更新时间:2021-08-24 GMT+08:00
分享

配置SSH跳转权限

操作场景

为了实现通过NAT Server可使用SSH协议跳转到SAP HANA节点的功能,以及SAP HANA节点和NAT Server互相通过SSH协议跳转的功能,需要配置服务器之间的互信。

操作步骤

  1. 上传密钥文件到NAT Server。

    1. 在本地PC上,生成登录NAT Server的密钥文件。

      在创建NAT Server时,指定了NAT Server的证书密钥文件(“.pem”文件)。

      需要通过该密钥文件,生成密钥文件(“.ppk”文件)。请参见SSH密钥方式登录Linux弹性云服务器(SSH方式)中的相关描述生成密钥文件。

    2. 在本地PC上,安装WinSCP软件。
    3. 上传证书私钥文件(.pem文件)。

      使用WinSCP软件,以“root”帐号,以密钥文件(“.ppk”文件)为鉴权方式,将证书私钥文件(“.pem”文件),通过弹性IP地址,上传到NAT Server的“/usr”目录。

    4. 使用PuTTY软件,以“root”帐号和密钥文件(“.ppk”文件)为鉴权方式,登录NAT Server。
    5. 将证书私钥文件(.pem文件)复制到“ /root/.ssh”目录,并改名为“id_rsa”

      假设原来的私钥名称为“private.pem”

      cp /usr/private.pem /root/.ssh/id_rsa

      cd /root/.ssh/

      chmod 600 id_rsa

    6. 生成公钥文件。

      cat authorized_keys >>id_rsa.pub

  2. 将本机上的公钥文件,通过业务/客户端平面IP地址,发送到一个SAP HANA节点。

    需要指出的是,该SAP HANA节点不能为规划的Standby节点,且后续手动安装SAP HANA的操作必须在该节点上执行。

    命令格式如下:

    scp /root/.ssh/id_rsa.pub 对端的IP地址:/root/.ssh/

    例如,对端IP地址为“10.0.3.102”

    scp /root/.ssh/id_rsa.pub 10.0.3.102:/root/.ssh/

  3. 将本机上的私钥和“authorized_keys”文件,通过业务/客户端平面IP地址,分发给除SAP HANA Studio之外的所有服务器。

    命令格式如下:

    scp /root/.ssh/id_rsa 对端的IP地址:/root/.ssh/id_rsa

    scp /root/.ssh/authorized_keys 对端的IP地址:/root/.ssh/

    例如,对端IP地址为“10.0.3.102”

    scp /root/.ssh/id_rsa 10.0.3.102:/root/.ssh/id_rsa

    scp /root/.ssh/authorized_keys 10.0.3.102:/root/.ssh/

  4. 验证跳转功能

    在NAT Server上,通过SSH跳转到除SAP HANA Studio之外的所有服务器上,确保跳转功能正常。

    以跳转到一台SAP HANA服务器为例,假设SAP HANA服务器的业务/客户端平面IP地址为“10.0.3.2”

    ssh 10.0.3.2

    进行跳转后,需要从对端跳转回NAT Server,并继续验证NAT Server跳转到其他节点的功能。

    首次跳转时会显示fingerprint信息,并提示“Are you sure you want to continue connecting (yes/no)?”,此时,需要输入“yes”并继续执行跳转。

相关文档