Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Risolvi i problemi di connessione alla tua istanza Amazon Linux EC2
Le informazioni e gli errori comuni seguenti possono essere utili per risolvere i problemi di connessione all'istanza Linux.
Problemi di connessione
- Cause comuni dei problemi di connessione
- Errore di connessione all'istanza: Connection timed out
- Errore: impossibile caricare la chiave... In attesa di: ANY PRIVATE KEY
- Errore: User key not recognized by server
- Errore: autorizzazione negata o connessione chiusa dalla porta 22 [istanza]
- Errore: Unprotected Private Key File (File della chiave privata non protetto)
- Errore: la chiave privata deve iniziare con «----- BEGIN RSA PRIVATE KEY -----» e terminare con «----- ----- END RSA PRIVATEKEY»
- Errore: Server refused our key o No supported authentication methods available
- Cannot Ping Instance (Impossibile eseguire il ping dell'istanza)
- Errore: il server ha chiuso inaspettatamente la connessione di rete
- Errore: convalida della chiave host non riuscita per EC2 Instance Connect
- Impossibile connettersi all'istanza di Ubuntu utilizzando EC2 Instance Connect
- Ho perso la mia chiave privata. Come posso connettermi alla mia istanza?
Cause comuni dei problemi di connessione
Ti consigliamo di iniziare a risolvere i problemi di connessione delle istanze verificando di aver eseguito con precisione le seguenti attività.
- Verifica il nome utente per l'istanza
Puoi connetterti alla tua istanza utilizzando il nome utente per il tuo account utente o il nome utente predefinito per AMI quello che hai usato per avviare l'istanza.
-
Ottenere il nome utente per il proprio account utente.
Per ulteriori informazioni su come creare un account utente, consulta Gestisci gli utenti di sistema sulla tua istanza Amazon EC2 Linux.
-
Ottieni il nome utente predefinito per AMI quello che hai usato per avviare l'istanza.
AMIutilizzato per avviare l'istanza Nome utente predefinito Amazon Linux
ec2-user
CentOS centos
oec2-user
Debian admin
Fedora fedora
oec2-user
RHEL ec2-user
oroot
SUSE ec2-user
oroot
Ubuntu ubuntu
Oracle ec2-user
Bitnami bitnami
Rocky Linux rocky
Altro Verificare con il AMI provider
-
- Verificare che le regole del gruppo di sicurezza consentano il traffico
-
Assicurati che il gruppo di sicurezza associato all'istanza consenta il SSH traffico in entrata dal tuo indirizzo IP. Per impostazione predefinita, il gruppo di sicurezza predefinito per il VPC non consente il SSH traffico in entrata. Il gruppo di sicurezza creato dalla procedura guidata di avvio dell'istanza abilita il SSH traffico per impostazione predefinita. Per la procedura da seguire per aggiungere una regola per il SSH traffico in entrata all'istanza Linux, consulta. Regole per la connessione alle istanze dal computer in uso Per le fasi di verifica, consulta Errore di connessione all'istanza: Connection timed out.
- Verificare che l'istanza sia pronta
-
Dopo aver avviato un'istanza, possono essere necessari alcuni minuti prima che l'istanza sia pronta ad accettare le richieste di connessione. Controllare l'istanza per assicurarsi che sia in esecuzione e che abbia superato i controlli di stato.
Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/
. -
Nel riquadro di navigazione scegliere Instances (Istanze) e selezionare l'istanza desiderata.
-
Verificare quanto segue:
-
Nella colonna Instance state (Stato istanza), verificare che l'istanza sia nello stato
running
. -
Nella colonna Status check (Controllo stato), verificare che l'istanza abbia superato i due controlli di stato.
-
- Verifica che siano soddisfatto tutti i prerequisiti per connetterti
-
Assicurati di disporre di tutte le informazioni di cui hai bisogno per connetterti. Per ulteriori informazioni, consulta Connect alla tua istanza Linux usando SSH.
Connect da Linux o macOS X
Se il sistema operativo del computer locale è Linux o macOS X, controlla quanto segue per conoscere i prerequisiti specifici per la connessione a un'istanza Linux:
Connessione da Windows
Se il sistema operativo del computer locale è Windows, verifica quanto segue per conoscere i prerequisiti specifici per la connessione a un'istanza Linux:
Errore di connessione all'istanza: Connection timed out
Se si tenta di connettersi all'istanza e si riceve il messaggio di errore Network error:
Connection timed out
o Error connecting to [instance], reason: ->
Connection timed out: connect
, provare a procedere come segue:
Verificare le regole del gruppo di sicurezza.
È necessaria una regola del gruppo di sicurezza che consenta il traffico in entrata dall'IPv4indirizzo pubblico del computer locale sulla porta corretta.
Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/
. -
Nel riquadro di navigazione scegliere Instances (Istanze) e selezionare l'istanza desiderata.
-
Nella scheda Security (Sicurezza) nella parte inferiore della pagina della console, in Inbound rules (Regole in entrata) controllare l'elenco delle regole in vigore per l'istanza selezionata. Verifica che esista una regola che consenta il traffico dal tuo computer locale alla porta 22 (SSH).
Se il gruppo di sicurezza non dispone di una regola che consente il traffico in entrata dal computer locale, aggiungi una regola al gruppo di sicurezza. Per ulteriori informazioni, consulta Regole per la connessione alle istanze dal computer in uso.
-
Per la regola che consente il traffico in entrata, controlla il campo Source (Origine). Se il valore è un singolo indirizzo IP e se l'indirizzo IP non è statico, verrà assegnato un nuovo indirizzo IP ogni volta che si riavvia il computer. Ciò farà sì che la regola non includa il traffico di indirizzi IP del tuo computer. L'indirizzo IP potrebbe non essere statico se il computer si trova su una rete aziendale o se ci si connette tramite un provider di servizi Internet (ISP) oppure l'indirizzo IP del computer è dinamico e cambia ogni volta che si riavvia il computer. Per essere certi che la regola del gruppo di sicurezza consenta il traffico in entrata dal computer locale, anziché specificare un singolo indirizzo IP per il campo Source (Origine) specifica l'intervallo di indirizzi IP utilizzati dai computer client.
Per ulteriori informazioni sulle regole dei gruppi di sicurezza, consulta le regole dei gruppi di sicurezza nella Amazon VPC User Guide.
Verificare la tabella di routing per la sottorete.
È necessario un percorso che invii tutto il traffico destinato all'esterno VPC al gateway Internet per ilVPC.
Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/
. -
Nel pannello di navigazione, scegli Instances (Istanze) e seleziona l'istanza desiderata.
-
Nella scheda Rete, prendi nota dei valori per VPCID e Subnet ID.
Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/
. -
Nel riquadro di navigazione, scegliere Internet Gateways. Verifica che sia collegato un gateway Internet al tuoVPC. In caso contrario, scegliere Create internet gateway (Crea gateway Internet), immettere un nome per il gateway Internet e scegliere Create internet gateway (Crea gateway Internet). Quindi, per il gateway Internet che hai creato, scegli Azioni, Collega a VPC, seleziona il tuoVPC, quindi scegli Collega gateway Internet per collegarlo al tuoVPC.
-
Nel riquadro di navigazione scegliere Subnets (Sottoreti) e selezionare la sottorete desiderata.
-
Nella scheda Route, verifica che ci sia un percorso
0.0.0.0/0
come destinazione e il gateway Internet per il tuo VPC come destinazione. Se ti connetti all'istanza utilizzando il relativo IPv6 indirizzo, verifica che esista un percorso per tutto il IPv6 traffico (::/0
) che punti al gateway Internet. In caso contrario, eseguire le seguenti operazioni:-
Selezionare l'ID per la tabella di routing (rtb-xxxxxxxx) per navigare alla tabella di routing.
-
Nella scheda Routes (Route), scegliere Edit routes (Modifica route). Selezionare Add route (Aggiungi route), utilizzare
0.0.0.0/0
come destinazione e il gateway internet come target. Ad esempioIPv6, scegli Aggiungi percorso, utilizza::/0
come destinazione e il gateway Internet come destinazione. -
Seleziona Salva route.
-
Controlla l'elenco di controllo dell'accesso alla rete (ACL) per la sottorete.
La rete ACLs deve consentire il SSH traffico in entrata dall'indirizzo IP locale sulla porta 22. Deve inoltre consentire il traffico in uscita alle porte effimere (1024-65535).
-
Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/
. -
Nel pannello di navigazione, scegli Subnets (Sottoreti).
-
Seleziona la sottorete.
-
ACLNella scheda Rete, per le regole in entrata, verifica che le regole consentano il traffico in entrata dal computer sulla porta richiesta. Altrimenti, elimina o modifica la regola che blocca il traffico.
-
Per Regole in uscita, verifica che le regole permettano il traffico verso computer in uso sulle porte effimere. Altrimenti, elimina o modifica la regola che blocca il traffico.
Se il computer si trova su una rete aziendale
Chiedi all'amministratore di rete se il firewall interno consente il traffico in entrata e in uscita dal tuo computer sulla porta 22.
Se sul computer è installato un firewall, verifica che consenta il traffico in entrata e in uscita dal computer sulla porta 22.
Verifica che l'istanza abbia un indirizzo pubblicoIPv4.
Se non lo ha, è possibile associare un indirizzo IP Elastic all'istanza. Per ulteriori informazioni, consulta Indirizzi IP elastici.
Controlla il CPU carico sull'istanza; il server potrebbe essere sovraccarico.
AWS fornisce automaticamente dati come i CloudWatch parametri di Amazon e lo stato dell'istanza, che puoi utilizzare per vedere il CPU carico sull'istanza e, se necessario, modificare il modo in cui vengono gestiti i carichi. Per ulteriori informazioni, consulta Monitora le tue istanze utilizzando CloudWatch.
-
Se il carico è variabile, è possibile aumentare o diminuire automaticamente le istanze utilizzando Auto Scaling
ed Elastic Load Balancing . -
Se il carico è in crescita stabile, è possibile passare a un tipo di istanza più grande. Per ulteriori informazioni, consulta Modifiche al tipo di EC2 istanza Amazon.
Per connetterti alla tua istanza utilizzando un IPv6 indirizzo, controlla quanto segue:
-
La sottorete deve essere associata a una tabella di routing che contiene un percorso per il IPv6 traffico (
::/0
) verso un gateway Internet. -
Le regole del gruppo di sicurezza devono consentire il traffico in entrata dal tuo IPv6 indirizzo locale sulla porta 22.
-
ACLLe regole di rete devono consentire il traffico in entrata e in uscitaIPv6.
-
Se hai avviato l'istanza da una versione precedenteAMI, potrebbe non essere configurata per DHCPv6 (IPv6gli indirizzi non vengono riconosciuti automaticamente sull'interfaccia di rete). Per ulteriori informazioni, consulta Configura IPv6 sulle tue istanze nella Amazon VPC User Guide.
-
Il tuo computer locale deve avere un IPv6 indirizzo e deve essere configurato per l'usoIPv6.
Errore: impossibile caricare la chiave... In attesa di: ANY PRIVATE KEY
Se tenti di connetterti all'istanza e ricevi il messaggio di errore, unable to load key
... Expecting: ANY PRIVATE KEY
, il file in cui è archiviata la chiave privata non è configurato correttamente. Se il file della chiave privata termina con .pem
, potrebbe comunque essere configurato in modo errato. Una possibile causa di una configurazione errata di un file della chiave privata è la mancanza di un certificato.
Se il file della chiave privata non è configurato correttamente, segui questi passaggi per risolvere l'errore
-
Creazione di una nuova coppia di chiavi. Per ulteriori informazioni, consulta Crea una coppia di key pair utilizzando Amazon EC2.
Nota
In alternativa, è possibile creare una nuova coppia di chiavi tramite uno strumento di terze parti. Per ulteriori informazioni, consulta Crea una coppia di chiavi utilizzando uno strumento di terze parti e importa la chiave pubblica su Amazon EC2.
-
Aggiungi la nuova coppia di chiavi all'istanza. Per ulteriori informazioni, consulta Ho perso la mia chiave privata. Come posso connettermi alla mia istanza?.
-
Connettiti all'istanza utilizzando la nuova coppia di chiavi.
Errore: User key not recognized by server
Se lo usi SSH per connetterti alla tua istanza
-
Utilizzare
ssh -vvv
per recuperare le informazioni sul debug triple verbose durante la connessione:ssh -vvv -i
path/key-pair-name
.peminstance-user-name
@ec2-203-0-113-25.compute-1.amazonaws.com
Il seguente output di esempio mostra quanto visualizzato se si è tentato di connettersi all'istanza con una chiave che non è stata riconosciuta dal server:
open/ANT/myusername/.ssh/known_hosts). debug2: bits set: 504/1024 debug1: ssh_rsa_verify: signature correct debug2: kex_derive_keys debug2: set_newkeys: mode 1 debug1: SSH2_MSG_NEWKEYS sent debug1: expecting SSH2_MSG_NEWKEYS debug2: set_newkeys: mode 0 debug1: SSH2_MSG_NEWKEYS received debug1: Roaming not allowed by server debug1: SSH2_MSG_SERVICE_REQUEST sent debug2: service_accept: ssh-userauth debug1: SSH2_MSG_SERVICE_ACCEPT received debug2: key: boguspem.pem ((nil)) debug1: Authentications that can continue: publickey debug3: start over, passed a different list publickey debug3: preferred gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive,password debug3: authmethod_lookup publickey debug3: remaining preferred: keyboard-interactive,password debug3: authmethod_is_enabled publickey debug1: Next authentication method: publickey debug1: Trying private key: boguspem.pem debug1: read PEM private key done: type RSA debug3: sign_and_send_pubkey: RSA 9c:4c:bc:0c:d0:5c:c7:92:6c:8e:9b:16:e4:43:d8:b2 debug2: we sent a publickey packet, wait for reply debug1: Authentications that can continue: publickey debug2: we did not send a packet, disable method debug1: No more authentication methods to try. Permission denied (publickey).
Se usi Pu TTY per connetterti alla tua istanza
-
Verifica che il file della tua chiave privata (.pem) sia stato convertito nel formato riconosciuto da Pu TTY (.ppk). Per ulteriori informazioni sulla conversione della chiave privata, consultare Connect alla tua istanza Linux usando Pu TTY.
Nota
In PuTTYgen, carica il tuo file di chiave privata e seleziona Salva chiave privata anziché Genera.
-
Verifica di connetterti con il nome utente appropriato per il tuoAMI. Inserisci il nome utente nella casella Nome host nella finestra di TTYconfigurazione Pu.
AMIutilizzato per avviare l'istanza Nome utente predefinito Amazon Linux
ec2-user
CentOS centos
oec2-user
Debian admin
Fedora fedora
oec2-user
RHEL ec2-user
oroot
SUSE ec2-user
oroot
Ubuntu ubuntu
Oracle ec2-user
Bitnami bitnami
Rocky Linux rocky
Altro Verificare con il AMI provider -
Accertarsi di disporre di una regola del gruppo di sicurezza che permetta il traffico in entrata verso la porta corretta. Per ulteriori informazioni, consulta Regole per la connessione alle istanze dal computer in uso.
Errore: autorizzazione negata o connessione chiusa dalla porta 22 [istanza]
Se ti connetti alla tua istanza utilizzando SSH e ricevi uno dei seguenti erroriHost key not found in [directory]
,Permission denied (publickey)
,Authentication failed, permission denied
,Connection closed by [instance] port 22
, o, verifica di connetterti con il nome utente appropriato AMI e di aver specificato la chiave privata (.pem)
file) appropriata per l'istanza.
I nomi utente appropriati sono i seguenti:
AMIutilizzato per avviare l'istanza | Nome utente predefinito |
---|---|
Amazon Linux |
ec2-user
|
CentOS | centos o ec2-user |
Debian | admin |
Fedora | fedora o ec2-user |
RHEL | ec2-user o root |
SUSE | ec2-user o root |
Ubuntu | ubuntu |
Oracle | ec2-user |
Bitnami | bitnami |
Rocky Linux | rocky |
Altro | Verificare con il AMI provider |
Ad esempio, per utilizzare un SSH client per connettersi a un'istanza Amazon Linux, usa il seguente comando:
ssh -i
/path/key-pair-name
.peminstance-user-name
@ec2-203-0-113-25.compute-1.amazonaws.com
Controllare di utilizzare il file della chiave privata corrispondente alla coppia di chiavi selezionata all'avvio dell'istanza.
Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/
. -
Nel riquadro di navigazione, scegliere Instances (Istanze) e selezionare l'istanza desiderata.
-
Nella scheda Details (Dettagli), in Instance details (Dettagli istanza), verificare il valore Key pair name (Nome della coppia di chiavi).
-
Se all'avvio dell'istanza non è stata specificata una coppia di chiavi, è possibile terminare l'istanza e avviarne una nuova, accertandosi di specificare una coppia di chiavi. Se si tratta di un'istanza già utilizzata ma non si dispone più del file
.pem
, è possibile sostituire la coppia di chiavi con una nuova. Per ulteriori informazioni, consulta Ho perso la mia chiave privata. Come posso connettermi alla mia istanza?.
Se hai generato la tua coppia di chiavi, assicurati che il generatore di chiavi sia configurato per creare RSA chiavi. DSAle chiavi non sono accettate.
Se si riceve un errore Permission denied (publickey)
e nessuna delle condizioni sopra indicate è applicabile (ad esempio, è stato possibile connettersi in precedenza), è possibile che siano state modificate le autorizzazioni della home directory. Le autorizzazioni per /home/
devono essere limitate esclusivamente al proprietario.instance-user-name
/.ssh/authorized_keys
Per verificare le autorizzazioni dell'istanza
-
Arrestare l'istanza e distaccare il volume radice. Per ulteriori informazioni, consulta Arresta e avvia le EC2 istanze Amazon.
-
Avvia un'istanza temporanea nella stessa zona di disponibilità dell'istanza corrente (usa un'istanza simile o AMI uguale a quella utilizzata per l'istanza corrente) e collega il volume root all'istanza temporanea.
-
Connettersi all'istanza temporanea, creare un punto di montaggio e montare il volume che è stato collegato.
-
Dall'istanza temporanea, controllare le autorizzazioni della directory
/home/
del volume collegato. Se necessario, adeguare le autorizzazioni nel modo seguente:instance-user-name
/[ec2-user ~]$
chmod 600
mount_point
/home/instance-user-name
/.ssh/authorized_keys[ec2-user ~]$
chmod 700
mount_point
/home/instance-user-name
/.ssh[ec2-user ~]$
chmod 700
mount_point
/home/instance-user-name
-
Smontare il volume, distaccarlo dall'istanza temporanea e ricollegarlo all'istanza originale. Accertarsi di specificare il nome di dispositivo corretto per il volume radice, ad esempi,
/dev/xvda
. -
Avviare l'istanza. Se l'istanza temporanea non è più necessaria, è possibile terminarla.
Errore: Unprotected Private Key File (File della chiave privata non protetto)
Il file della chiave privata deve essere protetto dalle operazioni di lettura e scrittura eseguite dagli altri utenti. Se la tua chiave privata può essere letta o scritta da chiunque tranne te, la SSH ignora e di seguito viene visualizzato il seguente messaggio di avviso.
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0777
for '.ssh/my_private_key.pem
' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
bad permissions: ignore key: .ssh/my_private_key.pem
Permission denied (publickey).
Se viene visualizzato un messaggio simile quando si tenta di accedere all'istanza, esaminare la prima riga del messaggio di errore per verificare se si sta utilizzando la chiave pubblica corretta per l'istanza. L'esempio sopra utilizza la chiave privata .ssh/my_private_key.pem
con le autorizzazioni di file 0777
, che consentono a chiunque di leggere o scrivere in questo file. Questo livello di autorizzazione è molto insicuro e quindi SSH ignora questa chiave.
Se ti connetti da MacOS o Linux, per risolvere l’errore esegui il seguente comando, sostituendo il percorso del file con quello della chiave privata.
[ec2-user ~]$
chmod 0400
.ssh/my_private_key.pem
Se ti connetti a un'istanza Linux da Windows, esegui le seguenti operazioni sul tuo computer locale.
Individuare il file .pem.
Fare clic con il pulsante destro del mouse sul file .pem e selezionare Properties (Proprietà).
Scegliere la scheda Sicurezza.
Selezionare Advanced (Avanzate).
Verificare di essere il proprietario del file. In caso contrario, cambiare il proprietario con il proprio nome utente.
Selezionare Disable inheritance (Disabilita l'ereditarietà) e Remove all inherited permissions from this object (Rimuovi tutte le autorizzazioni ereditate da questo oggetto).
Selezionare Add (Aggiungi), Select a principal (Seleziona un'entità principale), inserire il proprio nome utente e selezionare OK.
Dalla finestra Permission Entry (Voce di autorizzazione), concedere le autorizzazioni Read (Lettura) e selezionare OK.
-
Fai clic su Apply (Applica) per assicurarti che tutte le impostazioni vengano salvate.
Selezionare OK per chiudere la finestra Advanced Security Settings (Impostazioni di sicurezza avanzate).
Selezionare OK per chiudere la finestra Properties (Proprietà).
Dovresti essere in grado di connetterti alla tua istanza Linux da Windows utilizzandoSSH.
Da una finestra del prompt dei comandi Windows, esegui il comando seguente:
Dal prompt dei comandi, passare al percorso del file .pem.
Eseguire il seguente comando per reimpostare e rimuovere le autorizzazioni esplicite:
icacls.exe
$path
/resetEseguire il seguente comando per concedere le autorizzazioni di lettura all'utente attuale:
icacls.exe
$path
/GRANT:R "$($env:USERNAME):(R)
"Eseguire il seguente comando per disabilitare l'ereditarietà e rimuovere le autorizzazioni ereditate.
icacls.exe
$path
/inheritance:rDovresti essere in grado di connetterti alla tua istanza Linux da Windows utilizzandoSSH.
Errore: la chiave privata deve iniziare con «----- BEGIN RSA PRIVATE KEY -----» e terminare con «----- ----- END RSA PRIVATEKEY»
Se si utilizza uno strumento di terze partissh-keygen, ad esempio per creare una coppia di RSA chiavi, viene generata la chiave privata nel formato Open SSH key. Quando ti connetti alla tua istanza, se usi la chiave privata nel SSH formato Open per decrittografare la password, riceverai l'errore. Private key must begin with "-----BEGIN RSA PRIVATE KEY-----" and end with "-----END RSA
PRIVATE KEY-----"
Per risolvere l'errore, la chiave privata deve essere nel PEM formato. Utilizzate il seguente comando per creare la chiave privata nel PEM formato:
ssh-keygen -m PEM
Errore: Server refused our key o No supported authentication methods available
Se usi Pu TTY per connetterti alla tua istanza e ricevi uno dei seguenti errori, Errore: Il server ha rifiutato la nostra chiave
o Errore: Nessun metodo di autenticazione supportato disponibile
, verifica di connetterti con il nome utente appropriato per la tuaAMI. Digita il nome utente nel campo Nome utente nella finestra di TTYconfigurazione Pu.
I nomi utente appropriati sono i seguenti:
AMIutilizzato per avviare l'istanza | Nome utente predefinito |
---|---|
Amazon Linux |
ec2-user
|
CentOS | centos o ec2-user |
Debian | admin |
Fedora | fedora o ec2-user |
RHEL | ec2-user o root |
SUSE | ec2-user o root |
Ubuntu | ubuntu |
Oracle | ec2-user |
Bitnami | bitnami |
Rocky Linux | rocky |
Altro | Verificare con il AMI provider |
Devi anche verificare che:
-
Stai utilizzando l'ultima versione di PuTTY. Per ulteriori informazioni, consulta la pagina TTY web di Pu
. -
Il file della chiave privata (.pem) è stato convertito correttamente nel formato riconosciuto da Pu TTY (.ppk). Per ulteriori informazioni sulla conversione della chiave privata, consultare Connect alla tua istanza Linux usando Pu TTY.
Cannot Ping Instance (Impossibile eseguire il ping dell'istanza)
Il ping
comando è un tipo di ICMP traffico: se non riesci a eseguire il ping dell'istanza, assicurati che le regole del gruppo di sicurezza in entrata consentano il ICMP traffico del Echo Request
messaggio da tutte le fonti o dal computer o dall'istanza da cui stai emettendo il comando.
Se non riesci a emettere un ping
comando dalla tua istanza, assicurati che le regole del gruppo di sicurezza in uscita consentano il ICMP traffico del Echo
Request
messaggio verso tutte le destinazioni o verso l'host a cui stai tentando di inviare il ping.
I comandi Ping
possono anche essere bloccati da un firewall o timeout a causa di latenza di rete o problemi hardware. Per ulteriori informazioni sulla risoluzione dei problemi, consultare l'amministratore di rete locale o di sistema.
Errore: il server ha chiuso inaspettatamente la connessione di rete
Se ti connetti alla tua istanza con Pu TTY e ricevi l'errore «Connessione di rete chiusa inaspettatamente dal server», verifica di aver abilitato i keepalive nella pagina Connessione della configurazione Pu TTY per evitare la disconnessione. Alcuni server disconnettono i client quando non ricevono dati entro un periodo di tempo specificato. Impostare i Secondi tra i segnali keepalive a 59 secondi.
Se i problemi persistono dopo aver abilitato i keepalive, prova a disabilitare l'algoritmo di Nagle nella pagina Connessione della configurazione Pu. TTY
Errore: convalida della chiave host non riuscita per EC2 Instance Connect
Se si ruotano le chiavi host dell'istanza, le nuove chiavi host non vengono caricate automaticamente nel database delle chiavi host AWS affidabili. Ciò fa sì che la convalida della chiave host non riesca quando tenti di connetterti alla tua istanza utilizzando il client basato su browser EC2 Instance Connect e non riesci a connetterti all'istanza.
Per risolvere l'errore, devi eseguire eic_harvest_hostkeys
lo script sull'istanza, che carica la nuova chiave host su EC2 Instance Connect. Lo script si trova in /opt/aws/bin/
nelle istanze Amazon Linux 2 e in /usr/share/ec2-instance-connect/
nelle istanze Ubuntu.
Impossibile connettersi all'istanza di Ubuntu utilizzando EC2 Instance Connect
Se usi EC2 Instance Connect per connetterti alla tua istanza di Ubuntu e ricevi un errore durante il tentativo di connessione, puoi usare le seguenti informazioni per provare a risolvere il problema.
Possibile causa
Il pacchetto ec2-instance-connect
sull'istanza non è la versione più recente.
Soluzione
Aggiorna il pacchetto ec2-instance-connect
sull'istanza alla versione più recente, come segue:
-
Connettiti alla tua istanza utilizzando un metodo diverso da EC2 Instance Connect.
-
Esegui il comando seguente sull'istanza per aggiornare alla versione più recente il pacchetto
ec2-instance-connect
.apt update && apt upgrade
Ho perso la mia chiave privata. Come posso connettermi alla mia istanza?
Se perdi la chiave privata per un'istanza EBS supportata, puoi riottenere l'accesso all'istanza. Arrestare l'istanza, distaccarne il volume root e collegarlo a un'altra istanza come volume dati, modificare il file authorized_keys
con una nuova chiave pubblica, riportare il volume all'istanza originale e riavviare l'istanza. Per ulteriori informazioni sull'avvio, la connessione e l'arresto delle istanze, consulta Modifiche allo stato delle EC2 istanze Amazon.
Questa procedura è supportata solo per le istanze con EBS volumi root. Se il dispositivo principale è un volume dell'instance store, non è possibile utilizzare questa procedura per riconquistare l'accesso all'istanza; è necessario disporre della chiave privata per connettersi all'istanza. Per determinare il tipo di dispositivo root della tua istanza, apri la EC2 console Amazon, scegli Istanze, seleziona l'istanza, scegli la scheda Storage e nella sezione Dettagli del dispositivo root, controlla il valore del tipo di dispositivo root.
Il valore è EBS
o INSTANCE-STORE
.
In aggiunta ai passaggi seguenti, esistono altri modi per connettersi all'istanza Linux in caso di perdita della chiave privata. Per ulteriori informazioni, consulta Come posso connettermi alla mia EC2 istanza Amazon se ho perso la mia SSH key pair dopo il suo avvio iniziale?
Passaggi per la connessione a un'istanza EBS supportata da un sistema di key pair diverso
- Fase 1: creazione di una nuova coppia di chiavi
- Fase 2: Ottenere informazioni sull'istanza originale e il relativo volume radice
- Fase 3: Arrestare l'istanza originale
- Fase 4: Avviare un'istanza temporanea
- Fase 5: scollegare il volume radice dall'istanza originale e collegarlo all'istanza temporanea
- Fase 6: aggiungere la nuova chiave pubblica a authorized_keys sul volume originale montato sull'istanza temporanea
- Fase 7: smontare e scollegare il volume originale dall'istanza temporanea e ricollegarlo all'istanza originale
- Fase 8: connettersi all'istanza originale utilizzando la nuova coppia di chiavi
- Fase 9: pulizia
Fase 1: creazione di una nuova coppia di chiavi
Crea una nuova coppia di chiavi utilizzando la EC2 console Amazon o uno strumento di terze parti. Se si vuole assegnare alla nuova coppia di chiavi lo stesso nome della chiave privata persa, bisogna prima eliminare la coppia di chiavi esistente. Per informazioni su come creare una coppia di chiavi, consulta Crea una coppia di key pair utilizzando Amazon EC2 o Crea una coppia di chiavi utilizzando uno strumento di terze parti e importa la chiave pubblica su Amazon EC2.
Fase 2: Ottenere informazioni sull'istanza originale e il relativo volume radice
Prendere nota delle seguenti informazioni perché sono necessarie per completare questa procedura.
Per ottenere informazioni sull'istanza originale
-
Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/
. -
Nel riquadro di navigazione scegliere Instances (Istanze) e selezionare l'istanza a cui ci si vuole connettere. (Ci si riferirà a questa come istanza originale).
-
Nella scheda Dettagli, prendi nota dell'ID e AMI dell'ID dell'istanza.
-
Nella scheda Networking (Reti), prendere nota della zona di disponibilità.
-
Nella scheda Storage (Archiviazione), sotto Root device name (Nome dispositivo root) annotare il nome del dispositivo per il volume root (ad esempio
/dev/xvda
). Quindi, trova il nome di questo dispositivo in Block devices (Dispositivi a blocchi) e annota l'ID volume (ad esempio, vol-0a1234b5678c910de).
Fase 3: Arrestare l'istanza originale
Scegli Instance state (Stato istanza), Stop instance (Arresta istanza). Se questa opzione è disabilitata, l'istanza è già arrestata o il suo dispositivo root è un volume di instance store.
avvertimento
Quando interrompi un'istanza, i dati presenti sui volumi dell'instance store vengono cancellati. Per non perdere i dati dei volumi di archivio istanza, è opportuno creare una copia di backup nell'archiviazione persistente.
Fase 4: Avviare un'istanza temporanea
Per avviare un'istanza temporanea
-
Nel riquadro di navigazione, selezionare Instances (Istanze), quindi selezionare Launch Instance (Avvia istanza).
-
Nella sezione Name and tags (Nome e tag), per Name (Nome) inserisci Temporary.
-
Nella sezione Immagini dell'applicazione e del sistema operativo, seleziona la stessa AMI che hai usato per avviare l'istanza originale. Se non AMI è disponibile, puoi crearne una AMI da utilizzare dall'istanza interrotta. Per ulteriori informazioni, consulta Crea un account supportato EBS da Amazon AMI.
-
Nella sezione Instance type (Tipo di istanza), mantieni il tipo di istanza di default.
-
Nella sezione Key pair (Coppia di chiavi), per Key pair name (Nome della coppia di chiavi) seleziona una coppia di chiavi esistente o creane una nuova.
-
Nella sezione Network settings (Impostazioni di rete), scegli Edit (Modifica), quindi per Subnet (Sottorete) seleziona una sottorete nella stessa zona di disponibilità dell'istanza originale.
-
Nel pannello Summary (Riepilogo), scegli Launch (Avvia).
Fase 5: scollegare il volume radice dall'istanza originale e collegarlo all'istanza temporanea
-
Nel riquadro di navigazione, selezionare Volumes (Volumi), quindi selezionare il volume dispositivo root per l'istanza originale (l'ID del volume è stato annotato in una fase precedente). Scegli Actions (Operazioni), Detach volume (Scollega volume), quindi scegli Detach (Scollega). Attendere che lo stato del volume diventi
available
. (Potrebbe essere necessario scegliere l'icona Refresh (Aggiorna)). -
Con il volume ancora selezionato, scegli Actions (Operazioni), quindi scegli Attach volume (Collega volume). Seleziona l'ID istanza dell'istanza temporanea, prendi nota del nome del dispositivo specificato sotto Device name (Nome del dispositivo), ad esempio
/dev/sdf
, quindi scegli Attach volume (Collega volume).Nota
Se hai avviato l'istanza originale da un'istanza Marketplace AWS AMI e il volume contiene dei Marketplace AWS codici, devi prima interrompere l'istanza temporanea prima di poter collegare il volume.
Fase 6: aggiungere la nuova chiave pubblica a authorized_keys
sul volume originale montato sull'istanza temporanea
-
Connettersi all'istanza temporanea.
-
Dall'istanza temporanea, montare il volume collegato all'istanza in modo da poter accedere al file system. Ad esempio, se il nome del dispositivo è
/dev/sdf
, utilizzare i seguenti comandi per montare il volume come/mnt/tempvol
.Nota
Il nome del dispositivo potrebbe apparire in modo diverso nell'istanza. Ad esempio, i dispositivi montati come
/dev/sdf
potrebbero essere visualizzati come/dev/xvdf
nell'istanza. Alcune versioni di Red Hat (o le relative varianti, come CentOS), potrebbero anche aggiungere alla lettera finale 4 caratteri, in modo che/dev/sd
diventif
/dev/xvd
.k
-
Utilizzare il comando lsblk per determinare se il volume è partizionato.
[ec2-user ~]$
lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT xvda 202:0 0 8G 0 disk └─xvda1 202:1 0 8G 0 part / xvdf 202:80 0 101G 0 disk └─xvdf1 202:81 0 101G 0 part xvdg 202:96 0 30G 0 disk
Nell'esempio precedente,
/dev/xvda
e/dev/xvdf
sono volumi partizionati, mentre/dev/xvdg
non lo è. Se il volume è partizionato, montare la partizione (/dev/xvdf1)
invece del dispositivo raw (/dev/xvdf
) nelle fasi successive. -
Creare una directory temporanea per montare il volume.
[ec2-user ~]$
sudo mkdir /mnt/tempvol
-
Montare il volume (o la partizione) nel punto di montaggio temporaneo, utilizzando il nome del volume o del dispositivo identificato in precedenza. Il comando necessario dipende dal file system del sistema operativo. Nota: il nome del dispositivo potrebbe apparire in modo diverso nell'istanza. Per ulteriori informazioni, consulta la sezione note nel passaggio 6.
-
Amazon Linux, Ubuntu e Debian
[ec2-user ~]$
sudo mount /dev/
xvdf1
/mnt/tempvol -
Amazon Linux 2, CentOS, SUSE Linux 12 e 7.x RHEL
[ec2-user ~]$
sudo mount -o nouuid /dev/
xvdf1
/mnt/tempvol
-
Nota
Se si riceve un errore che indica che il file system è corrotto, eseguire il seguente comando per utilizzare l'utilità fsck per controllare il file system e risolvere qualsiasi guasto:
[ec2-user ~]$
sudo fsck /dev/
xvdf1
-
-
Dall'istanza temporanea, utilizzare il seguente comando per aggiornare
authorized_keys
nel volume montato con la nuova chiave pubblica daauthorized_keys
per l'istanza temporanea.Importante
I seguenti esempi utilizzano il nome utente Amazon Linux
ec2-user
. Potrebbe essere necessario sostituire un nome utente diverso, ad esempioubuntu
per le istanze di Ubuntu.[ec2-user ~]$
cp .ssh/authorized_keys /mnt/tempvol/home/
ec2-user
/.ssh/authorized_keysSe la copia ha avuto successo, è possibile passare alla fase successiva.
(Facoltativo) Altrimenti, se non si ha il permesso di modificare i file in
/mnt/tempvol
, sarà necessario aggiornare il file utilizzando sudo, quindi occorrerà controllare le autorizzazioni sul file per verificare di poter accedere all'istanza originale. Utilizzare il comando seguente per verificare le autorizzazioni per il file:[ec2-user ~]$
sudo ls -l /mnt/tempvol/home/ec2-user/.ssh
total 4 -rw------- 1
222 500
398 Sep 13 22:54 authorized_keysIn questo output di esempio,
222
è l'ID utente e500
è l'ID del gruppo. Quindi, utilizzare sudo per eseguire nuovamente il comando di copia non riuscito.[ec2-user ~]$
sudo cp .ssh/authorized_keys /mnt/tempvol/home/
ec2-user
/.ssh/authorized_keysEseguire nuovamente il comando seguente per stabilire se le autorizzazioni sono state modificate.
[ec2-user ~]$
sudo ls -l /mnt/tempvol/home/
ec2-user
/.sshSe l'ID utente e l'ID gruppo sono stati modificati, utilizzare il seguente comando per ripristinarli.
[ec2-user ~]$
sudo chown
222:500
/mnt/tempvol/home/ec2-user
/.ssh/authorized_keys
Fase 7: smontare e scollegare il volume originale dall'istanza temporanea e ricollegarlo all'istanza originale
-
Dall'istanza temporanea, smontare il volume collegato all'istanza in modo da ricollegarlo all'istanza originale. Ad esempio, utilizzare il seguente comando per smontare il volume in
/mnt/tempvol
.[ec2-user ~]$
sudo umount /mnt/tempvol
-
Scollega il volume dall'istanza temporanea (l'hai smontato nel passaggio precedente): dalla EC2 console Amazon, scegli Volumi nel riquadro di navigazione, seleziona il volume del dispositivo principale per l'istanza originale (hai preso nota dell'ID del volume nel passaggio precedente), scegli Azioni, Scollega volume, quindi scegli Scollega. Attendere che lo stato del volume diventi
available
. (Potrebbe essere necessario scegliere l'icona Refresh (Aggiorna)). -
Ricollega il volume all'istanza originale: con il volume ancora selezionato, scegli Actions (Operazioni), Attach volume (Collega volume). Seleziona l'ID dell'istanza originale, specifica il nome del dispositivo annotato in precedenza nel Passaggio 2 per il collegamento del dispositivo root originale (
/dev/sda1
o/dev/xvda
), quindi scegli Attach volume (Collega volume).Importante
Se non si specifica lo stesso nome del dispositivo dell'allegato originale, non è possibile avviare l'istanza originale. Amazon EC2 prevede che il volume del dispositivo root sia pari a
sda1
o/dev/xvda
.
Fase 8: connettersi all'istanza originale utilizzando la nuova coppia di chiavi
Seleziona l'istanza originale, scegli Instance state (Stato istanza), Start instance (Avvia istanza). Dopo che l'istanza acquisisce lo stato running
, è possibile connettersi a essa tramite il file della chiave privata per la nuova coppia di chiavi.
Nota
Se il nome della nuova coppia di chiavi e del corrispondente file di chiave privata è diverso dal nome della coppia di chiavi originale, assicurarsi di specificare il nome del nuovo file della chiave privata quando ci si connette all'istanza.
Fase 9: pulizia
(Facoltativo) È possibile terminare l'istanza temporanea se non la si utilizza più. Seleziona l'istanza temporanea e scegli Stato dell'istanza, Termina (elimina) istanza.