最稳妥的方案是准备一台位于海外且网络稳定的中转 VPS,通过 SSH 代理跳转连接甲骨文云实例,适合需要长期管理服务器但本地直连不稳定的场景。
先说结论:直连不稳定时,利用海外中转机做 SSH 跳板是成熟方案,但需先确认甲骨文云安全组规则允许中转机 IP 访问。
- 适合:本地网络直连甲骨文云超时、丢包严重,但有一台海外 VPS 可用的场景。
- 先准备:确认中转机网络通畅,备份甲骨文云实例的 SSH 公钥权限配置。
- 验收:通过中转机能成功 SSH 登录目标实例,且网络延迟在可接受范围。
命令速用版
如果你已经有一台海外中转机,可以使用 SSH 自带的 ProxyJump 参数直接连接,无需额外配置软件:
ssh -i ~/.ssh/id_rsa -J user@relay-server-ip user@oracle-cloud-ip其中 -J 指定中转机,-i 指定私钥路径。如果中转机端口不是 22,可写为 user@relay-server-ip:port。
为什么会这样
甲骨文云部分区域实例的公网 IP 段在國內访问时可能出现路由绕远或被干扰的情况,并非官方明确声明屏蔽,而是网络链路质量波动所致。直连失败通常表现为 TCP 握手超时或连接建立后频繁断开。通过中转机连接,实质是将流量先发送到网络环境更好的海外节点,再由该节点向内网或公网发起连接,避开了本地到目标之间的不稳定链路。
分步处理
1. 检查甲骨文云安全列表(Security List)
登录甲骨文云控制台,进入实例详情,查看关联的虚拟云网络(VCN)和安全列表。确保入站规则(Ingress Rules)允许中转机的公网 IP 访问实例的 22 端口。如果之前设置了只允许本地 IP,需添加中转机 IP 或暂时开放 0.0.0.0/0(测试后建议收紧)。
2. 确认中转机连通性
在中转机上尝试 ping 或 telnet 甲骨文云实例的 22 端口,确保中转机能直连目标。如果中转机也连不上,需检查甲骨文云实例内部防火墙(如 ufw 或 firewalld)是否放行。
3. 配置本地 SSH 连接
在本地电脑终端执行上述速用版命令。如果希望永久配置,可编辑本地 ~/.ssh/config 文件:
Host oracle-target
HostName 甲骨文云实例 IP
User opc 或 ubuntu
IdentityFile ~/.ssh/id_rsa
ProxyJump user@中转机 IP之后只需运行 ssh oracle-target 即可。
怎么验证是否生效
执行连接命令后,观察是否出现登录欢迎信息。登录后,在实例内运行 curl ifconfig.me 查看出口 IP,确认流量确实经过实例。同时可以在本地 ping 实例 IP,虽然直连 ping 可能不通,但 SSH 连接成功即代表控制链路已通。
常见坑
1. 安全组未放行中转机 IP:这是最常见的问题。甲骨文云的安全列表是白名单机制,新增中转机后必须更新规则,否则连接会被底层网络丢弃。
2. 中转机自身不稳定:如果中转机本身线路质量差,通过它连接只会更慢。建议先测试中转机到甲骨文云实例的延迟。
3. 密钥权限错误:SSH 私钥文件权限必须是 600,否则会报错 Permissions too open。使用 chmod 600 ~/.ssh/id_rsa 修复。
4. 实例内部防火墙:部分镜像默认开启防火墙,需登录控制台 VNC 或等待网络恢复时检查实例内部是否允许 22 端口。