jump-isäntä (tunnetaan myös nimellä jump-palvelin) on välittäjäisäntä tai SSH-portti etäverkkoon, jonka kautta voidaan muodostaa yhteys toiseen isäntään erilaisella turvallisuusvyöhykkeellä, esimerkiksi demilitarisoidulla vyöhykkeellä (DMZ). Se yhdistää kaksi erilaista turva-aluetta ja tarjoaa valvotun pääsyn niiden välille.
jump-isäntä on erittäin suojattu ja valvottava erityisesti silloin, kun se kattaa yksityisen verkon ja DMZ: n, jonka palvelimet tarjoavat palveluja käyttäjille internetissä.
klassinen skenaario on Yhteyden ottaminen työpöydältä tai kannettavalta tietokoneelta yrityksen sisäisestä verkosta, joka on erittäin suojattu palomuureilla DMZ: ään. Jotta DMZ-palvelimen hallinta olisi helppoa, voit käyttää sitä jump-isännän kautta.
tässä artikkelissa esittelemme, kuinka käyttää Linux-etäpalvelinta hyppyisännän kautta, ja lisäksi määritämme tarvittavat asetukset käyttäjäkohtaisissa SSH-asiakaskonfiguraatioissa.
tarkastellaan seuraavaa skenaariota.
yllä olevassa skenaariossa haluat yhteyden HOST 2: een, mutta sinun on mentävä HOST 1: n kautta, koska palomuuri -, reititys-ja käyttöoikeudet. On olemassa useita päteviä syitä, miksi jumphosteja tarvitaan..
dynaaminen Jumphost-lista
yksinkertaisin tapa muodostaa yhteys kohdepalvelimeen hyppyisännän kautta on käyttää komentorivin -J
lippua. Tämä kertoo ssh tehdä yhteyden jump isäntä ja sitten luoda TCP Huolinta kohdepalvelimelle, sieltä (varmista, että olet salasanaton SSH kirjautuminen koneiden välillä).
$ ssh -J host1 host2
jos koneiden käyttäjätunnukset tai portit eroavat toisistaan, Merkitkää ne päätelaitteeseen kuvan mukaisesti.
$ ssh -J username@host1:port username@host2:port
Multiple Jumphosts List
samalla syntaksilla voidaan tehdä hyppyjä useiden palvelimien yli.
$ ssh -J username@host1:port,username@host2:port username@host3:port
Staattinen Jumphost List
Staattinen jumphost list tarkoittaa sitä, että tunnet jumphostin tai jumphostit, joita tarvitset koneen liittämiseen. Siksi sinun täytyy lisätä seuraava staattinen jumphost ’reititys’ ~/.ssh/config
tiedostoon ja määrittää isäntänimet kuten näkyy.
### First jumphost. Directly reachableHost vps1 HostName vps1.example.org### Host to jump to via jumphost1.example.orgHost contabo HostName contabo.example.org ProxyJump contabo
yritä nyt muodostaa yhteys kohdepalvelimeen jump-isännän kautta, kuten näkyy.
$ ssh -J vps1 contabo
toinen tapa on käyttää ProxyCommand-asetusta lisätäksesi jumphostin asetukset ~.ssh/config
tai $HOME/.ssh/config
tiedostoon kuten näkyy.
tässä esimerkissä kohdeis-isäntä on contabo ja jumphost on vps1.
Host vps1HostName vps1.example.orgIdentityFile ~/.ssh/vps1.pemUser ec2-userHost contaboHostName contabo.example.orgIdentityFile ~/.ssh/contabovpsPort 22User adminProxy Command ssh -q -W %h:%p vps1
jos komento Proxy Command ssh -q -W %h:%p vps1
tarkoittaa SSH: n ajamista hiljaisessa tilassa (käyttäen -q
) ja stdio-välitystilassa (käyttäen -W
), ohjaa yhteys väli-isännän (vps1) kautta.
yritä sitten käyttää target-isäntääsi kuten näkyy.
$ ssh contabo
yllä oleva komento avaa ensin ssh-yhteyden Vps1: een Proxycommandin suorittamassa taustalla ja aloittaa siellä sen jälkeen ssh-istunnon kohdepalvelimeen contaboon.
lisätietoja on ssh man-sivulla tai kohdassa: OpenSSH/Cookbxook / Proxies and Jump Hosts.
That ’ s all for now! Tässä artikkelissa, olemme osoittaneet, miten käyttää etäpalvelimen kautta hypätä isäntä. Käytä alla olevaa palautelomaketta esittääksesi kysymyksiä tai jakaaksesi ajatuksesi kanssamme.