5. Настройка маршрутов SSH и доступ к сетям

5.1. Общая концепция

Если сервер, на котором развернута Datamart Platform Studio не имеет прямого доступа к серверам ДЦ, на которых предполагается развертывание инсталляций приложений Услуги, то требуется сконфигурировать доступ к сети ДЦ посредством построения маршрута SSH (цепочки JumpHost, при помощи которой будет осуществляться доступ и создаваться индивидуальный файл доступа ssh-config для каждого сервера в ДЦ).

JumpHost серверы должны быть предварительно сконфигурированы сетевыми администраторами таким образом, чтобы можно было физически осуществить связь по протоколу SSH по маршруту.

Примечание

Все серверы, выполняющие функции JumpHost-шлюза в сеть ДЦ должны быть добавлены в список серверов данного ДЦ. Серверы, добавленные в маршрут нельзя удалить. Для удаления требуется исключить сервер из маршрута ДЦ.

Для каждого ДЦ может быть настроен специфический доступ Datamart Platform Studio к серверам ДЦ посредством добавления SSH маршрута в конфигурацию ДЦ и назначения данного маршрута серверам ДЦ. В случае, если сервера ДЦ находятся в нескольких изолированных сетях, возможно добавление нескольких SSH маршрутов для разных сетей ДЦ.

Если маршрут привязан к сети ДЦ, то при добавлении сервера в эту сеть, соответствующий маршрут будет назначен автоматически.

Маршрут, назначенный маршрутом по умолчанию для ДЦ, будет автоматически назначен всем серверам ДЦ, если для сети сервера не назначен специфический маршрут.

5.2. Создание и конфигурация SSH маршрутов

Для того, чтобы добавить и настроить SSH маршрут для доступа к серверам ДЦ, в общем случаее, требуется выполнить следующие шаги:

  1. В карточке ДЦ в разделе «Сети» добавить новый SSH маршрут;

Добавление нового маршрута в ДЦ

Рисунок 5.3 Добавление нового маршрута в ДЦ

  1. В конфигурации маршрута указать цепочку серверов (в самом простом случае, это будет один сервер выполняющий функцию JumpHost-шлюза в сеть ДЦ). Добавление JumpHost-шлюза в маршрут производится нажатием кнопки «Добавить JumpHost»;

Примечание

Имя пользователя для сервера в маршруте и поле «хост» должны соответствовать имени пользователя и полю «хост» выбранного в качестве JumpHost

В случае, если к серверу, выполняющему функции JumpHost-шлюза нет прямого доступа, а доступ осуществляется по NAT, то в цепочке для этого сервера должен быть указан не его физический адрес, а тот ip-адрес и порт, по которому сервер доступен извне. В приведенном на рисунке примере, к серверу 192.168.1.2 к порту 22 (порт ssh по умолчанию) прописан доступ с внешнего адреса 176.118.164.67 через порт 23.

Добавление JumpHost сервера в SSH маршрут

Рисунок 5.4 Добавление JumpHost сервера в SSH маршрут

Соответствущее правило NAT добавлено для доступа к серверу для выбранной сети и отображается в списке NAT-правил гипервизора:

Правило NAT добавлено для доступа к серверу

Рисунок 5.5 Правило NAT добавлено для доступа к серверу

  1. Назначить конфигурацию для каждого JumpHost в цепочке;

Конфигурация JumpHost

Рисунок 5.6 Конфигурация JumpHost

В поле Bag Attributes можно указать дополнительные параметры ssh-соединения.

  1. Назначить соответствующий маршрут для сервера ДЦ в карточке сервера;

Указание маршрута в карточке сервера

Рисунок 5.7 Указание маршрута в карточке сервера

5.2.1. Индикация маршрутов в списке серверов ДЦ

Если для доступа к серверу настроен маршрут или сервер задействован, как JumpHost в одном из маршрутов, то эта информация отображается в колонке Маршрут SSH в списке серверов ДЦ:

Индикация маршрутов в списке серверов

Рисунок 5.8 Индикация маршрутов в списке серверов

5.2.2. Настройка доступа к серверам ДЦ через VPN

Если для доступа к ЦОД или отдельным серверам услуги требуется организовать VPN-подключение, то сетевому администратору необходимо настроить подключение VPN-клиента на одном из серверов (ВМ) инфраструктуры и добавить данный сервер в список серверов ДЦ.

Данный сервер (с настроенным и подключенным VPN) необходимо указать в качестве JumpHost-шлюза в цепочке маршрута SSH к серверам ДЦ.