Les étapes suivantes expliquent comment configurer la connectivité à une base de données source à l'aide d'un tunnel SSH de transfert.
Étape 1 : Choisir l'hôte sur lequel mettre fin au tunnel
La première étape de la configuration de l'accès du tunnel SSH pour votre base de données consiste à choisir l'hôte qui sera utilisé pour mettre fin au tunnel. Le tunnel peut être arrêté sur l'hôte de la base de données lui-même ou sur un hôte distinct (le serveur du tunnel).
Utiliser le serveur de base de données
La suppression du tunnel sur la base de données présente l'avantage d'être simple. Comme il y a moins d'hôtes impliqués, il n'y a pas de machines supplémentaires ni leurs coûts associés. L'inconvénient est que votre serveur de base de données peut se trouver sur un réseau protégé sans accès direct via Internet.
Utiliser un serveur tunnel
La suppression du tunnel sur un serveur distinct présente l'avantage de rendre votre serveur de base de données inaccessible depuis Internet. Si le serveur de tunnel est compromis, il est à une étape du serveur de base de données. Nous vous recommandons de supprimer tous les logiciels et utilisateurs non essentiels du serveur de tunnel, et de le surveiller de près à l'aide d'outils tels qu'un système de détection d'intrusion (IDS).
Le serveur du tunnel peut être un hôte Unix ou Linux qui :
- Est accessible sur Internet à l'aide de SSH.
peut accéder à la base de données.
Étape 2 : Créer une liste d'autorisation d'adresses IP
La deuxième étape de la configuration de l'accès du tunnel SSH pour votre base de données consiste à autoriser le trafic réseau à atteindre le serveur du tunnel ou l'hôte de la base de données à l'aide de SSH, généralement sur le port TCP 22.
Autorisez le trafic réseau provenant de chacune des adresses IP de la région dans laquelle les ressources Datastream sont créées.
Étape 3 : Utiliser le tunnel SSH
Fournissez les informations sur le tunnel dans la configuration du profil de connexion. Pour en savoir plus, consultez Créer un profil de connexion.
Pour authentifier la session de tunnel SSH, Datastream a besoin du mot de passe du compte de tunnel ou d'une clé privée unique. Pour utiliser une clé privée unique, vous pouvez utiliser les outils de ligne de commande OpenSSH ou OpenSSL pour générer des clés.
Datastream stocke la clé privée de manière sécurisée dans la configuration du profil de connexion Datastream. Vous devez ajouter manuellement la clé publique au fichier ~/.ssh/authorized_keys de l'hôte bastion.
Générer des clés privées et publiques
Vous pouvez générer des clés SSH à l'aide de la méthode suivante :
ssh-keygen: outil de ligne de commande OpenSSH permettant de générer des paires de clés SSH.Options utiles :
-t: spécifie le type de clé à créer, par exemple :ssh-keygen -t rsassh-keygen -t ed25519-b: spécifie la longueur de la clé à créer, par exemple :ssh-keygen -t rsa -b 2048-y: lit un fichier au format OpenSSH privé et affiche une clé publique OpenSSH sur la sortie standard.-f: spécifie le nom du fichier de clé, par exemple :ssh-keygen -y [-f KEY_FILENAME]
Pour en savoir plus sur les options compatibles, consultez la documentation OpenBSD.
Vous pouvez générer une clé PEM privée à l'aide de la méthode suivante :
openssl genpkey: outil de ligne de commande OpenSSL permettant de générer une clé privée PEM.Options utiles :
algorithm: spécifie l'algorithme de clé publique à utiliser, par exemple :openssl genpkey -algorithm RSA-out: spécifie le nom du fichier dans lequel enregistrer la clé, par exemple :openssl genpkey -algorithm RSA -out PRIVATE_KEY_FILENAME.pem
Pour en savoir plus sur les options compatibles, consultez la documentation OpenSSL.
Étapes suivantes
- En savoir plus sur les autres méthodes de connectivité