如何通过 OCI Bastion 服务安全地连接到私有资源(免费!)
在云环境中工作时,服务器和服务通常不会暴露在公共互联网上。私有虚拟云网络 (VCN) 适用于那些不需要互联网访问的资源,但当您需要临时访问以进行故障排除或执行一次性任务时,可能会带来挑战。Oracle Cloud Infrastructure (OCI) MySQL 云服务就是一个例子,它只能通过私有网络访问。由于该服务是完全托管的,我们将其与互联网隔离,以帮助保护您的数据免受潜在的攻击和漏洞的影响。限制资源暴露是一种很好的做法,但在某些时候,您可能需要连接到这些资源。这时,堡垒主机就派上用场了。堡垒主机是一种位于私有资源和需要访问私有网络的端点之间的资源,它可以充当“跳板”,允许您通过 SSH 或 RDP 等协议登录到私有资源。
历史回顾
您可能想知道“堡垒”这个术语的由来。在中世纪,城堡使用塔楼进行监视和保护。这些塔楼的高度通常使它们容易受到炮击,因此在 16 世纪中叶,人们发明了堡垒来代替塔楼。它们通常与防御墙的高度相同,但以一定角度向外延伸,以提供全面的视野和范围,从而防御潜在的来袭威胁或攻击。换句话说,堡垒是城堡的一个稍微脆弱的延伸部分,其建造的唯一目的是保护墙内有价值的资产。现在您知道为什么放置在网络防火墙外部暴露但重要的位置的服务器被称为堡垒了!
温馨提示:您可以在我的《Oracle Cloud 中 MySQL 数据库入门完全指南》中找到使用堡垒主机连接到 OCI MySQL 云服务的示例。
为何选择堡垒机?
那么,在云租户中使用堡垒主机有什么缺点呢? 实际上,几乎没有任何缺点。 这是一个明智的选择,安全始终应是您在云中的首要任务。 直到最近,在 OCI 中使用堡垒主机还要求您手动启动、配置、管理和付费购买专用计算实例。 由于它们是手动管理的,因此存在很小的误差范围,不正确的配置或意外情况可能会导致安全漏洞。 如果您可以使用一个简单(且免费)的托管服务来为您的 OCI 专用网络提供堡垒功能,那会怎么样? 现在,通过 OCI 堡垒服务,这已成为可能。 让我们逐步了解如何配置和使用此服务来连接到 OCI 租户中的专用网络。 在本文中,我们将介绍如何连接到 MySQL 云服务实例,但该服务适用于您租户中的任何私有资源。
以下是使用堡垒服务获取对 MySQL 云服务实例的访问权限所需的步骤:
收集实例的 VCN、子网名称和私有 IP
我们需要找出实例所在的 VCN 和子网,因此请单击进入 MySQL 云实例的详细信息并记下它们(下面的#1)。 在那里时,获取实例的私有 IP 地址(#2)。