请问一个关于 ssh 访问生产环境不具备公网 ip 机器方式的问题.

frp 内网穿透

@yanzhiling2001 #1 感谢大佬回复, 一般生产环境运维访问机器除了这种内网穿透, 还会有什么其他方式么?

zerotier
tailscale

内网机和外网出口之间会有一台跳板机
我们先 SSH 进跳板机，然后通过跳板 SSH 到内网服务器
跳板机可能同时有审计作用
frp 是邪路，那玩意不是给生产环境用的

@JLTHU #3 感谢大佬回复.

同时跳板机也限制只有公司内网才能访问到

@boris93 #4 感谢大佬回复. 我确实是生产环境的需求~ 请问这种方案一般应该去哪里了解呢?

@boris93 #6 这种限制一般会通过什么方式实现呢? 或者给我个关键字就行, 我去了解一下

bastion

@xenme #9 感谢大佬回复~

@codingKingKong #7 #8 试试搜
- 堡垒机
- SSH audit
之类的关键字吧

我也只是个用户，没搭过这玩意

@boris93 #11 好的~

跳板机，堡垒机。

原理是，先通过 SSH 连接到一台能同时访问内网机器与外网的 “跳板机”上。

然后再从跳板机连接到内网，这次连接有两种方式：

一种是隧道方式，先打通本地到内网的通道，然后从本地通过隧道连接到内网，此时跳板机只是数据转发作用。
另一种是远程方式，SSH 连接到跳板机，再在跳板机上通过 SSH 连接到内网，此时对于内网机器来说，是跳板机在连接。

jumpserver

不应该是通过双因素认证的公司 VPN 拨入公司内网再访问吗？问问 IT 有没有

公司有公网 IP 的话可以路由器设置内网转发，一层一层设置进来就可以了。
或者用 vpn，直接接到内网环境。

不建议随意将生产环境 ip 端口转发或者暴露到公网

安全不是绝对的，尤其生产环境。v2ex 之前就有过擅自把端口暴露到公网然后出了安全事故的帖子

@imdong #13
@ypw #14
@mansurx #15
@Takashi123 #16
@BeautifulSoap #17
感谢大佬回复, 我会去用回复的关键字去了解一下.

堡垒机
跳板机
VPN

干运维的我表示一般先用 openvpn 和 ipsec 打通各处网络，然后堡垒机走内网访问。