访问主机 - 产品文档

在行云管家中，想要访问一台主机，有两种途径：

1、在云账户主机列表中，找到该台主机的图标，通过主机接入方式菜单打开；

2、在该主机的详情中，通过“接入方式”打开相应的工具；

在行云管家中，提供三种访问主机的方式：

1、控制台访问

基于原厂的管理终端访问方式（如：阿里云管理终端、腾讯云管理终端）;

2、公网IP访问

一般来说，拥有公网IP的主机，我们习惯于直接通过它的公网IP来访问，在行云管家中，我们也为用户提供了这种方便快捷的主机登录方式，在主机详情页面的接入方式中，选择“公网IP访问”，即可通过该主机的公网IP访问，支持RDP、SSH、VNC协议；

公网IP访问意味着需要将这台主机的相关端口直接暴露在公网上，方便的同时，也带来了一定的安全风险，因此我们强烈建议：使用由行云管家独创的高安全性内网IP访问

3、内网IP访问

通过内网访问助手提供的类VPN解决方案，使云主机可以通过内网IP访问，避免将不必要的端口暴露到公网。同时，能够突破用户云主机的公网带宽限制，优化文件传输效率，其传输速度大约为10~30Mbps，且不占用用户云主机的公网带宽。

内网访问服务启用后，请一并设置安全组，尽可能的将无关的端口和服务关闭，保证安全，安全组设置参考：只允许行云管家访问您的主机的远程端口

在实际运维过程中，我们更习惯将主机的登录信息形成一个配置文件，避免每次使用时都需要输入。在行云管家中，我们提供了一种叫做“快捷方式”的解决方案，用户可以将访问凭证保存为快捷方式，避免下次访问时重复输入，甚至可以将快捷方式分享给指定的团队内其他成员，无需向其透露主机登录密码；

1、进入主机详情页面，在接入方式中，选择任意一种访问方式，打开访问主机窗口；

2、在访问主机窗口，输入主机的登录凭证信息，在窗口中点击“保存”图标；

3、确认保存的快捷方式名称，同时设置是否将快捷方式分享给团队内其他用户，被分享的用户，将可以使用该快捷方式来访问主机，但其不能编辑该快捷方式；

4、在主机详情的接入方式中，查看刚刚创建的快捷方式；

快捷方式是一种保存某台主机访问凭证的访问方式，但如果主机数量过多时，为了方便管理，我们就需要一种批量为主机设置访问凭证的方法；

在行云管家中，我们把这种方法称为“登录凭证”，只要创建一个登录凭证，设置好主机的访问协议、用户名等信息，再将相关的主机加入到这个凭证中并录入主机的密码，这些主机便自然能够使用这个登录凭证来访问；

1、进入“运维策略”功能模块，默认看到“登录凭证管理”；

2、点击“创建新的主机登录凭证”进入向导；

3、第一步：填写凭证名称、访问协议、登录账号、凭证类型等基本信息；

3、第二步：选择关联主机，并录入主机的登录密码；

4、第三步：设置授权范围：考虑到安全性因素，如果该登录凭证使用的账户权限过高，您应该将该登录凭证限制为只允许部分成员使用，如：root用户分配给管理员使用，welcome用户分配给普通成员使用；

5、第四步：登录凭证创建成功，点击“关闭”结束向导。

6、在任意一台关联主机详情页面，我们可以看到接入方式中，增加了一项“登录凭证”，我们可以使用这个登录凭证来访问这台主机；

行云管家提供了很多种访问主机的方式，但是都是基于浏览器的行为，而运维人员在访问主机时，更喜欢使用诸如Putty、SecureCRT、mstsc等本地访问工具。考虑到用户的使用习惯，行云管家为这些用户提供了基于本地工具的访问方式；

前提条件

当前用户拥有“使用本地工具”的功能权限；
当前主机拥有包含了主机登录信息的快捷方式或登录凭证；
如果是Windows客户端，需要安装好行云管家浏览器插件，以支持一键唤醒本地工具功能。

使用过程：

一、Windows客户端：

1、安装好行云管家浏览器插件

Windows客户端支持一键唤醒本地工具的前提是安装行云管家浏览器插件；

请前往下载中心，下载行云管家浏览器插件，并执行.exe安装包即可，无需重新配置Chrome/Firefox扩展程序；

2、在本地工具配置管理中，配置本地工具路径

在开始菜单，打开“Cloudbility/本地工具配置管理”，将您需要用到的本地工具的路径对应配置好；

3、找到需要的快捷方式或登录凭证

拥有快捷方式或登录凭证是前提条件，例如，您希望通过本地工具来使用root用户访问主机，那么请找到root身份的快捷方式或登录凭证。鼠标移入后，在弹出的访问方式上，点击“本地工具访问”；

4、选择本地工具

在打开的对话框中，选择您想使用的本地工具，点击“确定”按钮，即可通过该本地工具访问目标服务器；如果您之前未配置过该本地工具的路径，点击“确定”后需配置工具路径；

5、访问目标服务器

通过本地工具成功访问目标服务器，访问过程可审计、支持录像回放全过程。

二、Mac/Linux客户端：

1、找到需要的快捷方式或登录凭证

拥有快捷方式或登录凭证是前提条件，例如，您希望通过本地工具来使用root用户访问主机，那么请找到root身份的快捷方式或登录凭证。鼠标移入后，在弹出的访问方式上，点击“本地工具访问”；

2、使用本地工具访问串访问主机

打开您本地的终端或本地工具，通过访问串信息远程访问目标服务器；

会话创建失败的原因有很多，归纳起来有以下几种可能，您可以根据错误提示，进行相应的处理：

1、用户名密码（或密钥）错误

如果主机登录密码（或密钥）输入错误，将给出以下错误信息：

处理方式：请填写正确的登录凭证信息，尤其注意空格、大小写等因素，如果您当前登录用户是默认管理员，并确实遗忘了密码，可以重置操作系统管理员密码；

2、端口未开放、端口号填写错误

如果相应的远程端口（如3389、22）未开放，或登录凭证中端口号填写错误，导致会话连接超时，将会出现以下错误提示：

处理方式：首先确认端口号是否正确，默认情况下：RDP为3389、SSH为22、VNC为5900，如果您对相关端口做过修改，请确保端口号填写正确；

在端口号确认无误的情况下，您可以通过telnet等方式确认相应的端口是否开放，如果端口未开放，请检查云主机安全组（特指公有云主机）或主机防火墙；

以开放Linux22端口为例：

在安全组中增加一条网络入规则：允许所有IP以TCP协议访问22端口（具体操作请以各家云厂商为准） ;
iptables防火墙中增加规则：iptables -I INPUT -p tcp --dport 22 -j ACCEPT。

3、连接被拒绝

目标主机拒绝了连接请求，这种原因可能是多种的，例如访问的端口未开放、内网访问时网络不通等；

处理方式：确保目标主机是可连接的，例如内网访问时，助手或Proxy宿主机和目标主机是否内网互通，访问端口是否正确；

4、访问协议是否正确

访问时，使用了错误的访问协议，导致会话打开失败，一般情况下，Windows远程桌面使用RDP协议、Linux使用SSH协议、同时还有另一种图形化远程协议VNC；

处理方式：请确保您使用了正确的远程协议；

5、RDP的网络验证SSL版本过低

在某些版本的Windows2008 R2操作系统中，由于RDP的网络验证SSL版本过低（TLS V1），导致会出现下面这种错误提示：

处理方式：微软官方已经提供了补丁升级包，您可以考虑对操作系统进行补丁升级（链接：微软TLS版本升级补丁），或者您也可以直接修改目标主机的远程桌面安全级别为：允许运行任意版本远程桌面的计算机连接，即可；

6、发送登录信息后连接被关闭，请检查密码是否正确

在访问Windows服务器时，如果输入的账号密码错误，除了提示“用户名密码（或密钥）错误”外，也会出现以下问题：

处理方式：解决方案同【用户名密码（或密钥）错误】

7、与目标主机的连接中断，会话已关闭

在访问Windows服务器时，可能由于RDP的端口错误或账号密码问题，导致会出现下面这种错误提示：

处理方式：

1.请检查RDP端口是否正确、端口是否开放；

2.可能目标主机密码过长，Windows2008以下版本RDP密码官方协议最大限制为16位。

8、Proxy负载过大导致的未知异常

当Proxy宿主机负载过大时，如果仍然新的会话接入，导致会出现下面这种错误提示：

处理方式：

1.直接重启Proxy；

2.如果日常并发会话数量较多，建议在网络内部署多个Proxy达到负载均衡的目的；

9、连接被重置，打开失败

目标主机连接超时，导致出现该问题；

处理方式：

1.请检查远程端口是否正确、端口是否开放；

2.被访主机可能启用了DNS反查，这个查询对于SSH访问而言并无太大意义，建议将其关闭，关闭方法：找到被访主机的/etc/ssh/sshd_config文件，找到UseDNS yes，将其改为UseDNS no，保存后执行service sshd restart重启即可。

10、行云管家中转服务器压力过大

会话所选的中转服务器压力过大，导致创建会话失败，这种情况较少出现。为了保障用户的访问体验，行云管家部署了多路会话中转服务器，并能够根据系统负载动态水平扩展服务能力，确保系统负载能够平均分布在不同的中转服务器；

处理方式：

1.您可以稍后再次创建会话，由系统重新分配中转服务器即可；

2.通过修改中转服务来恢复，可以进入网络页面，选择报错主机所在网络，选择会话中转优化，点击立即测试，选择延迟最低的中转服务设置优先。

11、内网访问时，内网访问助手或Proxy运行不正常

通过内网IP坊问时，如果内网访问助手或Proxy运行不正常，导致内网访问不可用，也将导致会话创建失败；

处理方式：您可以尝试处理内网访问助手异常或处理Proxy异常来修复内网访问；

12、部分云厂商管理终端，不允许多个用户同时连接

部分云厂商的管理终端（如阿里云管理终端）为独享方式打开，只允许一个用户连接，如果有其它客户端通过任意方式使用同台主机的管理终端（不限定在行云管家中），那么将出现以下提示：

处理方式：等待已连接的客户端连接断开后重新打开即可；

13、SSH密钥格式不正确

当您使用SSH密钥访问主机时，如果您的SSH密钥格式不正确，将导致行云管家无法正常解析您的key文件，那么将出现以下提示：

处理方式：使用正确的SSH密钥文件访问主机；

14、暂时还不支持网络级别的身份验证

目前行云管家已经支持网络级别身份验证，但在访问部分Windows 2008、2012、2016时，仍然可能出现“暂时还不支持网络级别的身份验证”的提示：

处理方式：请在系统闭以下选项，将其置为非勾选：

15、建立连接失败（NLA）

出现NLA错误提示的原因较多，您可以尝试以下处理建议：

处理方式：

1.检查目标主机是否是您当前使用的本地客户端，请不要尝试连接本地客户端；

2.尝试关闭基于网络级别的安全认证，在系统属性中关闭以下选项，将其置为非勾选：

以上几种错误排除后，如果仍然创建失败，请联系我们的行云管家客服在线与您排查问题。

什么是服务网段？

我们知道，在行云管家中访问目标主机或为目标主机安装Agent时，都是由内网访问助手/Proxy（后文简称为Proxy）去访问目标主机，我们需要保证两者之间的网络是畅通的。在大多数场景下，Proxy的访问都是正常的，但如果用户的网络环境非常复杂，您可能会出现种种问题，例如：

Proxy拥有192.168.1.10和192.168.2.10两个IP，而被管理的目标主机分布于这两个网段，网段之间的网络质量非常不好，甚至无法访问。如果Proxy在访问192.168.1.18这台主机时，使用的是192.168.2.10这个IP，那么就会导致会话打开失败；
网络内安装了两个Proxy：P1（IP：192.168.1.10）和P2（IP：192.168.2.10），用户在访问192.168.1.18这台主机时，如果是由P2去负责创建会话，那么由于网络质量的原因，也可能导致会话创建失败。

上面两个例子中，如果我们要求在访问192.168.1.*这个网段的主机时，必须使用192.168.1.10，那么Proxy的工作就不会有问题。

在行云管家中，把这种为Proxy的每个IP，指定只为某个网段的主机来服务的方式，叫做服务IP和对应的服务网段，以此来确保不会出现跨网段访问的问题。

如何设置服务网段？

由于在大多数场景下，其实用户都不会出现跨网段访问的问题，因此为了兼顾各种应用场景，我们为用户提供了一下三种服务网段设置方案：

a）允许任意IP连接当前Proxy：不推荐设置此项，可能导致通过公网直接访问该Proxy，较不安全；

b）只允许内网IP连接当前Proxy：默认选项，普通用户选取此项即可；

c）按照指定的网段并使用指定的服务IP：当客户的网络环境较复杂时，通过指定服务IP对应的服务网段，来保障Proxy和目标主机之间的通信质量。

了解了服务网段后，我们接下来看看具体如何进行设置操作。

1、进入相应的网络

在网络功能模块，找到相应的网络后，点击进入;