V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
nohsueh
V2EX  ›  程序员

想问一下大家,在公司有跳板机/堡垒机的情况下,是怎么进行远程开发的?

  •  
  •   nohsueh · 326 天前 · 3228 次点击
    这是一个创建于 326 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如题,公司登录到开发机需要通过 跳板机/堡垒机 ,这样就没办法直接用 ssh 相关的操作( vscode remote ,scp ),我总是在 本地 ide 写好代码,再把代码打包通过 rz 上传到开发机,或者 sz 下载 log 日志,在开发机上用 curl 测试接口,比较麻烦,大家有更好的做法吗?

    20 条回复    2023-12-27 15:19:22 +08:00
    TouwaErioer
        2
    TouwaErioer  
       326 天前
    同问,如果堡垒机是第三方信创公司提供的,绕过堡垒机是不是违规的
    大多数堡垒机打开本地 xshell 会在本地模拟一个 ssh 服务,xshell 再连这个本地的 ssh ,可不可以通过这个本地 ssh 隧道穿透
    kuanat
        3
    kuanat  
       326 天前
    @kuanat #1

    这个方法不一定全适用,看堡垒机是什么样的,能 ssh 的话才可以。
    simonmao
        4
    simonmao  
       326 天前 via iPhone
    使用持续集成与持续构建来解决这个手工打包问题,dev 环境 log 文件可以通过 web 下载,这样就可以脱离堡垒机了。
    wheat0r
        5
    wheat0r  
       326 天前
    @TouwaErioer #2 绕过堡垒机是不是违规,要看你的规啊
    edk24
        6
    edk24  
       326 天前   ❤️ 1
    堡垒机可以用 ssh 的话简单

    ```diff
    +Host 堡垒机
    + User root
    + ...

    Host 目标服务器
    + ProxyJump 堡垒机
    ...
    ```
    Tumblr
        7
    Tumblr  
       326 天前
    首先,跳过堡垒机/跳板机肯定是违规的,是可以直接开除的。
    其次,即使有堡垒机,也是可以 ssh 的。以 CyberArk 为例,可以参考这个: https://docs.cyberark.com/PAS/Latest/en/Content/PASIMP/PSSO-PMSP.htm
    cdlnls
        8
    cdlnls  
       326 天前
    跳过堡垒机妥妥的违规,要是不违规还有上堡垒机的必要吗?用堡垒机不就是为了审计,跳过堡垒机就是跳过审计。都属于是不出问题还好,除了问题可能可以直接开除了。

    如果直接联系提供堡垒机的人,让他们给出方案。反馈给你的能承担责任的领导,他们觉得没问题,再上,到时候出了问题你就不是主要责任人。
    cdlnls
        9
    cdlnls  
       326 天前   ❤️ 1
    就这个问题,不是使用的人考虑的问题。如果你是话事人,你应该去联系供应商/销售/售后支持,让他们给方案。如果你是打工人,我建议最好不要用手段去做操作,涉及到权限的东西,能做的不能做的要分清楚,也是为了保护自己。
    mikywei
        10
    mikywei  
       326 天前
    国产的主流堡垒机一般都是代理 ssh 协议的,只有代理才能做到加密审计的,然后国内主流堡垒机厂商可以使用 ssh 命令和客户端进行连接,但端口都不是默认端口,比如 ssh 代理端口是堡垒机 ip 的 60022 端口,63389 端口这样子。可以 ssh 参数 -P 60022 去连接,不过要先输入堡垒机密码。
    huanxi0701
        11
    huanxi0701  
       326 天前
    银行和金融项目我是觉得开发起来很头疼,去过一次不想再去,开发太麻烦!唉
    crackidz
        12
    crackidz  
       326 天前
    不是,你们以为为什么要上堡垒机,老板钱多发烧了吗...
    tap91624
        13
    tap91624  
       326 天前
    找 it 是最优解,一般都有 ssh 方案
    jones2000
        14
    jones2000  
       326 天前
    那就不要用远程, 去公司开发不就完事了。 用堡垒机就是为了安全。 我们公司也是内外网隔离的。
    676529483
        15
    676529483  
       326 天前
    如果开发机权限够,可以搞个 code server ,vscode 网页版,就不知道访问策略支持不
    leehaoze98
        16
    leehaoze98  
       326 天前
    堡垒机支持 SSH Proxy 的话,vscode remote 是可以直接用的。
    不支持的话,得看公司的审计范围,允许的话可以在服务器上搭建一个 https 的 webdav 服务用来上传代码和下载日志,金融医疗这种审计严格的公司这样也是不行的,还是乖乖隔离开用吧。
    guanzhangzhang
        17
    guanzhangzhang  
       326 天前
    如果堡垒机有二次验证怎么过😨
    nohsueh
        18
    nohsueh  
    OP
       326 天前
    @kuanat
    @simonmao
    @edk24
    @Tumblr
    @676529483
    @leehaoze98 感谢大家提供的方案,现在看来 @edk24 的方法比较简单
    nohsueh
        19
    nohsueh  
    OP
       326 天前
    @cdlnls 感谢建议,忘了备注,我就是想问问大家在不跳过堡垒机时的实践,接下来我会去联系技术支持看能不能给出方案
    simonmao
        20
    simonmao  
       326 天前 via iPhone
    对了,想起之前为了提高工作效率,有写过堡垒机的脚本,或许你可以在本地写一个脚本去完成你的任务,而达到提升效率。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2896 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 40ms · UTC 14:27 · PVG 22:27 · LAX 06:27 · JFK 09:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.