主机访问主机
访问入口

在行云管家中,想要访问一台主机,有两种途径:

1、在云账户主机列表中,找到该台主机的图标,通过主机接入方式菜单打开;

2、在该主机的详情中,通过“接入方式”打开相应的工具;

主机访问方式

在行云管家中,提供三种访问主机的方式:

1、控制台访问

基于原厂的管理终端访问方式(如:阿里云管理终端、腾讯云管理终端);

2、公网IP访问

一般来说,拥有公网IP的主机,我们习惯于直接通过它的公网IP来访问,在行云管家中,我们也为用户提供了这种方便快捷的主机登录方式,在主机详情页面的接入方式中,选择“公网IP访问”,即可通过该主机的公网IP访问,支持RDP、SSH、VNC协议;

公网IP访问意味着需要将这台主机的相关端口直接暴露在公网上,方便的同时,也带来了一定的安全风险,因此我们强烈建议:使用由行云管家独创的高安全性内网IP访问

3、内网IP访问

通过内网访问助手提供的类VPN解决方案,使云主机可以通过内网IP访问,避免将不必要的端口暴露到公网。同时,能够突破用户云主机的公网带宽限制,优化文件传输效率,其传输速度大约为10~30Mbps,且不占用用户云主机的公网带宽。

内网访问服务启用后,请一并设置安全组,尽可能的将无关的端口和服务关闭,保证安全,安全组设置参考:只允许行云管家访问您的主机的远程端口

以快捷方式访问主机

在实际运维过程中,我们更习惯将主机的登录信息形成一个配置文件,避免每次使用时都需要输入。在行云管家中,我们提供了一种叫做“快捷方式”的解决方案,用户可以将访问凭证保存为快捷方式,避免下次访问时重复输入,甚至可以将快捷方式分享给指定的团队内其他成员,无需向其透露主机登录密码;

1、进入主机详情页面,在接入方式中,选择任意一种访问方式,打开访问主机窗口;

2、在访问主机窗口,输入主机的登录凭证信息,在窗口中点击“保存”图标;

3、确认保存的快捷方式名称,同时设置是否将快捷方式分享给团队内其他用户,被分享的用户,将可以使用该快捷方式来访问主机,但其不能编辑该快捷方式;

4、在主机详情的接入方式中,查看刚刚创建的快捷方式;

以登录凭证方式访问主机

快捷方式是一种保存某台主机访问凭证的访问方式,但如果主机数量过多时,为了方便管理,我们就需要一种批量为主机设置访问凭证的方法;

在行云管家中,我们把这种方法称为“登录凭证”,只要创建一个登录凭证,设置好主机的访问协议、用户名等信息,再将相关的主机加入到这个凭证中并录入主机的密码,这些主机便自然能够使用这个登录凭证来访问;

1、进入“运维策略”功能模块,默认看到“登录凭证管理”;

2、点击“创建新的主机登录凭证”进入向导;

3、第一步:填写凭证名称、访问协议、登录账号、凭证类型等基本信息;

3、第二步:选择关联主机,并录入主机的登录密码;

4、第三步:设置授权范围:考虑到安全性因素,如果该登录凭证使用的账户权限过高,您应该将该登录凭证限制为只允许部分成员使用,如:root用户分配给管理员使用,welcome用户分配给普通成员使用;

5、第四步:登录凭证创建成功,点击“关闭”结束向导。

6、在任意一台关联主机详情页面,我们可以看到接入方式中,增加了一项“登录凭证”,我们可以使用这个登录凭证来访问这台主机;

以本地工具访问主机

行云管家提供了很多种访问主机的方式,但是都是基于浏览器的行为,而运维人员在访问主机时,更喜欢使用诸如Putty、SecureCRT、mstsc等本地访问工具。考虑到用户的使用习惯,行云管家为这些用户提供了基于本地工具的访问方式;

前提条件
  • 当前用户拥有“使用本地工具”的功能权限;
  • 当前主机拥有包含了主机登录信息的快捷方式或登录凭证;
  • 如果是Windows客户端,需要安装好行云管家浏览器插件,以支持一键唤醒本地工具功能。
使用过程:
一、Windows客户端:
1、安装好行云管家浏览器插件

Windows客户端支持一键唤醒本地工具的前提是安装行云管家浏览器插件;

请前往下载中心,下载行云管家浏览器插件,并执行.exe安装包即可,无需重新配置Chrome/Firefox扩展程序;

2、在本地工具配置管理中,配置本地工具路径

在开始菜单,打开“Cloudbility/本地工具配置管理”,将您需要用到的本地工具的路径对应配置好;

3、找到需要的快捷方式或登录凭证

拥有快捷方式或登录凭证是前提条件,例如,您希望通过本地工具来使用root用户访问主机,那么请找到root身份的快捷方式或登录凭证。鼠标移入后,在弹出的访问方式上,点击“本地工具访问”;

4、选择本地工具

在打开的对话框中,选择您想使用的本地工具,点击“确定”按钮,即可通过该本地工具访问目标服务器;如果您之前未配置过该本地工具的路径,点击“确定”后需配置工具路径;

5、访问目标服务器

通过本地工具成功访问目标服务器,访问过程可审计、支持录像回放全过程。

二、Mac/Linux客户端:
1、找到需要的快捷方式或登录凭证

拥有快捷方式或登录凭证是前提条件,例如,您希望通过本地工具来使用root用户访问主机,那么请找到root身份的快捷方式或登录凭证。鼠标移入后,在弹出的访问方式上,点击“本地工具访问”;

2、使用本地工具访问串访问主机

打开您本地的终端或本地工具,通过访问串信息远程访问目标服务器;

如何处理会话创建失败的问题?

会话创建失败的原因有很多,归纳起来有以下几种可能,您可以根据错误提示,进行相应的处理:

1、用户名密码(或密钥)错误

如果主机登录密码(或密钥)输入错误,将给出以下错误信息:

处理方式:请填写正确的登录凭证信息,尤其注意空格、大小写等因素,如果您当前登录用户是默认管理员,并确实遗忘了密码,可以重置操作系统管理员密码

2、端口未开放、端口号填写错误

如果相应的远程端口(如3389、22)未开放,或登录凭证中端口号填写错误,导致会话连接超时,将会出现以下错误提示:

处理方式:首先确认端口号是否正确,默认情况下:RDP为3389、SSH为22、VNC为5900,如果您对相关端口做过修改,请确保端口号填写正确;

在端口号确认无误的情况下,您可以通过telnet等方式确认相应的端口是否开放,如果端口未开放,请检查云主机安全组(特指公有云主机)或主机防火墙;

以开放Linux22端口为例:

  • 在安全组中增加一条网络入规则:允许所有IP以TCP协议访问22端口(具体操作请以各家云厂商为准) ;
  • iptables防火墙中增加规则:iptables -I INPUT -p tcp --dport 22 -j ACCEPT。
3、连接被拒绝

目标主机拒绝了连接请求,这种原因可能是多种的,例如访问的端口未开放、内网访问时网络不通等;

处理方式:确保目标主机是可连接的,例如内网访问时,助手或Proxy宿主机和目标主机是否内网互通,访问端口是否正确;

4、访问协议是否正确

访问时,使用了错误的访问协议,导致会话打开失败,一般情况下,Windows远程桌面使用RDP协议、Linux使用SSH协议、同时还有另一种图形化远程协议VNC;

处理方式:请确保您使用了正确的远程协议;

5、RDP的网络验证SSL版本过低

在某些版本的Windows2008 R2操作系统中,由于RDP的网络验证SSL版本过低(TLS V1),导致会出现下面这种错误提示:

处理方式:微软官方已经提供了补丁升级包,您可以考虑对操作系统进行补丁升级(链接:微软TLS版本升级补丁),或者您也可以直接修改目标主机的远程桌面安全级别为:允许运行任意版本远程桌面的计算机连接,即可;

6、发送登录信息后连接被关闭,请检查密码是否正确

在访问Windows服务器时,如果输入的账号密码错误,除了提示“用户名密码(或密钥)错误”外,也会出现以下问题:

处理方式:解决方案同【用户名密码(或密钥)错误

7、与目标主机的连接中断,会话已关闭

在访问Windows服务器时,可能由于RDP的端口错误或账号密码问题,导致会出现下面这种错误提示:

处理方式:

1.请检查RDP端口是否正确、端口是否开放;

2.可能目标主机密码过长,Windows2008以下版本RDP密码官方协议最大限制为16位。

8、Proxy负载过大导致的未知异常

当Proxy宿主机负载过大时,如果仍然新的会话接入,导致会出现下面这种错误提示:

处理方式:

1.直接重启Proxy;

2.如果日常并发会话数量较多,建议在网络内部署多个Proxy达到负载均衡的目的;

9、连接被重置,打开失败

目标主机连接超时,导致出现该问题;

处理方式:

1.请检查远程端口是否正确、端口是否开放;

2.被访主机可能启用了DNS反查,这个查询对于SSH访问而言并无太大意义,建议将其关闭,关闭方法:找到被访主机的/etc/ssh/sshd_config文件,找到UseDNS yes,将其改为UseDNS no,保存后执行service sshd restart重启即可。

10、行云管家中转服务器压力过大

会话所选的中转服务器压力过大,导致创建会话失败,这种情况较少出现。为了保障用户的访问体验,行云管家部署了多路会话中转服务器,并能够根据系统负载动态水平扩展服务能力,确保系统负载能够平均分布在不同的中转服务器;

处理方式:

1.您可以稍后再次创建会话,由系统重新分配中转服务器即可;

2.通过修改中转服务来恢复,可以进入网络页面,选择报错主机所在网络,选择会话中转优化,点击立即测试,选择延迟最低的中转服务设置优先。

11、内网访问时,内网访问助手或Proxy运行不正常

通过内网IP坊问时,如果内网访问助手或Proxy运行不正常,导致内网访问不可用,也将导致会话创建失败;

处理方式:您可以尝试 处理内网访问助手异常处理Proxy异常 来修复内网访问;

12、部分云厂商管理终端,不允许多个用户同时连接

部分云厂商的管理终端(如阿里云管理终端)为独享方式打开,只允许一个用户连接,如果有其它客户端通过任意方式使用同台主机的管理终端(不限定在行云管家中),那么将出现以下提示:

处理方式:等待已连接的客户端连接断开后重新打开即可;

13、SSH密钥格式不正确

当您使用SSH密钥访问主机时,如果您的SSH密钥格式不正确,将导致行云管家无法正常解析您的key文件,那么将出现以下提示:

处理方式:使用正确的SSH密钥文件访问主机;

14、暂时还不支持网络级别的身份验证

目前行云管家已经支持网络级别身份验证,但在访问部分Windows 2008、2012、2016时,仍然可能出现“暂时还不支持网络级别的身份验证”的提示:

处理方式:请在系统闭以下选项,将其置为非勾选:

15、建立连接失败(NLA)

出现NLA错误提示的原因较多,您可以尝试以下处理建议:

处理方式:

1.检查目标主机是否是您当前使用的本地客户端,请不要尝试连接本地客户端;

2.尝试关闭基于网络级别的安全认证,在系统属性中关闭以下选项,将其置为非勾选:

以上几种错误排除后,如果仍然创建失败,请联系我们的行云管家客服在线与您排查问题。

如何设置内网访问助手/Proxy的服务网段
什么是服务网段?

我们知道,在行云管家中访问目标主机或为目标主机安装Agent时,都是由内网访问助手/Proxy(后文简称为Proxy)去访问目标主机,我们需要保证两者之间的网络是畅通的。在大多数场景下,Proxy的访问都是正常的,但如果用户的网络环境非常复杂,您可能会出现种种问题,例如:

  • Proxy拥有192.168.1.10和192.168.2.10两个IP,而被管理的目标主机分布于这两个网段,网段之间的网络质量非常不好,甚至无法访问。如果Proxy在访问192.168.1.18这台主机时,使用的是192.168.2.10这个IP,那么就会导致会话打开失败;
  • 网络内安装了两个Proxy:P1(IP:192.168.1.10)和P2(IP:192.168.2.10),用户在访问192.168.1.18这台主机时,如果是由P2去负责创建会话,那么由于网络质量的原因,也可能导致会话创建失败。

上面两个例子中,如果我们要求在访问192.168.1.*这个网段的主机时,必须使用192.168.1.10,那么Proxy的工作就不会有问题。

在行云管家中,把这种为Proxy的每个IP,指定只为某个网段的主机来服务的方式,叫做服务IP和对应的服务网段,以此来确保不会出现跨网段访问的问题。

如何设置服务网段?

由于在大多数场景下,其实用户都不会出现跨网段访问的问题,因此为了兼顾各种应用场景,我们为用户提供了一下三种服务网段设置方案:

a)允许任意IP连接当前Proxy:不推荐设置此项,可能导致通过公网直接访问该Proxy,较不安全;

b)只允许内网IP连接当前Proxy:默认选项,普通用户选取此项即可;

c)按照指定的网段并使用指定的服务IP:当客户的网络环境较复杂时,通过指定服务IP对应的服务网段,来保障Proxy和目标主机之间的通信质量。

了解了服务网段后,我们接下来看看具体如何进行设置操作。

1、进入相应的网络

在网络功能模块,找到相应的网络后,点击进入;

2、打开行云管家Proxy属性设置窗口

点击已经安装好的行云管家Proxy,将弹出行云管家Proxy属性设置窗口;

3、选择服务网段模式

首先请确定您要采取哪种模式,如果您的网络环境非常简单,建议您采取默认设置“只允许内网IP可以连接此Proxy”;

如果您确实存在前文所述的那些困扰,那么请选择“只允许以下指定网段可以连接此Proxy”;

4、设置服务网段

表格中默认将列出当前Proxy的具备所有IP,您也可以自行添加,点击“添加网段”;

以前面的例子为例,为服务IP“192.168.1.10”,设置对应的服务网段为:192.168.1.0/24;

再次点击“添加网段”,为服务IP“192.168.2.10”,设置对应的服务网段为:192.168.2.0/24;

设置完成后,点击保存按钮即可完成设置。

提示:目前仅支持CDIR格式输入服务网段,在CDIR中,具体IP192.168.1.18,写作:192.168.1.18/32,而网段192.168.1.*,写作:192.168.1.0/24。鉴于篇幅原因,此处不再对CDIR格式进行展开介绍,有需要的用户请自行查阅相关知识。