SSHトンネルを使用してクラウドホストサービスのアクセス制限を突破する

1. 要約

職場では、パブリッククラウドホスト上で実行される一連のサービスを維持する必要があることがよくあります。セキュリティ上の理由から、外部に開かれるポートは通常、SSH (ポート 22) サービスのみです。運用・保守時にセキュリティポリシーを変更することで、他のサービスポートを一時的に解放することは可能ですが、時間のかかるトラブルシューティング操作の場合、機密ポートを長時間公開するとセキュリティ上のリスクが高まります。 SSH トンネルテクノロジーにより、セキュリティポリシーを変更することなく、クラウドホストのサービスポートをローカル操作にマッピングできます。これにより、送信されるデータが暗号化されるだけでなく、ツールやブラウザを介してローカルで対象サービスにアクセスできるようになり、便利で安全になります。

2. SSHトンネルの原理

この記事における SSH トンネル技術の適用シナリオは次のとおりです。

写真

SSH トンネルを正常に確立するには、次の前提条件を満たす必要があります。

パーソナルコンピュータには SSH プロトコルをサポートするソフトウェアをインストールする必要があり、Windows システムには Cygwin などのソフトウェアをインストールする必要がある場合があります。
クラウドホストのファイアウォールセキュリティポリシーでは、SSH プロトコルで使用されるデフォルトポートであるポート 22 へのアクセスを許可する必要があります。
クラウドホストでは、リモートホストが SSH プロトコルを使用して正常にログインできるように、SSH プロトコルをサポートするソフトウェアパッケージもインストールする必要があります。

SSH トンネルは主にパソコンから確立されます。上図によると、SSH トンネルの確立プロセスは次のようになります。

パソコン上でカスタムポートを開きます。ここではポート5478が選択されています。このポートには特別な要件はありません。他のポートと競合しない限り、実際の状況に応じて選択できます。ポート 5478 はトンネルの始まりと考えることができます。
トンネルリモート接続を確立するには、リモートホストの SSH ログインアカウントとパスワードを入力します。接続を正常に確立するには、ファイアウォールのポート 22 が開いている必要があります。ここでの SSH リモートログインは、パーソナルコンピューターのポート 5478 から始まり、リモートクラウドホストのポート 22 まで拡張されたトンネルの延長として見ることができます。
リモートホストの実際のサービスポートをローカルトンネルの開始ポート 5478 にマップします。マッピング関係は、トンネルの仕上げ作業と見なすことができます。クラウドホストのポート 22 からトンネルが接続された後、リモートホストのローカルサービスポートとの接続を確立する必要があります。ローカルサービスにポート 3306 のデータベースサービスがあると仮定すると、最終的にはポート 5478 とパーソナルコンピューターのポート 3306 間の接続が開かれ、ファイアウォールの背後にあるクラウドホストサービスへのローカルアクセスが実現します。

3. 実用化

SSH トンネルを確立する上記のプロセスは、SSH ツールによって提供されるコマンドを使用して、パーソナルコンピューター上で完了できます。完全なコマンドは次のとおりです。

ssh -CfNg -L 5478:localhost:3306 [email protected]

コマンドパラメータの意味は次のとおりです。

-C: は圧縮伝送を意味し、伝送速度を上げることができます。

-f: SSH 転送をバックグラウンド実行に転送します。これにより、現在のシェルが占有されなくなります。

-N: サイレント接続を確立し、特定のセッションは表示されません

-g: リモートホストがローカルポート転送に接続できるようにする

-L: ローカルポート転送

5478:localhost:3306 このパラメータはポートマッピング関係を確立するために使用されます。 5478 はローカルポートを表し、localhost:3306 はリモートホストのポート 3306 を表します。

注意: localhost と xx.xx.177.122 は同じリモートマシンを表しますが、ここでは xx.xx.177.122 ではなく localhost を必ず記入してください。

[email protected] パラメータは、リモート SSH ログインのプロセスです。最終的にトンネル接続を完了するには、SSH パスワードを入力する必要があります。

コマンドの実行に失敗した場合は、図に示すように、まずローカルでポートが占有されているかどうかを確認できます。

写真

コマンド実行によってプロセス ID が返される場合、ローカル転送ポート 5478 がプロセスによって占有されていることを意味します。プロセス ID を強制終了するか、別のポートを変更してください。

コマンドを正常に実行すると、ssh のバックグラウンドプロセスが表示され、図に示すように、プロセスがトンネルが正常に確立されたことを示していることがわかります。

写真

データベースソフトウェアを介してローカルでポート 5478 に接続してみると、図に示すように、リモートデータベースが正常に接続されていることがわかります。

写真

<<: OWASP API セキュリティトップ 10 に新たな変更がありました。これは私たちにとって何を意味するのでしょうか?

>>: Helm とは何ですか?クラウドネイティブアプリケーションのプライベート展開の効率はどのように向上しますか?

SSHトンネルを使用してクラウドホストサービスのアクセス制限を突破する

1. 要約

2. SSHトンネルの原理

3. 実用化

10ページ落ちしたウェブサイトを復旧させる3つの方法と対策

病院のBaidu入札体験の共有

Shanda Cloudの人気のウェブサイト構築割引価格が業界の限界を突破

Google アルゴリズムアップデート 2012: パンダアルゴリズムの改善と日付検出の追加

コンテナの「エッジ」とは何ですか?

ローカルウェブサイトを運営する4つの方法

K8s コンポーネントの完全な分析: 知っておくべきすべての秘密

クラウド間の移行を最大限に活用する方法

ホームページのウェブサイトキーワード最適化でウェブサイトを上位にランク付けする

SEO実践日記: キーワードの3Wインデックスを突破する方法

推薦する

Bespin Global、ガートナーの2020年グローバルパブリッククラウドインフラストラクチャマネージドサービスプロバイダーのマジッククアドラントでリーダーに選出

nixcom-1g メモリ KVM/70g ハードディスク/2t トラフィック/月額 9.99 ドル

WeChat マーケティング: WeChat コミュニティでコースを販売するための 8 つのコツ!

rfchost - 年間 25 ドル、CN2 回線 + 中国聯通直接接続、512M メモリ KVM 仮想 VPS

外部リンクを作成する初心者ウェブマスターの苦労と喜び

あなたはまだ Google の PR 価値を重視していますか?それはもう重要ではないかもしれません。

マッキンゼーのパートナー：ジェネレーティブAIはクラウド移行におけるさまざまな課題の解決に役立つ

世界は将来のリスクへの対応力向上のためデジタル政府構築を強化している

raksmart: 100M 帯域幅、香港専用サーバー/香港クラスターサーバー、月額 123 ドルから、3 つのネットワークへの直接接続 (実名は不要、匿名)

クラウドデータ管理は DataOps の未来でしょうか?

美団外売は第二のカーブを目指す

テンセントと大衆点評の契約：レストランのレビューはタクシーアプリよりも価値がある

健全なウェブサイト内部リンク構造を構築する方法

クラウドコンピューティング環境における容量管理

パブリッククラウド？プライベートクラウド？ハイブリッドクラウド？所により曇り？業界クラウド？違いが分からない 2