Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

העברת מנהרת SSH

בשלבים הבאים מוסבר איך להגדיר קישוריות למסד נתונים של מקור באמצעות מנהרת SSH קדימה.

שלב 1: בוחרים מארח שדרכו יסתיים הטירמינל

השלב הראשון בהגדרת גישה למסד הנתונים באמצעות מנהרת SSH הוא בחירת המארח שישמש לסיום המנהרה. אפשר לסיים את המנהור במארח של מסד הנתונים עצמו, או במארח נפרד (שרת המנהור).

שימוש בשרת מסד הנתונים

היתרון של סיום המנהרה במסד הנתונים הוא הפשטות. יש פחות מארחים, ולכן אין מכונות נוספות והעלויות שמשויכות להן. החיסרון הוא ששרת מסד הנתונים שלכם עשוי להיות ברשת מוגנת שאין לה גישה ישירה מהאינטרנט.

שימוש בשרת מנהור

היתרון של סיום המנהרה בשרת נפרד הוא ששרת מסד הנתונים לא נגיש מהאינטרנט. אם שרת המנהרה נפגע, הוא נמצא במרחק של שלב אחד משרת מסד הנתונים. מומלץ להסיר את כל התוכנות והמשתמשים שלא חיוניים משרת המנהור, ולעקוב אחריו באופן צמוד באמצעות כלים כמו מערכת לזיהוי פריצות (IDS).

שרת המנהור יכול להיות כל מארח Unix או Linux ש:

אפשר לגשת אליהם מהאינטרנט באמצעות SSH.
יש גישה למסד הנתונים.

הערה: בשירותים מנוהלים, שרת המנהור צריך להיות חיצוני למסד הנתונים של המקור. אם מסד הנתונים של המקור מתארח באופן עצמאי, אפשר להגדיר את שרת המנהור באותו שרת או מכונה וירטואלית (VM) שבהם פועל מסד הנתונים של המקור.

שלב 2: יצירת רשימת כתובות IP שאושרו

השלב השני בהגדרת גישה למסד הנתונים באמצעות מנהור SSH הוא לאפשר לתעבורת הרשת להגיע לשרת המנהור או למארח מסד הנתונים באמצעות SSH, בדרך כלל ביציאת TCP מספר 22.

צריך לאפשר תנועת רשת מכל כתובות ה-IP של האזור שבו נוצרים משאבי Datastream.

שלב 3: שימוש במנהרת SSH

מזינים את פרטי המנהרה בהגדרות של פרופיל החיבור. מידע נוסף זמין במאמר יצירת פרופיל חיבור.

כדי לאמת את סשן מנהרת ה-SSH,‏ Datastream דורש את הסיסמה של חשבון המנהרה או מפתח פרטי ייחודי. כדי להשתמש במפתח פרטי ייחודי, אפשר להשתמש בכלים של שורת הפקודה OpenSSH או OpenSSL כדי ליצור מפתחות.

‫Datastream מאחסן את המפתח הפרטי באופן מאובטח כחלק מהגדרת פרופיל החיבור של Datastream. צריך להוסיף את המפתח הציבורי באופן ידני לקובץ ~/.ssh/authorized_keys של מארח ה-bastion.

יצירת מפתחות פרטיים וציבוריים

אפשר ליצור מפתחות SSH באמצעות השיטה הבאה:

‫ssh-keygen: כלי שורת פקודה של OpenSSH ליצירת זוגות מפתחות SSH.

דגלים שימושיים:
- ‫-t: מציין את סוג המפתח שרוצים ליצור, לדוגמה:
  
  ssh-keygen -t rsa
  
  ssh-keygen -t ed25519
- ‫-b: מציין את אורך המפתח במפתח שרוצים ליצור, לדוגמה:
  
  ssh-keygen -t rsa -b 2048
- ‫-y: קורא קובץ בפורמט פרטי של OpenSSH ומדפיס מפתח ציבורי של OpenSSH לפלט רגיל.
- ‫-f: מציין את שם הקובץ של קובץ המפתח, לדוגמה:
  
  ssh-keygen -y [-f KEY_FILENAME]
מידע נוסף על הדגלים הנתמכים מופיע במסמכי התיעוד של OpenBSD.

אפשר ליצור מפתח PEM פרטי באמצעות השיטה הבאה:

‫openssl genpkey: כלי שורת פקודה של OpenSSL ליצירת מפתח פרטי בפורמט PEM.

דגלים שימושיים:
- ‫algorithm: מציין את אלגוריתם המפתח הציבורי לשימוש, לדוגמה:
  
  openssl genpkey -algorithm RSA
- ‫-out: מציין את שם הקובץ שאליו רוצים להוציא את המפתח, לדוגמה:
  
  openssl genpkey -algorithm RSA -out PRIVATE_KEY_FILENAME.pem
  כדי להשתמש במפתח שנוצר באמצעות הפקודה הזו, צריך ליצור בשבילו מפתח OpenSSH ציבורי באמצעות הפקודה הבאה:
  ssh-keygen -y -f PRIVATE_KEY_FILENAME.pem > PUBLIC_KEY_FILENAME.pub.
  אחר כך אפשר להוסיף את המפתח PUBLIC_KEY_FILENAME.pub לקובץ ~/.ssh/authorized_keys.
מידע נוסף על הדגלים הנתמכים זמין בתיעוד של OpenSSL.

המאמרים הבאים

מידע נוסף על שיטות אחרות לחיבור לרשת