Esta página foi traduzida pela API Cloud Translation.

Usar um túnel SSH

Para obter a encriptação mais forte entre o Looker e a base de dados, pode criar um túnel SSH para um servidor de túnel ou para o próprio servidor da base de dados.

Passo 1: escolha um anfitrião no qual terminar o túnel

O primeiro passo para configurar o acesso ao túnel SSH para a sua base de dados é escolher o anfitrião que vai ser usado para terminar o túnel. O túnel pode ser terminado no próprio anfitrião da base de dados ou num anfitrião separado (o servidor de túnel).

Usar o servidor de base de dados

Quando não usa um servidor de túnel, o Looker liga-se diretamente ao servidor da base de dados através de um túnel SSH na Internet pública. A terminação na base de dados tem a vantagem de ser simples. Envolve menos um anfitrião, pelo que não existem máquinas adicionais nem custos associados. Esta opção pode não ser viável se o servidor da base de dados estiver numa rede protegida que não tenha acesso direto a partir da Internet.

Usar um servidor de túnel

Quando usa um servidor de túnel, o Looker estabelece ligação ao servidor da base de dados através de um servidor de túnel separado numa rede restrita. A rescisão do túnel num servidor separado tem a vantagem de manter o servidor da base de dados inacessível a partir da Internet. Se o servidor do túnel for comprometido, está um passo afastado do servidor da base de dados. Recomendamos que remova todos os utilizadores e software não essenciais do servidor de túnel e que o monitorize atentamente com ferramentas como um IDS.

O servidor de túnel pode ser qualquer anfitrião Unix ou Linux que:

Pode aceder-se a partir da Internet através de SSH
Pode aceder à base de dados

Passo 2: crie uma lista de IPs permitidos

O segundo passo é permitir que o tráfego de rede alcance o servidor de túnel ou o anfitrião da base de dados através do SSH, que geralmente está na porta TCP 22.

Permita o tráfego de rede de cada um dos endereços IP indicados aqui para a região onde a sua instância do Looker está alojada. Por predefinição, este é o país Estados Unidos.

Instâncias alojadas em Google Cloud

As instâncias alojadas no Looker são alojadas no Google Cloud por predefinição. Para instâncias alojadas no Google Cloud, adicione à lista de autorizações os endereços IP que correspondem à sua região.

Clique aqui para ver uma lista completa de endereços IP para instâncias alojadas em Google Cloud

Moncks Corner, Carolina do Sul, EUA (`us-east1`)

34.23.50.137
35.211.210.64
35.211.95.55
35.185.59.100
34.111.239.102
35.237.174.17
34.73.200.235
35.237.168.216
34.75.58.123
35.196.30.110
35.243.254.166

Ashburn, Virgínia do Norte, EUA (`us-east4`)

34.150.212.9
34.150.174.54
34.85.200.217
35.221.30.177
35.245.82.73
34.86.214.226
35.245.177.112
35.245.211.109
34.86.118.239
34.86.136.190
35.194.74.185
34.86.52.188
35.221.3.163
35.221.62.218
34.86.34.135
35.236.240.168
35.199.50.237
34.145.252.255
35.245.141.42
35.245.20.16
34.145.147.146
34.145.139.22
34.150.217.20
35.199.35.176
35.245.72.35
34.85.187.175
35.236.220.225
34.150.180.94
4.85.195.168
34.86.126.124
34.145.200.8
34.85.142.95
34.150.217.96
35.245.140.36
34.86.124.234
35.194.69.239
35.230.163.26
35.186.187.48
34.86.154.134
34.85.128.250
35.245.212.212
35.245.74.75
34.86.246.187
34.86.241.216
34.85.222.9
34.86.171.127
34.145.204.106
34.150.252.169
35.245.9.213

Council Bluffs, Iowa, EUA (`us-central1`)

104.154.21.231
35.192.130.126
35.184.100.51
34.70.128.74
34.69.207.176
35.239.118.197
34.172.2.227
34.71.191.210
34.173.109.50
35.225.65.3
34.170.192.190
34.27.97.67
35.184.118.155
34.27.58.160
34.136.4.153
35.184.8.255
35.222.218.140
34.123.109.49
34.67.240.23
104.197.72.40
34.72.128.33
35.226.158.66
34.134.4.91
35.226.210.85

The Dalles, Oregon, EUA (`us-west1`)

34.127.41.199
34.82.57.225
35.197.66.244
35.197.64.57
34.82.193.215
35.247.117.0
35.233.222.226
34.82.120.25
35.247.5.99
35.247.61.151
35.233.249.160
35.233.172.23
35.247.55.33
34.83.138.105
35.203.184.48
34.83.94.151
34.145.90.83
34.127.116.85
35.197.35.188
34.105.127.122
35.233.191.84
34.145.93.130
35.233.178.166
34.105.18.120
104.199.118.14
35.185.228.216
34.145.16.151
34.82.91.75
34.82.142.245
34.105.35.19
34.83.231.96
34.168.230.47
35.247.46.214
34.105.44.25
35.185.196.75
34.145.39.113
34.168.121.44

Los Angeles, Califórnia, EUA (`us-west2`)

35.236.22.77
35.235.83.177
35.236.51.71

Montréal, Québec, Canada (`northamerica-northeast1`)

35.234.253.103
35.203.46.255
34.152.60.210
35.203.0.6
35.234.252.150
35.203.96.235
34.152.34.229
34.118.131.36
35.203.113.51

Londres, Inglaterra, Reino Unido (`europe-west2`)

34.105.198.151
35.246.117.58
34.142.123.96
34.89.124.139
34.89.127.51
34.105.209.44
35.242.138.133
35.197.222.220
35.189.111.173
34.105.219.154
34.105.181.133
34.89.25.5
35.246.10.206
34.105.131.133
34.142.77.18
34.89.54.84
35.189.94.105
35.246.36.67
35.234.140.77
35.242.174.158
35.197.199.20
34.89.3.120
34.105.156.107
35.246.79.72
34.105.139.38
34.105.147.157
34.105.195.129
34.105.194.210
34.142.79.123
34.142.55.58
34.142.85.249
34.105.148.38
35.246.100.66
35.246.3.165
34.105.176.209
35.189.95.167
34.89.55.2

Frankfurt, Alemanha (`europe-west3`)

35.242.243.255
34.159.247.211
35.198.128.126
34.159.10.59
34.159.72.77
34.159.224.187
34.89.159.138
34.159.253.103
34.159.244.43
35.246.162.187
34.89.141.190
34.159.65.106
34.159.197.31
34.89.194.134
34.159.252.155
34.141.65.216
34.159.124.62
35.246.130.213
34.89.206.21
34.89.185.201
34.159.171.46
35.246.217.228
35.242.236.115
34.159.148.253

Mumbai, Índia (`asia-south1`)

35.200.234.34
34.100.205.37
34.93.225.12
34.93.221.137
35.244.24.198
35.244.52.179

Eemshaven, Países Baixos (`europe-west4`)

35.204.118.28
35.204.216.7
34.90.52.191
35.204.176.29
34.90.199.95
34.90.145.226
34.141.162.7
35.204.56.189
35.204.11.229
34.34.66.131
34.32.195.89
34.32.173.138

Condado de Changhua, Taiwan (`asia-east1`)

104.199.206.209
34.80.173.212
35.185.137.114

Tóquio, Japão (`asia-northeast1`)

34.85.3.198
34.146.68.203
34.84.4.218

Jurong West, Singapura (`asia-southeast1`)

34.143.210.116
34.143.132.206
34.87.134.202
34.101.158.88
34.101.157.238
34.101.184.52

Jacarta, Indonésia (`asia-southeast2`)

34.101.158.88
34.101.157.238
34.101.184.52

Sydney, Austrália (`australia-southeast1`)

34.87.195.36
34.116.85.140
34.151.78.48
35.189.13.29
35.189.9.81
35.244.68.217

Osasco (São Paulo), Brasil (`southamerica-east1`)

34.151.199.201
35.199.122.19
34.95.180.122
34.95.168.38
34.151.235.241
34.95.181.19
35.199.91.120
35.247.197.109
35.199.86.48
35.199.106.166
35.198.1.191
35.247.235.128
35.247.211.2
35.247.200.249
34.95.177.253

Instâncias alojadas no Amazon Elastic Kubernetes Service (Amazon EKS)

Para instâncias alojadas no Amazon EKS, adicione à lista de autorizações os endereços IP que correspondem à sua região.

Clique aqui para ver uma lista completa de endereços IP para instâncias alojadas no Amazon EKS

Leste dos EUA (Virginia do Norte) (`us-east-1`)

18.210.137.130
54.204.171.253
50.17.192.87
54.92.246.223
75.101.147.97
18.235.225.163
52.55.239.166
52.86.109.68
54.159.176.199
3.230.52.220
54.211.95.150
52.55.10.236
184.73.10.85
52.203.92.114
52.3.47.189
52.7.255.54
54.196.92.5
52.204.125.244
34.200.64.243
18.206.32.254
54.157.231.76
54.162.175.244
54.80.5.17
35.168.173.238
52.44.187.22
18.213.96.40
23.22.133.206
34.239.90.169
34.236.92.87
3.220.81.241
54.197.142.238
34.200.121.56
3.83.72.41
54.159.42.144
3.229.81.101
34.225.255.220
54.162.193.165
34.235.77.117
3.233.169.63
54.87.86.113
18.208.86.29
52.44.90.201

Leste dos EUA (Ohio) (`us-east-2`)

3.135.171.29
18.188.208.231
3.143.85.223

Oeste dos EUA (Oregon) (`us-west-2`)

44.237.129.32
54.184.191.250
35.81.99.30

Canadá (Central) (`ca-central-1`)

52.60.157.61
35.182.169.25
52.60.59.128
35.182.207.128
15.222.172.64
3.97.27.51
35.183.191.133
15.222.86.123
52.60.52.14

Europa (Irlanda) (`eu-west-1`)

54.74.243.246
54.195.216.95
54.170.208.67
52.49.220.103
52.31.69.117
34.243.112.76
52.210.85.110
52.30.198.163
34.249.159.112
52.19.248.176
54.220.245.171
54.247.22.227
176.34.116.197
54.155.205.159
52.16.81.139
54.75.200.188
34.248.52.4
54.228.110.32
34.248.104.98
54.216.117.225
52.50.172.40

Europa (Frankfurt) (`eu-central-1`)

18.157.231.108
18.157.207.33
18.157.64.198
18.198.116.133
3.121.148.178
3.126.54.154

Ásia-Pacífico (Tóquio) (`ap-northeast-1`)

54.250.91.57
13.112.30.110
54.92.76.241
52.68.245.25
3.114.138.0
54.249.39.36

Ásia-Pacífico (Sydney) (`ap-southeast-2`)

13.238.132.174
3.105.238.71
3.105.113.36

América do Sul (São Paulo) (`sa-east-1`)

54.232.58.181
54.232.58.98
177.71.134.208

Instâncias alojadas no Microsoft Azure

Para instâncias alojadas no Azure, adicione à lista de autorizações os endereços IP que correspondem à sua região.

Clique aqui para ver uma lista completa de endereços IP para instâncias alojadas no Microsoft Azure

Virgínia, EUA (`us-east2`)

52.147.190.201

Alojamento antigo

Use estes endereços IP para todas as instâncias alojadas na AWS e criadas antes de 07/07/2020.

Clique aqui para ver uma lista completa dos endereços IP da alojamento antigo

Estados Unidos (predefinição da AWS)

54.208.10.167
54.209.116.191
52.1.5.228
52.1.157.156
54.83.113.5

Canadá

99.79.117.127
35.182.216.56

Ásia

52.68.85.40
52.68.108.109

Irlanda

52.16.163.151
52.16.174.170

Alemanha

18.196.243.94
18.184.246.171

Austrália

52.65.128.170
52.65.124.87

América do Sul

52.67.8.103
54.233.74.59

Passo 3: tunelização SSH

Se o separador Servidores SSH estiver ativado, siga as instruções nesta página para adicionar as informações de configuração do servidor SSH ao Looker.

Na página Ligações na secção Administração do Looker, selecione o separador Servidor SSH.

Em seguida, selecione Adicionar servidor. O Looker apresenta a página Adicionar servidor SSH:

Introduza um nome para a configuração do servidor SSH.
Selecione Transferir chave para transferir a chave pública para um ficheiro de texto. Certifique-se de que guarda este ficheiro, uma vez que terá de adicionar a chave pública ao ficheiro de chaves autorizadas do seu servidor SSH mais tarde.
Introduza o nome de utilizador que o Looker vai usar para estabelecer ligação ao servidor SSH.
Introduza o nome de anfitrião ou o endereço IP do servidor SSH.
Introduza o número da porta usado para estabelecer ligação ao servidor SSH.

Passo 4: prepare o anfitrião do túnel

Adicione a chave pública ao seu ficheiro `authorized_keys`

Para autenticar a sessão do túnel SSH, o Looker requer uma chave pública única (o Looker não suporta o início de sessão com uma palavra-passe). Se o separador Servidores SSH estiver ativado na sua instância, pode transferir a chave pública para um ficheiro de texto selecionando o botão Transferir chave quando introduzir as informações de configuração de SSH. Se estiver a configurar o túnel SSH com a ajuda de um analista do Looker, este vai fornecer-lhe uma chave pública exclusiva.

Tem de preparar o anfitrião (o servidor da base de dados ou o servidor de túnel) criando um utilizador looker e adicionando a chave pública do Looker ao ficheiro .ssh/authorized_keys do Looker. Veja como:

Na linha de comandos, crie um grupo denominado looker:
```
sudo groupadd looker
```
Crie o utilizador looker e o respetivo diretório inicial:
```
sudo useradd -m  -g looker  looker
```
Mudar para o utilizador looker:
```
sudo su - looker
```
Crie o diretório .ssh:
```
mkdir ~/.ssh
```
Defina autorizações:
```
chmod 700 ~/.ssh
```
Altere para o diretório .ssh:
```
cd ~/.ssh
```
Crie o ficheiro authorized_keys:
```
touch authorized_keys
```
Defina autorizações:
```
chmod 600 authorized_keys
```

Usando o seu editor de texto favorito, adicione a chave SSH fornecida pelo analista do Looker ao ficheiro authorized_keys. A chave tem de estar toda numa linha. Em alguns casos, quando obtém a chave a partir do seu email, o cliente de email insere quebras de linha. Se não os remover, é impossível estabelecer o túnel SSH.

Adicione `ssh-rsa` ao seu ficheiro `sshd_config`

O OpenSSH desativou o ssh-rsa por predefinição, o que pode causar erros ao configurar um túnel SSH. Para resolver este problema, adicione o algoritmo ssh-rsa à lista de algoritmos aceites do seu servidor. Veja como:

Edite o ficheiro sshd_config. Normalmente, pode encontrá-lo em ~/etc/ssh/sshd_config.

Adicione o seguinte ao ficheiro sshd_config:

   HostKeyAlgorithms +ssh-rsa
   PubKeyAcceptedAlgorithms +ssh-rsa

Notas de segurança do túnel

Quando um túnel SSH é terminado no servidor da base de dados, a ligação do Looker parece ser uma ligação local no servidor da base de dados. Por conseguinte, anula os mecanismos de segurança baseados em ligações incorporados em plataformas de bases de dados, como o MySQL. Por exemplo, é muito comum o acesso local ser concedido ao utilizador root sem palavra-passe!

Por predefinição, a abertura do acesso SSH também permite o encaminhamento de qualquer porta, contornando todas as firewalls entre o Looker e o anfitrião da base de dados que está a terminar o túnel SSH. Este risco de segurança pode ser considerado inaceitável. Este encaminhamento de portas e a capacidade de iniciar sessão no seu servidor de túnel podem ser controlados configurando corretamente a entrada .ssh/authorized_keys para a chave pública do Looker.

Por exemplo, o texto seguinte pode ser adicionado antes da chave SSH do Looker no seu ficheiro authorized_keys. Tenha em atenção que este texto TEM de ser personalizado para o seu ambiente.

no-pty,no-X11-forwarding,permitopen="localhost:3306",permitopen="localhost:3307",
command="/bin/echo Login Not Permitted"

Consulte a documentação do Linux man ssh e man authorized_keys para ver exemplos e detalhes completos.

Passos seguintes

Se o separador Servidores SSH estiver ativado na sua instância, regresse à página Adicionar servidor SSH e selecione Testar e pedir impressão digital para validar a sua ligação ao servidor SSH. O Looker apresenta um ecrã com a nova configuração SSH e opções para transferir ou ver a chave pública, e para ver a impressão digital única da configuração do servidor SSH.

Em seguida, na página Definições de ligação da base de dados:

Ative o botão Servidor SSH e selecione a configuração do servidor SSH na lista pendente.
Nos campos Anfitrião remoto e Porta, introduza o endereço IP ou o nome do anfitrião e o número da porta da sua base de dados.

Se estiver a configurar o túnel SSH com a ajuda de um analista do Looker, notifique-o de que tem tudo pronto para testar o túnel SSH. Assim que confirmarem que o túnel está estabelecido, indicam-lhe o número da porta do lado do Looker do túnel SSH.

Em seguida, na página Definições de ligação da base de dados:

Introduza localhost no campo Anfitrião remoto.
No campo Porta, introduza o número da porta do lado do Looker do túnel SSH que foi fornecido pelo seu analista do Looker.
Desative a opção Validar certificado SSL na página Ligações da base de dados.

Os certificados SSL não são suportados quando configura um túnel SSH para a sua base de dados a partir do Looker. Em alternativa, a chave SSH que adicionou no passo 4 fornece a segurança de handshake entre o Looker e a sua base de dados.

Usar um túnel SSH Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Passo 1: escolha um anfitrião no qual terminar o túnel

Usar o servidor de base de dados

Usar um servidor de túnel

Passo 2: crie uma lista de IPs permitidos

Instâncias alojadas em Google Cloud

Clique aqui para ver uma lista completa de endereços IP para instâncias alojadas em Google Cloud

Moncks Corner, Carolina do Sul, EUA (us-east1)

Ashburn, Virgínia do Norte, EUA (us-east4)

Council Bluffs, Iowa, EUA (us-central1)

The Dalles, Oregon, EUA (us-west1)

Los Angeles, Califórnia, EUA (us-west2)

Montréal, Québec, Canada (northamerica-northeast1)

Londres, Inglaterra, Reino Unido (europe-west2)

Frankfurt, Alemanha (europe-west3)

Mumbai, Índia (asia-south1)

Eemshaven, Países Baixos (europe-west4)

Condado de Changhua, Taiwan (asia-east1)

Tóquio, Japão (asia-northeast1)

Jurong West, Singapura (asia-southeast1)

Jacarta, Indonésia (asia-southeast2)

Sydney, Austrália (australia-southeast1)

Osasco (São Paulo), Brasil (southamerica-east1)