我一直没想明白这一块。是专门对数据库这块做一个 ssh 的堡垒机。然后有权限的人在我们这提交公钥。然要我们将公钥 push 上去。他们通过 ssh 跳板来访问
另一个方式是安装 vpn 。通过下发证书或者 ldap 账号密码连接的方式
jumperserver 很好很强大,但不适合这个场景。因为很多时候研发需要上去是通过客户端,而不是命令行(我知道 mycli 很好很强大,但不是所有研发都习惯,而且有 oracle,pg 等等的其他数据库方式)
求个建议
1
lshero 2020-03-24 20:42:40 +08:00
找一个支持 windows 的堡垒机,开一台 windows 的虚拟机,虚拟机上安装上各种连接工具。
通过录像回放操作 要不然就是弄 adminer.php phpmyadmin 之类的二次开发加入鉴权和选择连接,所有的操作记录日志。 |
2
tomczhen 2020-03-24 21:01:43 +08:00 via Android
操作需要两人 review 就能解决大多数问题,配合跳板机 /VPN 足够满足了。
剩下的也不是简单依靠技术就能解决的事。 |
3
sampeng OP |
4
zpfhbyx 2020-03-24 21:42:48 +08:00
|
5
7654 2020-03-24 21:56:01 +08:00
oracle tns
基本靠防火墙过滤白名单 |
7
codelover2016 2020-03-25 00:31:55 +08:00
我们用某云的 DMS 工具,在上面支持查询,默认不支持直接本地程序直连数据库。
|
8
msg7086 2020-03-25 03:56:21 +08:00
一定要搞的话,SSH 可以做端口映射,你可以把程序和数据库的端口映射到开发机上,本地连接。
|
9
itodouble657 2020-03-25 07:17:23 +08:00 via Android
有 navicat 的 win 堡垒机
|
10
Mutoo 2020-03-25 07:20:41 +08:00
ssh config 做 LocalForward 转发远端连接到本地端口
然后客户端就可以直接连 localhost:port |
11
amwyyyy 2020-03-25 14:28:51 +08:00
先上 vpn,然后等堡垒机,在上面可以用自己的只读权限账号访问某些有权限的表了。
|