Блог

Главная - Вопросы по программированию - Я могу подключиться по SSH к одному экземпляру через bastion, но не ко второму экземпляру

Я могу подключиться по SSH к одному экземпляру через bastion, но не ко второму экземпляру

#amazon-web-services #ssh

#amazon-web-services #ssh

Вопрос:

Я предполагал добавить ключ ssh, а затем ssh к экземпляру AWS, используя jumphost за 2 операции, поэтому сначала добавьте ключ

 ssh-add ~/.ssh/<key-file>.pem

Затем ssh к jumphost

 ssh -A ec2-user@jumphost

А затем от jumphost к экземпляру

 ssh ec2-user@<private IP>

Это работает для одного экземпляра, но не работает для другого экземпляра — невозможно подключиться по ssh к этому экземпляру с jumphost.

Какие настройки экземпляра могут помешать мне использовать ssh?

Вывод ssh -v ec2-user@

 debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 58: Applying options for *
debug1: Connecting to <private ip>[<private ip>] port 22

Комментарии:

1. какую ошибку вы получаете при попытке входа на второй сервер?

2. @Alex попробуйте подключить telnet для хоста к порту 22, если вы сможете подключиться, тогда нет проблем с правилом SG / брандмауэром, а также с разрешением check .pem. Вставьте вывод ssh -v

3. Ошибки нет, просто застрял

4. Похоже, порт 22 не открыт. Откройте порт 22 для IP-адреса jumpbox в экземпляре SG

5. Если это не брандмауэр, находятся ли обе машины в одной и той же vpc / подсети? Если он находится в разных виртуальных машинах, убедитесь, что существует пиринг и разрешены правила брандмауэра / NACL

Ответ №1:

Существуют разные причины этой проблемы.

  1. Проверьте группу безопасности экземпляра ec2, к которому вы подключаетесь с узла перехода / бастиона, если открыт порт 22. Если он не открыт, добавьте правило. Вы можете убедиться в этом, если вы подключаете сервер назначения к порту 22 через переходный узел / бастион. команда: telnet destinationip 22

  2. если вышеуказанное не работает, проверьте, находится ли подключаемый экземпляр ec2 в рабочем состоянии с пройденными проверками 2/2. Это обеспечит работоспособность как сети, так и операционной системы.

  3. если вышеуказанное не работает, проверьте, разрешает ли ваш список доступа к сети (NACL) входящий и исходящий трафик. Настройка по умолчанию разрешает трафик.

Ответ №2:

Убедитесь, что брандмауэр настроен правильно! Это обязательно в консоли AWS при настройке нового экземпляра. Я предполагаю, что выбрано неправильное значение по умолчанию.

Комментарии:

1. Пожалуйста, объясните с точки зрения настроек экземпляра. В чем может быть разница между 2 экземплярами

2. Алекс: вы должны увидеть выбранный профиль брандмауэра в консоли aws для обоих экземпляров.

3. Я не вижу брандмауэров, я вижу группы безопасности

4. я имел в виду группы безопасности. некоторое время не использовал aws и забыл amazon-speach.

Ответ №3:

Причина была указана пользователем LogicIO. Каким-то образом один экземпляр был перемещен на другой VPC, и поэтому jumphost (bastion) и экземпляр появились на разных VPC, поэтому соединение перестало работать. Мне нужен был другой jumphost.