I passaggi seguenti descrivono come configurare la connettività a un database di origine utilizzando un tunnel SSH di forwarding.
Passaggio 1: scegli un host in corrispondenza del quale terminare il tunnel
Il primo passaggio per configurare un tunnel SSH per il tuo database consiste nella scelta dell'host da utilizzare come elemento finale del tunnel. Il tunnel può terminare sull'host del database stesso o su un host separato (server del tunnel).
Utilizzare il server di database
La terminazione del tunnel sul database offre il vantaggio della semplicità. Poiché si utilizza un host in meno, non sono necessari sistemi aggiuntivi e si evitano i costi associati. Lo svantaggio è costituito dal fatto che il server di database potrebbe trovarsi su una rete protetta non accessibile direttamente da internet.
Utilizzare un server del tunnel
La terminazione del tunnel su un server separato offre la possibilità di mantenere il server di database inaccessibile da internet. Se il server del tunnel viene compromesso, può essere rimosso in un singolo passaggio dal server di database. Ti consigliamo di rimuovere tutto il software e tutti gli utenti non essenziali dal server del tunnel e monitorarlo attentamente utilizzando strumenti come un sistema di rilevamento delle intrusioni (IDS).
Il server del tunnel può essere costituito da un host Unix o Linux che sia:
- Accessibile da internet tramite SSH.
Può accedere al database.
Passaggio 2: crea una lista consentita di indirizzi IP
Il secondo passaggio per configurare l'accesso al tunnel SSH per il tuo database consiste nell'autorizzare il traffico di rete a raggiungere il server del tunnel o l'host del database tramite SSH, solitamente sulla porta TCP 22.
Consenti il traffico di rete da tutti gli indirizzi IP per la regione in cui vengono create le risorse Datastream.
Passaggio 3: utilizza il tunnel SSH
Fornisci i dettagli del tunnel nella configurazione del profilo di connessione. Per saperne di più, vedi Creare un profilo di connessione.
Per autenticare la sessione del tunnel SSH, Datastream richiede la password per l'account del tunnel o una chiave privata univoca. Per utilizzare una chiave privata univoca, puoi utilizzare gli strumenti a riga di comando OpenSSH o OpenSSL per generare le chiavi.
Datastream archivia la chiave privata in modo sicuro nell'ambito della configurazione del profilo di connessione Datastream. Devi aggiungere manualmente la chiave pubblica al file ~/.ssh/authorized_keys dell'bastion host.
Generare chiavi privata e pubblica
Puoi generare chiavi SSH utilizzando il seguente metodo:
ssh-keygen: uno strumento a riga di comando OpenSSH per generare coppie di chiavi SSH.Flag utili:
-t: specifica il tipo di chiave da creare, ad esempio:ssh-keygen -t rsassh-keygen -t ed25519-b: specifica la lunghezza della chiave da creare, ad esempio:ssh-keygen -t rsa -b 2048-y: Legge un file in formato OpenSSH privato e stampa una chiave pubblica OpenSSH nell'output standard.-f: specifica il nome del file della chiave, ad esempio:ssh-keygen -y [-f KEY_FILENAME]
Per ulteriori informazioni sui flag supportati, consulta la documentazione di OpenBSD.
Puoi generare una chiave PEM privata utilizzando il seguente metodo:
openssl genpkey: uno strumento a riga di comando OpenSSL per generare una chiave privata PEM.Flag utili:
algorithm: specifica l'algoritmo della chiave pubblica da utilizzare, ad esempio:openssl genpkey -algorithm RSA-out: specifica il nome del file in cui restituire la chiave, ad esempio:openssl genpkey -algorithm RSA -out PRIVATE_KEY_FILENAME.pem
Per ulteriori informazioni sui flag supportati, consulta la documentazione di OpenSSL.
Passaggi successivi
- Scopri di più su altri metodi di connettività.