Halaman ini diterjemahkan oleh Cloud Translation API.

Teruskan tunnel SSH

Langkah-langkah berikut menjelaskan cara menyiapkan konektivitas ke database sumber menggunakan tunnel SSH penerusan.

Langkah 1: Pilih host tempat tunnel akan dihentikan

Langkah pertama untuk menyiapkan akses tunnel SSH ke database Anda adalah memilih host yang akan digunakan untuk menghentikan tunnel. Tunnel dapat dihentikan di host database itu sendiri, atau di host terpisah (server tunnel).

Menggunakan server database

Menghentikan tunnel di database memiliki keunggulan berupa kesederhanaan. Jumlah host yang terlibat berkurang satu, sehingga tidak ada mesin tambahan dan biaya terkaitnya. Kekurangannya adalah server database Anda mungkin berada di jaringan yang dilindungi yang tidak memiliki akses langsung dari internet.

Menggunakan server tunnel

Menghentikan tunnel di server terpisah memiliki keuntungan karena membuat server database Anda tidak dapat diakses dari internet. Jika server tunnel disusupi, maka server tersebut akan terpisah satu langkah dari server database. Sebaiknya hapus semua software dan pengguna yang tidak penting dari server tunnel dan pantau secara cermat dengan alat, seperti sistem deteksi intrusi (IDS).

Server tunnel dapat berupa host Unix atau Linux yang:

Dapat diakses dari internet menggunakan SSH.
Dapat mengakses database.

Catatan: Untuk layanan terkelola, server tunnel harus berada di luar database sumber. Jika database sumber Anda dihosting sendiri, Anda dapat menyiapkan server tunnel di server atau virtual machine (VM) yang sama yang menjalankan database sumber.

Langkah 2: Buat daftar IP yang diizinkan

Langkah kedua untuk menyiapkan akses tunnel SSH ke database Anda adalah mengizinkan traffic jaringan untuk mencapai server tunnel atau host database menggunakan SSH, yang umumnya berada di port TCP 22.

Izinkan traffic jaringan dari setiap alamat IP untuk region tempat resource Datastream dibuat.

Langkah 3: Gunakan tunnel SSH

Berikan detail tunnel dalam konfigurasi profil koneksi. Untuk mengetahui informasi selengkapnya, lihat Membuat profil koneksi.

Untuk mengautentikasi sesi tunnel SSH, Datastream memerlukan sandi untuk akun tunnel, atau kunci pribadi yang unik. Untuk menggunakan kunci pribadi unik, Anda dapat menggunakan alat command line OpenSSH atau OpenSSL untuk membuat kunci.

Datastream menyimpan kunci pribadi secara aman sebagai bagian dari konfigurasi profil koneksi Datastream. Anda harus menambahkan kunci publik secara manual ke file ~/.ssh/authorized_keys bastion host.

Buat kunci pribadi dan publik

Anda dapat membuat kunci SSH menggunakan metode berikut:

ssh-keygen: Alat command line OpenSSH untuk membuat pasangan kunci SSH.

Flag yang berguna:
- -t: Menentukan jenis kunci yang akan dibuat, misalnya:
  
  ssh-keygen -t rsa
  
  ssh-keygen -t ed25519
- -b: Menentukan panjang kunci dalam kunci yang akan dibuat, misalnya:
  
  ssh-keygen -t rsa -b 2048
- -y: Membaca file format OpenSSH pribadi dan mencetak kunci publik OpenSSH ke output standar.
- -f: Menentukan nama file kunci, misalnya:
  
  ssh-keygen -y [-f KEY_FILENAME]
Untuk mengetahui informasi selengkapnya tentang flag yang didukung, lihat dokumentasi OpenBSD.

Anda dapat membuat kunci PEM pribadi menggunakan metode berikut:

openssl genpkey: Alat command line OpenSSL untuk membuat kunci pribadi PEM.

Flag yang berguna:
- algorithm: Menentukan algoritma kunci publik yang akan digunakan, misalnya:
  
  openssl genpkey -algorithm RSA
- -out: Menentukan nama file tempat kunci akan di-output, misalnya:
  
  openssl genpkey -algorithm RSA -out PRIVATE_KEY_FILENAME.pem
  Untuk menggunakan kunci yang dibuat oleh perintah ini, Anda harus membuat kunci OpenSSH publik untuknya menggunakan perintah berikut:
  ssh-keygen -y -f PRIVATE_KEY_FILENAME.pem > PUBLIC_KEY_FILENAME.pub.
  Kemudian, Anda dapat menambahkan kunci PUBLIC_KEY_FILENAME.pub ke file ~/.ssh/authorized_keys.
Untuk mengetahui informasi selengkapnya tentang tanda yang didukung, lihat dokumentasi OpenSSL.

Langkah berikutnya

Pelajari cara menggunakan metode konektivitas jaringan lainnya.