本文介绍运维安全中心(堡垒机)连接服务器时的常见问题以及解决方案。
通过堡垒机访问服务器公网地址失败,该如何解决?
您可以通过以下方法进行排查:
测试堡垒机与服务器的端口是否连通。具体操作,请参见网络诊断。如若服务器端口号做过更改(非标准端口),需在堡垒机资产管理页面修改对应主机服务端口。具体操作,请参见修改主机的服务端口。
检查安全组是否放行堡垒机公网出口IP。如何添加安全组,请参见添加安全组规则。
您可以访问堡垒机控制台,在堡垒机实例列表获取公网出口IP。
检查服务器本身是否配置有防火墙firewall或iptables(Windows防火墙或其他防护软件)禁止了堡垒机访问。
检查是否存在云防火墙等中间设备阻拦堡垒机访问服务器。查看云防火墙开关是否开启对堡垒机实例的保护以及对应安全策略是否有限制拦截,具体操作,请参见云防火墙和运维安全中心(堡垒机)联合部署访问策略的最佳实践。
通过堡垒机访问服务器内网地址失败,该如何解决?
您可以通过以下方法进行排查:
测试堡垒机与服务器的端口是否连通。具体操作,请参见网络诊断。如若服务器端口号做过更改(非标准端口),需在堡垒机资产管理页面修改对应主机服务端口。具体操作,请参见修改主机的服务端口。
检查安全组是否放行堡垒机内网出口IP。如何添加安全组,请参见添加安全组规则。
您可以访问堡垒机控制台,在堡垒机实例列表获取内网出口IP。
排查堡垒机与服务器的内网网络是否打通,是否在同一个VPC下。若没有在同一个VPC,请您使用云企业网打通堡垒机与服务器之间的VPC或者升配堡垒机规格版本为企业双擎版通过公网代理服务器访问另一个VPC下ECS资产。具体操作,请参见什么是云企业网或混合运维场景最佳实践。
说明若堡垒机与服务器所在VPC不在同一地域,您需要购买云企业网带宽。如果您不购买带宽包,默认跨地域访问的数据传输速率仅有1 Kbps,虽然网络互通,但是不足以保证正常运维。具体操作,请参见使用带宽包。
检查服务器是否处于经典网络,如果服务器使用经典网络,需要通过ClassicLink打通堡垒机VPC与该经典网络。ClassicLink功能更多信息,请参见ClassicLink概述。
检查服务器本身是否配置有防火墙firewall或iptables(Windows防火墙或其他防护软件)禁止了堡垒机访问。
检查是否存在云防火墙等中间设备阻拦堡垒机访问服务器。查看云防火墙开关是否开启对堡垒机实例的保护以及对应安全策略是否有限制拦截,具体操作,请参见云防火墙和运维安全中心(堡垒机)联合部署访问策略的最佳实践。
查看服务器的IP是否与堡垒机内网出口IP和内网域名解析出的IP冲突,导致服务器数据无法到达堡垒机。
检查服务器IP是否为公网私用IP。如果您服务器IP为公网私用IP,您可以在堡垒机中配置公网私用,具体操作,请参见配置公网私用。
客户端操作系统升级到Windows11 24H2版本后,通过堡垒机使用远程桌面连接运维时出现花屏、卡顿,该如何解决?
可以回退mstsc版本,在"C:\Windows.old\Windows\System32\mstsc.exe"找到升级前的mstsc版本 ,使用升级前的mstsc连接堡垒机进行运维。
堡垒机新建主机账户验密报错,该如何解决?
您可以通过以下方法解决:
现象一:验密超时或失败。
验密超时一般是网络不通导致,需要先测试堡垒机到资产的连通性。具体操作,请参见网络诊断。
如果连通性不正常,可能是堡垒机到主机的网络不通。更多信息,请参见通过堡垒机访问服务器公网地址失败,该如何解决?和通过堡垒机访问服务器内网地址失败,该如何解决?。
如果连通性正常,但还是显示验密超时或失败,可能是网络同步不及时。您可以先把账户密码托管到堡垒机上,再尝试资产运维。托管账户密码到堡垒机,请参见配置主机账户。
现象二:验密失败,密码错误。
密码认证时,填写的账户密码需要和资产上设置的账户密码保持一致,您可以检查下账户密码的填写是否正确。具体操作,请参见配置主机账户。
堡垒机主机运维页面看不到主机,是什么原因?
RAM用户未授权主机:请您为RAM用户授权主机后再查看,具体操作,请参见为用户授权资产及资产账户。
RAM用户已授权主机:请您使用授权主机的RAM用户登录堡垒机进行查看。
登录堡垒机之后为什么显示EMPTY账户?
您在系统设置中勾选允许用户未授权资产账户访问资产之后,如果只给运维人员授权了资产但是未授权主机账户,登录时就会显示EMPTY账户。如何授权主机账户,请参见为用户授权资产账户。
堡垒机通过密钥认证方式访问服务器失败,该如何解决?
仅V3.2.38以下版本的堡垒机会出现该问题。
部分操作系统(如Rocky 9、Ubuntu 22.04及以上)服务器使用OpenSSH 8.7及以上版本,默认禁用ssh-rsa公钥签名算法,导致堡垒机通过密钥认证访问该服务器失败。您可以参考以下步骤配置sshd_config文件,手动启用服务器端ssh-rsa公钥签名算法的参数。
打开sshd_config配置文件。
vim /etc/ssh/sshd_config
在sshd_config配置文件中,添加如下配置内容并保存。
HostKeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms +ssh-rsa
重启sshd服务。
systemctl restart sshd