文档

堡垒机连接服务器相关问题

更新时间:

本文介绍运维安全中心(堡垒机)连接服务器时的常见问题以及解决方案。

通过堡垒机访问服务器公网地址失败,该如何解决?

您可以通过以下方法进行排查:

  • 测试堡垒机与服务器的端口是否连通。具体操作,请参见网络诊断。如若服务器端口号做过更改(非标准端口),需在堡垒机资产管理页面修改对应主机服务端口。具体操作,请参见修改主机的服务端口

  • 检查安全组是否放行堡垒机公网出口IP。如何添加安全组,请参见添加安全组规则

    您可以访问堡垒机控制台,在堡垒机实例列表获取公网出口IP。

  • 检查服务器本身是否配置有防火墙firewall或iptables(Windows防火墙或其他防护软件)禁止了堡垒机访问。

  • 检查是否存在云防火墙等中间设备阻拦堡垒机访问服务器。查看云防火墙开关是否开启对堡垒机实例的保护以及对应安全策略是否有限制拦截,具体操作,请参见云防火墙和运维安全中心(堡垒机)联合部署访问策略的最佳实践

通过堡垒机访问服务器内网地址失败,该如何解决?

您可以通过以下方法进行排查:

  • 测试堡垒机与服务器的端口是否连通。具体操作,请参见网络诊断。如若服务器端口号做过更改(非标准端口),需在堡垒机资产管理页面修改对应主机服务端口。具体操作,请参见修改主机的服务端口

  • 检查安全组是否放行堡垒机内网出口IP。如何添加安全组,请参见添加安全组规则

    您可以访问堡垒机控制台,在堡垒机实例列表获取内网出口IP。

  • 排查堡垒机与服务器的内网网络是否打通,是否在同一个VPC下。若没有在同一个VPC,请您使用云企业网打通堡垒机与服务器之间的VPC或者升配堡垒机规格版本为企业双擎版通过公网代理服务器访问另一个VPC下ECS资产。具体操作,请参见什么是云企业网混合运维场景最佳实践

    说明

    若堡垒机与服务器所在VPC不在同一地域,您需要购买云企业网带宽。如果您不购买带宽包,默认跨地域访问的数据传输速率仅有1 Kbps,虽然网络互通,但是不足以保证正常运维。具体操作,请参见使用带宽包

  • 检查服务器是否处于经典网络,如果服务器使用经典网络,需要通过ClassicLink打通堡垒机VPC与该经典网络。ClassicLink功能更多信息,请参见ClassicLink概述

    说明

    打通经典网络与VPC之后,如果堡垒机仍无法访问服务器,请您检查云服务器 ECS安全组是否放开堡垒机出口IP。您可以登录堡垒机控制台,在堡垒机实例列表获取出口IP。

    添加安全组的具体操作,请参见添加安全组规则

  • 检查服务器本身是否配置有防火墙firewall或iptables(Windows防火墙或其他防护软件)禁止了堡垒机访问。

  • 检查是否存在云防火墙等中间设备阻拦堡垒机访问服务器。查看云防火墙开关是否开启对堡垒机实例的保护以及对应安全策略是否有限制拦截,具体操作,请参见云防火墙和运维安全中心(堡垒机)联合部署访问策略的最佳实践

  • 查看服务器的IP是否与堡垒机内网出口IP和内网域名解析出的IP冲突,导致服务器数据无法到达堡垒机。

  • 检查服务器IP是否为公网私用IP。如果您服务器IP为公网私用IP,您可以在堡垒机中配置公网私用,具体操作,请参见配置公网私用

堡垒机新建主机账户验密报错,该如何解决?

您可以通过以下方法解决:

堡垒机主机运维页面看不到主机,是什么原因?

  • RAM用户未授权主机:请您为RAM用户授权主机后再查看,具体操作,请参见按用户授权主机

  • RAM用户已授权主机:请您使用授权主机的RAM用户登录堡垒机进行查看。

登录堡垒机之后为什么显示EMPTY账户?

您在系统设置中勾选允许用户未授权资产账户访问资产之后,如果只给运维人员授权了资产但是未授权主机账户,登录时就会显示EMPTY账户。如何授权主机账户,请参见授权主机账户授权

堡垒机通过密钥认证方式访问服务器失败,该如何解决?

说明

仅V3.2.38以下版本的堡垒机会出现该问题。

部分操作系统(如Rocky 9、Ubuntu 22.04及以上)服务器使用OpenSSH 8.7及以上版本,默认禁用ssh-rsa公钥签名算法,导致堡垒机通过密钥认证访问该服务器失败。您可以参考以下步骤配置sshd_config文件,手动启用服务器端ssh-rsa公钥签名算法的参数。

  1. 打开sshd_config配置文件。

    vim /etc/ssh/sshd_config
  2. 在sshd_config配置文件中,添加如下配置内容并保存。

    HostKeyAlgorithms +ssh-rsa
    PubkeyAcceptedAlgorithms +ssh-rsa
  3. 重启sshd服务。

    systemctl restart sshd