フォワード SSH トンネルを使用してソース データベースへの接続を設定する手順は次のとおりです。
ステップ 1: トンネルを終端するホストを選択する
データベースの SSH トンネル アクセスを設定する最初のステップは、トンネルの終端に使用するホストを選択することです。トンネルは、データベース ホスト自体または別のホスト(トンネル サーバー)で終端できます。
データベース サーバーを使用する
データベースでトンネルを終端すると、シンプルになるという利点があります。ホストが 1 つ少ないため、追加のマシンとそれに関連する費用がかかりません。欠点は、データベース サーバーがインターネットから直接アクセスできない保護されたネットワーク上に置かれる可能性があることです。
トンネル サーバーを使用する
別のサーバーでトンネルを終端すると、インターネットからデータベース サーバーにアクセスできないという利点が得られます。トンネル サーバーが不正使用された場合でも、データベース サーバーからは一歩距離があります。トンネル サーバーでは、重要でないソフトウェアやユーザーをすべて削除し、侵入検知システム(IDS)などのツールで注意深く監視することをおすすめします。
トンネル サーバーには、次の条件を満たす Unix または Linux ホストを指定できます。
- SSH を使用してインターネットからアクセスできる。
データベースにアクセスできる。
ステップ 2: IP 許可リストを作成する
データベースの SSH トンネル アクセスを設定する 2 番目のステップでは、ネットワーク トラフィックが SSH(通常は TCP ポート 22)を使用して、トンネル サーバーかデータベース ホストに到達できるようにします。
データストリーム リソースが作成されるリージョンの IP アドレスそれぞれからのネットワーク トラフィックを許可します。
ステップ 3: SSH トンネルを使用する
接続プロファイル構成でトンネルの詳細を指定します。詳細については、接続プロファイルを作成するをご覧ください。
SSH トンネル セッションを認証するために、Datastream はトンネル アカウントのパスワードまたは一意の秘密鍵を必要とします。一意の秘密鍵を使用するために、OpenSSH または OpenSSL コマンドライン ツールを使用して鍵を生成できます。
Datastream は、Datastream 接続プロファイル構成の一部として秘密鍵を安全に保存します。公開鍵は、踏み台ホストの ~/.ssh/authorized_keys ファイルに手動で追加する必要があります。
秘密鍵と公開鍵を生成する
SSH 認証鍵は次の方法で生成できます。
ssh-keygen: SSH 認証鍵ペアを生成する OpenSSH コマンドライン ツール。有用なフラグ:
-t: 作成する鍵のタイプを指定します。次に例を示します。ssh-keygen -t rsassh-keygen -t ed25519-b: 作成する鍵の鍵長を指定します。次に例を示します。ssh-keygen -t rsa -b 2048-y: OpenSSH 形式の秘密鍵ファイルを読み取り、OpenSSH 公開鍵を標準出力に出力します。-f: 鍵ファイルのファイル名を指定します。次に例を示します。ssh-keygen -y [-f KEY_FILENAME]
サポートされているフラグの詳細については、OpenBSD のドキュメントをご覧ください。
非公開の PEM 鍵は、次の方法で生成できます。
openssl genpkey: PEM 秘密鍵を生成する OpenSSL コマンドライン ツール。有用なフラグ:
algorithm: 使用する公開鍵アルゴリズムを指定します。次に例を示します。openssl genpkey -algorithm RSA-out: 鍵の出力先となるファイル名を指定します。次に例を示します。openssl genpkey -algorithm RSA -out PRIVATE_KEY_FILENAME.pem
サポートされているフラグの詳細については、OpenSSL のドキュメントをご覧ください。
次のステップ
- その他のネットワーク接続方法について学習する。