https://iximiuz.com/en/posts/ssh-tunnels/
Хехе, сегодня необычный пост, потому что он не про Data Engineering. По ссылке выше - прекрасный иллюстрируемый гайд про то, как работает SSH тунель.
Когда он мне попался на глаза, немножк всплакнул, потому что вспомнил вот такую историю:
На одном из рабочих мест, ввиду политики информационной безопасности, доступ на продакшен кластер K8S и ко всем продакшен базам данных, расположенным в одой сети, был запрещен снаружи, то есть с рабочего компа из дома не постучаться; То есть только из офисного Wi-Fi.
И нет, с корпоративным VPN тоже нельзя. И да, это уже был Covid, и мы были на удаленке.
Тогда хитрый жук Семен, чтобы не пользоваться RDS (удаленным рабочим столом), сделал хитрый финт ушами:
- поднял в личном облаке машину за $3
- поднял под в неймспейсе своего продукта, который делал Reverse SSH Tunnel на эту машину и Port Forwarding
- все коннекшен стринги (к базам и к кластерам) поменял на адрес машины.
В итоге когда Data Grip исполнял заброс, он летел на машину в моем облаке, по обратному тоннелю уходил в под, который в прод кластере, а уже оттуда - в базенку.
Никто из DevOps и ИБ, за год+ работы этой схемы так и не пришел ругаться 😜
@ohmydataengineer
Хехе, сегодня необычный пост, потому что он не про Data Engineering. По ссылке выше - прекрасный иллюстрируемый гайд про то, как работает SSH тунель.
Когда он мне попался на глаза, немножк всплакнул, потому что вспомнил вот такую историю:
На одном из рабочих мест, ввиду политики информационной безопасности, доступ на продакшен кластер K8S и ко всем продакшен базам данных, расположенным в одой сети, был запрещен снаружи, то есть с рабочего компа из дома не постучаться; То есть только из офисного Wi-Fi.
И нет, с корпоративным VPN тоже нельзя. И да, это уже был Covid, и мы были на удаленке.
Тогда хитрый жук Семен, чтобы не пользоваться RDS (удаленным рабочим столом), сделал хитрый финт ушами:
- поднял в личном облаке машину за $3
- поднял под в неймспейсе своего продукта, который делал Reverse SSH Tunnel на эту машину и Port Forwarding
- все коннекшен стринги (к базам и к кластерам) поменял на адрес машины.
В итоге когда Data Grip исполнял заброс, он летел на машину в моем облаке, по обратному тоннелю уходил в под, который в прод кластере, а уже оттуда - в базенку.
Никто из DevOps и ИБ, за год+ работы этой схемы так и не пришел ругаться 😜
@ohmydataengineer