通過(guò)Workbench使用密碼或密鑰認(rèn)證登錄Linux實(shí)例
本文中含有需要您注意的重要提示信息,忽略該信息可能對(duì)您的業(yè)務(wù)造成影響,請(qǐng)務(wù)必仔細(xì)閱讀。
相比于VNC,Workbench支持多用戶遠(yuǎn)程連接同一臺(tái)Linux實(shí)例。登錄實(shí)例時(shí),Workbench有密碼、密鑰對(duì)、臨時(shí)密鑰對(duì)和憑據(jù)四種認(rèn)證方式供您選擇,非常便捷高效。
前提條件
已創(chuàng)建服務(wù)關(guān)聯(lián)角色。首次使用Workbench登錄ECS實(shí)例時(shí),系統(tǒng)會(huì)提示您創(chuàng)建Workbench服務(wù)關(guān)聯(lián)角色。更多信息,請(qǐng)參見(jiàn)Workbench服務(wù)關(guān)聯(lián)角色。
重要通過(guò)RAM用戶使用Workbench登錄ECS實(shí)例時(shí),請(qǐng)確保已為該RAM用戶授予AliyunECSWorkbenchFullAccess系統(tǒng)權(quán)限,否則會(huì)提示用戶沒(méi)有權(quán)限。關(guān)于如何授權(quán),請(qǐng)參見(jiàn)為RAM用戶授權(quán)。
實(shí)例已設(shè)置登錄密碼或者綁定密鑰對(duì)。具體操作,請(qǐng)參見(jiàn)重置實(shí)例登錄密碼或綁定SSH密鑰對(duì)。
實(shí)例處于運(yùn)行中狀態(tài)。
實(shí)例已安裝云助手。具體操作,請(qǐng)參見(jiàn)安裝云助手Agent。
實(shí)例所在安全組已允許Workbench服務(wù)相關(guān)的IP訪問(wèn)實(shí)例。安全組規(guī)則詳情和實(shí)例的網(wǎng)絡(luò)類型有關(guān)。具體操作,請(qǐng)參見(jiàn)添加安全組規(guī)則。
專有網(wǎng)絡(luò)實(shí)例
連接專有網(wǎng)絡(luò)實(shí)例時(shí),請(qǐng)?jiān)?b data-tag="uicontrol" class="uicontrol ph" id="uicontrol-gpw-goc-onp" data-spm-anchor-id="a2c4g.147651.0.i13.527b5fa2Nhj9Pd">安全組規(guī)則頁(yè)面的入方向頁(yè)簽添加安全組規(guī)則,如下表所示。
授權(quán)策略
優(yōu)先級(jí)
協(xié)議類型
端口范圍
授權(quán)對(duì)象
允許
1
自定義TCP
Linux實(shí)例默認(rèn)開(kāi)放22端口:選擇SSH(22)。
如果您手動(dòng)開(kāi)放了其他端口:手動(dòng)輸入端口范圍。
如果通過(guò)實(shí)例的公網(wǎng)IP(包括固定公網(wǎng)IP和EIP)連接:添加47.96.60.0/24、118.31.243.0/24、8.139.112.0/24、8.139.99.192/26。
如果通過(guò)實(shí)例的專有網(wǎng)絡(luò)私網(wǎng)IP連接:添加100.104.0.0/16。
警告您也可以添加0.0.0.0/0,但存在安全風(fēng)險(xiǎn),請(qǐng)謹(jǐn)慎使用。
經(jīng)典網(wǎng)絡(luò)實(shí)例
通過(guò)公網(wǎng)連接經(jīng)典網(wǎng)絡(luò)實(shí)例時(shí),請(qǐng)?jiān)?b data-tag="uicontrol" id="uicontrol-8mt-d04-w8a" class="uicontrol">安全組規(guī)則頁(yè)面的公網(wǎng)入方向頁(yè)簽添加安全組規(guī)則,如下表所示。
授權(quán)策略
優(yōu)先級(jí)
協(xié)議類型
端口范圍
授權(quán)對(duì)象
允許
1
自定義TCP
Linux實(shí)例默認(rèn)開(kāi)放22端口:選擇SSH(22)。
如果您手動(dòng)開(kāi)放了其他端口:手動(dòng)輸入端口范圍。
通過(guò)實(shí)例的公網(wǎng)IP(包括固定公網(wǎng)IP和EIP)連接:添加47.96.60.0/24、118.31.243.0/24、8.139.112.0/24、8.139.99.192/26。
警告您也可以添加0.0.0.0/0,但存在安全風(fēng)險(xiǎn),請(qǐng)謹(jǐn)慎使用。
通過(guò)內(nèi)網(wǎng)連接經(jīng)典網(wǎng)絡(luò)實(shí)例,請(qǐng)?jiān)?b data-tag="uicontrol" id="uicontrol-ju7-1m7-0ev" class="uicontrol">安全組規(guī)則頁(yè)面的入方向頁(yè)簽添加安全組規(guī)則,如下表所示。
授權(quán)策略
優(yōu)先級(jí)
協(xié)議類型
端口范圍
授權(quán)對(duì)象
允許
1
自定義TCP
Linux實(shí)例默認(rèn)開(kāi)放22端口:選擇SSH(22)。
如果您手動(dòng)開(kāi)放了其他端口:手動(dòng)輸入端口范圍。
通過(guò)實(shí)例的經(jīng)典網(wǎng)絡(luò)內(nèi)網(wǎng)IP連接:添加11.195.184.0/24和11.246.55.0/24。
警告為內(nèi)網(wǎng)入方向規(guī)則添加0.0.0.0/0存在高安全風(fēng)險(xiǎn),不建議使用。
操作步驟
Workbench的遠(yuǎn)程連接會(huì)話默認(rèn)維持6個(gè)小時(shí),如果您超過(guò)6小時(shí)沒(méi)有任何操作,連接會(huì)自動(dòng)斷開(kāi),您需要重新連接實(shí)例。
在左側(cè)導(dǎo)航欄,選擇 。
在頁(yè)面左側(cè)頂部,選擇目標(biāo)資源所在的資源組和地域。
在實(shí)例列表頁(yè)面,找到需要連接的實(shí)例,單擊對(duì)應(yīng)操作列下的遠(yuǎn)程連接。
在彈出的遠(yuǎn)程連接對(duì)話框中,單擊通過(guò)Workbench遠(yuǎn)程連接對(duì)應(yīng)的立即登錄。
在彈出的登錄實(shí)例對(duì)話框中,輸入登錄信息。
一般情況下按精簡(jiǎn)選項(xiàng)輸入信息即可,如下表所示。
配置項(xiàng)
說(shuō)明
實(shí)例
自動(dòng)填充當(dāng)前實(shí)例的信息,您也可以手動(dòng)輸入其他實(shí)例的IP或名稱。
網(wǎng)絡(luò)連接
專有網(wǎng)絡(luò)實(shí)例支持選擇公網(wǎng)IP或私網(wǎng)IP連接。
經(jīng)典網(wǎng)絡(luò)實(shí)例支持選擇公網(wǎng)IP或內(nèi)網(wǎng)IP連接。
關(guān)于不同網(wǎng)絡(luò)類型說(shuō)明,請(qǐng)參見(jiàn)專有網(wǎng)絡(luò)概述和經(jīng)典網(wǎng)絡(luò)的IP。
認(rèn)證方式
選擇認(rèn)證方式,支持的認(rèn)證方式如下:
密碼認(rèn)證:輸入用戶名(例如root或ecs-user),需要繼續(xù)輸入登錄密碼。
SSH密鑰認(rèn)證:輸入用戶名(例如root或ecs-user),需要繼續(xù)輸入或上傳私鑰。如果私鑰文件已加密,還需要輸入私鑰口令。
憑據(jù)認(rèn)證:選擇已定義好的憑據(jù)或者新增憑據(jù)。
憑據(jù)用于存儲(chǔ)實(shí)例的用戶名、密碼和密鑰等信息,您無(wú)需每次登錄都輸入用戶名、密碼,直接選擇憑據(jù)即可安全登錄實(shí)例。如果您在Workbench中沒(méi)有憑據(jù),請(qǐng)新增憑據(jù)。具體操作,請(qǐng)參見(jiàn)新增憑據(jù)實(shí)現(xiàn)免密登錄。
臨時(shí)SSH密鑰認(rèn)證:直接填入需要登錄的用戶名(例如root或ecs-user)即可,默認(rèn)使用root登錄。
說(shuō)明臨時(shí)SSH密鑰認(rèn)證功能基于云助手的公共命令實(shí)現(xiàn)。
Workbench登錄實(shí)例時(shí)生成一個(gè)有效時(shí)間為1分鐘的臨時(shí)SSH密鑰對(duì)。
并觸發(fā)云助手調(diào)用InvokeCommand,執(zhí)行名稱為
ACS-ECS-EnableSshPublicKey-linux.sh
和ACS-ECS-SendSshPublicKey-linux.sh
的公共命令,將公鑰發(fā)送給目標(biāo)實(shí)例,交于實(shí)例中運(yùn)行的云助手Agent管理。Workbench通過(guò)臨時(shí)密鑰對(duì)成功登錄實(shí)例。
在Workbench側(cè),密鑰對(duì)不會(huì)存儲(chǔ)到數(shù)據(jù)庫(kù),有效時(shí)間為1分鐘,失效后需要重新登錄生成。
在對(duì)話框底部單擊完整選項(xiàng)可以展開(kāi)更多配置項(xiàng),如下表所示。
配置項(xiàng)
說(shuō)明
資源組
默認(rèn)為全部,即可以手動(dòng)選擇任一資源組的資源。
區(qū)域
默認(rèn)為全部,即可以手動(dòng)選擇任一地域的資源。
連接協(xié)議
默認(rèn)為終端連接(SSH)。
說(shuō)明如果您需要使用遠(yuǎn)程桌面(RDP)連接Linux實(shí)例,需要在實(shí)例上安裝RDP服務(wù)(例如xrdp)和圖形化界面。關(guān)于如何安裝圖形化界面,請(qǐng)參見(jiàn)如何在Linux系統(tǒng)的ECS實(shí)例中安裝圖形界面。
端口
連接協(xié)議為終端連接(SSH)時(shí),默認(rèn)端口為22。
如果您修改過(guò)遠(yuǎn)程連接端口,請(qǐng)輸入該端口。
說(shuō)明連接協(xié)議為遠(yuǎn)程桌面(RDP),默認(rèn)端口為3389。
語(yǔ)言環(huán)境
偏好語(yǔ)言影響輸出的內(nèi)容,選擇默認(rèn)時(shí),Workbench自動(dòng)探測(cè)您遠(yuǎn)程主機(jī)的語(yǔ)言設(shè)置并進(jìn)行合適的配置。
字符集
偏好字符集影響輸出內(nèi)容的顯示結(jié)果,選擇默認(rèn)時(shí),Workbench自動(dòng)探測(cè)您遠(yuǎn)程主機(jī)的字符集設(shè)置并進(jìn)行合適的配置。
單擊確定。
如果確定已滿足本文的前提條件,連接實(shí)例時(shí)仍失敗,請(qǐng)檢查實(shí)例內(nèi)部配置是否滿足要求:
開(kāi)啟SSHD的遠(yuǎn)程服務(wù),例如Linux系統(tǒng)中的SSHD服務(wù)。
開(kāi)放終端連接端口,通常為22端口。
如果使用root用戶登錄Linux實(shí)例,需要保證在/etc/ssh/sshd_config文件中配置
PermitRootLogin yes
和PasswordAuthentication yes
。具體操作,請(qǐng)參見(jiàn)為L(zhǎng)inux實(shí)例開(kāi)啟root用戶遠(yuǎn)程登錄。
新增憑據(jù)實(shí)現(xiàn)免密登錄
以下操作指導(dǎo)您在Workbench中如何新增憑據(jù),登錄ECS實(shí)例時(shí)通過(guò)憑據(jù)進(jìn)行身份認(rèn)證。
在左側(cè)導(dǎo)航欄,選擇 。
在頁(yè)面左側(cè)頂部,選擇目標(biāo)資源所在的資源組和地域。
在實(shí)例列表頁(yè)面,找到需要連接的實(shí)例,單擊對(duì)應(yīng)操作列下的遠(yuǎn)程連接。
在彈出的遠(yuǎn)程連接對(duì)話框中,單擊通過(guò)Workbench遠(yuǎn)程連接對(duì)應(yīng)的立即登錄。
在彈出的登錄實(shí)例對(duì)話框中,輸入登錄信息。
新增憑據(jù)。
一般情況下按精簡(jiǎn)選項(xiàng)輸入信息即可,如下表所示。
配置項(xiàng)
說(shuō)明
實(shí)例
自動(dòng)填充,您也可以手動(dòng)選擇其他實(shí)例。
網(wǎng)絡(luò)連接
專有網(wǎng)絡(luò)實(shí)例支持選擇公網(wǎng)IP或私網(wǎng)IP連接。
經(jīng)典網(wǎng)絡(luò)實(shí)例支持選擇公網(wǎng)IP或內(nèi)網(wǎng)IP連接。
認(rèn)證方式
選擇憑據(jù)認(rèn)證。
在憑據(jù)下拉表選擇新增憑據(jù)。
在新增憑據(jù)對(duì)話框中,輸入新增憑據(jù)的信息。
配置項(xiàng)
說(shuō)明
憑據(jù)名稱
輸入新增憑據(jù)的名稱。
用戶名
輸入用戶名,例如root或ecs-user。
憑據(jù)類型
支持以下類型:
密碼:必須繼續(xù)輸入實(shí)例的登錄密碼。
私鑰:必須繼續(xù)輸入或上傳私鑰文件。如果私鑰文件已加密,還需要輸入私鑰口令。
材料名稱
輸入認(rèn)證材料的名稱。
密碼
輸入實(shí)例的登錄密碼。
密碼指紋
根據(jù)認(rèn)證材料自動(dòng)生成密碼指紋。
單擊確定。
在登錄實(shí)例對(duì)話框中,選擇新增的憑據(jù),然后單擊確定。
為L(zhǎng)inux實(shí)例開(kāi)啟root用戶遠(yuǎn)程登錄
部分Linux系統(tǒng)中,SSHD服務(wù)默認(rèn)禁用root用戶遠(yuǎn)程登錄,導(dǎo)致登錄時(shí)提示用戶名或密碼錯(cuò)誤。您可以按照以下步驟開(kāi)啟root用戶遠(yuǎn)程登錄。
使用VNC方式連接實(shí)例。
具體操作,請(qǐng)參見(jiàn)使用VNC登錄實(shí)例。
打開(kāi)SSH配置文件。
vim /etc/ssh/sshd_config
按
i
鍵進(jìn)入編輯模式。將
PermitRootLogin
和PasswordAuthentication
參數(shù)值設(shè)置為yes
,如下所示。PermitRootLogin yes PasswordAuthentication yes
按
Esc
鍵,輸入:wq保存修改。重啟SSHD服務(wù)。
systemctl restart sshd.service
常見(jiàn)問(wèn)題
無(wú)法連接實(shí)例時(shí),您可以自行排查。更多信息,請(qǐng)參見(jiàn)遠(yuǎn)程連接FAQ和GuestOS常見(jiàn)問(wèn)題與修復(fù)方案。