下列步驟說明如何使用轉送 SSH 通道,設定與來源資料庫的連線。
步驟 1:選擇要終止通道的主機
如要為資料庫設定 SSH 通道存取權,首先要選擇用來終止通道的主機。通道可以在資料庫主機本身或獨立主機 (通道伺服器) 上終止。
使用資料庫伺服器
在資料庫上終止通道的優點是作業簡單,由於減少一個主機,因此不會有額外機器和相關費用。缺點是資料庫伺服器可能位於受保護的網路上,無法直接從網際網路存取。
使用通道伺服器
在獨立伺服器上終止通道的優點是,資料庫伺服器無法從網際網路存取。如果通道伺服器遭到入侵,資料庫伺服器就會少了一層防護。建議您從通道伺服器移除所有非必要軟體和使用者,並使用入侵偵測系統 (IDS) 等工具密切監控。
通道伺服器可以是任何 Unix 或 Linux 主機,只要符合下列條件:
- 可透過 SSH 從網際網路存取。
可以存取資料庫。
步驟 2:建立 IP 許可清單
設定資料庫的安全殼層通道存取權的第二個步驟,是允許網路流量透過安全殼層 (通常是 TCP 通訊埠 22) 連線至通道伺服器或資料庫主機。
允許來自區域 IP 位址的網路流量,這些區域是建立 Datastream 資源的位置。
步驟 3:使用 SSH 通道
在連線設定檔設定中提供通道詳細資料。詳情請參閱「建立連線設定檔」。
如要驗證 SSH 通道工作階段,Datastream 需要通道帳戶的密碼或專屬私密金鑰。如要使用專屬私密金鑰,可以使用 OpenSSH 或 OpenSSL 指令列工具產生金鑰。
Datastream 會將私密金鑰安全地儲存在 Datastream 連線設定檔設定中。您必須手動將公開金鑰新增至防禦主機的 ~/.ssh/authorized_keys 檔案。
產生私密和公開金鑰
您可以使用下列方法產生 SSH 金鑰:
ssh-keygen:用於產生安全殼層金鑰組的 OpenSSH 指令列工具。實用標記:
-t:指定要建立的金鑰類型,例如:ssh-keygen -t rsassh-keygen -t ed25519-b:指定要建立的金鑰長度,例如:ssh-keygen -t rsa -b 2048-y:讀取 OpenSSH 格式的私密檔案,並將 OpenSSH 公開金鑰列印至標準輸出。-f:指定金鑰檔案的檔案名稱,例如:ssh-keygen -y [-f KEY_FILENAME]
如要進一步瞭解支援的標記,請參閱 OpenBSD 說明文件。
您可以使用下列方法產生私密 PEM 金鑰:
openssl genpkey:OpenSSL 指令列工具,用於產生 PEM 私密金鑰。實用標記:
algorithm:指定要使用的公開金鑰演算法,例如:openssl genpkey -algorithm RSA-out:指定要輸出金鑰的檔案名稱,例如:openssl genpkey -algorithm RSA -out PRIVATE_KEY_FILENAME.pem
如要進一步瞭解支援的標記,請參閱 OpenSSL 說明文件。
後續步驟
- 瞭解其他網路連線方式。