Risoluzione degli errori relativi a SSH

Questo documento descrive gli errori comuni che potresti riscontrare durante la connessione alle istanze di macchine virtuali (VM) tramite SSH, descrive i modi per risolvere gli errori e i metodi per diagnosticare le connessioni SSH non riuscite.

Strumento per la risoluzione dei problemi relativi a SSH

Utilizza lo strumento per la risoluzione dei problemi SSH per determinare il motivo per cui la connessione SSH non è riuscita. Lo strumento di risoluzione dei problemi esegue i seguenti test per verificare la causa delle connessioni SSH non riuscite:

• Test delle autorizzazioni dell'utente: verifica se disponi delle autorizzazioni IAM necessarie per connetterti alla VM tramite SSH.
• Test di connettività di rete:consente di verificare se la VM è connessa alla rete.
• Test di stato delle istanze VM: controlla lo stato della CPU della VM per verificare se è in esecuzione.
• Test delle impostazioni VPC: controlla la porta SSH predefinita.

Esegui lo strumento di risoluzione dei problemi

Puoi utilizzare la console Google Cloud o Google Cloud CLI per verificare la presenza di problemi di rete ed errori di autorizzazione dell'utente che potrebbero causare la mancata riuscita delle connessioni SSH.

gcloud compute ssh VM_NAME \
    --troubleshoot

Esaminare i risultati

Dopo aver eseguito lo strumento di risoluzione dei problemi, procedi nel seguente modo:

1. Esamina i risultati del test per capire perché la connessione SSH della VM non funziona.
2. Risolvi le connessioni SSH eseguendo i passaggi di correzione forniti dallo strumento.

3. Prova a riconnetterti alla VM.

   Se la connessione non va a buon fine, prova a risolvere manualmente i problemi procedendo nel seguente modo:

   • Eseguire il debug dei problemi utilizzando la console seriale
   • Assicurati che la VM si avvii normalmente

Errori comuni relativi a SSH

Di seguito sono riportati alcuni esempi di errori comuni che potresti riscontrare quando utilizzi SSH per connetterti alle VM di Compute Engine.

Errori relativi a SSH nel browser

Errore 401 non autorizzato

Quando ti connetti alla VM utilizzando l'SSH nel browser dalla console Google Cloud, potrebbe verificarsi il seguente errore:

Unauthorized
Error 401

Questo errore si verifica se l'utente fa parte di un'organizzazione gestita dall'interno di Google Workspace ed esiste una limitazione attiva nel criterio di Workspace che impedisce agli utenti di accedere a SSH nel browser e alla console seriale in Google Cloud.

Per risolvere il problema, chiedi a un amministratore di Google Workspace di procedere come segue:

1. Verifica che Google Cloud sia abilitato per l'organizzazione.

   Se Google Cloud è disabilitato, abilitalo e riprova a stabilire la connessione.

2. Verifica che i servizi non controllabili individualmente siano attivati.

   Se questi servizi sono disabilitati, abilitali e riprova a stabilire la connessione.

Se il problema persiste dopo aver abilitato le impostazioni di Google Cloud in Google Workspace, segui questi passaggi:

1. Acquisisci il traffico di rete in un file HAR (HTTP Archive Format) a partire dall'avvio della connessione SSH nel browser.

2. Crea una richiesta per l'assistenza clienti Google Cloud e allega il file HAR.

Impossibile connettersi, nuovo tentativo in corso...

Quando avvii una sessione SSH, potrebbe verificarsi il seguente errore:

Could not connect, retrying ...

Per risolvere il problema:

1. Al termine dell'avvio della VM, riprova a connettersi. Se la connessione non va a buon fine, verifica che la VM non sia stata avviata in modalità di emergenza eseguendo questo comando:

   gcloud compute instances get-serial-port-output VM_NAME \
   | grep "emergency mode"
   

   Se la VM si avvia in modalità di emergenza, risolvi i problemi del processo di avvio della VM per identificare il punto in cui l'avvio non riesce.

2. Verifica che il servizio google-guest-agent.service sia in esecuzione eseguendo questo comando nella console seriale.

   systemctl status google-guest-agent.service
   

   Se il servizio è disabilitato, abilitalo e avvialo eseguendo questi comandi:

   systemctl enable google-guest-agent.service
   systemctl start google-guest-agent.service
   

3. Verifica che gli script Google Agent di Linux siano installati e in esecuzione. Per ulteriori informazioni, consulta la pagina Determinazione dello stato di agente Google. Se l'agente Google Linux non è installato, reinstallalo.

4. Verifica di disporre dei ruoli richiesti per la connessione alla VM. Se la VM utilizza OS Login, consulta Assegnare il ruolo IAM OS Login. Se la VM non utilizza OS Login, devi disporre del ruolo Amministratore istanze Compute o del ruolo utente account di servizio (se la VM è configurata per l'esecuzione come account di servizio). I ruoli sono necessari per aggiornare l'istanza o il progetto, le chiavi SSH e i metadati.

5. Esegui questo comando per verificare che esista una regola firewall che consenta l'accesso SSH:

   gcloud compute firewall-rules list | grep "tcp:22"
   

6. Verifica che esista una route predefinita per internet (o per il bastion host). Per ulteriori informazioni, vedi Controllare i percorsi.

7. Assicurati che il volume root non sia esaurito. Per ulteriori informazioni, consulta la sezione Risoluzione dei problemi relativi ai dischi completi e al ridimensionamento dei dischi.

8. Esegui questo comando per assicurarti che la VM non abbia esaurito la memoria:

   gcloud compute instances get-serial-port-output instance-name \
   | grep "Out of memory: Kill process" - e "Kill process" -e "Memory cgroup out of memory" -e "oom"
   

   Se la VM ha esaurito la memoria, connettiti alla console seriale per risolvere i problemi.

Errori Linux

Autorizzazione negata (publickey)

Quando ti connetti alla VM potrebbe verificarsi il seguente errore:

USERNAME@VM_EXTERNAL_IP: Permission denied (publickey).

Questo errore può verificarsi per diversi motivi. Di seguito sono riportate alcune delle cause più comuni di questo errore:

• Hai utilizzato una chiave SSH archiviata nei metadati per connetterti a una VM in cui è abilitato OS Login. Se OS Login è abilitato nel tuo progetto, la tua VM non accetta chiavi SSH archiviate nei metadati. Se non sai se OS Login sia abilitato, consulta Verificare se OS Login è configurato.

  Per risolvere il problema, prova una delle seguenti operazioni:

  • Connettiti alla VM utilizzando la console Google Cloud o Google Cloud CLI. Per ulteriori informazioni, consulta Connessione alle VM.
  • Aggiungi le chiavi SSH a OS Login. Per ulteriori informazioni, consulta Aggiungere chiavi alle VM che utilizzano OS Login.
  • Disattiva OS Login. Per ulteriori informazioni, consulta la sezione Disabilitazione di OS Login.

• Hai utilizzato una chiave SSH archiviata in un profilo di accesso al sistema operativo per connetterti a una VM in cui non è abilitato OS Login. Se disabiliti OS Login, la VM non accetta chiavi SSH archiviate nel tuo profilo OS Login. Se non sai se OS Login è abilitato, consulta Verificare se OS Login è configurato.

  Per risolvere il problema, prova una delle seguenti operazioni:

  • Connettiti alla VM utilizzando la console Google Cloud o Google Cloud CLI. Per ulteriori informazioni, consulta Connessione alle VM.
  • Attiva OS Login. Per ulteriori informazioni, consulta Attivazione di OS Login.
  • Aggiungi le chiavi SSH ai metadati. Per ulteriori informazioni, consulta Aggiungere chiavi SSH alle VM che utilizzano chiavi SSH basate su metadati.

• La VM ha OS Login, ma non disponi di autorizzazioni IAM sufficienti per utilizzare OS Login. Per connetterti a una VM in cui è abilitato OS Login, devi disporre delle autorizzazioni necessarie per OS Login. Se non sai se OS Login sia abilitato, consulta Verificare se OS Login è configurato.

  Per risolvere il problema, concedi i ruoli IAM di accesso al sistema operativo richiesti.

• La chiave è scaduta e Compute Engine ha eliminato il tuo file ~/.ssh/authorized_keys. Se hai aggiunto manualmente le chiavi SSH alla VM e hai poi eseguito la connessione alla VM utilizzando la console Google Cloud, Compute Engine ha creato una nuova coppia di chiavi per la connessione. Dopo la scadenza della nuova coppia di chiavi, Compute Engine ha eliminato il file ~/.ssh/authorized_keys nella VM, contenente la chiave SSH aggiunta manualmente.

  Per risolvere il problema, prova una delle seguenti operazioni:

  • Connettiti alla VM utilizzando la console Google Cloud o Google Cloud CLI. Per ulteriori informazioni, consulta Connessione alle VM.
  • Aggiungi nuovamente la chiave SSH ai metadati. Per ulteriori informazioni, consulta Aggiungere chiavi SSH alle VM che utilizzano chiavi SSH basate su metadati.

• Hai effettuato la connessione utilizzando uno strumento di terze parti e il tuo comando SSH non è configurato correttamente. Se ti connetti utilizzando il comando ssh, ma non specifichi un percorso per la chiave privata o se specifichi un percorso errato per la tua chiave privata, la VM rifiuta la connessione.

  Per risolvere il problema, prova una delle seguenti operazioni:

  • Esegui questo comando:
    

    ssh -i PATH_TO_PRIVATE_KEY USERNAME@EXTERNAL_IP
    

    
    Sostituisci quanto segue:
    • PATH_TO_PRIVATE_KEY: il percorso del file di chiave SSH privata.
    • USERNAME: il nome utente dell'utente che si connette all'istanza. Se gestisci le chiavi SSH nei metadati, il nome utente è quello specificato quando hai creato la chiave SSH. Per gli account OS Login, il nome utente è definito nel tuo profilo Google.
    • EXTERNAL_IP: l'indirizzo IP esterno della VM.
  • Connettiti alla VM utilizzando la console Google Cloud o Google Cloud CLI. Quando utilizzi questi strumenti per la connessione, Compute Engine gestisce per te la creazione delle chiavi. Per maggiori informazioni, consulta Connessione alle VM.

• L'ambiente guest della VM non è in esecuzione. Se è la prima volta che ti connetti alla VM e l'ambiente guest non è in esecuzione, la VM potrebbe rifiutare la tua richiesta di connessione SSH.

  Per risolvere il problema:

  1. Riavvia la VM.
  2. Nella console Google Cloud, esamina i log di avvio del sistema nell'output della porta di serie per determinare se l'ambiente guest è in esecuzione. Per ulteriori informazioni, vedi Convalida dell'ambiente ospite.
  3. Se l'ambiente guest non è in esecuzione, installalo manualmente clonando il disco di avvio della VM e utilizzando uno script di avvio.

• Il daemon OpenSSH (sshd) non è in esecuzione o non è configurato correttamente. sshd fornisce l'accesso remoto sicuro al sistema tramite il protocollo SSH. Se non è configurata correttamente o non è in esecuzione, non potrai connetterti alla VM tramite SSH.

  Per risolvere il problema, prova una o più delle seguenti operazioni:

  • Consulta la guida dell'utente relativa al tuo sistema operativo per assicurarti che sshd_config sia configurato correttamente.

  • Assicurati di disporre delle impostazioni di proprietà e autorizzazione necessarie per quanto segue:

    • Directory $HOME e $HOME/.ssh
    • File $HOME/.ssh/authorized_keys

    Proprietà

    L'ambiente ospite archivia le chiavi pubbliche SSH autorizzate nel file $HOME/.ssh/authorized_keys. Il proprietario delle directory $HOME e $HOME/.ssh e il file $HOME/.ssh/authorized_keys devono corrispondere all'utente che si connette alla VM.

    Autorizzazioni

    L'ambiente guest richiede le seguenti autorizzazioni Linux:

    Percorso	Autorizzazioni
    /home	0755
    $HOME	0700 o 0750 o 0755 *
    $HOME/.ssh	0700
    $HOME/.ssh/authorized_keys	0600

    ^* Per scoprire quale delle opzioni è l'autorizzazione predefinita corretta per la tua directory $HOME, consulta la documentazione ufficiale per la tua distribuzione Linux specifica.

    ---

    In alternativa, puoi creare una nuova VM basata sulla stessa immagine e verificare le autorizzazioni predefinite per $HOME.

    Per scoprire come modificare le autorizzazioni e la proprietà, leggi le informazioni su chmod e chown.

  • Riavvia sshd eseguendo questo comando:

    systemctl restart sshd.service
    

    Controlla se sono presenti errori nello stato eseguendo questo comando:

    systemctl status sshd.service
    

    L'output di stato potrebbe contenere informazioni quali il codice di uscita, il motivo dell'errore e così via. Puoi utilizzare questi dettagli per ulteriori procedure di risoluzione dei problemi.

• Il disco di avvio della VM è pieno. Quando viene stabilita una connessione SSH, l'ambiente guest aggiunge la chiave SSH pubblica della sessione al file ~/.ssh/authorized_keys. Se il disco è pieno, la connessione non va a buon fine.

  Per risolvere il problema, esegui una o più delle seguenti operazioni:

  • Verifica che il disco di avvio sia pieno eseguendo il debug con la console seriale per identificare no space left errors.
  • Ridimensiona il disco.
  • Se sai quali file utilizzano lo spazio su disco, crea uno script di avvio che elimini i file non necessari e libera spazio. Dopo l'avvio della VM e la connessione alla VM, elimina i metadati startup-script.

• Le autorizzazioni o la proprietà su $HOME, $HOME/.ssh o $HOME/.ssh/authorized_keys sono errate.

  Proprietà

  L'ambiente ospite archivia le chiavi pubbliche SSH autorizzate nel file $HOME/.ssh/authorized_keys. Il proprietario delle directory $HOME e $HOME/.ssh e il file $HOME/.ssh/authorized_keys devono corrispondere all'utente che si connette alla VM.

  Autorizzazioni

  L'ambiente guest richiede le seguenti autorizzazioni Linux:

  Percorso	Autorizzazioni
  /home	0755
  $HOME	0700 o 0750 o 0755 *
  $HOME/.ssh	0700
  $HOME/.ssh/authorized_keys	0600

  ^* Per scoprire quale delle opzioni è l'autorizzazione predefinita corretta per la tua directory $HOME, consulta la documentazione ufficiale per la tua distribuzione Linux specifica.

  ---

  In alternativa, puoi creare una nuova VM basata sulla stessa immagine e verificare le autorizzazioni predefinite per $HOME.

  Per scoprire come modificare le autorizzazioni e la proprietà, leggi le informazioni su chmod e chown.

Connessione non riuscita

Quando ti connetti alla VM dalla console Google Cloud o da gcloud CLI potrebbero verificarsi i seguenti errori:

• La console Google Cloud:

  Connection Failed
  
  We are unable to connect to the VM on port 22.
  

• Gcloud CLI:

  ERROR: (gcloud.compute.ssh) [/usr/bin/ssh] exited with return code [255].
  

Questi errori possono verificarsi per diversi motivi. Di seguito sono riportate alcune delle cause più comuni degli errori:

• La VM è in fase di avvio e sshd non è ancora in esecuzione. Non puoi connetterti a una VM prima che sia in esecuzione.

  Per risolvere il problema, attendi il termine dell'avvio della VM e prova a connetterti di nuovo.

• sshd è in esecuzione su una porta personalizzata. Se hai configurato sshd per l'esecuzione su una porta diversa dalla porta 22, non potrai connetterti alla VM.

  Per risolvere il problema, crea una regola firewall personalizzata che consenta il traffico tcp sulla porta su cui è in esecuzione sshd utilizzando il seguente comando:

  gcloud compute firewall-rules create FIREWALL_NAME \
    --allow tcp:PORT_NUMBER
  

  Per saperne di più sulla creazione di regole firewall personalizzate, consulta Creazione di regole firewall.

• La regola firewall SSH non è presente o non consente il traffico da IAP o dalla rete internet pubblica. Le connessioni SSH vengono rifiutate se le regole firewall non consentono connessioni dal traffico IAP o TCP in entrata per l'intervallo IP 0.0.0.0/0.

  Per risolvere il problema, esegui una delle seguenti operazioni:

  • Se utilizzi Identity-Aware Proxy (IAP) per l'inoltro TCP, aggiorna la regola firewall personalizzata in modo che accetti il traffico da IAP, poi controlla le autorizzazioni IAM.

    1. Aggiorna la regola firewall personalizzata per consentire il traffico da 35.235.240.0/20, l'intervallo di indirizzi IP utilizzato da IAP per l'inoltro TCP. Per maggiori informazioni, consulta Creare una regola firewall.
    2. Concedi le autorizzazioni per utilizzare l'inoltro TCP IAP, se non l'hai ancora fatto.

  • Se non utilizzi IAP, aggiorna la regola firewall personalizzata per consentire il traffico SSH in entrata.

    1. Aggiorna la regola firewall personalizzata in Consenti connessioni SSH in entrata alle VM.

• La connessione SSH non è riuscita dopo che hai eseguito l'upgrade del kernel della VM. Una VM potrebbe riscontrare un panic del kernel dopo l'aggiornamento del kernel, rendendo la VM inaccessibile.

  Per risolvere il problema:

  1. Monta il disco su un'altra VM.
  2. Aggiorna il file grub.cfg per utilizzare la versione precedente del kernel.
  3. Collega il disco alla VM che non risponde.
  4. Verifica che lo stato della VM sia RUNNING utilizzando il comando gcloud compute instances describe.
  5. Reinstalla il kernel.
  6. Riavvia la VM.

  In alternativa, se hai creato uno snapshot del disco di avvio prima di eseguire l'upgrade della VM, utilizza lo snapshot per creare una VM.

• Il daemon OpenSSH (sshd) non è in esecuzione o non è configurato correttamente. sshd fornisce l'accesso remoto sicuro al sistema tramite il protocollo SSH. Se non è configurata correttamente o non è in esecuzione, non potrai connetterti alla VM tramite SSH.

  Per risolvere il problema, prova una o più delle seguenti operazioni:

  • Consulta la guida dell'utente relativa al tuo sistema operativo per assicurarti che sshd_config sia configurato correttamente.

  • Assicurati di disporre delle impostazioni di proprietà e autorizzazione necessarie per quanto segue:

    • Directory $HOME e $HOME/.ssh
    • File $HOME/.ssh/authorized_keys

    Proprietà

    L'ambiente ospite archivia le chiavi pubbliche SSH autorizzate nel file $HOME/.ssh/authorized_keys. Il proprietario delle directory $HOME e $HOME/.ssh e il file $HOME/.ssh/authorized_keys devono corrispondere all'utente che si connette alla VM.

    Autorizzazioni

    L'ambiente guest richiede le seguenti autorizzazioni Linux:

    Percorso	Autorizzazioni
    /home	0755
    $HOME	0700 o 0750 o 0755 *
    $HOME/.ssh	0700
    $HOME/.ssh/authorized_keys	0600

    ^* Per scoprire quale delle opzioni è l'autorizzazione predefinita corretta per la tua directory $HOME, consulta la documentazione ufficiale per la tua distribuzione Linux specifica.

    ---

    In alternativa, puoi creare una nuova VM basata sulla stessa immagine e verificare le autorizzazioni predefinite per $HOME.

    Per scoprire come modificare le autorizzazioni e la proprietà, leggi le informazioni su chmod e chown.

  • Riavvia sshd eseguendo questo comando:

    systemctl restart sshd.service
    

    Controlla se sono presenti errori nello stato eseguendo questo comando:

    systemctl status sshd.service
    

    L'output di stato potrebbe contenere informazioni quali il codice di uscita, il motivo dell'errore e così via. Puoi utilizzare questi dettagli per ulteriori procedure di risoluzione dei problemi.

• La VM non si avvia e non puoi connetterti tramite SSH o la console seriale. Se la VM è inaccessibile, il sistema operativo potrebbe essere danneggiato. Se il disco di avvio non si avvia, puoi diagnosticare il problema. Se vuoi recuperare la VM danneggiata e recuperare i dati, vedi Recupero di una VM danneggiata o di un disco di avvio completo.

• La VM è in fase di avvio in modalità di manutenzione. Quando viene avviato in modalità di manutenzione, la VM non accetta connessioni SSH, ma puoi connetterti alla console seriale della VM e accedere come utente root.

  Per risolvere il problema:

  1. Se non hai impostato una password root per la VM, utilizza uno script di avvio dei metadati per eseguire il seguente comando durante l'avvio:

     echo "root:NEW_PASSWORD" | chpasswd

     Sostituisci NEW_PASSWORD" con una password a tua scelta.

  2. Riavvia la VM.

  3. Connettiti alla console seriale della VM e accedi come utente root.

Errore imprevisto

Quando provi a connetterti a una VM Linux, potrebbe verificarsi il seguente errore:

Connection Failed
You cannot connect to the VM instance because of an unexpected error. Wait a few moments and then try again.

Questo problema può verificarsi per diversi motivi. Di seguito sono riportate alcune cause comuni dell'errore:

• Il daemon OpenSSH (sshd) non è in esecuzione o non è configurato correttamente. sshd fornisce l'accesso remoto sicuro al sistema tramite il protocollo SSH. Se non è configurata correttamente o non è in esecuzione, non potrai connetterti alla VM tramite SSH.

  Per risolvere il problema, prova una o più delle seguenti operazioni:

  • Consulta la guida dell'utente relativa al tuo sistema operativo per assicurarti che sshd_config sia configurato correttamente.

  • Assicurati di disporre delle impostazioni di proprietà e autorizzazione necessarie per quanto segue:

    • Directory $HOME e $HOME/.ssh
    • File $HOME/.ssh/authorized_keys

    Proprietà

    L'ambiente ospite archivia le chiavi pubbliche SSH autorizzate nel file $HOME/.ssh/authorized_keys. Il proprietario delle directory $HOME e $HOME/.ssh e il file $HOME/.ssh/authorized_keys devono corrispondere all'utente che si connette alla VM.

    Autorizzazioni

    L'ambiente guest richiede le seguenti autorizzazioni Linux:

    Percorso	Autorizzazioni
    /home	0755
    $HOME	0700 o 0750 o 0755 *
    $HOME/.ssh	0700
    $HOME/.ssh/authorized_keys	0600

    ^* Per scoprire quale delle opzioni è l'autorizzazione predefinita corretta per la tua directory $HOME, consulta la documentazione ufficiale per la tua distribuzione Linux specifica.

    ---

    In alternativa, puoi creare una nuova VM basata sulla stessa immagine e verificare le autorizzazioni predefinite per $HOME.

    Per scoprire come modificare le autorizzazioni e la proprietà, leggi le informazioni su chmod e chown.

  • Riavvia sshd eseguendo questo comando:

    systemctl restart sshd.service
    

    Controlla se sono presenti errori nello stato eseguendo questo comando:

    systemctl status sshd.service
    

    L'output di stato potrebbe contenere informazioni quali il codice di uscita, il motivo dell'errore e così via. Puoi utilizzare questi dettagli per ulteriori procedure di risoluzione dei problemi.

• Problema del daemon SSH sconosciuto. Per diagnosticare un problema del daemon SSH sconosciuto, verifica la presenza di errori nei log della console seriale.

  A seconda dell'output dei log della console seriale, prova a recuperare la VM e a risolvere i problemi relativi al daemon SSH:

  1. Collega il disco a un'altra VM Linux.
  2. Connettiti alla VM in cui è presente il disco montato.
  3. Monta il disco all'interno del sistema operativo in una directory MOUNT_DIR all'interno della VM.
  4. Visualizza i log relativi a SSH, /var/log/secure o /var/log/auth.log, per eventuali problemi/errori. Se noti problemi che puoi risolvere, prova a risolverli. In caso contrario, crea una richiesta di assistenza e allega i log.

  5. Smonta il disco dal sistema operativo utilizzando il comando umount:

     cd ~/
     umount /mnt
     

  6. Scollega il disco dalla VM.

  7. Collega il disco alla VM originale.

  8. Avviare la VM.

Impossibile connettersi al backend

Quando ti connetti alla VM dalla console Google Cloud o da gcloud CLI potrebbero verificarsi i seguenti errori:

• La console Google Cloud:

  -- Connection via Cloud Identity-Aware Proxy Failed
  
  -- Code: 4003
  
  -- Reason: failed to connect to backend
  

• Gcloud CLI:

  ERROR: (gcloud.compute.start-iap-tunnel) Error while connecting [4003: 'failed to connect to backend'].
  

Questi errori si verificano quando provi a utilizzare SSH per connetterti a una VM che non ha un indirizzo IP pubblico e per la quale non hai configurato Identity-Aware Proxy sulla porta 22.

Per risolvere il problema, crea una regola firewall sulla porta 22 che consenta il traffico in entrata da Identity-Aware Proxy.

La chiave host non corrisponde

Quando ti connetti alla VM potrebbe verificarsi il seguente errore:

Host key for server IP_ADDRESS does not match

Questo errore si verifica quando la chiave host nel file ~/.ssh/known_hosts non corrisponde a quella della VM.

Per risolvere il problema, elimina la chiave host dal file ~/.ssh/known_hosts, quindi riprova a stabilire la connessione.

Il valore dei metadati è troppo grande

Quando provi ad aggiungere una nuova chiave SSH ai metadati, potrebbe verificarsi il seguente errore:

ERROR:"Value for field 'metadata.items[X].value' is too large: maximum size 262144 character(s); actual size NUMBER_OF_CHARACTERS."

I valori dei metadati hanno un limite massimo di 256 kB. Per limitare questo limite, esegui una delle seguenti operazioni:

• Elimina le chiavi SSH scadute o duplicate dai metadati di progetto o istanza. Per ulteriori informazioni, consulta Aggiornare i metadati su una VM in esecuzione.
• Utilizza OS Login.

Errori di Windows

Autorizzazione negata, riprova

Quando ti connetti alla VM potrebbe verificarsi il seguente errore:

USERNAME@compute.INSTANCE_ID's password:
Permission denied, please try again.

Questo errore indica che l'utente che tenta di connettersi alla VM non esiste sulla VM. Di seguito sono riportate alcune delle cause più comuni di questo errore:

• La tua versione di gcloud CLI è obsoleta

  Se gcloud CLI non è aggiornato, è possibile che tu stia tentando di connetterti utilizzando un nome utente non configurato. Per risolvere il problema, aggiorna gcloud CLI.

• Hai provato a connetterti a una VM Windows in cui non è abilitato SSH.

  Per risolvere questo errore, imposta la chiave enable-windows-ssh su TRUE nei metadati del progetto o dell'istanza. Per maggiori informazioni sull'impostazione dei metadati, consulta Impostare metadati personalizzati.

Autorizzazione negata (publickey,keyboard-interactive)

Quando ti connetti a una VM che non ha SSH abilitato, potrebbe verificarsi il seguente errore:

Permission denied (publickey,keyboard-interactive).

Per risolvere questo errore, imposta la chiave enable-windows-ssh su TRUE nei metadati del progetto o dell'istanza. Per maggiori informazioni sull'impostazione dei metadati, consulta Impostare metadati personalizzati.

Impossibile accedere tramite SSH all'istanza

Quando ti connetti alla VM da gcloud CLI potrebbe verificarsi il seguente errore:

ERROR: (gcloud.compute.ssh) Could not SSH into the instance.
It is possible that your SSH key has not propagated to the instance yet.
Try running this command again.  If you still cannot connect, verify that the firewall and instance are set to accept ssh traffic.

Questo errore può verificarsi per diversi motivi. Di seguito sono riportate alcune delle cause più comuni degli errori:

• Hai provato a connetterti a una VM Windows in cui non è installato SSH.

  Per risolvere il problema, segui le istruzioni per abilitare SSH per Windows su una VM in esecuzione.

• Il server OpenSSH (sshd) non è in esecuzione o non è configurato correttamente. sshd fornisce l'accesso remoto sicuro al sistema tramite il protocollo SSH. Se non è configurata correttamente o non è in esecuzione, non potrai connetterti alla VM tramite SSH.

  Per risolvere il problema, consulta la pagina Configurazione di OpenSSH Server per Windows Server e Windows per assicurarti che sshd sia configurato correttamente.

Timeout della connessione

Il timeout delle connessioni SSH potrebbe essere dovuto a uno dei seguenti motivi:

• La VM non ha terminato l'avvio. Potrebbe essere necessario un po' di tempo per l'avvio della VM.

  Per risolvere il problema, attendi il termine dell'avvio della VM e prova a connetterti di nuovo.

• Il pacchetto SSH non è installato. Le VM Windows richiedono l'installazione del pacchetto google-compute-engine-ssh prima di poterti connettere tramite SSH.

  Per risolvere il problema, installa il pacchetto SSH.

Diagnosi delle connessioni SSH non riuscite

Le seguenti sezioni descrivono la procedura per diagnosticare la causa delle connessioni SSH non riuscite e la procedura che puoi seguire per correggere le connessioni.

Prima di diagnosticare le connessioni SSH non riuscite, segui questi passaggi:

• Installa o aggiorna alla versione più recente di Google Cloud CLI.
• Esegui test di connettività.
• Se utilizzi un'immagine Linux personalizzata che non esegue l'ambiente guest, installa l'ambiente guest Linux.
• Se utilizzi OS Login, consulta la pagina Risoluzione dei problemi di OS Login.

Metodi di diagnostica per VM Linux e Windows

Testa la connettività

Potresti non riuscire a connetterti a un'istanza VM tramite SSH a causa di problemi di connettività collegati a firewall, connessione di rete o account utente. Segui i passaggi in questa sezione per identificare eventuali problemi di connettività.

Controlla le regole firewall

Compute Engine esegue il provisioning di ogni progetto con un set predefinito di regole firewall che consentono il traffico SSH. Se non riesci ad accedere all'istanza, utilizza lo strumento a riga di comando gcloud compute per controllare l'elenco dei firewall e assicurarti che sia presente la regola default-allow-ssh.

Sulla workstation locale, esegui questo comando:

gcloud compute firewall-rules list

Se la regola firewall non è presente, aggiungila di nuovo:

gcloud compute firewall-rules create default-allow-ssh \
    --allow tcp:22

Per visualizzare tutti i dati associati alla regola firewall default-allow-ssh nel tuo progetto, utilizza il comando gcloud compute firewall-rules describe:

gcloud compute firewall-rules describe default-allow-ssh \
    --project=project-id

Per ulteriori informazioni sulle regole firewall, consulta Regole firewall in Google Cloud.

Prova la connessione di rete

Per determinare se la connessione di rete funziona, verifica l'handshake TCP:

1. Ottieni il natIP esterno per la tua VM:

   gcloud compute instances describe VM_NAME \
       --format='get(networkInterfaces[0].accessConfigs[0].natIP)'
   

   Sostituisci VM_NAME con il nome della VM a cui non riesci a connetterti.

2. Testa la connessione di rete alla VM dalla tua workstation:

   Linux, Windows 2019/2022 e macOS

   curl -vso /dev/null --connect-timeout 5 EXTERNAL_IP:PORT_NUMBER
   

   Sostituisci quanto segue:

   • EXTERNAL_IP: l'indirizzo IP esterno che hai ottenuto nel passaggio precedente
   • PORT_NUMBER: il numero della porta

   Se l'handshake TCP ha esito positivo, l'output è simile al seguente:

   Expire in 0 ms for 6 (transfer 0x558b3289ffb0)
   Expire in 5000 ms for 2 (transfer 0x558b3289ffb0)
   Trying 192.168.0.4...
   TCP_NODELAY set
   Expire in 200 ms for 4 (transfer 0x558b3289ffb0)
   Connected to 192.168.0.4 (192.168.0.4) port 443 (#0)
   > GET / HTTP/1.1
   > Host: 192.168.0.4:443
   > User-Agent: curl/7.64.0
   > Accept: */*
   >
   Empty reply from server
   Connection #0 to host 192.168.0.4 left intact
   

   La riga Connected to indica un handshake TCP riuscito.

   Windows 2012 e 2016

   PS C:> New-Object System.Net.Sockets.TcpClient('EXTERNAL_IP',PORT_NUMBER)
   

   Sostituisci quanto segue:

   • EXTERNAL_IP: l'IP esterno che hai ottenuto nel passaggio precedente
   • PORT_NUMBER: il numero della porta

   Se l'handshake TCP ha esito positivo, l'output è simile al seguente:

   Available           : 0
   Client              : System.Net.Sockets.Socket
   Connected           : True
   ExclusiveAddressUse : False
   ReceiveBufferSize   : 131072
   SendBufferSize      : 131072
   ReceiveTimeout      : 0
   SendTimeout         : 0
   LingerState         : System.Net.Sockets.LingerOption
   NoDelay             : False
   

   La riga Connected: True indica un handshake TCP riuscito.

Se l'handshake TCP viene completato correttamente, una regola firewall del software non blocca la connessione, il sistema operativo inoltra correttamente i pacchetti e un server è in ascolto sulla porta di destinazione. Se l'handshake TCP viene completato correttamente ma la VM non accetta connessioni SSH, è possibile che il daemon sshd non sia configurato correttamente o non venga eseguito correttamente. Consulta la guida dell'utente del tuo sistema operativo per assicurarti che sshd_config sia configurato correttamente.

Per eseguire test di connettività al fine di analizzare la configurazione del percorso di rete VPC tra due VM e verificare se la configurazione programmata deve consentire il traffico, consulta Verificare la presenza di regole firewall non configurate correttamente in Google Cloud.

Entra in contatto come utente diverso

Il problema che ti impedisce di accedere potrebbe essere limitato al tuo account utente. Ad esempio, le autorizzazioni per il file ~/.ssh/authorized_keys nell'istanza potrebbero non essere impostate correttamente per l'utente.

Prova ad accedere come un utente diverso con gcloud CLI specificando ANOTHER_USERNAME con la richiesta SSH. L'interfaccia a riga di comando gcloud aggiorna i metadati del progetto per aggiungere il nuovo utente e consentire l'accesso SSH.

gcloud compute ssh ANOTHER_USERNAME@VM_NAME

Sostituisci quanto segue:

• ANOTHER_USERNAME è un nome utente diverso dal tuo nome utente
• VM_NAME è il nome della VM a cui vuoi connetterti

Esegui il debug dei problemi utilizzando la console seriale

Ti consigliamo di esaminare i log della console seriale per individuare eventuali errori di connessione. Puoi accedere alla console seriale come utente root dalla tua workstation locale utilizzando un browser. Questo approccio è utile quando non puoi accedere con SSH o se l'istanza non ha una connessione alla rete. La console seriale rimane accessibile in entrambe le situazioni.

Per accedere alla console seriale della VM e risolvere i problemi relativi alla VM, segui questi passaggi:

1. Abilita l'accesso interattivo alla console seriale della VM.

2. Per le VM Linux, modifica la password root e aggiungi il seguente script di avvio alla VM:

   echo root:PASSWORD | chpasswd

   Sostituisci PASSWORD con una password a tua scelta.

3. Utilizza la console seriale per connetterti alla VM.

4. Per le VM Linux, dopo aver completato il debug di tutti gli errori, disabilita l'accesso all'account root:

   sudo passwd -l root

Metodi di diagnostica per le VM Linux

Ispeziona l'istanza VM senza arrestarla

Potresti avere un'istanza a cui non puoi connetterti che continua a gestire correttamente il traffico di produzione. In questo caso, potresti voler ispezionare il disco senza interrompere l'istanza.

Per esaminare il disco e risolvere i relativi problemi:

1. Esegui il backup del disco di avvio creando uno snapshot del disco.
2. Crea un normale disco permanente a partire da quello snapshot.
3. Creare un'istanza temporanea.
4. Collega e monta il disco permanente standard nella nuova istanza temporanea.

Questa procedura crea una rete isolata che consente solo connessioni SSH. Questa configurazione impedisce eventuali conseguenze indesiderate dell'istanza clonata che interferisce con i servizi di produzione.

1. Crea una nuova rete VPC per ospitare l'istanza clonata:

   gcloud compute networks create debug-network
   

   Sostituisci NETWORK_NAME con il nome che vuoi chiamare la nuova rete.

2. Aggiungi una regola firewall per consentire le connessioni SSH alla rete:

   gcloud compute firewall-rules create debug-network-allow-ssh \
      --network debug-network \
      --allow tcp:22
   

3. Crea uno snapshot del disco di avvio.

   gcloud compute disks snapshot BOOT_DISK_NAME \
      --snapshot-names debug-disk-snapshot
   

   Sostituisci BOOT_DISK_NAME con il nome del disco di avvio.

4. Crea un nuovo disco con lo snapshot che hai appena creato:

   gcloud compute disks create example-disk-debugging \
      --source-snapshot debug-disk-snapshot
   

5. Crea una nuova istanza di debug senza un indirizzo IP esterno:

   gcloud compute instances create debugger \
      --network debug-network \
      --no-address
   

6. Collega il disco di debug all'istanza:

   gcloud compute instances attach-disk debugger \
      --disk example-disk-debugging
   

7. Segui le istruzioni per connetterti a una VM utilizzando un bastion host.

8. Dopo aver eseguito l'accesso all'istanza del debugger, risolvi i problemi dell'istanza. Ad esempio, puoi esaminare i log delle istanze:

   sudo su -
   

   mkdir /mnt/VM_NAME
   

   mount /dev/disk/by-id/scsi-0Google_PersistentDisk_example-disk-debugging /mnt/VM_NAME
   

   cd /mnt/VM_NAME/var/log
   

   # Identify the issue preventing ssh from working
   ls
   

   Sostituisci VM_NAME con il nome della VM a cui non riesci a connetterti.

Utilizza uno script di avvio

Se nessuna delle soluzioni precedenti è stata utile, puoi creare uno script di avvio per raccogliere informazioni subito dopo l'avvio dell'istanza. Segui le istruzioni per eseguire uno script di avvio.

Successivamente, devi anche reimpostare l'istanza utilizzando gcloud compute instances reset prima che i metadati vengano applicati.

In alternativa, puoi anche ricreare l'istanza eseguendo uno script di avvio diagnostico:

1. Esegui gcloud compute instances delete con il flag --keep-disks.

   gcloud compute instances delete VM_NAME \
      --keep-disks boot
   

   Sostituisci VM_NAME con il nome della VM a cui non riesci a connetterti.

2. Aggiungi una nuova istanza con lo stesso disco e specifica lo script di avvio.

   gcloud compute instances create NEW_VM_NAME \
      --disk name=BOOT_DISK_NAME,boot=yes \
      --metadata startup-script-url URL
   

   Sostituisci quanto segue:

   • NEW_VM_NAME è il nome della nuova VM che stai creando
   • BOOT_DISK_NAME è il nome del disco di avvio della VM a cui non riesci a connetterti
   • URL è l'URL Cloud Storage dello script, in formato gs://BUCKET/FILE o https://storage.googleapis.com/BUCKET/FILE.

Utilizza il tuo disco su una nuova istanza

Se hai ancora bisogno di recuperare i dati dal disco di avvio permanente, puoi scollegare il disco di avvio e collegarlo come disco secondario su una nuova istanza.

1. Elimina la VM a cui non riesci a connetterti e conserva il relativo disco di avvio:

   gcloud compute instances delete VM_NAME \
      --keep-disks=boot 

   Sostituisci VM_NAME con il nome della VM a cui non riesci a connetterti.

2. Crea una nuova VM con il disco di avvio della vecchia VM. Specifica il nome del disco di avvio della VM appena eliminata.

3. Connettiti alla nuova VM tramite SSH:

   gcloud compute ssh NEW_VM_NAME
   

   Sostituisci NEW_VM_NAME con il nome della nuova VM.

Controlla se il disco di avvio della VM è pieno

La VM potrebbe non essere più accessibile se il disco di avvio è pieno. Questo scenario può essere difficile da risolvere poiché non è sempre evidente quando il problema di connettività della VM è dovuto a un disco di avvio pieno. Per ulteriori informazioni su questo scenario, consulta Risoluzione dei problemi di una VM che non è accessibile a causa di un disco di avvio pieno.

Metodi di diagnostica per le VM Windows

Reimposta metadati SSH

Se non riesci a connetterti a una VM Windows utilizzando SSH, prova ad annullare l'impostazione della chiave metadati enable-windows-ssh e a riattivare SSH per Windows.

1. Imposta la chiave dei metadati enable-windows-ssh su FALSE. Per informazioni su come impostare i metadati, consulta Impostare metadati personalizzati.

   Attendi qualche secondo affinché la modifica venga applicata.

2. Riattiva SSH per Windows

3. Riconnettiti alla VM.

Connettiti alla VM utilizzando RDP

Se non riesci a diagnosticare e a risolvere la causa delle connessioni SSH non riuscite alla tua VM Windows, connettiti tramite RDP.

Dopo aver stabilito una connessione alla VM, esamina i log di OpenSSH.

Passaggi successivi

• Scopri come funzionano le connessioni SSH alle VM Linux su Compute Engine.