13.1.1 登录云堡垒机系统异常怎么办?
问题现象
● IP地址无法连接,网页打不开,不能通过互联网页面正常登录。
● 登录系统后界面异常无法显示。
● 登录系统提示授权未生效。
● AD域认证的用户登录失败。
● 堡垒机不能正常登录,公网地址也不能访问。
可能原因
原因一:系统磁盘空间满了,磁盘空间使用率过高。
原因二:系统软件版本未更新,存在磁盘空间被占用,未被释放可能。
原因三:用户登录使用浏览器或浏览器版本,与系统不兼容。
原因四:实例配置安全组不合理。
原因五:实例配置VPC内,网络ACL规则配置不合理,或登录IP被网络ACL限制。
原因六:配置AD域认证时,未禁用SSL加密认证。
原因七:堡垒机版本较低。
解决办法
原因一:
● 定期“手动删除”指定日期前的日志、视频等历史数据。设置磁盘空间满时日志
“自动删除”,保证磁盘有足够空间。详细配置说明请参见存储配置。
● 对云堡垒机实例进行规格变更,满足大容量磁盘需求。
● 建议配置系统性能的磁盘空间使用率告警通知,当磁盘空间使用率超过设定阈值
● 若因网络ACL配置不合理导致异常,请先排查网络ACL规则,并参考CBH安全组规 则放开出/入方向端口,再重新登录云堡垒机系统。
● 若因云堡垒机登录IP被网络ACL限制,请先排查网络ACL规则,并重新配置ACL规 则,添加云堡垒机公网IP(即弹性IP)为允许。
说明
浏览器登录云堡垒机需放开入方向TCP协议443端口,SSH客户端登录云堡垒机需放开入方 向TCP协议2222端口。
原因六:
● 系统管理员admin登录云堡垒机系统,重新配置AD域认证,取消SSL加密认证。
● 检查用户登录IP地址和MAC地址是否被加入用户访问限制,请参见用户登录限
● 通过Web浏览器登录云堡垒机系统,上报“您的MAC地址不在允许登录的范围
解决办法
请管理员排查用户登录限制配置,查看是否配置“登录IP地址限制”和“登录MAC地 址限制”白名单或黑名单。
● 若配置了白名单,请根据配置的IP/MAC地址,使用配置范围内的服务器登录。
● 若配置了黑名单,请根据配置的IP/MAC地址,使用未被限制的服务器登录。
13.1.3 登录系统,系统提示“404:服务错误”怎么办?
问题现象
通过Web浏览器登录云堡垒机系统,弹出系统提示框,提示“/3.0/AUTHSERVICE/
CONFIG-404:服务错误”。
可能原因
13.1.4 登录系统,系统提示“499:服务错误”怎么办?
问题现象
通过Web浏览器登录云堡垒机系统,弹出系统提示框,提示“/3.0/profileService/
freshProfile 499:服务错误,请稍后重试”。
可能原因
云堡垒机系统还处于“正在重启”状态中,当前系统还不可用。
解决办法
5分钟后再登录CBH系统,待系统重启完成,详细重启说明请参见重启实例。
13.1.5 内网用户登录云堡垒机系统,可能会遇到哪些故障?
可能原因
● 现象一:使用云堡垒机远程登录,无法使用主帐号administrator进行远程登录。
● 现象二:使用云堡垒机普通帐号,无法登录Windows虚拟机,管理员帐号可以登 录。
可能原因
● 现象一的原因:用户主机为非RDP协议类型的,但开启了RDP强制登录(admin console配置)。
● 现象二的原因:用户使用了RDP协议类型的主机,Windows远程桌面连接数超过 最大限值。
解决办法
● 现象一的解决办法:参考开启RDP强制登录章节,去掉勾选“admin console”连 接模式。
● 现象二的解决办法:参考开启RDP强制登录章节,勾选“admin console”连接模 式。
13.1.7 通过 VPN 或者 VPC Peering 打通 VPC 后,新 VPC 下的 VM 登录失败怎么办?
问题现象
1. 客户创建堡垒机时,选择了网段为10的VPC。
2. 客户通过VPN或者VPC Peering将另外一个192网段的VPC与10的VPC打通。
3. 客户可以通过10或者192的VPC下的VM正常访问堡垒机。
4. 客户在使用过程中,低概率出现无法通过192网段的VM访问堡垒机。
5. 登录堡垒机检查网络配置,发现出现红框中的路由。
图13-1 检查网络配置
问题原因
客户的堡垒机未升级,使用的是3.3.26.0之前的版本,堡垒机3.3.26.0之前的版本存在 缺陷。在堡垒机业务压力大的情况下,当进行系统状态检查时,线程异常退出导致路 由刷新失败,将客户的请求流量错误地转发到ETH0后丢弃,致使登录堡垒机失败。
解决办法
将云堡垒机系统版本升级到3.3.26.0版本,具体的操作方法请参见升级版本。