Перейти к содержанию

SSH‑туннелирование

Glarus BI может подключаться к некоторым базам данных, сначала устанавливая соединение с промежуточным сервером между Glarus BI и хранилищем данных, а затем подключаясь к хранилищу данных, используя это соединение в качестве моста. Это делает возможным подключение к некоторым хранилищам данных в ситуациях, которые в противном случае препятствовали бы использованию Glarus BI.

Когда использовать SSH‑туннелирование

В целом есть два основных сценария, когда полезен SSH‑туннель:

  • прямое подключение невозможно;
  • прямое подключение запрещено политикой безопасности.

Иногда, когда хранилище данных находится внутри корпоративной среды, прямые подключения блокируются устройствами безопасности, такими как брандмауэры и системы предотвращения вторжений. Бастионный сервер позволяет сначала подключиться к компьютеру на границе защищённой сети, а затем уже с бастионного сервера установить второе соединение с хранилищем данных во внутренней сети, по сути соединяя эти два подключения в одно. Используя SSH‑туннелирование, Glarus BI может автоматизировать этот процесс.

Как использовать SSH‑туннелирование

При подключении через бастионный сервер:

  • Включите параметр «Использовать SSH-туннель для подключения к базе данных».
  • Введите имя хоста для хранилища данных, как оно видно внутри сети, в Хост.
  • Введите порт хранилища данных так, как он виден изнутри сети, в Порт.
  • Введите внешнее имя бастионного сервера, видимое извне сети (или из вашей точки подключения), в параметр Хост туннеля SSH.
  • Введите SSH‑порт, видимый извне сети, в параметр Порт туннеля SSH. Обычно это 22, независимо от того, к какому хранилищу данных вы подключаетесь.

Для аутентификации есть два варианта:

  1. С логином и паролем:

    В полях Пользователь туннеля SSH и Пароль на туннель SSH введите имя пользователя и пароль, которые вы используете для входа на бастионный сервер.

  2. С ключом SSH (аутентификация PKI):

  3. Выберите SSH-ключ для параметра Аутентификация SSH.

  4. Вставьте содержимое приватного SSH‑ключа в поле Приватный ключ SSH.
  5. Если у ключа есть парольная фраза, введите её в поле Пароль для приватного ключа SSH.

Если вам не удаётся подключиться, проверьте свои учётные данные SSH, подключившись к SSH-серверу (бастионному серверу) напрямую:

ssh <Пользователь туннеля SSH>@<Хост туннеля SSH> -p <Порт туннеля SSH>

Другой распространённый сценарий, когда прямые подключения невозможны, — подключение к хранилищу данных, которое доступно только локально и не допускает удалённых подключений. В этом случае вы открываете SSH‑соединение к хранилищу данных, а затем уже оттуда подключаетесь к тому же компьютеру.

  • Включите параметр «Использовать SSH-туннель для подключения к базе данных».
  • Введите localhost в Хост. Это название сервера.
  • Введите то же значение в Порт, которое вы использовали бы, если находились непосредственно в хост-системе хранилища данных.
  • Введите внешнее название хранилища данных, как оно видно за пределами сети в параметр Хост туннеля SSH.
  • Введите порт SSH, видимый за пределами сети, в параметр Порт туннеля SSH. Обычно это 22, независимо от того, к какому хранилищу данных вы подключаетесь.
  • Выберите способ аутентификации, как описано выше (имя пользователя и пароль или SSH-ключ).

Если возникают проблемы с подключением, проверьте хост SSH, порт и пароль, подключившись вручную с помощью ssh или PuTTY (в старых системах Windows).

Примечание

На SSH‑сервере должен быть установлен параметр конфигурации "AllowTcpForwarding" в значение "yes", чтобы туннелирование работало.

Примечание

Следует учесть, что одна из применяемых практик для SSH Tunnel Hosts — запрещать весь трафик, кроме трафика от одобренных клиентов.

Недостатки непрямых подключений

Хотя SSH‑туннель позволяет подключаться к хранилищу данных, которое иначе недоступно, почти всегда лучше использовать прямое подключение, если оно возможно.

У подключения через туннель есть несколько ограничений:

  • Если SSH‑соединение закрывается (например, вы перевели компьютер в спящий режим или сменили сеть), все установленные через него соединения тоже будут закрыты. Это может вызывать задержки при восстановлении подключения.
  • Это почти всегда медленнее: соединение проходит через дополнительный компьютер.
  • Открытие новых SSH‑соединений занимает больше времени.
  • Несколько операций через один и тот же туннелб SSH могут блокировать друг друга, увеличивая задержку.
  • Количество соединений через бастионный сервер часто ограничено политиками организации.
  • В некоторых организациях политики ИБ запрещают использовать туннели SSH для обхода периметра безопасности.

Запуск SSH напрямую

Функция туннелирования SSH в Glarus BI существует как удобная оболочка для SSH и автоматизирует распространённые случаи подключения через туннель. Она также делает возможным соединение с системами, которые не предоставляют доступ к оболочке. Glarus BI использует встроенный SSH-клиент, который не зависит от SSH-клиента установленной системы. Это позволяет подключаться из систем, где вы не можете запустить SSH вручную. Это также означает, что Glarus BI не может использовать службы проверки подлинности, предоставляемые системой, такие как проверка подлинности домена Windows или проверка подлинности Kerberos.

Если вам нужно подключиться способом, который не поддерживается Glarus BI, часто это можно сделать, запустив SSH напрямую:

ssh -Nf -L input-port:internal-server-name:port-on-server username@bastion-host.domain.com

Это позволяет вам использовать полный набор функций, включенных в SSH.

Дополнительная информация