本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
相比于VNC,Workbench支持多用户远程连接同一台Linux实例。登录实例时,Workbench有密码、密钥对、临时密钥对和凭据四种认证方式供您选择,非常便捷高效。
前提条件
已创建服务关联角色。首次使用Workbench登录ECS实例时,系统会提示您创建Workbench服务关联角色。更多信息,请参见Workbench服务关联角色。
重要通过RAM用户使用Workbench登录ECS实例时,请确保已为该RAM用户授予AliyunECSWorkbenchFullAccess系统权限,否则会提示用户没有权限。关于如何授权,请参见为RAM用户授权。
实例处于运行中状态。
实例已安装云助手。具体操作,请参见安装云助手Agent。
实例所在安全组已允许Workbench服务相关的IP访问实例。安全组规则详情和实例的网络类型有关。具体操作,请参见添加安全组规则。
专有网络实例
连接专有网络实例时,请在安全组规则页面的入方向页签添加安全组规则,如下表所示。
授权策略
优先级
协议类型
端口范围
授权对象
允许
1
自定义TCP
Linux实例默认开放22端口:选择SSH(22)。
如果您手动开放了其他端口:手动输入端口范围。
如果通过实例的公网IP(包括固定公网IP和EIP)连接:添加47.96.60.0/24、118.31.243.0/24、8.139.112.0/24、8.139.99.192/26。
如果通过实例的专有网络私网IP连接:添加100.104.0.0/16。
警告您也可以添加0.0.0.0/0,但存在安全风险,请谨慎使用。
经典网络实例
通过公网连接经典网络实例时,请在安全组规则页面的公网入方向页签添加安全组规则,如下表所示。
授权策略
优先级
协议类型
端口范围
授权对象
允许
1
自定义TCP
Linux实例默认开放22端口:选择SSH(22)。
如果您手动开放了其他端口:手动输入端口范围。
通过实例的公网IP(包括固定公网IP和EIP)连接:添加47.96.60.0/24、118.31.243.0/24、8.139.112.0/24、8.139.99.192/26。
警告您也可以添加0.0.0.0/0,但存在安全风险,请谨慎使用。
通过内网连接经典网络实例,请在安全组规则页面的入方向页签添加安全组规则,如下表所示。
授权策略
优先级
协议类型
端口范围
授权对象
允许
1
自定义TCP
Linux实例默认开放22端口:选择SSH(22)。
如果您手动开放了其他端口:手动输入端口范围。
通过实例的经典网络内网IP连接:添加11.195.184.0/24和11.246.55.0/24。
警告为内网入方向规则添加0.0.0.0/0存在高安全风险,不建议使用。
操作步骤
Workbench的远程连接会话默认维持6个小时,如果您超过6小时没有任何操作,连接会自动断开,您需要重新连接实例。
登录ECS管理控制台。
在左侧导航栏,选择 。
在页面左侧顶部,选择目标资源所在的资源组和地域。
在实例列表页面,找到需要连接的实例,单击对应操作列下的远程连接。
在弹出的远程连接对话框中,单击通过Workbench远程连接对应的立即登录。
在弹出的登录实例对话框中,输入登录信息。
一般情况下按精简选项输入信息即可,如下表所示。
配置项
说明
实例
自动填充当前实例的信息,您也可以手动输入其他实例的IP或名称。
网络连接
专有网络实例支持选择公网IP或私网IP连接。
经典网络实例支持选择公网IP或内网IP连接。
认证方式
选择认证方式,支持的认证方式如下:
密码认证:输入用户名(例如root或ecs-user),需要继续输入登录密码。
SSH密钥认证:输入用户名(例如root或ecs-user),需要继续输入或上传私钥。如果私钥文件已加密,还需要输入私钥口令。
凭据认证:选择已定义好的凭据或者新增凭据。
凭据用于存储实例的用户名、密码和密钥等信息,您无需每次登录都输入用户名、密码,直接选择凭据即可安全登录实例。如果您在Workbench中没有凭据,请新增凭据。具体操作,请参见新增凭据实现免密登录。
临时SSH密钥认证:直接填入需要登录的用户名(例如root或ecs-user)即可,默认使用root登录。
说明临时SSH密钥认证功能基于云助手的公共命令实现。
Workbench登录实例时生成一个有效时间为1分钟的临时SSH密钥对。
并触发云助手调用InvokeCommand,执行名称为
ACS-ECS-EnableSshPublicKey-linux.sh
和ACS-ECS-SendSshPublicKey-linux.sh
的公共命令,将公钥发送给目标实例,交于实例中运行的云助手Agent管理。Workbench通过临时密钥对成功登录实例。
在Workbench侧,密钥对不会存储到数据库,有效时间为1分钟,失效后需要重新登录生成。
在对话框底部单击完整选项可以展开更多配置项,如下表所示。
配置项
说明
资源组
默认为全部,即可以手动选择任一资源组的资源。
区域
默认为全部,即可以手动选择任一地域的资源。
连接协议
默认为终端连接(SSH)。
说明如果您需要使用远程桌面(RDP)连接Linux实例,需要在实例上安装RDP服务(例如xrdp)和图形化界面。关于如何安装图形化界面,请参见如何在Linux系统的ECS实例中安装图形界面。
端口
连接协议为终端连接(SSH)时,默认端口为22。
如果您修改过远程连接端口,请输入该端口。
说明连接协议为远程桌面(RDP),默认端口为3389。
语言环境
偏好语言影响输出的内容,选择默认时,Workbench自动探测您远程主机的语言设置并进行合适的配置。
字符集
偏好字符集影响输出内容的显示结果,选择默认时,Workbench自动探测您远程主机的字符集设置并进行合适的配置。
单击确定。
如果确定已满足本文的前提条件,连接实例时仍失败,请检查实例内部配置是否满足要求:
开启SSHD的远程服务,例如Linux系统中的SSHD服务。
开放终端连接端口,通常为22端口。
如果使用root用户登录Linux实例,需要保证在/etc/ssh/sshd_config文件中配置
PermitRootLogin yes
和PasswordAuthentication yes
。具体操作,请参见为Linux实例开启root用户远程登录。
新增凭据实现免密登录
以下操作指导您在Workbench中如何新增凭据,登录ECS实例时通过凭据进行身份认证。
登录ECS管理控制台。
在左侧导航栏,选择 。
在页面左侧顶部,选择目标资源所在的资源组和地域。
在实例列表页面,找到需要连接的实例,单击对应操作列下的远程连接。
在弹出的远程连接对话框中,单击通过Workbench远程连接对应的立即登录。
在弹出的登录实例对话框中,输入登录信息。
新增凭据。
一般情况下按精简选项输入信息即可,如下表所示。
配置项
说明
实例
自动填充,您也可以手动选择其他实例。
网络连接
专有网络实例支持选择公网IP或私网IP连接。
经典网络实例支持选择公网IP或内网IP连接。
认证方式
选择凭据认证。
在凭据下拉表选择新增凭据。
在新增凭据对话框中,输入新增凭据的信息。
配置项
说明
凭据名称
输入新增凭据的名称。
用户名
输入用户名,例如root或ecs-user。
凭据类型
支持以下类型:
密码:必须继续输入实例的登录密码。
私钥:必须继续输入或上传私钥文件。如果私钥文件已加密,还需要输入私钥口令。
材料名称
输入认证材料的名称。
密码
输入实例的登录密码。
密码指纹
根据认证材料自动生成密码指纹。
单击确定。
在登录实例对话框中,选择新增的凭据,然后单击确定。
为Linux实例开启root用户远程登录
部分Linux系统中,SSHD服务默认禁用root用户远程登录,导致登录时提示用户名或密码错误。您可以按照以下步骤开启root用户远程登录。
使用VNC方式连接实例。
具体操作,请参见使用VNC登录实例。
打开SSH配置文件。
vim /etc/ssh/sshd_config
按
i
键进入编辑模式。将
PermitRootLogin
和PasswordAuthentication
参数值设置为yes
,如下所示。PermitRootLogin yes PasswordAuthentication yes
按
Esc
键,输入:wq保存修改。重启SSHD服务。
systemctl restart sshd.service
常见问题
无法连接实例时,您可以自行排查。更多信息,请参见远程连接FAQ和GuestOS常见问题与修复方案。