En los siguientes pasos se describe cómo configurar la conectividad a una base de datos de origen mediante un túnel directo SSH.
Paso 1: Elige un host en el que finalizar el túnel
El primer paso para configurar el acceso al túnel SSH de tu base de datos es elegir el host que se usará para finalizar el túnel. El túnel se puede cerrar en el propio host de la base de datos o en un host independiente (el servidor del túnel).
Usar el servidor de la base de datos
Finalizar el túnel en la base de datos tiene la ventaja de la simplicidad. Hay un host menos, por lo que no hay máquinas adicionales ni costes asociados. La desventaja es que el servidor de la base de datos puede estar en una red protegida que no tenga acceso directo a Internet.
Usar un servidor de túnel
Finalizar el túnel en un servidor independiente tiene la ventaja de que el servidor de la base de datos no es accesible desde Internet. Si el servidor del túnel se ve comprometido, estará a un paso del servidor de la base de datos. Te recomendamos que elimines todo el software y los usuarios no esenciales del servidor de túnel y que lo monitorices de cerca con herramientas como un sistema de detección de intrusiones (IDS).
El servidor de túnel puede ser cualquier host Unix o Linux que cumpla los siguientes requisitos:
- Se puede acceder a ella desde Internet mediante SSH.
Puede acceder a la base de datos.
Paso 2: Crea una lista de IPs permitidas
El segundo paso para configurar el acceso al túnel SSH de tu base de datos es permitir que el tráfico de red llegue al servidor del túnel o al host de la base de datos mediante SSH, que suele estar en el puerto TCP 22.
Permite el tráfico de red de cada una de las direcciones IP de la región en la que se crean los recursos de Datastream.
Paso 3: Usa el túnel SSH
Proporciona los detalles del túnel en la configuración del perfil de conexión. Para obtener más información, consulta el artículo Crear un perfil de conexión.
Para autenticar la sesión del túnel SSH, Datastream requiere la contraseña de la cuenta del túnel o una clave privada única. Para usar una clave privada única, puedes usar las herramientas de línea de comandos OpenSSH u OpenSSL para generar claves.
Datastream almacena la clave privada de forma segura como parte de la configuración del perfil de conexión de Datastream. Debes añadir la clave pública manualmente al archivo ~/.ssh/authorized_keys del host bastion.
Generar claves privadas y públicas
Puedes generar claves SSH con el siguiente método:
ssh-keygen: herramienta de línea de comandos de OpenSSH para generar pares de claves SSH.Marcas útiles:
-t: especifica el tipo de clave que se va a crear. Por ejemplo:ssh-keygen -t rsassh-keygen -t ed25519-b: especifica la longitud de la clave que se va a crear. Por ejemplo:ssh-keygen -t rsa -b 2048-y: lee un archivo privado en formato OpenSSH e imprime una clave pública OpenSSH en la salida estándar.-f: especifica el nombre del archivo de la clave. Por ejemplo:ssh-keygen -y [-f KEY_FILENAME]
Para obtener más información sobre las marcas admitidas, consulta la documentación de OpenBSD.
Puedes generar una clave PEM privada con el siguiente método:
openssl genpkey: herramienta de línea de comandos de OpenSSL para generar una clave privada PEM.Marcas útiles:
algorithm: especifica el algoritmo de clave pública que se va a usar. Por ejemplo:openssl genpkey -algorithm RSA-out: especifica el nombre del archivo en el que se va a generar la clave. Por ejemplo:openssl genpkey -algorithm RSA -out PRIVATE_KEY_FILENAME.pem
Para obtener más información sobre las marcas admitidas, consulta la documentación de OpenSSL.
Siguientes pasos
- Consulta información sobre otros métodos de conectividad.