通过Web浏览器登录资源，报Code：C_519错误怎么办？

问题现象

通过Web浏览器无法登录资源，提示“由于资源连接失败或不可达，当前无法访问。如果持续出现该问题，请通知系统管理员或检查系统日志（Code：C_519）”。

可能原因

• CBH系统与资源服务器之间网络连接不稳定，导致连接失败。
• CBH系统到资源服务器的网络被设置拦截，导致网络不通畅连接失败。
• 资源服务器异常无响应，导致连接不可达。
• 纳管的主机IP未配置在堡垒机eth1网卡所在子网中，当CBH在连接主机时，找不到目标主机的路由，导致连接不可达。

检查网络连接情况

登录云堡垒机系统，ping连通性测试和TCP端口检测，验证云堡垒机与资源服务器之间的网络连接是否正常。

• 网络连接通畅，则网络不稳定导致连接无响应。

  重启相应资源服务器，重新开机后网络恢复正常。若重启主机不能解决，建议再排查云服务器故障/卡顿。

• 网络连接不通，则CBH系统到资源服务器有网络限制，请参考下述方案依次排查。
  1. 请先确认当前用户网络环境，是否为内网用户，以及用户访问权限是否受限。
  2. 检查CBH系统环境是否配置合理
  3. 检查主机实例环境是否合理配置
  4. 检查主机资源是否能接受CBH访问
  5. 检查纳管的主机IP是否在堡垒机eth1网卡所在子网中

检查CBH系统环境是否配置合理

1. 登录云堡垒机系统，检查纳管资源IP地址、端口等是否设置正确。
2. 检查资源关联访问控制策略，是否设置IP限制。修改访问控制策略，解除对用户“来源IP”的限制。
3. 检查云堡垒机实例关联的安全组，排查安全组的端口配置是否合理。建议按照CBH推荐端口，重新配置CBH安全组。

   用户若通过Web浏览器方式登录资源，请手动添加安全组规则TCP协议443入方向。

4. 检查云堡垒机所在内网关联的网络ACL ，排查ACL规则配置是否合理。

   解除云堡垒机IP地址的访问限制，以及在“目的地址”中添加资源IP地址，允许云堡垒机访问资源。

5. 重新设置后，尝试重新通过CBH系统登录资源。

检查主机实例环境是否合理配置

1. 管理员登录主机实例管理控制台。
2. 检查主机资源是否与CBH实例在同一区域同一VPC环境下，CBH仅支持直接访问同一区域同一VPC下资源。
3. 检查主机实例关联的安全组规则，排查安全组规则配置是否合理。

   解除对CBH的IP地址的访问限制，在源地址中添加CBH的IP地址，允许CBH访问资源。

4. 重新设置后，尝试重新通过CBH系统登录资源。

检查主机资源是否能接受CBH访问

1. 管理员登录主机资源。
2. 输入命令route -n，检查主机的路由表，是否存在丢失CBH路由现象。
3. 检查主机登录方式及登录安全加固措施，建议从以下几个方面排查：
   • Linux云服务器SSH登录的安全加固
   • Windows弹性云服务器登录方式概述
   • Linux弹性云服务器登录方式概述

4. 从以下几个方面分别排查，解除主机安全加固对云堡垒机的登录限制。
   • 无法登录到Linux云服务器怎么办？
   • 无法登录到Windows云服务器怎么办？

5. 解除安全加固的限制后，尝试重新通过CBH系统登录资源。

检查纳管的主机IP是否在堡垒机eth1网卡所在子网中

1. 检查纳管的主机IP是否在堡垒机eth1网卡所在子网中。
   1. 登录堡垒机系统。
   2. 选择“系统 > 系统配置 > 网络配置”，进入系统网络配置管理页面。
   3. 在“网络接口列表”区域，查看纳管的主机IP是否在eth1网卡所在子网中。
      • 否，参考2。
      • 是，联系技术支持。

2. 添加静态路由，将纳管的主机IP配置到eth1网卡所在子网中。
   1. 在“网络配置”页面的“静态路由配置”区域，单击“添加”，弹出静态路由添加窗口。
      按如下说明配置参数：

      • 目的地址：填写纳管的主机IP或纳管的主机IP所在子网网段。
      • 子网掩码：如果目的地址为IP，则掩码填写255.255.255.255；如果目的地址为网段，则掩码填写对应网段的掩码。
      • 下一跳地址：填写eth1的下一跳地址。
      • 出口设备：选择“eth1”。
      • 备注：可自定义填写或不填。
      • 同步到备机：可根据实际情况进行打开或者关闭。
   2. 单击“确定”。

如果通过上述排查，仍然无法解决问题，请单击管理控制台右上方的“工单”，填写工单信息反馈问题现象，联系技术支持。