Есть ли недостатки в использовании ProxyJump
, когда он не нужен?
Мы используем общий файл .ssh / config на многих машинах, некоторые из которых находятся за jumpbox и другие нет. Есть ли недостаток в использовании опции ProxyJump
для двух машин, находящихся за определенным переходным блоком? (Я бы предположил, что будет незаметная дополнительная задержка, но это все).
Сейчас наша общая конфигурация использует эту настройку, чтобы использовать ProxyJump
только при необходимости:
Match Host example Exec "! nslookup $(nslookup internal.site.com | head -1 | grep -o '[0-9]\+\([.][0-9]\+\)\{3\}') | grep -o 'name = .\+site.com\.$'"
ProxyJump jumpbox
Host example
HostName example.internal.site.com
Однако проверка Match Exec
немного хрупкая и не обязательно сработает все системы правильно.
ProxyJump, по сути, делает следующее:
Таким образом, SSH-соединение является прямым. Вы можете пропускать через него TCP-туннели, вперед или назад, или использовать любые другие функции SSH. Вы даже можете использовать прокси-сервер в качестве прокси для третьей системы, и тогда будет два фоновых соединения, перенаправляющих случайные порты.
Я вижу следующие недостатки:
Оба этих недостатка являются необходимыми уступками при использовании прокси, но иногда, когда хост доступен напрямую, это может быть неожиданным (например, когда вы думаете, что подключаетесь напрямую).