Организация доступа по SSH к виртуальным машинам Yandex Cloud
В чём, собственно, проблема зайти на виртуальную машину в облаке по SSH?
Во-первых чтобы зайти на виртуальную машину по SSH, ни о чём не думая, нужно держать на ней белый адрес IP, за который, по естественным в наше время причинам, облачные провайдеры просят отдельных денег. Которые при массовом использовании становятся заметными.
Во-вторых, если мы плюнули и потратились на внешние адреса для всех виртуалок, к которым нужен доступ по SSH, мы оказываемся должны ещё плюнуть и потратиться на организацию и поддержку файрволла для защиты сервисов, установленных на этих виртуалках.
Традиционно обозначенные проблемы решаются при помощи т.н. хоста-бастиона. Заводится хост, на который есть доступ из внешней сети, с которого, в свою очередь, есть доступ во внутреннюю сеть. Ко всем остальным хостам есть доступ только из внутренней сети. Оператор заходит по SSH на бастион и оттуда, уже имея доступ к внутренним адресам, на конечную машину.
В этом подходе вопросы может вызвать задача сопоставления имени внутренней машины её адресу IP. Традиционно заводится сервер DNS с поддержкой внутренней зоны. При разумном количестве статических адресов соответствие можно прописывать прямо при помощи ssh_config. Как мы суть облачные жители, для определения адресов воспользуемся API облака...
#yandexcloud #ssh #ansible
В чём, собственно, проблема зайти на виртуальную машину в облаке по SSH?
Во-первых чтобы зайти на виртуальную машину по SSH, ни о чём не думая, нужно держать на ней белый адрес IP, за который, по естественным в наше время причинам, облачные провайдеры просят отдельных денег. Которые при массовом использовании становятся заметными.
Во-вторых, если мы плюнули и потратились на внешние адреса для всех виртуалок, к которым нужен доступ по SSH, мы оказываемся должны ещё плюнуть и потратиться на организацию и поддержку файрволла для защиты сервисов, установленных на этих виртуалках.
Традиционно обозначенные проблемы решаются при помощи т.н. хоста-бастиона. Заводится хост, на который есть доступ из внешней сети, с которого, в свою очередь, есть доступ во внутреннюю сеть. Ко всем остальным хостам есть доступ только из внутренней сети. Оператор заходит по SSH на бастион и оттуда, уже имея доступ к внутренним адресам, на конечную машину.
В этом подходе вопросы может вызвать задача сопоставления имени внутренней машины её адресу IP. Традиционно заводится сервер DNS с поддержкой внутренней зоны. При разумном количестве статических адресов соответствие можно прописывать прямо при помощи ssh_config. Как мы суть облачные жители, для определения адресов воспользуемся API облака...
#yandexcloud #ssh #ansible