背景
最近公司在服务器前面加了一个堡垒机,并且禁用了服务器的SSH外网访问权限。开始的时候都是那么人畜无害,直到有一天需要更换ssl证书的时候,发现scp命令没有办法使用。最后临时的方案是上传到文件服务器,然后在下载。
前提条件
- 请确保个人电脑与堡垒机网络连接正常且可以正常登录堡垒机。
- 已将运维的服务器的账户、密码托管至堡垒机。
- 已在堡垒机上为使用个人电脑的堡垒机用户完成用户授权。
生命不惜折腾不止(操作步骤)
以下步骤以mac系统为例
vim .ssh/config
如果没有可以自己创建,如果不知道如何创建。emm… “mkdir ~/.ssh && vim ~/.ssh/config” 然后沾下一下内容就好了。
# 堡垒机
# 堡垒机别名
Host bastion
# 堡垒机IP/地址
HostName xxxxx.bastionhost.aliyuncs.com
# 堡垒机用户名(本地账号、AD/LDAP账号、RAM子账号)
User user_test
# 堡垒机端口 默认为60022
Port 60022
#服务器1
#服务器1的别名,如果服务器没有使用别名,请删除别名的配置
Host test1
# 服务器IP/地址 一般用的是内网IP
HostName xxx.xx.xx.xx
# 服务器账号 主账户授权给你的用户名 或者 在登录的时候重新指定也可以
User user_test
# 服务器端口 默认为22 一般情况下都不是22哈
Port 22
# 设置为堡垒机代理命令 bastion 是堡垒机的别名哈
ProxyCommand ssh -W %h:%p bastion
#服务器2
#服务器2的别名,如果服务器没有使用别名,请删除别名的配置
Host test1
# 服务器IP/地址 一般用的是内网IP
HostName xxx.xx.xx.xx
# 服务器账号 主账户授权给你的用户名 或者 在登录的时候重新指定也可以
User user_test
# 服务器端口 默认为22 一般情况下都不是22哈
Port 22
# 设置为堡垒机代理命令 bastion 是堡垒机的别名哈
ProxyCommand ssh -W %h:%p bastion
注意
- 操作此步骤请保证,前提条件都已完成。
- 服务器端口 默认为22,但是为了系统安全 ssh 的端口都不是 22 ,具体联系公司运维同学。
- 堡垒机的用户名 一般为ram 的用户名,每个人都是不同的。
- 服务器的用户名 一般一个角色组的都是一样的,是管理员给你授权的账户组里的一个就可以。如果有多个后面可以修改的。
测试一下
SCP上传文件
scp ~/Downloads/1.txt test1:~/
SCP下载文件
scp test1:~/1.txt ~/Downloads/
注意
- test1 就是在配置文件中的服务器别名
- 如果连接服务器时出现错误提示:ssh_exchange_identification: Connection closed by remote host,请删除~/.ssh/known_hosts文件,然后再次执行上述命令,重新连接服务器。
ssh运维
ssh test1
rsync 上传
rsync -avp ~/1.txt test1:/
rsync 下载
rsync -avp test1:~/1.txt ~/Downloads/
目前未解决的问题
1. 数据库通过堡垒机进入服务器然后搭建ssh代理
因为测试RDS,只能在测试服务器链接。原来的方案是通过测试服务器做代理,使用了堡垒机之后测试服务器就不在对外网访问了,所以这个方式就失效了。试过ssh config 别名方式作为代理ssh 的 host,不过并不生效。后续可能的方案就是使用官方提供的方案了。rds和自建数据库 通过堡垒机链接,然后使用数据库运维令牌的方案。emm 比较麻烦。官方文档传送门
2. 堡垒机使用秘钥登录
这个还没有思路,后续解决了在把坑填上吧。
1861
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
