為 NAT 後面的虛擬伺服器提供 root ssh 訪問權限?
我們是一家網路託管公司。我們有 4 台伺服器在 CentOS 上執行 OpenVZ。每台伺服器上執行著大約 50 個容器。
我們計劃為一些客戶(大約 50 個)提供 ssh root 訪問權限。所有這 50 個使用者都將開發和託管單個網站的模組。例如。有一個網站
xyz.com
現在會有一個模組xyz.com/module1
這module1
將由不同的開發人員託管並託管在不同的容器上。同樣,還會有由不同開發人員開發並託管在其他容器上的其他模組。問題是這些容器在 NAT 防火牆後面執行。有一個公共 IPxyz.com
。我們不想進行埠轉發,因為它會在防火牆中打開不必要的埠。
我們正在考慮將所有 ssh 請求轉發
xyz.com
到單個容器(ssh-temp),然後只允許 ssh 從 ssh-temp 容器到其他容器。但是這種方法是不可行的,因為使用者將擁有對其容器的 root 訪問權限並且可以修改防火牆規則。有沒有更好的方法來執行這項任務。我正在考慮制定一個使用者可以執行以下命令的方案:
ssh user@module1.xyz.com
然後,使用者將被重定向到該特定模組。我怎樣才能實現這樣的計劃?
謝謝
編輯:我確實意識到在網路中提供對容器的 root 訪問權限是一個壞主意,但現在這是一種強制措施,而不是一種選擇。
也許您正在尋找諸如 SSH 網關之類的東西?
SSH 網關的工作原理是根據 ssh 密鑰將 ssh 強製作為特定使用者名連接到另一台主機。假設是在內部主機和網際網路之間有一個網關盒,上面執行著 ssh。- http://quark.humbug.org.au/publications/ssh/ssh-tricks.html
這個問題是相關的: Is there a name based virtual host SSH reverse proxy?