为了降低运维成本,提高可靠性,物理服务器往往都不再部署在本地,IDC 托管成了更多企业的选择。服务器托管在 IDC 后,出于安全的考虑,不会直接开放所有服务器的外部访问,而是使用跳板机,跳板机可以直接从外部访问,而其他服务器只能在登录到跳板机后才能连接得上。但如果开发或者调试时,需要直接从外部 SSH 登录进 IDC 中的某台服务器,就很麻烦了。好在 SSH 端口转发,这个功能正好可以解决上面提到的问题。
1. SSH 端口转发
所说的 SSH 端口转发 (port-forwarding),是指将远端服务器的端口和本地服务器上的某个端口进行绑定,这个功能一般都是用在代理服务器上,跳板机就刚好是这种情况,举例来说,假设 IDC 网络内有一台跳板机:内网地址为 192.168.1.2,同时有外网连接,还有一台只有内网的服务器 192.168.1.100。内网服务器 192.168.1.100 启动了一个 HTTP 服务,监听在 80 端口,但因为 192.168.1.100 只有内网连接,外部访问不到,那么可以使用 SSH 的端口转发,将 192.168.1.100 的 80 端口绑定到跳板机 192.168.1.2 的 80 端口上。
虽然听起来概念比较复杂,但实现起来非常简单,一条命令就搞定了。192.168.1.100 的 22 端口就绑定在了 192.168.1.2 的 40100 端口上。
# On 192.168.1.100
$ ssh -NfR 40100:localhost:22 192.168.1.2
最终的效果是如下两条命令是等价的,全都是登录到 192.168.1.100 上:
ssh -p 40100 192.168.1.2
ssh 192.168.1.100
2. 开放目标端口的外网映射
之前的步骤只是将跳板机的 40100 端口和 HTTP 服务器的 22 端口做了绑定,如果要能从外部访问,还是需要做跳板机上 40100 端口的外网映射才行。
3. 使用 systemd 配置开机自启动
好,现在已经实现了基本功能,但如果服务器重启,ssh 端口转发的命令就会失效。systemd 现在已经成了 Linux 启动和守护进程管理的标准,所以就写一个 systemd 的 service 文件来实现这个需求吧。service 文件内容如下:
$ cat ssh-port-forward.service
[Unit]
Description=SSH port forward for to jump server 192.168.1.2's port 40100. 40100 is already mapped to public network. As a result, we can use this command to SSH login to this server: ssh -p 40100 -l haoweilai 100.168.1.2
After=sshd.service
[Service]
User=haoweilai
Group=haoweilai
ExecStart=/usr/bin/ssh -NR 40067:localhost:22 192.168.1.2
[Install]
WantedBy=multi-user.target
Alias=ssh-port-forward.service
将该文件放在目录 /lib/systemd/system 下。然后执行 systemd 的配置加载、命令启动和开机自启动命令:
$ sudo systemctl daemon-reload
$ sudo systemctl start ssh-port-forward.service
$ sudo systemctl enable ssh-port-forward.service
4. 参考文档
- How do I make my systemd service run via specific user and start on boot?
- What does “Failed to execute operation: Invalid argument” mean when running systemctl enable?
- Executing Commands and Scripts at Reboot & Startup in Linux
- How to automatically execute shell script at startup boot on systemd Linux
