Upgrade to Pro — share decks privately, control downloads, hide ads and more …

多段接続について

yukitkns
February 04, 2024
Programming
0
16

 多段接続について

yukitkns

February 04, 2024
Tweet

More Decks by yukitkns

See All by yukitkns
WAFログの推奨ルールを確認する
yukitkns
0
11
OCI ロギングでカスタム・ログを収集する
yukitkns
1
130
「寺子屋Oracle Cloud:Win Story研究会 『ハイブリッドクラウド・マルチクラウド』」 に参加してみて
yukitkns
1
14
開発未経験者がはじめて DevOpsを触ってみた
yukitkns
0
82
「寺子屋Oracle Cloud:Win Story研究会 『OCVSのリフト案件』」 に参加してみて
yukitkns
0
36
ここがスゴいよ、OCM!!
yukitkns
1
110

Other Decks in Programming

See All in Programming
ペパボOpenTelemetry革命
pyama86
2
250
Fragment Composition of GraphQL
quramy
14
1.7k
Scalable Customer Journey Orchestration (CJO)
lewuathe
0
480
哲学史とモデリング
tanakahisateru
2
380
Exploring the Implementation of “t.Run”, “t.Parallel”, and “t.Cleanup”
akarin
1
150
一文字エイリアスのすすめ
fujimura
0
190
Implementing Design Systems in Swift
seyfoyun
2
520
RustでAWS Lambda functionをいい感じに書く
taiki45
2
140
GitHub Actionsの痒いところを埋めるサードパーティーランナー
dora1998
1
170
ソースコードを美しくたもつために ~コードレビューの認知限界を突破し、年間400リリースを達成する~
kotauchisunsun
1
150
Documentation testsの恩恵 / Documentation testing benefits
ssssota
1
540
Apache Hive 4 on Treasure Data
ryukobayashi
1
480

Featured

See All Featured
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
155
14k
Robots, Beer and Maslow
schacon
PRO
155
7.9k
The Invisible Customer
myddelton
114
12k
How GitHub Uses GitHub to Build GitHub
holman
468
290k
Writing Fast Ruby
sferik
622
60k
KATA
mclloyd
16
12k
How To Stay Up To Date on Web Technology
chriscoyier
782
250k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
660
120k
Practical Orchestrator
shlominoach
183
9.8k
What’s in a name? Adding method to the madness
productmarketing
PRO
17
2.7k
Unsuck your backbone
ammeep
664
57k
Clear Off the Table
cherdarchuk
85
310k

Transcript

  1. 踏み台サーバ経由で 多段接続を実施

  2. 従来のプライベート・サブネットにある サーバの接続方法 1. 踏み台サーバ経由で接続 ・手順が簡素 ・踏み台サーバに秘密鍵を配置するため、セキュアな接続方法ではない 2. ポートフォワーディングで接続 ・ローカルの秘密鍵を使用するので、セキュアに接続可能 ・コマンドを複数回実行する必要があり、かつ長文で複雑

  3. 多段接続とは? l異なるネットワークセグメントやセキュリティゾーンに存在する複数のコ ンピュータやサーバに、SSHや他のプロトコルを使用して順次接続する セキュリティ手法。 →コマンド一文のみでプライベート環境にあるサーバに接続する事が可能 l多段接続は2つ方法がある 1. ワンライナーで実行 2. ~/.ssh/configに記述

  4. ワンライナーで実行 l以下のコマンドを使用 ssh -o ProxyCommand=‘ssh -i <踏み台サーバの秘密鍵のパス> -W %h:%p opc@<踏み台サーバの

    パブリックIPアドレス>’ -i <目的サーバの秘密鍵のパス> opc@<目的サーバのプライベートIPアドレス> l ssh -o ProxyCommand=‘ssh -i <踏み台サーバの秘密鍵のパス> -W %h:%p opc@<踏み台サーバのパブリック IPアドレス > :目的のホストに直接接続せず、指定されたプロキシコマンドを使用して中継経由で接続を確立。 l -W %h:%p:プロキシサーバを通してトンネルを確立するためのオプション。 lSCPコマンドでファイル転送を行う場合 scp -o ProxyCommand=‘ssh -i <踏み台サーバの秘密鍵のパス> -W %h:%p opc@<踏み台サーバの パブリックIPアドレス>’ –i <目的サーバの秘密鍵のパス> <転送対象のファイル> opc@<目的サーバの プライベートIPアドレス>:<転送先のパス>

  5. ローカルPC 踏み台サーバ vm-tokyo 138.2.25.12 目的サーバ private 10.0.1.215 VCN(10.0.0.0/16) 秘密鍵 踏み台サーバ:~/Desktop/key/test.key

    目的サーバ: ~/Desktop/key/private.key

  6. ~/.ssh/configに記述 l右の内容を記述 ログイン時は「ssh <ホスト名>」のみで目的 サーバに接続可能 lSCPコマンドでファイル転送を行う場 合 scp -i <目的サーバの秘密鍵のパス>

    <転送 対象のファイル> <目的サーバのホスト名>: <転送先のパス> ※ProxyCommandをProxyJumpに変更

  7. ユースケース lワンライナーで実行 l configファイルに設定不要で接続可能 l configに書き込むより、コマンドが長く直感的に実行できない l~/.ssh/configに記述 l ログイン時にホスト名のみで可能 l

    事前にconfigファイルに記述が必要 l ホスト名は重複不可で、事前にホスト名の定義を行う必要がある

  8. 出典 「踏み台サーバ経由の多段SSH接続をローカル端末の秘密鍵のみで実施する」 https://dev.classmethod.jp/articles/bastion-multi-stage-ssh-only-local-pem/ 「多段 ssh するなら ProxyCommand じゃなくて ProxyJump を使おう」

    https://zenn.dev/kariya_mitsuru/articles/ed76b4b27ac0fc