[阿里云堡垒机]如何优雅利用SCP
配景最近公司在服务器前面加了一个堡垒机,并且禁用了服务器的SSH外网访问权限。开始的时间都是那么人畜无害,直到有一天必要更换ssl证书的时间,发现scp下令没有办法利用。最后临时的方案是上传到文件服务器,然后在下载。
前提条件
[*]请确保个人电脑与堡垒机网络毗连正常且可以正常登录堡垒机。
[*]已将运维的服务器的账户、暗码托管至堡垒机。
[*]已在堡垒机上为利用个人电脑的堡垒机用户完成用户授权。
生命不吝折腾不止(操作步骤)
以下步骤以mac系统为例
vim .ssh/config
如果没有可以自己创建,如果不知道如何创建。emm… “mkdir ~/.ssh && vim ~/.ssh/config” 然后沾下一下内容就好了。
# 堡垒机
# 堡垒机别名
Host bastion
# 堡垒机IP/地址
HostName xxxxx.bastionhost.aliyuncs.com
# 堡垒机用户名(本地账号、AD/LDAP账号、RAM子账号)
User user_test
# 堡垒机端口 默认为60022
Port 60022
#服务器1
#服务器1的别名,如果服务器没有使用别名,请删除别名的配置
Host test1
# 服务器IP/地址 一般用的是内网IP
HostName xxx.xx.xx.xx
# 服务器账号 主账户授权给你的用户名 或者 在登录的时候重新指定也可以
User user_test
# 服务器端口 默认为22 一般情况下都不是22哈
Port 22
# 设置为堡垒机代理命令bastion 是堡垒机的别名哈
ProxyCommand ssh -W %h:%p bastion
#服务器2
#服务器2的别名,如果服务器没有使用别名,请删除别名的配置
Host test1
# 服务器IP/地址 一般用的是内网IP
HostName xxx.xx.xx.xx
# 服务器账号 主账户授权给你的用户名 或者 在登录的时候重新指定也可以
User user_test
# 服务器端口 默认为22 一般情况下都不是22哈
Port 22
# 设置为堡垒机代理命令bastion 是堡垒机的别名哈
ProxyCommand ssh -W %h:%p bastion
注意
[*]操作此步骤请包管,前提条件都已完成。
[*]服务器端口 默认为22,但是为了系统安全 ssh 的端口都不是 22 ,具体联系公司运维同砚。
[*]堡垒机的用户名 一般为ram 的用户名,每个人都是不同的。
[*]服务器的用户名 一般一个角色组的都是一样的,是管理员给你授权的账户组里的一个就可以。如果有多个背面可以修改的。
测试一下
SCP上传文件
scp ~/Downloads/1.txt test1:~/
SCP下载文件
scp test1:~/1.txt ~/Downloads/
注意
[*]test1 就是在配置文件中的服务器别名
[*]如果毗连服务器时出现错误提示:ssh_exchange_identification: Connection closed by remote host,请删除~/.ssh/known_hosts文件,然后再次执行上述下令,重新毗连服务器。
ssh运维
ssh test1
rsync 上传
rsync-avp ~/1.txt test1:/
rsync 下载
rsync -avp test1:~/1.txt ~/Downloads/
现在未办理的题目
1. 数据库通过堡垒机进入服务器然后搭建ssh署理
因为测试RDS,只能在测试服务器链接。原来的方案是通过测试服务器做署理,利用了堡垒机之后测试服务器就不在对外网访问了,以是这个方式就失效了。试过ssh config 别名方式作为署理ssh 的 host,不外并不生效。后续可能的方案就是利用官方提供的方案了。rds和自建数据库 通过堡垒机链接,然后利用数据库运维令牌的方案。emm 比较麻烦。官方文档传送门
2. 堡垒机利用秘钥登录
这个还没有思绪,后续办理了在把坑填上吧。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]