想问一下大家，在公司有跳板机/堡垒机的情况下，是怎么进行远程开发的？

官网有介绍

https://code.visualstudio.com/blogs/2019/10/03/remote-ssh-tips-and-tricks#_proxycommand

同问，如果堡垒机是第三方信创公司提供的，绕过堡垒机是不是违规的
大多数堡垒机打开本地 xshell 会在本地模拟一个 ssh 服务，xshell 再连这个本地的 ssh ，可不可以通过这个本地 ssh 隧道穿透

@kuanat #1

这个方法不一定全适用，看堡垒机是什么样的，能 ssh 的话才可以。

使用持续集成与持续构建来解决这个手工打包问题，dev 环境 log 文件可以通过 web 下载，这样就可以脱离堡垒机了。

@TouwaErioer #2 绕过堡垒机是不是违规，要看你的规啊

堡垒机可以用 ssh 的话简单

```diff
+Host 堡垒机
+ User root
+ ...

Host 目标服务器
+ ProxyJump 堡垒机
...
```

首先，跳过堡垒机/跳板机肯定是违规的，是可以直接开除的。
其次，即使有堡垒机，也是可以 ssh 的。以 CyberArk 为例，可以参考这个： https://docs.cyberark.com/PAS/Latest/en/Content/PASIMP/PSSO-PMSP.htm

跳过堡垒机妥妥的违规，要是不违规还有上堡垒机的必要吗？用堡垒机不就是为了审计，跳过堡垒机就是跳过审计。都属于是不出问题还好，除了问题可能可以直接开除了。

如果直接联系提供堡垒机的人，让他们给出方案。反馈给你的能承担责任的领导，他们觉得没问题，再上，到时候出了问题你就不是主要责任人。

就这个问题，不是使用的人考虑的问题。如果你是话事人，你应该去联系供应商/销售/售后支持，让他们给方案。如果你是打工人，我建议最好不要用手段去做操作，涉及到权限的东西，能做的不能做的要分清楚，也是为了保护自己。

国产的主流堡垒机一般都是代理 ssh 协议的，只有代理才能做到加密审计的，然后国内主流堡垒机厂商可以使用 ssh 命令和客户端进行连接，但端口都不是默认端口，比如 ssh 代理端口是堡垒机 ip 的 60022 端口，63389 端口这样子。可以 ssh 参数 -P 60022 去连接，不过要先输入堡垒机密码。

银行和金融项目我是觉得开发起来很头疼,去过一次不想再去,开发太麻烦!唉

不是，你们以为为什么要上堡垒机，老板钱多发烧了吗...

找 it 是最优解，一般都有 ssh 方案

那就不要用远程， 去公司开发不就完事了。 用堡垒机就是为了安全。 我们公司也是内外网隔离的。

如果开发机权限够，可以搞个 code server ，vscode 网页版，就不知道访问策略支持不

堡垒机支持 SSH Proxy 的话，vscode remote 是可以直接用的。
不支持的话，得看公司的审计范围，允许的话可以在服务器上搭建一个 https 的 webdav 服务用来上传代码和下载日志，金融医疗这种审计严格的公司这样也是不行的，还是乖乖隔离开用吧。

如果堡垒机有二次验证怎么过😨

@kuanat
@simonmao
@edk24
@Tumblr
@676529483
@leehaoze98 感谢大家提供的方案，现在看来 @edk24 的方法比较简单

@cdlnls 感谢建议，忘了备注，我就是想问问大家在不跳过堡垒机时的实践，接下来我会去联系技术支持看能不能给出方案

对了，想起之前为了提高工作效率，有写过堡垒机的脚本，或许你可以在本地写一个脚本去完成你的任务，而达到提升效率。