购买堡垒机实例后,您需要启用该实例才能进行运维操作。本文介绍如何启用堡垒机实例并配置堡垒机网络。

选择网络类型

在购买云盾堡垒机实例时,除了选择地域、套餐、购买时长外,您还需要选择云盾堡垒机实例所使用的网络类型。
建议您选择与所需接入堡垒机系统进行运维的ECS服务器相同的网络类型:
  • 如果ECS服务器都处于专有网络环境,堡垒机实例的网络应选择专有网络(VPC)
  • 如果ECS服务器都处于经典网络环境,堡垒机实例的网络应选择经典网络
  • 如果需要接入ECS服务器既有专有网络环境也有经典网络环境,建议您的堡垒机实例的网络选择专有网络(VPC)
购买云盾堡垒机实例后,您需要在云盾堡垒机管理控制台中启用该实例,然后才能登录云盾堡垒机系统。

启用专有网络(VPC)类型的堡垒机实例

参考以下操作步骤,启用您已购买的专有网络类型的堡垒机实例:
  1. 云盾堡垒机管理控制台中,选择已购买的云盾堡垒机实例,单击启用
  2. 选择专有网络和交换机。

    建议您选择与所需运维的ECS实例相同的专有网络。这样,堡垒机系统即可通过内网访问同一专有网络VPC环境中的ECS实例。

    如果收到以下错误提示,则表示该交换机所在的可用区已无可启用实例。建议在其它可用区新建一个虚拟交换机,重新启用堡垒机实例。
  3. 单击选择安全组,选择经典网络环境中已有的安全组,单击确定

    选择安全组后,系统会自动在对应的安全组中创建一条访问控制规则,允许堡垒机系统访问该安全组中的ECS实例。

    系统并不是将堡垒机实例直接添加至进所选择的安全组中,而是在安全组中添加以下规则允许堡垒机实例访问安全组中的ECS实例。
    说明 请勿删除该安全组规则。
  4. 设置公网访问控制,单击确定,堡垒机实例的状态变为初始化中

10分钟后,刷新云盾堡垒机管理控制台页面查看堡垒机实例状态,如状态变更为有效,则堡垒机实例启用成功。

启用经典网络类型的堡垒机实例

参考以下操作步骤,启用您已购买的经典网络类型的堡垒机实例:
  1. 云盾堡垒机管理控制台中,选择已购买的云盾堡垒机实例,单击启用
  2. 单击选择安全组,选择经典网络环境中已有的安全组,单击确定

    选择安全组后,系统会自动在对应的安全组中创建一条访问控制规则,允许堡垒机系统访问该安全组中的ECS实例。

    系统并不是将堡垒机实例直接添加至进所选择的安全组中,而是在安全组中添加以下规则允许堡垒机实例访问安全组中的ECS实例。
    说明 请勿删除该安全组规则。
  3. 设置堡垒机系统的网络访问控制。
    堡垒机实例启用后,您可以单击网络配置修改访问控制策略。
    • 内网访问控制:此处添加的为堡垒机系统的登录白名单,即只有添加在内网访问控制框中的内网IP可访问堡垒机。例如,您可以在此处添加VPN服务器的内网IP。
      说明 不添加内网IP则表示堡垒机系统对内网访问无限制。
    • 公网访问控制:此处可对堡垒机系统的公网访问进行控制。
  4. 单击确定后,堡垒机实例的状态变为初始化中

10分钟后,刷新云盾堡垒机管理控制台页面查看堡垒机实例状态,如状态变更为有效,则堡垒机实例启用成功。

网络配置FAQ

  • 无法通过公网IP登录堡垒机系统
    请检查堡垒机实例网络配置中的公网访问控制选项,确认公网访问方式已启用,或者您用于登录的IP已添加至公网白名单中。
    说明 华东1地域的金融云用户无法通过公网IP登录堡垒机系统。
  • 无法通过内网IP登录堡垒机系统
    请检查你的客户端是否可以与堡垒机系统处于同一专有网络VPC环境中的其他ECS服务器。
    • 如果无法连通,请检查VPN服务器状态。
    • 如果可以连通,请尝试通过同一专有网络VPC环境中的其它ECS服务器登录堡垒机系统。如果登录成功,则请检查VPN服务器。
    说明 如果堡垒机实例的网络类型为经典网络,请检查网络配置中的内网访问控制是否存在相关限制。
  • 通过堡垒机系统登录ECS服务器的公网IP失败
    请尝试不通过堡垒机系统直接访问该ECS服务器的公网IP。
    • 如果无法登录,请检查该ECS服务器的状态。
    • 如果可以登录,请检查该ECS服务器的安全组中是否有堡垒机系统自动添加的规则。如果没有相关安全组规则,您需要在堡垒机实例的网络配置中重新添加一次相关的安全组。
      说明 部分金融云账号默认禁止使用公网IP登录ECS服务器,您必须通过内网IP登录ECS服务器。
  • 通过堡垒机系统登录ECS服务器的内网IP失败
    请检查堡垒机实例与目标ECS服务器是否在同一专有网络VPC环境或经典网络环境。
    • 如果目标ECS服务器与堡垒机不在同一网络环境,则无法通过内网连通,您必须通过公网IP登录该ECS服务器。
    • 如果目标ECS服务器与堡垒机处于同一网络环境,请检查该ECS服务器所在的安全组,确认已对堡垒机系统开放访问相关运维端口的权限。