赛尔校园公共服务平台 Logo
平台使用
阿里云
百度云
移动云
智算服务
教育生态
登录 →
赛尔校园公共服务平台 Logo
平台使用 阿里云 百度云 移动云 智算服务 教育生态
登录
  1. 首页
  2. 阿里云
  3. 云服务器 ECS
  4. 操作指南
  5. 实例
  6. 连接实例
  7. 通过会话管理连接实例
  8. 在控制台通过会话管理连接实例

在控制台通过会话管理连接实例

  • 通过会话管理连接实例
  • 发布于 2025-04-01
  • 0 次阅读
文档编辑
文档编辑

您可以在控制台直接通过会话管理一键连接到ECS实例,支持免密连接无公网实例。相比于传统的SSH或RDP直连的方式更加安全方便。本文为您介绍如何在阿里云控制台通过会话管理连接实例。

重要

在通过会话管理连接实例时,不论实例是Windows系统还是Linux系统,都仅支持命令行界面。

如果您需要使用图形化界面以会话管理的方式连接Windows实例,可以通过端口转发功能,将Windows的远程访问端口映射到本机,通过RDP工具进行连接,具体操作,请参见通过会话管理CLI的端口转发访问无公网实例。

前提条件

待连接实例状态为运行中

实例运行状态可以在ECS控制台中的实例模块查看,运行中的实例如图所示:

查看实例状态的操作说明,请参见查看实例信息。

image

image

实例需安装云助手Agent

会话管理基于云助手的功能实现,需要在实例中安装云助手Agent。云助手Agent状态可以在ECS控制台的云助手模块查看,已经安装云助手的实例如图所示:

2017年12月01日之后使用官方公共镜像创建的ECS实例,默认预装了云助手Agent。如果您的实例是2017年12月01日之前购买的或使用自行上传的自定义镜像创建的实例,需自行安装云助手Agent,请参见安装云助手Agent。

image

image

查看云助手Agent状态以及处理异常状态的具体操作,请参见查看云助手状态及异常状态处理。

确保网络连通(设置安全组)

通过会话管理连接ECS实例时,需要确保ECS中运行的云助手Agent与云助手服务端的网络连通性,即在安全组出方向设置以下规则:

与SSH、RDP等连接方式不同,由于会话管理是由云助手Agent主动与会话管理服务端建立WebSocket连接,因此仅需放行出方向的云助手服务端的WebSocket端口。关于会话管理的原理,请参见会话管理工作原理。
重要

  • 如果使用普通安全组(包括默认安全组),默认情况下会放行所有的出方向流量,无需配置。

  • 如果使用企业安全组,默认情况下会禁用所有出方向的流量,需要配置以下规则。更多企业安全组的说明,请参见普通安全组与企业级安全组。

添加安全组规则的具体操作,请参见添加安全组规则。

授权策略

优先级

协议类型

端口范围

授权对象

描述

允许

1

自定义TCP

443

100.100.0.0/16

用于访问云助手服务端。

允许

1

自定义TCP

443

100.0.0.0/8

访问云助手Agent安装包所在服务器,用于安装或更新您的云助手Agent。

允许

1

自定义UDP

53

0.0.0.0/0

用于解析域名。

此外,如果您计划仅通过会话管理连接实例,为了增加ECS实例的安全性,您可以取消放行安全组入方向上的SSH端口(默认22)或者RDP端口(默认3389)的规则。

RAM用户使用该功能需拥有相关权限

如果RAM用户需要在控制台使用会话管理连接实例,根据最小授权原则,需要具有以下权限。

  • ecs:StartTerminalSession:通过会话管理连接实例的权限,此外,可以通过Resource字段,限制RAM用户可连接(会话管理)的ECS实例。

  • ecs:DescribeCloudAssistantStatus:查询ECS实例是否需要安装云助手,该权限用于控制台在连接前进行校验。

  • ecs:DescribeUserBusinessBehavior:查询会话管理功能是否已经开启,该权限用于控制台在连接前进行校验。

  • ecs:ModifyCloudAssistantSettings(可选):打开或关闭会话管理的权限,如果当前阿里云账号已经开通会话管理,无需分配该权限。

自定义权限策略示例如下:

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ecs:StartTerminalSession",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ecs:DescribeUserBusinessBehavior",
        "ecs:DescribeCloudAssistantStatus",
        "ecs:ModifyCloudAssistantSettings"
      ],
      "Resource": "*"
    }
  ]
}

为RAM用户授权,请参见为RAM用户授权。

操作步骤

  1. 登录ECS管理控制台。

  2. 在左侧导航栏,选择实例与镜像 > 实例。

  3. 在页面左侧顶部,选择目标资源所在的资源组和地域。

  4. 在实例页面,找到待连接的实例,单击对应操作列的远程连接。

image

  1. 单击展开其他登录方式,找到通过会话管理远程连接,确保会话管理已开启(全地域),如果显示会话管理已关闭,请先打开功能开关。

    重要

    打开会话管理功能开关前,请确保RAM用户具有查看会话管理配置的DescribeUserBusinessBehavior权限和打开或关闭会话管理功能的ModifyUserBusinessBehavior权限,详细的权限策略示例,请参见前提条件。

image

image

  1. 单击免密登录。

    连接成功后,Linux实例默认以ecs-assist-user用户登录实例,Windows实例默认以system用户登录。以Linux实例为例,效果如图所示。

image

image

相关阅读

除了在控制台使用会话管理连接实例外,您还可以在个人计算机上通过命令行使用会话管理的功能连接实例,具体操作,请参见通过会话管理CLI(ali-instance-cli)连接实例。

相关文章

在控制台通过会话管理连接实例 2025-04-01 11:59

您可以在控制台直接通过会话管理一键连接到ECS实例,支持免密连接无公网实例。相比于传统的SSH或RDP直连的方式更加安全方便。本文为您介绍如何在阿里云控制台通过会话管理连接实例。

通过会话管理CLI(ali-instance-cli)连接实例 2025-04-01 11:59

您可以在本机命令行通过会话管理CLI连接到ECS实例,支持免密连接无公网实例。相比于传统的SSH或RDP直连的方式更加安全方便。本文为您介绍会话管理CLI的基本使用。 什么是会话管理CLI? 会话管理CLI,即ali-in

通过会话管理CLI注册临时公钥免密登录实例 2025-04-01 11:59

如果您使用第三方SSH工具以密钥对的方式认证登录Linux实例,您可以向实例中注册有效期60秒的临时公钥,然后在60秒之内使用私钥登录实例,该方式相比永久密钥对更加安全。本文为您介绍如何通过会话管理CLI(ali-instance-cli)向实例注册临时公钥并免密登录。 什么是临时公钥? 临时公钥认

通过会话管理CLI的端口转发访问无公网实例 2025-04-01 11:59

您可以使用会话管理CLI(ali-instance-cli),以命令行的方式,将实例的某个端口转发到本机,通过云助手间接访问实例中的业务服务,支持访问无公网实例。本文为您介绍通过会话管理CLI进行端口转发,访问无公网实例。

目录
Copyright © 2025 your company All Rights Reserved. Powered by 赛尔网络.
京ICP备14022346号-15
gongan beian 京公网安备11010802041014号