SSH-туннели

GlarusBI может подключаться к некоторым базам данных, сначала устанавливая соединение с сервером между GlarusBI и хранилищем данных, а затем подключаясь к хранилищу данных, используя это соединение в качестве моста.

Когда использовать туннелирование SSH

В целом, существует два основных варианта использования туннеля SSH:

  • Когда прямое соединение невозможно.

  • Когда прямое соединение запрещено политикой безопасности.

Иногда, когда хранилище данных находится внутри корпоративной среды, прямые соединения блокируются устройствами безопасности, такими как брандмауэры и системам предотвращения вторжений. Хосты-бастионы предлагают возможность сначала подключиться к компьютеру на границе защищенной сети, а затем с этого хост-компьютера установить второе соединение с хранилищем данных во внутренней сети, по сути соединяя эти два соединения вместе. Используя функцию туннелирования SSH, GlarusBI может автоматизировать этот процесс.

Как использовать туннелирование SSH

При подключении через хост-бастион:

  • Ответьте утвердительно на параметр «Использовать SSH-туннель для подключения к базе данных».

  • Введите имя хоста для хранилища данных, как оно видно внутри сети, в параметре Host.

  • Введите порт хранилища данных, видимый изнутри сети, в параметр Port.

  • Введите внешнее имя хоста-бастиона, которое видно из-за пределов сети (или где бы вы ни находились) в параметр SSH tunnel host.

  • Введите порт SSH, видимый из-за пределов сети, в параметр SSH tunnel port. Обычно это 22, независимо от того, к какому хранилищу данных вы подключаетесь.

  • Введите имя пользователя и пароль, которые вы используете для входа на хост-бастион, в параметры SSH tunnel username и SSH tunnel password.

Если вы не можете подключиться, проверьте свои учетные данные SSH, подключившись к SSH-серверу/бастионному хосту напрямую с помощью ssh:

ssh <SSH tunnel username>@<SSH tunnel host> -p <SSH tunnel port>

Другой распространенный случай, когда прямые подключения невозможны, — это подключение к хранилищу данных, которое доступно только локально и не допускает удаленных подключений. В этом случае вы будете открывать SSH-соединение с хранилищем данных, а затем оттуда подключаться к тому же компьютеру.

  • Ответьте утвердительно на параметр «Использовать SSH-туннель для подключения к базе данных».

  • Введите localhost в параметре Host. Это имя сервера.

  • Введите то же значение в параметре Port, которое вы использовали бы, если бы вы находились непосредственно в хост-системе хранилища данных.

  • Введите внешнее имя хранилища данных, как оно видно из-за пределов сети (или где бы вы ни находились) в параметр SSH tunnel host.

  • Введите порт SSH, видимый из-за пределов сети, в параметр SSH tunnel port. Обычно это 22, независимо от того, к какому хранилищу данных вы подключаетесь.

  • Введите имя пользователя и пароль, которые вы используете для входа на хост-бастион, в параметры SSH tunnel username и SSH tunnel password.

Если у вас возникли проблемы с подключением, проверьте порт хоста SSH и пароль, подключившись вручную с помощью ssh или PuTTY в старых системах Windows.

Недостатки непрямых подключений

Хотя использование туннеля SSH позволяет использовать хранилище данных, которое иначе недоступно, почти всегда предпочтительнее использовать прямое соединение, в тех случаях, когда это возможно.

Есть несколько ограничений для подключения через SSH туннель:

  • Если закрывающее соединение SSH закрыто из-за того, что вы перевели компьютер в спящий режим или сменили сеть, все установленные соединения также будут закрыты. Это может привести к задержке возобновления подключения после приостановки работы ноутбука.

  • Это почти всегда медленнее. Соединение должно проходить через дополнительный компьютер.

  • Открытие новых соединений SSH занимает больше времени.

  • Несколько операций через один и тот же туннель SSH могут блокировать друг друга. Это может увеличить задержку.

  • Количество подключений через хост-бастион часто ограничивается политикой организации.

  • В некоторых организациях действуют политики ИТ-безопасности, запрещающие использование туннелей SSH для обхода периметров безопасности.

Запуск SSH напрямую

Функция туннелирования SSH в GlarusBI существует как удобная оболочка для SSH и автоматизирует распространенные случаи подключения через туннель. Это также делает возможным соединение с системами, которые не предоставляют доступ к оболочке. GlarusBI использует встроенный SSH-клиент, который не зависит от SSH-клиента установленной системы. Это позволяет подключаться из систем, где вы не можете запустить SSH вручную. Это также означает, что GlarusBI не может использовать службы проверки подлинности, предоставляемые системой, такие как проверка подлинности домена Windows или проверка подлинности Kerberos.

Если вам нужно подключиться с помощью метода, не разрешенного GlarusBI, вы можете сделать это, запустив SSH напрямую:

ssh -Nf -L input-port:internal-server-name:port-on-server username@bastion-host.domain.com

Еще почитать