想问一下大家,在公司有跳板机/堡垒机的情况下,是怎么进行远程开发的?

2023-12-26 22:57:09 +08:00
 nohsueh

如题,公司登录到开发机需要通过 跳板机/堡垒机 ,这样就没办法直接用 ssh 相关的操作( vscode remote ,scp ),我总是在 本地 ide 写好代码,再把代码打包通过 rz 上传到开发机,或者 sz 下载 log 日志,在开发机上用 curl 测试接口,比较麻烦,大家有更好的做法吗?

3368 次点击
所在节点    程序员
20 条回复
kuanat
2023-12-26 23:10:57 +08:00
TouwaErioer
2023-12-26 23:11:00 +08:00
同问,如果堡垒机是第三方信创公司提供的,绕过堡垒机是不是违规的
大多数堡垒机打开本地 xshell 会在本地模拟一个 ssh 服务,xshell 再连这个本地的 ssh ,可不可以通过这个本地 ssh 隧道穿透
kuanat
2023-12-26 23:13:48 +08:00
@kuanat #1

这个方法不一定全适用,看堡垒机是什么样的,能 ssh 的话才可以。
simonmao
2023-12-26 23:45:30 +08:00
使用持续集成与持续构建来解决这个手工打包问题,dev 环境 log 文件可以通过 web 下载,这样就可以脱离堡垒机了。
wheat0r
2023-12-26 23:56:45 +08:00
@TouwaErioer #2 绕过堡垒机是不是违规,要看你的规啊
edk24
2023-12-27 00:11:06 +08:00
堡垒机可以用 ssh 的话简单

```diff
+Host 堡垒机
+ User root
+ ...

Host 目标服务器
+ ProxyJump 堡垒机
...
```
Tumblr
2023-12-27 01:08:45 +08:00
首先,跳过堡垒机/跳板机肯定是违规的,是可以直接开除的。
其次,即使有堡垒机,也是可以 ssh 的。以 CyberArk 为例,可以参考这个: https://docs.cyberark.com/PAS/Latest/en/Content/PASIMP/PSSO-PMSP.htm
cdlnls
2023-12-27 02:07:39 +08:00
跳过堡垒机妥妥的违规,要是不违规还有上堡垒机的必要吗?用堡垒机不就是为了审计,跳过堡垒机就是跳过审计。都属于是不出问题还好,除了问题可能可以直接开除了。

如果直接联系提供堡垒机的人,让他们给出方案。反馈给你的能承担责任的领导,他们觉得没问题,再上,到时候出了问题你就不是主要责任人。
cdlnls
2023-12-27 02:13:36 +08:00
就这个问题,不是使用的人考虑的问题。如果你是话事人,你应该去联系供应商/销售/售后支持,让他们给方案。如果你是打工人,我建议最好不要用手段去做操作,涉及到权限的东西,能做的不能做的要分清楚,也是为了保护自己。
mikywei
2023-12-27 08:24:57 +08:00
国产的主流堡垒机一般都是代理 ssh 协议的,只有代理才能做到加密审计的,然后国内主流堡垒机厂商可以使用 ssh 命令和客户端进行连接,但端口都不是默认端口,比如 ssh 代理端口是堡垒机 ip 的 60022 端口,63389 端口这样子。可以 ssh 参数 -P 60022 去连接,不过要先输入堡垒机密码。
huanxi0701
2023-12-27 09:08:30 +08:00
银行和金融项目我是觉得开发起来很头疼,去过一次不想再去,开发太麻烦!唉
crackidz
2023-12-27 09:25:05 +08:00
不是,你们以为为什么要上堡垒机,老板钱多发烧了吗...
tap91624
2023-12-27 09:33:42 +08:00
找 it 是最优解,一般都有 ssh 方案
jones2000
2023-12-27 09:34:52 +08:00
那就不要用远程, 去公司开发不就完事了。 用堡垒机就是为了安全。 我们公司也是内外网隔离的。
676529483
2023-12-27 10:08:05 +08:00
如果开发机权限够,可以搞个 code server ,vscode 网页版,就不知道访问策略支持不
leehaoze98
2023-12-27 10:49:58 +08:00
堡垒机支持 SSH Proxy 的话,vscode remote 是可以直接用的。
不支持的话,得看公司的审计范围,允许的话可以在服务器上搭建一个 https 的 webdav 服务用来上传代码和下载日志,金融医疗这种审计严格的公司这样也是不行的,还是乖乖隔离开用吧。
guanzhangzhang
2023-12-27 11:52:00 +08:00
如果堡垒机有二次验证怎么过😨
nohsueh
2023-12-27 15:00:39 +08:00
@kuanat
@simonmao
@edk24
@Tumblr
@676529483
@leehaoze98 感谢大家提供的方案,现在看来 @edk24 的方法比较简单
nohsueh
2023-12-27 15:06:57 +08:00
@cdlnls 感谢建议,忘了备注,我就是想问问大家在不跳过堡垒机时的实践,接下来我会去联系技术支持看能不能给出方案
simonmao
2023-12-27 15:19:22 +08:00
对了,想起之前为了提高工作效率,有写过堡垒机的脚本,或许你可以在本地写一个脚本去完成你的任务,而达到提升效率。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1003652

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX