SSH-туннели¶
GlarusBI может подключаться к некоторым базам данных, сначала устанавливая соединение с сервером между GlarusBI и хранилищем данных, а затем подключаясь к хранилищу данных, используя это соединение в качестве моста.
Когда использовать туннелирование SSH¶
В целом, существует два основных варианта использования туннеля SSH:
Когда прямое соединение невозможно.
Когда прямое соединение запрещено политикой безопасности.
Иногда, когда хранилище данных находится внутри корпоративной среды, прямые соединения блокируются устройствами безопасности, такими как брандмауэры и системам предотвращения вторжений. Хосты-бастионы предлагают возможность сначала подключиться к компьютеру на границе защищенной сети, а затем с этого хост-компьютера установить второе соединение с хранилищем данных во внутренней сети, по сути соединяя эти два соединения вместе. Используя функцию туннелирования SSH, GlarusBI может автоматизировать этот процесс.
Как использовать туннелирование SSH¶
При подключении через хост-бастион:
Ответьте утвердительно на параметр «Использовать SSH-туннель для подключения к базе данных».
Введите имя хоста для хранилища данных, как оно видно внутри сети, в параметре
Host
.Введите порт хранилища данных, видимый изнутри сети, в параметр
Port
.Введите внешнее имя хоста-бастиона, которое видно из-за пределов сети (или где бы вы ни находились) в параметр
SSH tunnel host
.Введите порт SSH, видимый из-за пределов сети, в параметр
SSH tunnel port
. Обычно это 22, независимо от того, к какому хранилищу данных вы подключаетесь.
Для идентификации есть две опции:
Использование имени пользовател и пароля:
В полях
SSH tunnel username
иSSH tunnel password
введите имя пользователя и пароль, которые вы используете для входа в хост-бастион.Исользуя ключ SSH (PKI аутентификация):
Выберите опцию SSH ключа
SSH authentication
.Вставьте содержимое вашего частного SSH ключая в поле
SSH private key
.Если ваш ключ имеет кодовую фразу, введите ее в поле
Passphrase for the SSH private key
.
Если вы не можете подключиться, проверьте свои учетные данные SSH, подключившись к SSH-серверу/бастионному хосту напрямую с помощью ssh:
ssh <SSH tunnel username>@<SSH tunnel host> -p <SSH tunnel port>
Другой распространенный случай, когда прямые подключения невозможны, — это подключение к хранилищу данных, которое доступно только локально и не допускает удаленных подключений. В этом случае вы будете открывать SSH-соединение с хранилищем данных, а затем оттуда подключаться к тому же компьютеру.
Ответьте утвердительно на параметр «Использовать SSH-туннель для подключения к базе данных».
Введите
localhost
в параметреHost
. Это имя сервера.Введите то же значение в параметре
Port
, которое вы использовали бы, если бы вы находились непосредственно в хост-системе хранилища данных.Введите внешнее имя хранилища данных, как оно видно из-за пределов сети (или где бы вы ни находились) в параметр
SSH tunnel host
.Введите порт SSH, видимый из-за пределов сети, в параметр
SSH tunnel port
. Обычно это 22, независимо от того, к какому хранилищу данных вы подключаетесь.Выберите метод аутентификации как описано выше (имя пользователя и пароль или ключ SSH).
Если у вас возникли проблемы с подключением, проверьте порт хоста SSH и пароль, подключившись вручную с помощью ssh или PuTTY в старых системах Windows.
Недостатки непрямых подключений¶
Хотя использование туннеля SSH позволяет использовать хранилище данных, которое иначе недоступно, почти всегда предпочтительнее использовать прямое соединение, в тех случаях, когда это возможно.
Есть несколько ограничений для подключения через SSH туннель:
Если закрывающее соединение SSH закрыто из-за того, что вы перевели компьютер в спящий режим или сменили сеть, все установленные соединения также будут закрыты. Это может привести к задержке возобновления подключения после приостановки работы ноутбука.
Это почти всегда медленнее. Соединение должно проходить через дополнительный компьютер.
Открытие новых соединений SSH занимает больше времени.
Несколько операций через один и тот же туннель SSH могут блокировать друг друга. Это может увеличить задержку.
Количество подключений через хост-бастион часто ограничивается политикой организации.
В некоторых организациях действуют политики ИТ-безопасности, запрещающие использование туннелей SSH для обхода периметров безопасности.
Запуск SSH напрямую¶
Функция туннелирования SSH в GlarusBI существует как удобная оболочка для SSH и автоматизирует распространенные случаи подключения через туннель. Это также делает возможным соединение с системами, которые не предоставляют доступ к оболочке. GlarusBI использует встроенный SSH-клиент, который не зависит от SSH-клиента установленной системы. Это позволяет подключаться из систем, где вы не можете запустить SSH вручную. Это также означает, что GlarusBI не может использовать службы проверки подлинности, предоставляемые системой, такие как проверка подлинности домена Windows или проверка подлинности Kerberos.
Если вам нужно подключиться с помощью метода, не разрешенного GlarusBI, вы можете сделать это, запустив SSH напрямую:
ssh -Nf -L input-port:internal-server-name:port-on-server username@bastion-host.domain.com