IT-Service: SSH-Jump-Hosts (lxlogin.gsi.de)
Schnelleinstieg
Bei Jump-Hosts handelt es sich Maschinen, die speziell auf die Weiterleitung von Netzwerkverkehr zwischen verschiedenen Sicherheitszonen ausgelegt sind. Maschinen dieses Services leiten SSH-Verkehr weiter.
An der GSI ermöglichen diese Hosts allen Benutzer*innen mit einem Linux-Konto den Zugriff vom Internet auf das interne Netzwerk. Sie besitzen eine minimale Konfiguration, was Sicherheitsrisiken minimiert und die Leistung verbessert.
Service-Beschreibung
Jump-Hosts können auf folgende Arten genutzt werden (mit Beispielen). Mehr Informationen über SSH-Verbindungen finden Sie unter Fernzugriff auf Linux-Maschinen.
- Als minimaler Login-Host:
ssh lxlogin.gsi.de
- Als Jump-Host, um eine interne Maschine zu erreichen (bspw.
lx-pool.gsi.de
):ssh -J lxlogin.gsi.de target.gsi.de
(Bspw. fürlx-pool.gsi.de
:ssh -J lxlogin.gsi.de lx-pool.gsi.de
) - Für lokale Port-Weiterleitung:
ssh -L 8080:target.gsi.de:80 lxlogin.gsi.de
- Als einfaches VPN mit sshuttle:
sshuttle -r lxlogin.gsi.de target.gsi.de
- Zum Dateizugriff über SSHFS sshfs:
sshfs -o ProxyJump=lxlogin.gsi.de target.gsi.de:/path mountpoint
(Bspw. um Lustre nach~/lustre
einzuhängen:files.hpc.gsi.de:/lustre
:sshfs -o ProxyJump=lxlogin.gsi.de files.hpc.gsi.de:/lustre ~/lustre
)
Wenn Sie sich das erste Mal verbinden, werden Sie gefragt, ob Sie dem SSH-Fingerabdruck vertrauen. Bitte schauen Sie unter Linux-Poolmaschinen nach, ob dieser korrekt ist.
Maschinen dieses Services haben eine minimale Konfiguration für einen eingeschränkten Zweck. Daher ist nur eine minimale Liste an Software vorhanden. Es ist keine grafische Oberfläche verfügbar, ferner gibt keinen Zugriff auf zentrale Heimatverzeichnisse (/u/$konto
). Bei der Anmeldung erhalten Sie ein neues Verzeichnis, welches beim Beenden der Sitzung wieder gelöscht wird.
Nutzen Sie Ihren GSI-Linux-Account um sich an den Maschinen anzumelden. Sie können einen SSH-Schlüssel statt des Passwortes verwenden, obwohl die Maschinen keine zentralen Heimatverzeichnisse einbinden. Die Schlüssel werden jede halbe Stunde von allen zentralen Heimatverzeichnissen (.ssh/authorized_keys
) geladen und den Jump-Hosts zur Verfügung gestellt.
Der Pool ist hochverfügbar. Das bedeutet, dass Sie sich bei einem Verbindungsabbruch, wegen einer fehlerhaften Maschine, sofort wieder verbinden können. Bitte sehen Sie sich die Anleitung unter Fernzugriff auf Linux-Maschinen an, um zu sehen, wie dieser Prozess automatisiert werden kann.
Alle Maschinen im Pool werden jeden Montag um 1 Uhr nacheinander neugestartet. Zu dieser Zeit werden Sie Ihre Verbindungen verlieren, der Pool wird aber durchgängig verfügbar sein.
Verfügbarkeit und Support
- Rufbereitschaft: abgedeckt
- Support-Email: linux-service @ gsi.de