複数の仮想マシンを提供する仮想マシンホスティングマシンがあります。各仮想マシンには独自の転送ポート範囲があり、各仮想マシンはVNCを公開します。問題は、ホストにパブリックIPが1つしかなく、VMがポート範囲によって差別化されることです。 nginxを使用してホスト名ベースのルーティングを実行できるため、httpとhttpsは簡単です。ただし、ユーザーの1人はポート22、80、443のみを許可するファイアウォールネットワークの背後にあるため、SSHポートがブロックされ、仮想マシンにまったく接続できません。
VMホスティングシステムの各ユーザーに対して、実際に機能アカウントを作成せずにVMに移動できるSSHルーター/プロキシを設定できますか?
答え1
私は使用するのが好きゼロ層(ATM無料版)独自のプライベートネットワークを作成してください。これを使用してNATを通過し、WebUIで設定を完了します。仮想プライベートネットワーク(私が知っている最も近いツールはhamachi)のように動作し、仮想ネットワークを作成することもできます。人々ネットワーク。
ほぼ無制限のサイズの仮想イーサネットネットワークを作成できます。
ztをクライアントとして実行すると、システムに仮想ネットワーク「zt」インターフェースが作成されます。その後、独自のネットワーク環境を作成し、webi(プライベートネットワークの場合)で「クライアント」を承認します。これにより、各クライアントは仮想「zt」インターフェースに接続された独自のIPアドレス(または構成によって複数)を持ちます。
これは、参加する各ネットワークに仮想ztネットワークインターフェイス(割り当てるIPを使用)を作成することによって機能しますzt0, zt1, etc(インターフェイスごとに複数のIPを持つことができます)。ネットワークは個人用でもパブリックでもかまいません。
編集:これは実際にジャンプホストの問題に対する直接的な答えではなく、ポートを転送しない代替ソリューションです。 ztでは、各vncインスタンスを独自のポート範囲に渡す必要はありません。独自のプライベートネットワークの各vncインスタンスを別々のIPに割り当て、デフォルトポートで実行するだけです。
答え2
ジャンプホストを使用するには、そのシェルを/ bin / falseに設定します。他のセキュリティ問題も解決する必要があるかもしれません。たとえば、ジャンプホストでGatewayPortを無効にし、ターゲットホスト-Wへの接続をブロックせずに、任意の方法でトンネルをブロックする必要があります。