問題の主な環境は2つあります。

開発とQA

各環境には2つのサーバーがあります。

• ジャンプボックス
• アプリケーション・サーバー

アプリケーションサーバーに接続するには、最初にジャンプボックスに接続し、次にアプリケーションサーバーにSSHで接続する必要があります。

ファイアウォールのおかげでいくつかのルールがあります：

• ジャンプボックス経由でアプリケーションサーバーに接続する必要があります
• アプリケーションサーバーはどちらのジャンプボックスにも接続できません
• ジャンプボックスは同じサブネット上にあり、互いに通信できます。

私たちの問題

には多くのコンテンツ（670 GB）がありDEVELOPMENT APPLICATION SERVER、これをに取得する必要がありQA APPLICATION SERVERます。

このデータをジャンプボックスにコピーすることは、必要なスペースがないため、オプションではありません。

いくつかの調査を行った結果、これらのサーバーを介して一連のトンネルを作成し、トンネルを介して1つのアプリサーバーから別のアプリサーバーにデータを直接ストリーミングできることがわかった。ただし、アプリケーションサーバーからジャンプボックスに接続できないという問題。

オプションはありますか？これは絶望的な状況になりつつあり、時間が非常に重要です。データをダウンロードして再アップロードする時間はありません。サーバー上のネットワークを介したコピーは、ギガビット接続であるため、すぐに実行されます。

群を抜いて、最も簡単な方法はscpを介してコピーすることです。さらに、この構文は、他のいくつかの提案とは異なり実際に機能します。

簡単にこの構文を破ることはできません。潜在的に複雑なパイプを考慮する手間をかけずに、再帰的にコピー、rsync、または必要なものをコピーできます。この構文は直感的にわかりやすく、あなたをフォローしているシステム管理者がより簡単にサポートでき、catを無駄に使用しません。

scp -3 devappserver:/path/to/copy/from qaappserver:/path/to/copy/to

scpコマンドのmanページ：-32つのリモートホスト間のコピーは、ローカルホストを経由して転送されます。このオプションがないと、データは2つのリモートホスト間で直接コピーされます。このオプションは進行状況メーターを無効にすることに注意してください。

以下の例では

• ワークステーションの名前はMacBook-Proです。
• 開発ジャンプボックスの名前はdevjumpserverです
• Dev Application Serverはdevapplicationserverという名前です
  • .localという名前のLAN DNSゾーンにあります
• QAジャンプボックスの名前はqajumpserverです
• QA Application Serverの名前はqaapplicationserverです
  • .localという名前のLAN DNZゾーンにあります
• 670GBの/ etc / hostsファイルのテストコピーを実行します;-)
• SSH公開キー認証が設定されていることが前提となります。

これは、適切なジャンプ（要塞サーバー）を介してワークステーションからアプリケーションサーバーへの直接アクセスを設定する〜/ .ssh / configファイルです。

MacBook-Pro：〜barrychapman $ cat〜/ .ssh / config
ホスト *
  ServerAliveInterval 60
ホストdevapplicationsever
  HostName devapplicationserver.local
  ProxyCommand ssh -i〜/ .ssh / id_rsa barrychapman@devjumpserver.example.com -W％h：％p
  ユーザーbarrychapman
ホストqaapplicationserver
  HostName qaapplicationserver.local
  ProxyCommand ssh -i〜/ .ssh / id_rsa barrychapman@qajumpserver.example.com -W％h：％p
  ユーザーbarrychapman

MacBook-Pro：〜barrychapman $

ターゲットサーバー上のファイルの存在をテストしますが、存在しません。

MacBook-Pro：〜barrychapman $ ssh qaapplicationserver ls / tmp / hosts
ls：/ tmp / hostsにアクセスできません：そのようなファイルまたはディレクトリはありません
シグナル1で殺されました。
MacBook-Pro：〜barrychapman $

次に、ワークステーションを介して、開発アプリケーションサーバーからQAアプリケーションにファイルをコピーしましょう。

MacBook-Pro：〜barrychapman $ scp -3 devapplicationserver：/ etc / hosts qaapplicationserver：/ tmp /
シグナル1で殺されました。
シグナル1で殺されました。
MacBook-Pro：〜barrychapman $

次に、QA Application Server上のコピーされたファイルの存在を確認しましょう。今回はそこになります。

MacBook-Pro：〜barrychapman $ ssh qaapplicationserver ls / tmp / hosts
/ tmp / hosts
シグナル1で殺されました。
MacBook-Pro：〜barrychapman $ 

注意

ProxyCommand接続を閉じると、警告メッセージ「Kill​​ed by signal 1」が表示されます。これはProxyCommand接続を切断するSSHであり、心配する必要はありません。LogLevel Quiet要塞ホスト構成スタンザに追加することで、それを取り除くことができます。

パイプ！

インターネットが一連のチューブである場合、Unixは一連のパイプです。

cat ginormous-file | ssh user@host1 "cat | ssh user@host2 \"cat >out\" "

動作するはずです。

より多くのホストをトラバースする必要がある場合は、必要に応じてパイプ（および- \エスケープされた引用のネストされたレイヤー）を追加します。（ただし、パイプライン/エスケープが非常に複雑になるため、ダイアグラムを描くか、指で数えてエスケープを倍にする必要があるかどうかを判断する必要がある場合は、おそらく敗北を認めて適切なVPNを設定する時間です！）

正しく理解できれば、2つのジャンプサーバー（jump-qaとjump-dev）が2つのアプリサーバー（app-qaとapp-dev）を保護しています。ジャンプサーバーは互いにsshできます。関連するジャンプサーバー以外のボックスは、対応するアプリサーバーにSSH接続できません。アプリサーバーはsshからnooneにできます。ファイルはapp-devからapp-qaに転送されます。両方のジャンプサーバーには、データの中間コピーのためのスペースがありません。

これはsshトンネリングで解決できます。1つのリモートアプリサーバーへの接続をセットアップし、ジャンプサーバーの未使用ポートに接続するリモートトンネルを伝送します。あるジャンプサーバーから別のジャンプサーバーへの2番目の接続を設定し、トンネル1からリモート転送ポートのぶら下がり端をピックアップし、他のアプリサーバーのsshポートに送信します。

トンネルをセットアップします（これらのコマンドはそれぞれ、上の別のウィンドウで実行する必要がありますjump-qa）。

jump-qa% ssh app-qa -R 2345:localhost:2346
jump-qa% ssh jump-dev -L 2346:app-dev:22

これで、app-qaでtelnet localhost 2345app-devのsshバナーを実行および取得できることがわかります。その後、データファイルをコピーできます。

app-qa% scp -P 2345 localhost:/path/on/app-dev/data.dat data.dat