发表于 | 更新于 | 分类于
本文字数: 18k | 阅读时长 ≈ 16 分钟

目的

“ssh端口转发”还有一个更加形象的名字,叫做”ssh隧道”,当然,只是纯粹的通过”ssh隧道”这几个字去理解它可能不太容易,我们来描述一些实际的场景,在这些场景中我们可能会遇到一些问题,而这些问题可以通过”ssh隧道”解决,通过这样的方式,我们反而更加容易理解”ssh隧道”是什么以及它的作用。

假如我们现在有两个台主机,主机A与主机B,主机A上安装有mysql客户端,主机B上安装有mysql服务端,现在,主机A中的mysql客户端需要与主机B中的mysql服务端进行通讯,则需要从mysql的客户端连接到mysql服务端。如下图所示

ssh端口转发:ssh隧道

然而我们知道,mysql在传输数据时是进行明文传输的,如果主机A与主机B只能通过公网进行通讯,那么暴露在公网的mysql通讯是非常不安全的,所以,我们需要借助一些手段,提高访问mysql服务时的安全性,比如,我们可以使用SSL证书为数据加密,或者使用stunnel加密隧道,我们还可以使用VPN,当然,这些方法都不是这篇文章所要描述的重点,我们此处要总结的是”ssh隧道”这种方法,我们可以利用ssh,搭建出一条”通道”,然后将mysq的客户端与服务端通过这条”ssh通道”连接起来,如下图所示

ssh端口转发:ssh隧道

mysql的客户端与服务端的连接方式从原来直连的方式变成了如上图所示的连接方式,它们之间并不直接进行通讯,而是借助ssh隧道将通讯数据转发,虽然仍然跨越了公网,但是由于ssh本身的安全特性,所以别人无法看到明文传输的数据,数据依靠ssh隧道实现了加密的效果,达到了保护数据安全的作用,提升了mysql的客户端与服务端通讯的安全性。

阅读全文 »

发表于 | 更新于 | 分类于
本文字数: 8.8k | 阅读时长 ≈ 8 分钟

SSH隧道与端口转发及内网穿透

大家都知道SSH是一种安全的传输协议,用在连接服务器上比较多。不过其实除了这个功能,它的隧道转发功能更是吸引人。下面是个人根据自己的需求以及在网上查找的资料配合自己的实际操作所得到的一些心得。

SSH/plink命令的基本资料:

首先,认识下这三个非常强大的命令:

相关参数的解释:

-f Fork into background after authentication.
后台认证用户/密码,通常和-N连用,不用登录到远程主机。

-L port:host:hostport
将本地机(客户机)的某个端口转发到远端指定机器的指定端口. 工作原理是这样的, 本地机器上分配了一个 socket 侦听 port 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转发出去, 同时远程主机和 host 的 hostport 端口建立连接. 可以在配置文件中指定端口的转发. 只有 root 才能转发特权端口. IPv6 地址用另一种格式说明: port/host/hostport

-R port:host:hostport
将远程主机(服务器)的某个端口转发到本地端指定机器的指定端口. 工作原理是这样的, 远程主机上分配了一个 socket 侦听 port 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转向出去, 同时本地主机和 host 的 hostport 端口建立连接. 可以在配置文件中指定端口的转发. 只有用 root 登录远程主机才能转发特权端口. IPv6 地址用另一种格式说明: port/host/hostport

-D port
指定一个本地机器 “动态的’’ 应用程序端口转发. 工作原理是这样的, 本地机器上分配了一个 socket 侦听 port 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转发出去, 根据应用程序的协议可以判断出远程主机将和哪里连接. 目前支持 SOCKS4 协议, 将充当 SOCKS4 服务器. 只有 root 才能转发特权端口. 可以在配置文件中指定动态端口的转发.

-C Enable compression.
压缩数据传输。

-N Do not execute a shell or command.
不执行脚本或命令,通常与-f连用。

-g Allow remote hosts to connect to forwarded ports.
在-L/-R/-D参数中,允许远程主机连接到建立的转发的端口,如果不加这个参数,只允许本地主机建立连接。注:这个参数我在实践中似乎始终不起作用。

阅读全文 »

发表于 | 更新于 | 分类于 >
本文字数: 25k | 阅读时长 ≈ 23 分钟

目的

微信现在是我们手机中必不可少的软件,通过它可以和朋友亲人聊天视频等。作为运维,让监控系统通过微信报警,及时提醒我们,保证线上服务稳定运行,这是SRE的职责所在。通过本教程学习,让zabbix server增加微信报警媒介。

环境

阅读全文 »

发表于 | 更新于 | 分类于 >
本文字数: 15k | 阅读时长 ≈ 14 分钟

前言

公司用openldap搭了一套ldap认证系统,用于统一内部各个系统的账户,避免每次添加或删除用户还得一个个登陆上去操作,使账户密码统一,能减轻很多工作和保证安全性,今天是想把ldap与zabbix进行结合。

环境

centos7.x

zabbix4.0.x

阅读全文 »

发表于 | 更新于 | 分类于
本文字数: 4.7k | 阅读时长 ≈ 4 分钟

局域网内网有服务器对外发布,基于对服务器的保护,内网用户需通过域名或者公网ip来访问内网服务器。

如下图所示:

img

名词解释

DNAT:转换目标ip地址。

SNAT: 转换源ip地址。

阅读全文 »

发表于 | 更新于 | 分类于 >
本文字数: 7.1k | 阅读时长 ≈ 6 分钟

目的

对于监控服务器越来越多的情况,如果还单独一个一个添加,那效率也太低,因此就要实现批量添加监控服务器的操作,Zabbix提供两种批量自动监控的方式:

自动发现:由服务端主动发起,Zabbix Server开启发现进程,定时扫描局域网中IP服务器、设备。

自动注册:由客户端主动发起,客户端必须安装并启动Agentd,否则无法被自动注册添加至主机列表。对于使用SNMP的就要采用自动发现了。

本篇教程就是自动注册,让客户端自动向Server去注册。

阅读全文 »

发表于 | 更新于 | 分类于 >
本文字数: 2.4k | 阅读时长 ≈ 2 分钟

有时git库里的东西比较多,我们只希望像SVN一样,只拉取git库的一个目录。

例如:基础代码仓库infra-code_ops有很多基础代码,我们只想拉取仓库里nginx-conf目录的文件。

1
2
3
4
5
6
$ git init infra-code_ops-nginx && cd  infra-code_ops-nginx          //初始化仓库,并进入该目录
$ git remote add -f origin http:``//gitlab.xxx.com/ops/infra-code_ops.git   //添加远程仓库地址
$ git config core.sparsecheckout ``true    //开启sparse checkout功能
$ echo ``"nginx-conf/"` `>> .git/info/sparse-checkout   //将nginx-conf/目录写入到该文件中
$ cat .git/info/sparse-checkout   //确认查看该文件内容
$ git pull origin master    //拉取远程master分支

发表于 | 更新于 | 分类于
本文字数: 8.4k | 阅读时长 ≈ 8 分钟

目的

运维日常工作中常见服务的docker快速安装汇总。

cadvisor docker监控

阅读全文 »