如何启用堡垒机实例并配置堡垒机网络_运维安全中心（堡垒机）(Bastionhost)-阿里云帮助中心

选择网络类型

在购买云盾堡垒机实例时，除了选择地域、套餐、购买时长外，您还需要选择云盾堡垒机实例所使用的网络类型。

建议您选择与所需接入堡垒机系统进行运维的ECS服务器相同的网络类型：

如果ECS服务器都处于专有网络环境，堡垒机实例的网络应选择专有网络（VPC）。
如果ECS服务器都处于经典网络环境，堡垒机实例的网络应选择经典网络。
如果需要接入ECS服务器既有专有网络环境也有经典网络环境，建议您的堡垒机实例的网络选择专有网络（VPC）。

购买云盾堡垒机实例后，您需要在云盾堡垒机管理控制台中启用该实例，然后才能登录云盾堡垒机系统。

启用专有网络（VPC）类型的堡垒机实例

参考以下操作步骤，启用您已购买的专有网络类型的堡垒机实例：

在云盾堡垒机管理控制台中，选择已购买的云盾堡垒机实例，单击启用。
选择专有网络和交换机。
建议您选择与所需运维的ECS实例相同的专有网络。这样，堡垒机系统即可通过内网访问同一专有网络VPC环境中的ECS实例。

如果收到以下错误提示，则表示该交换机所在的可用区已无可启用实例。建议在其它可用区新建一个虚拟交换机，重新启用堡垒机实例。
单击选择安全组，选择经典网络环境中已有的安全组，单击确定。
选择安全组后，系统会自动在对应的安全组中创建一条访问控制规则，允许堡垒机系统访问该安全组中的ECS实例。

系统并不是将堡垒机实例直接添加至进所选择的安全组中，而是在安全组中添加以下规则允许堡垒机实例访问安全组中的ECS实例。

说明请勿删除该安全组规则。
设置公网访问控制，单击确定，堡垒机实例的状态变为初始化中。

10分钟后，刷新云盾堡垒机管理控制台页面查看堡垒机实例状态，如状态变更为有效，则堡垒机实例启用成功。

启用经典网络类型的堡垒机实例

参考以下操作步骤，启用您已购买的经典网络类型的堡垒机实例：

在云盾堡垒机管理控制台中，选择已购买的云盾堡垒机实例，单击启用。
单击选择安全组，选择经典网络环境中已有的安全组，单击确定。
选择安全组后，系统会自动在对应的安全组中创建一条访问控制规则，允许堡垒机系统访问该安全组中的ECS实例。

系统并不是将堡垒机实例直接添加至进所选择的安全组中，而是在安全组中添加以下规则允许堡垒机实例访问安全组中的ECS实例。

说明请勿删除该安全组规则。
设置堡垒机系统的网络访问控制。
堡垒机实例启用后，您可以单击网络配置修改访问控制策略。
- 内网访问控制：此处添加的为堡垒机系统的登录白名单，即只有添加在内网访问控制框中的内网IP可访问堡垒机。例如，您可以在此处添加VPN服务器的内网IP。
  
  说明不添加内网IP则表示堡垒机系统对内网访问无限制。
- 公网访问控制：此处可对堡垒机系统的公网访问进行控制。
单击确定后，堡垒机实例的状态变为初始化中。

10分钟后，刷新云盾堡垒机管理控制台页面查看堡垒机实例状态，如状态变更为有效，则堡垒机实例启用成功。

网络配置FAQ

无法通过公网IP登录堡垒机系统
请检查堡垒机实例网络配置中的公网访问控制选项，确认公网访问方式已启用，或者您用于登录的IP已添加至公网白名单中。

说明华东1地域的金融云用户无法通过公网IP登录堡垒机系统。
无法通过内网IP登录堡垒机系统
请检查你的客户端是否可以与堡垒机系统处于同一专有网络VPC环境中的其他ECS服务器。
- 如果无法连通，请检查VPN服务器状态。
- 如果可以连通，请尝试通过同一专有网络VPC环境中的其它ECS服务器登录堡垒机系统。如果登录成功，则请检查VPN服务器。
说明如果堡垒机实例的网络类型为经典网络，请检查网络配置中的内网访问控制是否存在相关限制。
通过堡垒机系统登录ECS服务器的公网IP失败
请尝试不通过堡垒机系统直接访问该ECS服务器的公网IP。
- 如果无法登录，请检查该ECS服务器的状态。
- 如果可以登录，请检查该ECS服务器的安全组中是否有堡垒机系统自动添加的规则。如果没有相关安全组规则，您需要在堡垒机实例的网络配置中重新添加一次相关的安全组。
  
  说明部分金融云账号默认禁止使用公网IP登录ECS服务器，您必须通过内网IP登录ECS服务器。
通过堡垒机系统登录ECS服务器的内网IP失败
请检查堡垒机实例与目标ECS服务器是否在同一专有网络VPC环境或经典网络环境。
- 如果目标ECS服务器与堡垒机不在同一网络环境，则无法通过内网连通，您必须通过公网IP登录该ECS服务器。
- 如果目标ECS服务器与堡垒机处于同一网络环境，请检查该ECS服务器所在的安全组，确认已对堡垒机系统开放访问相关运维端口的权限。