Miksi en voi muodostaa yhteyttä virtuaalikoneeseeni Poudassa?

On useita syitä, jotka voivat aiheuttaa ongelmia yhteyden muodostamisessa virtuaalikoneeseen. Käymme kaikki vaiheet läpi yksi kerrallaan.

Verkko

Floating IP

Ennen yhteyden muodostamista cPoudan virtuaalikoneeseen on tarpeen lisätä Floating IP. Tämä vaihe ei ole tarpeen ePoudassa, sillä ePouta ei tarjoa Virtual IP -osoitteita, vaan yhteys muodostetaan suoraan yksityiseen IP-osoitteeseen.

Lisätäksesi virtuaalisen IP-osoitteen, seuraa luonnin jälkeinen vaihe -ohjetta.

portti 22: Yhteys aikakatkaistiin

$ ssh cloud-user@yy.yy.yyy.yy
ssh: connect to host yy.yy.yyy.yy port 22: Connection timed out

Jos et pysty muodostamaan yhteyttä virtuaalikoneeseesi, yleisin syy näihin ongelmiin ovat liian rajoittavat palomuurit ja Security Groupit (OpenStackin palomuuri). Oletuksena juuri käynnistetyt virtuaalikoneet estävät kaiken liikenteen. Sinun täytyy luoda uusi security group. Security groupin täytyy avata SSH-portti 22 saapuvalle liikenteelle.

Seuraa Palomuurit ja tietoturvaryhmät -artikkelia. Jos ongelma jatkuu, voit tarkistaa myös oman organisaatiosi paikallisen palomuurin asetukset.

Pääsy evätty

Virheellisesti määritetyt Security Groupit voivat johtaa "permission denied" -virheisiin, koska virtuaalikoneen täytyy hakea julkiset SSH-avaimet ensimmäisen käynnistyksen yhteydessä. Jos verkkoa ei ole määritetty oikein, julkista avainta ei ehkä lisätä eikä käyttöoikeutta määritetä. Tästä syystä sinun täytyy varmistaa, että default-security group on määritetty virtuaalikoneelle sen luonnin yhteydessä.

ETÄISÄNNÄN TUNNISTE ON MUUTTUNUT

Joskus Floating IP -osoitteita käytetään uudelleen eri virtuaalikoneille eri aikoina. Oletuksena SSH-asiakasohjelmassasi on asetuksena stricthostkeychecking=yes, jolloin se näyttää seuraavan virheilmoituksen:

$ ssh cloud-user@86.50.xxx.xxx
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
SHA256:JURkzITHXHGavwz6fAahou5g4ii1q9CVuzLyImH5+tI.
Please contact your system administrator.
Add correct host key in /home/yyyy/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /home/yyyy/.ssh/known_hosts:28
  remove with:
  ssh-keygen -f "/home/yyyy/.ssh/known_hosts" -R "86.50.xxx.xxx"
ECDSA host key for 86.50.xxx.xxx has changed and you have requested strict checking.
Host key verification failed.

Voit turvallisesti tehdä kuten viesti ehdottaa ja poistaa merkinnän. Mutta vain, jos olet varma, että tämä on ensimmäinen kerta, kun muodostat yhteyden kyseiseen IP-osoitteeseen sen jälkeen, kun se on liitetty uuteen instanssiin tai instanssi on asennettu uudelleen. Esimerkki näyttää ssh-komennon tulosteen; eri työkalut ja versiot voivat näyttää hieman erilaisen tulosteen, mutta periaate on sama.

Tunnistautuminen - Pääsy evätty (liian monta tunnistautumisyritystä)

Received disconnect from xx.xx.xxx.xx port 22:2: Too many authentication failures

Jos tunnistautumista ei ole määritetty oikein, saatat nähdä yllä olevan kaltaisen virheen. Tämä virhe voi johtua useista eri juurisyistä.

Käytätkö oikeaa käyttäjää?

Eri jakelut on määritetty eri oletuskäyttäjillä. Katso ajantasainen luettelo levykuvista ja niiden oletuskäyttäjistä. Jos esimerkiksi käytät levykuvaa "Ubuntu 24.04", oikea käyttäjä on "ubuntu", mutta jos käytät levykuvaa "AlmaLinux-9", oikea käyttäjä on "almalinux".

Poudan levykuville on tavallista, että jos yrität kirjautua käyttäjänä root, saat viestin, jossa kerrotaan, mitä käyttäjänimeä tulee käyttää sen sijaan:

$ ssh root@86.xxx.xxx.xxx
Please login as the user "cloud-user" rather than the user "root".

Mikä avainpari on määritetty instanssille? Ja onko sinulla vastaava yksityinen avain?

Nähdäksesi, mikä "Key Pair" on määritetty kyseiselle virtuaalikoneelle, siirry osoitteeseen https://pouta.csc.fi/dashboard/project/instances/ ja tarkista avainparin nimi.

Siirry sitten osoitteeseen https://pouta.csc.fi/dashboard/project/key_pairs, jossa kaikki sinun avaimesi on määritetty. Sivulla näet luettelon julkisista avaimista. Yllä olevissa kuvakaappauksissa "Key Pair" on SGC-key.

Kopioi julkisen avaimen sisältö (ssh-rsa AAA.... jack@sgc.com) tiedostoon nimeltä SGC-key.pub. Tämän jälkeen voit laskea julkisen avaimen sormenjäljen komennolla:

$ ssh-keygen -lf SGC-key.pub
2048 SHA256:FjN0zrymP3mMZzTJ/UJrypmVVcH8Wgok9+JBiBhcvFc no comment (RSA)

Yllä oleva esimerkki käyttää oletuksena SHA256-algoritmia. Voit pakottaa sen käyttämään MD5:ttä näin:

$ ssh-keygen -lf .ssh/SGC-key.pub -E md5
2048 MD5:eb:b3:eb:ff:65:2f:cb:a5:fa:ab:f4:84:04:a2:d3:9a no comment (RSA)

Key Pairia ei ole lueteltu

On mahdollista, että virtuaalikone on luotu ilman "keypair-määritystä (vastaava kenttä on tyhjä-`). Tässä tapauksessa sinun täytyy luoda virtuaalikone uudelleen, tällä kertaa niin, että avainpari on määritetty.

Tämän jälkeen on tarpeen löytää vastaava yksityinen avain. Linuxissa ja macOS:ssa yksityiset avaimet tallennetaan yleensä .ssh-kansioon. Voit käyttää samaa komentoa kuin yllä yksityisen avaimen sormenjäljen muodostamiseen:

$ ssh-keygen -lf .ssh/SGC-key
2048 SHA256:FjN0zrymP3mMZzTJ/UJrypmVVcH8Wgok9+JBiBhcvFc no comment (RSA)

Sormenjälkien täytyy täsmätä.

Instanssin loki

Voit nähdä avaimen sormenjäljen myös Instance log -lokista. Siirry instanssisivulle ja napsauta instanssin nimeä. Napsauta sitten Log-välilehteä. Sinun täytyy etsiä rivit, jotka alkavat merkkijonolla ci-info. Tämä on cloud-init-skriptin tuloste.

Näet käyttäjänimen, tiedoston, johon avaimet on määritetty, sekä luettelon määritettyjen avainten sormenjäljistä. Yllä olevassa esimerkissä tuloste näyttää MD5-algoritmin.

Jos et löydä vastaavaa yksityistä avainta, sinun täytyy joko luoda virtuaalikone uudelleen) käyttäen SSH-avainparia, jonka omistat ja jota hallitset, tai käyttää ohjettamme Miten pelastaa instansseja?, jotta pääset käsiksi virtuaalikoneen levylle ja voit vaihtaa authorized_keys-tiedostoon asennetun julkisen avaimen. Tämä jälkimmäinen vaihtoehto on monimutkainen, ja sitä tarvitaan vain, jos virtuaalikoneen paikallisella levyllä on jo dataa ja/tai ohjelmistoja. Jos sinun täytyy käyttää tätä toista vaihtoehtoa mutta et ole varma, miten toimia, lähetä meille tukipyyntö osoitteeseen servicedesk@csc.fi, niin autamme sinua vaihe vaiheelta.

Tarjoaako SSH-asiakasohjelmasi oikeaa yksityistä avainta?

SSH-asiakasohjelma tarjoaa oletuksena vain ne SSH-avaimet, joilla on vakiomuotoinen nimi ja jotka sijaitsevat vakiokansiossa (.ssh hakemistossa $HOME). Jos tiedostonimi tai tiedoston sijainti ei ole vakiomuotoinen, voit käyttää valitsinta -i <private_key_file> varmistaaksesi, että avainta tarjotaan, ja valitsinta -v lisätäksesi lokitulostetta, jotta näet, milloin asiakasohjelma tarjoaa sitä. Komento näyttää tältä:

$ ssh -v -i .ssh/SGC-key ubuntu@193.166.200.200 2>&1 | grep SGC-key
debug1: identity file /home/galvaro/.ssh/SGC-key type 0
debug1: identity file /home/galvaro/.ssh/SGC-key-cert type -1
debug1: Will attempt key: /home/galvaro/.ssh/SGC-key RSA SHA256:FjN0zrymP3mMZzTJ/UJrypmVVcH8Wgok9+JBiBhcvFc explicit agent
debug1: Offering public key: /home/galvaro/.ssh/SGC-key RSA SHA256:FjN0zrymP3mMZzTJ/UJrypmVVcH8Wgok9+JBiBhcvFc explicit agent

Jos mikään näistä ei auta, ota yhteyttä asiakastukeemme osoitteessa servicedesk@csc.fi.

Onko tämä sivu hyödyllinen?

Kyllä

Kiitos palautteestasi!

Ei

Kiitos! Arvostamme palautettasi.

Kerro meille miten voisimme parantaa tätä sivua ottamalla meihin yhteyttä.