本文介绍堡垒机基础配置相关问题及解决方案。
如何进入堡垒机管理界面?
在堡垒机控制台上方,选择堡垒机实例所在的地域。
在左侧导航栏,单击实例。
在实例页面,定位到目标堡垒机实例,单击管理。
购买堡垒机后为什么看不到实例?
您可能没有选择堡垒机实例所在地域。请您在堡垒机控制台上方,选择堡垒机实例所在地域后再进行查看。
只能通过堡垒机实例登录主机或数据库进行运维,不允许以其他方式登录,应如何配置?
您可以通过以下方式进行配置:
如果是云上ECS或RDS数据库资产,可以在ECS安全组或数据库白名单配置访问规则,限制仅允许堡垒机出口IP作为源地址访问资产,或使用云防火墙限制访问资产时的来源IP为堡垒机出口IP。|
如果是其它云上主机、数据库或线下IDC服务器,可以在防火墙等访问控制设置中配置访问规则,限制仅堡垒机出口IP可访问此资产。
堡垒机出口IP位置如下图所示:
堡垒机连接地址仅支持域名吗?
为保证堡垒机控制台安全,V3.2.X版本堡垒机运维仅支持域名访问,原V3.1版本及V2版本仅支持IP连接。
如何在ECS服务器的安全组中设置放行堡垒机出口IP的规则?
使用堡垒机对ECS服务器进行运维前,您需要在服务器的安全组中设置放行堡垒机的出口IP的规则。您的ECS服务器中配置了放行堡垒机出口IP的规则后,堡垒机才能和您的ECS服务器正常通信,进行运维审计操作。您可以执行以下步骤设置安全组规则:
堡垒机如何关闭公网运维?
在堡垒机控制台上方,选择堡垒机实例所在的地域。
在左侧导航栏,单击实例。
在实例页面,定位到目标堡垒机实例,单击
图标。
购买堡垒机后,是否仍然能够直接连接ECS实例的IP?
堡垒机实例本身对ECS实例的IP没有进行策略控制,如果您没有配置其他访问控制策略,仍然可以直接连接该ECS实例的IP。
为了保证您服务器运维的合规性及完整性,建议您配置相关访问控制策略,仅允许通过堡垒机实例登录ECS实例进行运维操作。配置访问策略,具体操作,请参见配置控制策略。
堡垒机开放哪些端口,是否可以修改?
堡垒机默认开放以下端口:
443(HTTPS端口,Web管理页面)
60022(SSH运维端口)
63389(RDP运维端口)
9443(审计端口)
V2和V3.1版本不支持修改系统默认端口。V3.2版本支持修改系统默认端口。1~1024为堡垒机保留端口,自定义端口时请不要修改为保留端口。
在堡垒机实例中,如何设置通过内网IP登录ECS服务器?
您可以通过以下两种方式进行设置:
方式一:通过导入ECS实例方式导入的ECS服务器,默认是使用内网IP登录。更多信息,请参见导入阿里云ECS实例。
方式二:修改主机IP类型为内网IP。具体操作步骤如下:
在页面,选择需要修改运维连接IP的主机,选择。
在修改运维连接IP对话框,将主机IP类型选择为内网IP,单击确定。
ECS服务器使用的不是SSH、RDP等协议的标准端口,堡垒机实例该如何配置?
堡垒机实例支持自定义运维端口,您可以在登录堡垒机实例后,修改运维端口。具体操作步骤如下:
在页面,定位到目标服务器,选择。
在修改运维端口页面,选择使用的协议并输入自定义的运维端口号,单击确定。
上传配置备份不成功或提示报错?
您需要确认下是否满足以下场景:
查看两台堡垒机实例版本是否一致,如V3.2.37版本的配置备份无法导入到V3.2.38版本。
查看是否为高规格实例配置导入低规格实例,此场景会导致导入失败。
查看是否为企业双擎版配置导入到基础版,此场景会导致导入失败。
配置备份数据不包含改密任务,如果您之前的实例配置了改密任务,需要在新实例手动设置。如果向设置了改密任务的堡垒机实例同步配置备份,改密任务数据会被清空。
AD/LDAP用户状态为什么显示“用户源已删除”?
堡垒机会定期同步AD/LDAP认证服务器上的用户状态,如果AD/LDAP用户已在服务器上删除或用户的Base DN与堡垒机上配置的Base DN不一致,AD/LDAP用户状态会展示为用户源已删除。
AD/LDAP用户登录堡垒机时会到服务器上进行认证。
导出的资产列表文件,账户密码显示为空?
导出资产信息表格时,如果资产密码为纯数字,账户密码处的单元格可能会出现空白,需要切换为分数格式查看。