У нас є два основних середовища:

Розвиток та забезпечення якості

Кожне середовище має два сервери:

• Стрибок
• Сервер додатків

Для того, щоб підключитися до сервера додатків, потрібно спочатку підключитися до вікна стрибка, а потім SSH до сервера додатків.

Існує кілька правил, які надаються за допомогою брандмауера:

• Ви ОБОВ'ЯЗКОВО підключитися до сервера додатків через вікно переходу
• Сервер додатків не може підключитися ні до перемикачів
• Стрибки знаходяться в одній підмережі, і МОЖЕ говорити один з одним.

Наша проблема

У нас багато вмісту (670 ГБ) DEVELOPMENT APPLICATION SERVER, і нам потрібно перейти до цього QA APPLICATION SERVER.

Скопіювати ці дані у вікна для стрибків не є можливим, оскільки їм не вистачає необхідної кількості місця.

Я провів кілька досліджень і дізнався, що потенційно ми можемо зробити ряд тунелів через ці сервери, щоб ми могли передавати дані прямо з одного сервера додатків на інший через тунелі. Однак проблема, що ми не можемо підключитися до стрибкового вікна з сервера додатків.

Чи є у нас варіанти? Це стає відчайдушною ситуацією, а час - суттєвим. У нас немає часу завантажувати дані та повторно завантажувати їх. Копіювання через мережу на сервери пройде швидко, оскільки це гігабітне з'єднання.

На сьогодні найпростіший спосіб - просто скопіювати його через scp. Плюс цей синтаксис насправді працює на відміну від деяких інших пропозицій.

Ви не можете перемогти цей синтаксис для зручності. Це дозволяє рекурсивно копіювати, rsync чи що завгодно, без клопоту розглядати потенційно складні труби. Цей синтаксис інтуїтивно зрозумілий, він буде більш сприятливим для підтримки Sys Admins, які стежать за вами і не користуються кіткою марно .

scp -3 devappserver:/path/to/copy/from qaappserver:/path/to/copy/to

З сторінки man scp : -3копії між двома віддаленими хостами передаються через локальний хост. Без цього параметра дані копіюються безпосередньо між двома віддаленими хостами. Зауважте, що ця опція вимикає вимірювач прогресу.

У наведеному нижче прикладі

• Ваша робоча станція названа MacBook-Pro.
• Dev Jump Box названий devjumpserver
• Сервер додатків Dev називається devapplicationserver
  • Знаходиться в локальній мережі DNS з назвою .local
• QA Jump Box названий qajumpserver
• Сервер додатків QA називається qaapplicationserver
  • Знаходиться в локальній мережі DNZ з назвою .local
• Ми виконаємо тестову копію файлу 670 ГБ / etc / hosts ;-)
• Припускається, що у вас налаштована автентифікація відкритого ключа SSH.

Ось файл ~ / .ssh / config, який встановлює прямий доступ зі своєї робочої станції до серверів додатків через відповідний стрибок (ака-сервер бастіону).

MacBook-Pro: ~ barrychapman $ cat ~ / .ssh / config
Ведучий *
  ServerAliveInterval 60
Розміщувач застосунку
  HostName devapplicationserver.local
  ProxyCommand ssh -i ~ / .ssh / id_rsa barrychapman@devjumpserver.example.com -W% ​​h:% p
  Користувач barrychapman
Хост-сервер Qaapplication
  HostName qaapplicationserver.local
  ProxyCommand ssh -i ~ / .ssh / id_rsa barrychapman@qajumpserver.example.com -W% ​​h:% p
  Користувач barrychapman

MacBook-Pro: ~ barrychapman $

Тестуючи наявність файлу на цільовому сервері, його там не буде.

MacBook-Pro: ~ barrychapman $ ssh qaapplicationserver ls / tmp / hosts
ls: не може отримати доступ / tmp / hosts: Немає такого файлу чи каталогу
Загинув за сигналом 1.
MacBook-Pro: ~ barrychapman $

Тепер скопіюємо файл з сервера додатків Dev на додаток QA через свою робочу станцію.

MacBook-Pro: ~ barrychapman $ scp -3 devapplicationserver: / etc / hosts qaapplicationserver: / tmp /
Загинув за сигналом 1.
Загинув за сигналом 1.
MacBook-Pro: ~ barrychapman $

Тепер перевіримо наявність скопійованого файлу на сервері прикладних програм QA. Це буде цього разу.

MacBook-Pro: ~ barrychapman $ ssh qaapplicationserver ls / tmp / hosts
/ tmp / господарі
Загинув за сигналом 1.
MacBook-Pro: ~ barrychapman $ 

Примітка

Закриваючи з'єднання ProxyCommand, ви побачите попереджувальне повідомлення "Убитий сигналом 1". Це SSH, що розриває з'єднання ProxyCommand, і це нічого не турбує. Ви можете позбутися від нього, додавши LogLevel Quietв конфігурацію хоста бастіонного конфігурації.

ТРУБИ!

Якщо в Інтернеті є серія труб , Unix - це серія труб - щось на зразок:

cat ginormous-file | ssh user@host1 "cat | ssh user@host2 \"cat >out\" "

повинні працювати.

Якщо вам потрібно проїхати більше хостів, додайте більше труб (і більше вкладених шарів \пропозицій), якщо це потрібно. (Однак зауважте, що якщо трубопровід / втеча стає настільки складним, що вам доведеться намалювати схему або вдатися до підрахунку на пальцях, щоб визначити, скільки разів вам доведеться подвоїтись на втечах , можливо, пора визнати поразку та встановити належний VPN !)

Якщо я правильно розумію, у вас є два сервери стрибків (jump-qa і jump-dev), що захищають два сервери додатків (app-qa та app-dev); сервери стрибків можуть стискати один одного; жодне поле, окрім відповідного сервера стрибків, не може перейти на відповідний сервер додатків. Сервери додатків можуть нікому не потрапляти. Файл потрібно перенести з app-dev в app-qa. На обох серверах стрибків не вистачає місця для проміжної копії даних.

Ви можете вирішити це за допомогою tushling ssh. Ми встановлюємо з'єднання з одним віддаленим сервером додатків, проводячи віддалений тунель, який підключається назад до невикористаного порту на своєму сервері стрибків. Ми встановлюємо друге з'єднання від одного сервера стрибків до другого сервера стрибків, проводячи тунель, який підбирає звисаючий кінець віддалено пересланого порту з тунелю один і надсилає його на ssh-порт другого сервера додатків.

Налаштуйте тунелі (кожну з цих команд потрібно буде запустити в окремому вікні jump-qa):

jump-qa% ssh app-qa -R 2345:localhost:2346
jump-qa% ssh jump-dev -L 2346:app-dev:22

Тепер ви повинні встановити, що в app-qa ви можете зробити telnet localhost 2345і отримати ssh банер app-dev. Ви можете скопіювати файл даних:

app-qa% scp -P 2345 localhost:/path/on/app-dev/data.dat data.dat