我的 RoR 应用程序需要访问远程数据库(FWIW 它是托管在 rds.amazonaws.com 上的 mysql)。访问它的唯一方法是通过 SSH 隧道。
我已经在本地机器上测试了访问权限。我正在通过以下方式设置隧道:
ssh -f -N -L 3307:longname.rds.amazonaws.com:3306 remote_user@remote_host.com
(但请参阅https://stackoverflow.com/a/27305457/558639 以了解我实际上是如何做到的)。无论如何,我需要在 Heroku 上安装一个 SSH 密钥对(私有和公共部分)才能正常工作。
不过,我在这里并不熟悉。我可以编写一个在安装密钥的 Heroku 会话开始时启动的脚本。什么是正确的方法来完成这个而不是不必要地暴露私钥?
【问题讨论】:
标签: ruby-on-rails heroku ssh ssh-tunnel
这是我想出的。 (详细说明请参见SSH tunneling from Heroku。)
heroku config:set NAME1=value1 NAME2=value2 etc...
.profile.d/web-setup.sh。请注意,根据https://devcenter.heroku.com/articles/profiled,.profile.d 目录中的任何文件都将在首次设置测功机时运行。注意:这样,私有 SSH 密钥仅在 heroku 环境中显示为配置变量。由于其他敏感信息都保存在那里,我认为这是一种相对安全的方法。
.profile.d/web-setup.sh 文件包含:
# file=.profile.d/web-setup.sh
# create keypair files on this dyno
echo $0: creating public and private key files
mkdir -p ${HOME}/.ssh
echo "${PUBLIC_KEY}" > ${HOME}/.ssh/heroku_id_rsa.pub
chmod 644 ${HOME}/.ssh/heroku_id_rsa.pub
# note the use of double quotes to preserve newlines!
echo "${PRIVATE_KEY}" > ${HOME}/.ssh/heroku_id_rsa
chmod 600 ${HOME}/.ssh/heroku_id_rsa
# You may need to preload known-hosts here. See
# https://stackoverflow.com/questions/21575582/ssh-tunneling-from-heroku/27361295#27361295
# on how to do that.
# open a tunnel if not already running
SSH_CMD="ssh -f -i ${HOME}/.ssh/heroku_id_rsa -N -L ${LOCAL_PORT}:${REMOTE_MYSQL_HOST}:${MYSQL_PORT} ${REMOTE_USER}@${REMOTE_SITE}"
PID=`pgrep -f "${SSH_CMD}"`
if [ $PID ] ; then
echo $0: tunnel already running on ${PID}
else
echo $0 launching tunnel
$SSH_CMD
fi
【讨论】: