SSH-туннели

Glarus BI может подключаться к некоторым базам данных, сначала устанавливая соединение с сервером между Glarus BI и хранилищем данных, а затем подключаясь к хранилищу данных, используя это соединение в качестве моста.

Когда использовать туннелирование SSH

В целом, существует два основных варианта использования туннеля SSH:

• когда прямое подключение невозможно;

• когда прямое подключение запрещено политикой безопасности.

Иногда, когда хранилище данных находится внутри корпоративной среды, прямые соединения блокируются устройствами безопасности, такими как брандмауэры и системами предотвращения вторжений. Хост-бастион позволяет сначала подключиться к границе защищённой сети, а затем с этого хоста установить второе соединение с хранилищем данных во внутренней сети, по сути соединяя эти два подключения в одно. Используя функцию туннелирования SSH, Glarus BI может автоматизировать этот процесс.

Как использовать туннелирование SSH

При подключении через хост-бастион:

1. Включите параметр «Использовать SSH-туннель для подключения к базе данных».

2. Введите имя хоста для хранилища данных, как оно видно внутри сети, в параметр Host.

3. Введите порт хранилища данных, видимый изнутри сети, в параметр Port.

4. Введите внешнее имя хоста-бастиона, которое видно за пределами корпоративной сети, в параметр SSH tunnel host.

5. Введите порт SSH, видимый за пределами корпоративной сети, в параметр SSH tunnel port. Обычно это 22, независимо от того, к какому хранилищу данных вы подключаетесь.

6. Введите имя пользователя и пароль, которые вы используете для входа на хост-бастион, в параметры SSH tunnel username и SSH tunnel password.

Если вы не можете подключиться, проверьте свои учётные данные SSH, подключившись к SSH-серверу (хосту-бастиону) напрямую с помощью ssh:

ssh <SSH tunnel username>@<SSH tunnel host> -p <SSH tunnel port>

Другой распространённый случай, когда прямые подключения невозможны, — это подключение к хранилищу данных, которое доступно только локально и не допускает удалённых подключений. В этом случае вы будете открывать SSH-соединение с хранилищем данных, а затем оттуда подключаться к тому же компьютеру.

1. Включите параметр «Использовать SSH-туннель для подключения к базе данных».

2. Введите localhost в параметр Host. Это название сервера.

3. Введите то же значение в параметр Port, которое вы использовали бы, если находились непосредственно в хост-системе хранилища данных.

4. Введите внешнее название хранилища данных, как оно видно за пределами сети в параметр SSH tunnel host.

5. Введите порт SSH, видимый за пределами сети, в параметр SSH tunnel port. Обычно это 22, независимо от того, к какому хранилищу данных вы подключаетесь.

6. Введите имя пользователя и пароль, которые вы используете для входа на хост-бастион, в параметры SSH tunnel username и SSH tunnel password.

Если у вас возникли проблемы с подключением, проверьте порт хоста SSH и пароль, подключившись вручную с помощью ssh или PuTTY в старых системах Windows.

Недостатки непрямых подключений

Хотя использование туннеля SSH позволяет использовать хранилище данных, которое иначе недоступно, почти всегда предпочтительнее использовать прямое соединение, когда это возможно.

Есть несколько ограничений для подключения через SSH-туннель:

1. Подключение SSH может быть закрыто из-за того, что вы перевели компьютер в спящий режим или сменили сеть. В этом случае все установленные поверх него соединения также будут закрыты. Это может привести к задержке возобновления подключения после возобновления работы ноутбука.

2. Это почти всегда медленнее. Соединение должно проходить через дополнительный компьютер.

3. Открытие новых соединений SSH занимает больше времени.

4. Несколько операций через один и тот же туннель SSH могут блокировать друг друга. Это может увеличивать задержку.

5. Количество подключений через хост-бастион часто ограничивается политикой организации.

6. В некоторых организациях действуют политики ИТ-безопасности, запрещающие использование туннелей SSH для обхода периметров безопасности.

Запуск SSH напрямую

Функция туннелирования SSH в Glarus BI существует как удобная оболочка для SSH и автоматизирует распространённые случаи подключения через туннель. Она также делает возможным соединение с системами, которые не предоставляют доступ к оболочке. Glarus BI использует встроенный SSH-клиент, который не зависит от SSH-клиента установленной системы. Это позволяет подключаться из систем, где вы не можете запустить SSH вручную. Это также означает, что Glarus BI не может использовать службы проверки подлинности, предоставляемые системой, такие как проверка подлинности домена Windows или проверка подлинности Kerberos.

Если вам нужно подключиться с помощью метода, не разрешённого Glarus BI, вы можете сделать это, запустив SSH напрямую:

ssh -Nf -L input-port:internal-server-name:port-on-server username@bastion-host.domain.com

Дополнительная информация

• Добавление и управление базами данных.