDP方式串連到執行個體時，可以選擇通過私網或公網IP串連執行個體。

Workbench更多功能

除了串連執行個體外，Workbench還支援以下功能。

檔案管理：支援可視化管理Linux執行個體中的檔案，支援檔案上傳下載。請參見檔案管理。
AI Agent模式：在AI Agent模式下，可通過自然語言指令規劃並執行Linux營運操作，簡化軟體安裝、異常問題診斷等任務。請參見AI Agent模式。
終端助手：協助您產生營運中需要的指令碼/命令。請參見終端助手。
智能命令補全：當在命令列中輸入命令時，它能夠根據上下文即時預測並以列表形式展示後續可能使用的命令、參數或選項。請參見智能命令補全。
系統管理：可通過 Workbench 的系統管理功能，統一管理 Linux 執行個體的使用者、登入日誌和系統服務，即時監控系統運行狀態。請參見系統管理。
指令碼庫：允許將常用的命令或指令碼片段儲存在Workbench，並在任何通過Workbench串連的執行個體會話中一鍵調用執行。請參見指令碼庫。
多屏終端：可以通過Workbench的多屏終端功能同時串連多台ECS執行個體，然後在多台執行個體中同時執行相同的命令。請參見多屏終端。
軟體安裝：可在Workbench中使用AI Agent或OOS預設軟體包自動部署Docker、MySQL等軟體。請參見軟體安裝。

Workbench基本使用流程

使用Workbench串連執行個體的流程如圖所示。

找到待串連的執行個體。
打通Workbench與ECS執行個體之間的網路連接。
這一步需要設定執行個體所在的安全性群組與執行個體內防火牆，需允許存取來自Workbench的入方向流量。
使用Workbench串連執行個體。
在控制台選擇通過Workbench串連執行個體，輸入使用者名稱、密碼、金鑰組等資訊。
開通服務關聯角色。
如果您在使用Workbench串連執行個體時沒有建立服務關聯角色，系統會提示您授予Workbench訪問ECS執行個體的許可權，即開通服務關聯角色。
成功串連到執行個體，執行營運操作。

Workbench的服務關聯角色

由於Workbench需要操作您的ECS執行個體，因此，在首次使用Workbench串連執行個體時，會提示您建立服務關聯角色AliyunServiceRoleForECSWorkbench，Workbench服務會以該角色的身份訪問您的ECS執行個體。更多服務關聯角色的說明，請參見服務關聯角色。

如圖所示，在首次串連執行個體時會出現以下對話方塊，單擊確定系統會自動為您建立該服務關聯角色。

如果您是RAM使用者，您需要聯絡主帳號或管理員為您授予AliyunECSWorkbenchFullAccess系統權限原則，擁有該許可權的使用者才可以建立Workbench的服務關聯角色。

RAM使用者使用Workbench的使用權限設定

在開通服務關聯角色後，RAM使用者使用Workbench需設定如下權限原則，該策略代表使用者可以使用Workbench串連所有ECS執行個體。

{
  "Version": "1",
  "Statement": [
    {
      "Action": "ecs-workbench:LoginInstance",
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

如果需要限制使用者可以通過Workbench串連的執行個體，可通過修改Resource欄位實現，格式如下：

{
  "Version": "1",
  "Statement": [
    {
      "Action": "ecs-workbench:LoginInstance",
      "Resource": [
        "acs:ecs-workbench:{#regionId}:{#accountId}:workbench/{#instanceId}",
        "acs:ecs-workbench:{#regionId}:{#accountId}:workbench/{#instanceId}"
      ],
      "Effect": "Allow"
    }
  ]
}

參數說明如下：

{#regionId}：執行個體所在地區ID，可設定為萬用字元*。
{#accountId}：主帳號ID，可設定為萬用字元*。
{#instanceId}：目標執行個體ID，可設定為萬用字元*。

樣本

例如，設定RAM使用者可使用Workbench串連所有地區和帳號下執行個體ID為i-001和i-002的執行個體時，可設定以下權限原則。

{
  "Version": "1",
  "Statement": [
    {
      "Action": "ecs-workbench:LoginInstance",
      "Resource": [
        "acs:ecs-workbench:*:*:workbench/i-001",
        "acs:ecs-workbench:*:*:workbench/i-002"
      ],
      "Effect": "Allow"
    }
  ]
}

Workbench相關安全性群組設定

由於使用Workbench通過SSH或RDP方式串連執行個體時，您需要在執行個體所在安全性群組放通來自Workbench服務端的入網流量，您可以根據您網路類型的不同，參考下表添加安全性群組規則。具體操作，請參見添加安全性群組規則。

重要

如果您在執行個體系統內開啟了防火牆，請參照安全性群組修改防火牆規則。

授權策略

優先順序

協議類型

連接埠範圍

授權對象

允許

自訂TCP

配置的連接埠取決於您執行個體內啟動並執行遠端連線服務的連接埠。

串連Linux執行個體：
選擇SSH (22)。
Linux執行個體預設遠端連線服務為SSH，預設連接埠為22。
串連Windows執行個體：
選擇RDP (3389)。
Windows執行個體預設遠端連線服務為RDP，預設連接埠為3389。

重要

如果您在執行個體內修改了相關遠程服務的連接埠，請根據實際情況進行設定。

通過公網串連：添加161.117.0.0/16。
通過私網串連：添加100.104.0.0/16。

警告

使用0.0.0.0/0，代表所有IP地址均可以串連遠程服務連接埠，該配置存在安全風險，請謹慎使用。