使用跳转主机和远程数据库进行 SSH 隧道转发

Question

我有一个托管在 Amazon RDS（“D”）上的远程 MySQL 数据库。出于安全目的，它只能通过远程服务器（“C”）访问。C 可通过跳转主机“B”通过 ssh 访问。我需要一个双 ssh 隧道来访问远程 SQL 主机。

[A: local host] -> [B: jump host] -> [C: target host] => [D: RDS MySQL host]

我想通过 Python 访问 D，使用 paramiko 和/或 sshtunnel。我能找到的所有信息都涉及：

• 单个 ssh 隧道和远程 SQL 主机（例如 A -> C => D，无跳转主机）
  • 在 python 中首先使用 mysqldb ssh
  • python mysql通过ssh连接
• 到 SQL 主机的双 ssh 隧道（例如 A -> B -> C，D 托管在 C 上）。
  • 使用 python 通过 ssh 隧道连接到远程 Postgresql 数据库
  • Paramiko：围绕 NAT 路由器的端口转发
  • 与 Paramiko 的嵌套 SSH 会话

到目前为止，我使用 paramiko 和一个代理命令来从 A 到 C。我可以通过在 C 上执行命令来访问 D，但不能通过连接 mysqldb 或 sqlalchemy（我的最终目标）。

我目前的代码：

[A: local host] -> [B: jump host] -> [C: target host] => [D: RDS MySQL host]

我正在寻找这样的东西（从sshtunnel 文档中的示例 2 修改）：

import paramiko

ssh = paramiko.SSHClient()
ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy())
proxy = paramiko.ProxyCommand("ssh -A B_username@B_host -W C_host:12345")
ssh.connect("C_host", username="C_username", sock=proxy)

stdin, stdout, stderr = ssh.exec_command("mysql -u D_username -p D_password -h D_host_rds")
print("STDOUT:\n{}\n\nSTDERR:\n{}\n".format(stdout.read(), stderr.read()))
# successfully prints out MySQL welcome screen

tl; dr：如何通过 Python 中的两次 ssh 跳转来转发端口？

Answer 1

我想到了。它结合了 ssh 配置设置和sshtunnel库中的 SSHTunnelForwarder 上下文管理器。

使用以下模型和命名约定：

[A: local host] -> [B: jump host] -> [C: target host] => [D: RDS MySQL host]

我将 ~/.ssh/config 设置为从 A 到 C 通过 B：

Host C_ssh_shortcut
    HostName C_host
    User C_user
    Port 22
    ForwardAgent yes
    ProxyCommand ssh B_user@B_host -W %h:%p

我将用于登录 B 和 C 的密钥/密钥添加到我的 ssh-agent：

ssh-add

最后我设置了 SSHTunnelForwarder：

import sqlalchemy
from sshtunnel import SSHTunnelForwarder

with SSHTunnelForwarder(
    "C_ssh_shortcut",                     # The SSHTunnelForwarder "ssh_address_or_host" argument, which takes care of bypassing B through the ProxyCommand set up in ~/.ssh/config
    remote_bind_address=(D_host, 3306),   # Points to your desired destination, ie. database host on 3306, which is the MySQL port
    local_bind_address=('', 1111)         # Gives a local way to access this host and port on your machine. '' is localhost / 127.0.0.1, 1111 is an unused port
) as server:
    connection_string = "mysql+pymysql://D_user:D_password@localhost:1111/D_dbname"  # note that D_host and D_port were replaced by the host and port defined in "local_bind_address"
    engine = sqlalchemy.create_engine(connection_string)
    # do your thing

从这里，我可以像往常一样使用我的引擎与我的数据库进行交互。