13.2.1 通过云堡垒机登录资源异常怎么办?
问题现象
● 通过云堡垒机登录资源,云主机黑屏无法正常显示。
● 通过云堡垒机登录资源,登录不上或出现网络断连。
● 通过云堡垒机纳管资源后,登录不了资源。
可能原因
原因一:资源主机服务器卡顿,网络连接不稳定。
原因二:云堡垒机共享带宽不满足使用需求。
原因三:资源相关主机服务授权到期,例如Windows授权到期,RDP远程服务120天授 权到期等。
原因四:堡垒机实例与纳管的主机不在同一VPC。
解决办法
原因一:
● 重启相应主机资源,重新开机后网络恢复正常。登录云堡垒机系统,网络诊断验 证云堡垒机与主机资源之间的网络连接情况。
● 若重启主机不能解决,建议再排查云服务器故障/卡顿。
原因二:
● 重新配置CBH实例绑定EIP的带宽,建议配置5M以上带宽,详细带宽超限说明,
请参见如何排查EIP带宽是否超限?
● 排查并修改配置完成后,重启CBH系统。
原因三:
重新购买资源相关主机服务,获取授权后,再使用云堡垒机登录资源。
原因四:
云堡垒机仅支持直接管理同一VPC内资源,即可直接访问同一VPC内资源。
虽跨区域或跨VPC可通过云服务构建网络连接,但受限于网络的不稳定性,不建议跨 区域或跨VPC使用云堡垒机纳管资源。
● 跨VPC情况下,可通过对等连接打通两个VPC之间网络。
● 跨区域情况下,可通过云连接(Cloud Connect,CC)、虚拟专用网(Virtual Private Network,VPN)等构建跨区域网络。
其他异常问题处理办法
● 云堡垒机登录资源,报Code:T_514错误怎么办?
● 云堡垒机登录主机资源,报Code:C_515错误怎么办?
● 云堡垒机登录主机资源,报Code:C_519错误怎么办?
● 云堡垒机登录Linux主机,报Code:C_769错误怎么办?
如果通过上述排查,仍然无法登录主机资源,请单击管理控制台右上方的“工单”,
填写工单信息反馈问题现象,联系技术支持。
13.2.2 通过 Web 浏览器登录资源,报 Code:T_514 错误怎么办?
问题现象
通过Web浏览器登录资源,会话页面载入失败,提示“由于服务器长时间无响应,连 接已断开,请检查您的网络并重试(Code:T_514)”。
可能原因
● 云堡垒机系统与资源服务器之间网络连接不稳定,导致连接断开。
● 云堡垒机系统到资源服务器的网络被设置拦截,导致网络不通畅。
● 资源服务器异常无响应,导致连接断开。
图13-2 排查思路
检查网络连接情况
登录云堡垒机系统,网络诊断ping连通性测试,验证云堡垒机与资源服务器之间的网 络连接是否正常。 运维资源,需先申请外网访问权限或申请Websocket权限。
b. 检查CBH系统环境是否配置合理 荐端口,重新配置CBH安全组。
用户若通过Web浏览器方式登录资源,请手动添加安全组规则TCP协议443入方向。
步骤4 检查云堡垒机所在内网关联的网络ACL ,排查ACL规则配置是否合理。
解除云堡垒机IP地址的访问限制,以及在“目的地址”中添加资源IP地址,允许云堡垒 机访问资源。
步骤5 重新设置后,尝试重新通过CBH系统登录资源。
----结束
检查主机实例环境是否合理配置
步骤1 管理员登录主机实例管理控制台。
步骤2 检查主机资源是否与CBH实例在同一区域同一VPC环境下,CBH仅支持直接访问同一区 域同一VPC下资源。
步骤3 检查主机实例关联的安全组规则,排查安全组规则配置是否合理。
解除对CBH的IP地址的访问限制,在源地址中添加CBH的IP地址,允许CBH访问资源。
步骤4 重新设置后,尝试重新通过CBH系统登录资源。
----结束
检查主机资源是否配置安全加固措施
步骤1 管理员直接登录主机资源。
步骤2 检查主机登录方式及登录安全加固措施,建议从以下几个方面排查:
● Linux云服务器SSH登录的安全加固
● Windows弹性云服务器登录方式概述
● Linux弹性云服务器登录方式概述
步骤3 从以下几个方面分别排查,解除主机安全加固对云堡垒机的登录限制。
● 无法登录到Linux云服务器怎么办?
● 无法登录到Windows云服务器怎么办?
步骤4 解除安全加固的限制后,尝试重新通过CBH系统登录资源。
通过Web浏览器登录资源,会话连接断开,提示“网络连接异常,连接已断开,请重 试(Code:T_1006)”。
可能原因
● 云堡垒机系统与资源服务器之间网络连接不稳定,导致连接断开。
● 云堡垒机或资源服务器的带宽超限,导致连接断开。
● 资源服务器卡顿,导致连接断开。
解决办法
● 网络连接通畅,则网络不稳定导致连接无响应。
重启相应资源服务器,重新登录网络恢复正常。若重启主机不能解决,请参考下 述方案依次排查。
a. 排查云堡垒机和主机资源带宽是否超过限制,请参考如何排查带宽超过限 制?
b. 排查主机资源是否卡顿,请参考Linux云服务器卡顿怎么办?或Windows云 服务器卡顿怎么办?
如果通过上述排查,仍然无法解决问题,请单击管理控制台右上方的“工单”,填写 工单信息反馈问题现象,联系技术支持。
13.2.4 通过 Web 浏览器登录资源,报 Code:C_515 错误怎么办?
问题现象
通过Web浏览器登录Linux主机资源,报登录错误,提示“运维资源过程中遇到一个错 误,请重试或联系管理员(Code:C_515)”。
可能原因
● 原因一:密码输入错误次数超过Linux主机登录安全防护次数上限,导CBH的IP被 加入“/etc/hosts.deny”文件名单。
● 原因二:Linux主机开启了企业主机安全服务(Host Security Service,HSS),多 次输入错误密码尝试登录,CBH内网IP被HSS加入“/etc/sshd.deny.hostguard”
文件名单。
解除“/etc/hosts.deny”文件限制
步骤1 管理员登录Linux主机。
步骤2 执行以下命令,查看“/var/log/secure”日志,确认主机拒绝云堡垒机IP记录。
cat /var/log/secure
步骤3 执行以下命令,编辑“/etc/hosts.deny”文件,删除云堡垒机的IP。
vim /etc/hosts.deny
步骤4 (可选)将CBH的IP加入白名单。
执行以下命令,编辑Linux主机的“/etc/hosts.allow”文件,允许所有IP地址登录,避 免影响云堡垒机正常使用。
vim /etc/hosts.allow ----结束
解除 HSS 登录 IP 限制
步骤1 查看“/etc/sshd.deny.hostguard”文件。
1. 管理员登录Linux主机。
2. 执行以下命令,查询“/etc/sshd.deny.hostguard”文件。
cat /etc/sshd.deny.hostguard
3. 执行以下命令,打开“/etc/sshd.deny.hostguard”文件。
vim /etc/sshd.deny.hostguard
4. 确认“/etc/sshd.deny.hostguard”文件中是否有CBH内网IP记录。
步骤2 在HSS管理控制台,解除IP限制。
1. 登录HSS管理控制台。
2. 选择“入侵检测 > 事件管理”,进入事件管理页面。
3. 在“安全告警统计”模块,单击“已拦截IP”,展开已拦截IP列表。
4. 找到并勾选CBH内网IP所在行,单击列表左上角“解除拦截”。
步骤3 (可选)将CBH加入IP白名单。
在HSS管理控制台,配置SSH登录白名单,将CBH的IP添加“SSH登录IP白名单”,允 许CBH登录到Linux主机。
----结束
通过Web浏览器无法登录资源,提示“由于资源连接失败或不可达,当前无法访问。
如果持续出现该问题,请通知系统管理员或检查系统日志(Code:C_519)”。
可能原因
● CBH系统与资源服务器之间网络连接不稳定,导致连接失败。
● CBH系统到资源服务器的网络被设置拦截,导致网络不通畅连接失败。
● 资源服务器异常无响应,导致连接不可达。
检查网络连接情况
登录云堡垒机系统,ping连通性测试和TCP端口检测,验证云堡垒机与资源服务器之 间的网络连接是否正常。
● 网络连接通畅,则网络不稳定导致连接无响应。
重启相应资源服务器,重新开机后网络恢复正常。若重启主机不能解决,建议再 排查云服务器故障/卡顿。
● 网络连接不通,则CBH系统到资源服务器有网络限制,请参考下述方案依次排
b. 检查CBH系统环境是否配置合理 荐端口,重新配置CBH安全组。
用户若通过Web浏览器方式登录资源,请手动添加安全组规则TCP协议443入方向。
步骤4 检查云堡垒机所在内网关联的网络ACL ,排查ACL规则配置是否合理。
解除云堡垒机IP地址的访问限制,以及在“目的地址”中添加资源IP地址,允许云堡垒 机访问资源。
步骤5 重新设置后,尝试重新通过CBH系统登录资源。
----结束
检查主机实例环境是否合理配置
步骤1 管理员登录主机实例管理控制台。
步骤2 检查主机资源是否与CBH实例在同一区域同一VPC环境下,CBH仅支持直接访问同一区 域同一VPC下资源。
步骤3 检查主机实例关联的安全组规则,排查安全组规则配置是否合理。
解除对CBH的IP地址的访问限制,在源地址中添加CBH的IP地址,允许CBH访问资源。
步骤4 重新设置后,尝试重新通过CBH系统登录资源。
----结束
检查主机资源是否能接受 CBH 访问
步骤1 管理员直接登录主机资源。
步骤2 输入命令route -n,检查主机的路由表,是否存在丢失CBH路由现象。
步骤3 检查主机登录方式及登录安全加固措施,建议从以下几个方面排查:
● Linux云服务器SSH登录的安全加固
● Windows弹性云服务器登录方式概述
● Linux弹性云服务器登录方式概述
步骤4 从以下几个方面分别排查,解除主机安全加固对云堡垒机的登录限制。
● 无法登录到Linux云服务器怎么办?
● 无法登录到Windows云服务器怎么办?
步骤5 解除安全加固的限制后,尝试重新通过CBH系统登录资源。
通过Web浏览器登录主机资源,报资源账户密码错误,提示“登录失败,有可能是账 户名、密码或秘钥错误,请尝试重新连接(Code:C_769)”。
检查云堡垒机资源账户密码是否正确
步骤1 登录云堡垒机系统,选择目标Linux主机,导出资源账户,获取主机账户名和密码。
步骤2 登录ECS管理控制台,通过VNC方式登录Linux主机,验证主机账户和密码。
● 若不能登录,则主机账户密码错误。请修改Linux主机账户密码后,重新配置CBH 资源账户密码,并验证账户是否正确。
● 若能够登录,请分别检查Linux主机是否开启双因子认证和检查Linux主机是否拒 绝root账户登录。
----结束
检查 Linux 主机是否开启双因子认证
当登录Linux主机需输入动态密码时,即Linux主机开启了企业主机安全服务(Host Security Service,HSS)的双因子认证功能。
因云堡垒机不能登录已开通双因子认证的Linux主机,请参考HSS双因子认证,关闭 Linux主机的双因子认证。
关闭Linux主机双因子认证后,请重新尝试在云堡垒机上登录Linux主机。
检查 Linux 主机是否拒绝 root 账户登录
由于sshd服务配置文件“/etc/ssh/sshd_config”中,“PermitRootLogin”参数值为
“no”时,Linux主机不允许root账户登录。
“no”时,Linux主机不允许root账户登录。