引言

如果您正在使用AWS DocumentDB或任何位于堡垒主机后面的云托管服务等远程资源，您可能正在使用SSH隧道来安全地访问它们。虽然设置SSH隧道很简单，但保持其活跃状态并监控其状态可能会有些棘手。

今天，我分享一个我编写的轻量级Bash脚本来设置和监控SSH隧道。它简单、可移植，并为您提供隧道状态的实时反馈。

使用场景

想象一下：您有一个只能通过堡垒主机访问的AWS DocumentDB集群。您想要：

• 将本地端口（例如27088）转发到远程DocumentDB端口（27017）。
• 自动监控SSH隧道是否断开。
• 获得简单的分钟级状态更新。
• 如果脚本或终端被终止，干净地清理SSH进程。

脚本代码

以下是完整的脚本：

#!/bin/bash

KEY="my-bastion-host-key-pair.pem"
USER="ec2-user"
HOST="ec2-YYY-YYY-YYY-YYY.compute-1.amazonaws.com"
REMOTE_HOST="docdb-dima-1.cluster-xxxxxxxxxxxx.us-east-1.docdb.amazonaws.com"
LOCAL_PORT=27088
REMOTE_PORT=27017

START_TIME=$(date +%s)

# 在后台启动SSH隧道
ssh -i "$KEY" \
    -o ServerAliveInterval=60 \
    -o ServerAliveCountMax=3 \
    -L ${LOCAL_PORT}:${REMOTE_HOST}:${REMOTE_PORT} \
    ${USER}@${HOST} -N &

SSH_PID=$!

# 如果脚本被终止，清理的陷阱
trap "kill $SSH_PID 2>/dev/null" EXIT

# 监控循环
while kill -0 $SSH_PID 2>/dev/null; do
    NOW=$(date +%s)
    ELAPSED_MIN=$(( (NOW - START_TIME) / 60 ))
    printf "\r  SSH隧道已活跃 %d 分钟..." "$ELAPSED_MIN"
    sleep 60
done

printf "\n SSH隧道在 %d 分钟后断开连接。\n" "$ELAPSED_MIN"

工作原理

让我们分解一下：

• SSH隧道设置：使用ssh -L通过堡垒主机将localhost:27088转发到远程DocumentDB端点。
• 保活选项：
• ServerAliveInterval=60：每60秒发送一个保活数据包。
• ServerAliveCountMax=3：如果错过三个保活信号，连接被认为已死亡。
• 后台进程：SSH隧道在后台运行。
• 监控循环：每分钟检查SSH进程是否仍然活跃，使用kill -0 $SSH_PID。
• 清理陷阱：如果脚本被中断（Ctrl+C或被杀死），它会清理SSH进程以避免僵尸隧道。

何时使用此脚本

• 在堡垒主机后面的服务进行开发。
• 需要快速本地连接到远程数据库。
• 想要在不使用重型工具的情况下了解隧道运行时间。
• 避免使用autossh或systemd等工具进行更简单的设置。

最终想法

这个脚本可能看起来很简单，但它在我长时间开发或迁移会话期间节省了无数小时来思考"我的隧道还活着吗？"

脚本详细解析

配置变量

KEY="my-bastion-host-key-pair.pem"        # SSH私钥文件路径
USER="ec2-user"                           # 堡垒主机用户名
HOST="ec2-YYY-YYY-YYY-YYY.compute-1.amazonaws.com"  # 堡垒主机地址
REMOTE_HOST="docdb-dima-1.cluster-xxxxxxxxxxxx.us-east-1.docdb.amazonaws.com"  # 目标主机
LOCAL_PORT=27088                          # 本地端口
REMOTE_PORT=27017                         # 远程端口

SSH连接参数

ssh -i "$KEY" \                           # 使用指定的私钥
    -o ServerAliveInterval=60 \           # 每60秒发送保活信号
    -o ServerAliveCountMax=3 \            # 最多允许3次保活失败
    -L ${LOCAL_PORT}:${REMOTE_HOST}:${REMOTE_PORT} \  # 端口转发
    ${USER}@${HOST} -N &                  # 不执行远程命令，后台运行

进程监控

SSH_PID=$!                               # 获取SSH进程ID
trap "kill $SSH_PID 2>/dev/null" EXIT    # 设置退出时清理进程的陷阱

while kill -0 $SSH_PID 2>/dev/null; do   # 检查进程是否存活
    # 计算运行时间并显示状态
done

高级功能扩展

1. 自动重连功能

#!/bin/bash

KEY="my-bastion-host-key-pair.pem"
USER="ec2-user"
HOST="ec2-YYY-YYY-YYY-YYY.compute-1.amazonaws.com"
REMOTE_HOST="docdb-dima-1.cluster-xxxxxxxxxxxx.us-east-1.docdb.amazonaws.com"
LOCAL_PORT=27088
REMOTE_PORT=27017
MAX_RETRIES=5
RETRY_DELAY=30

function start_tunnel() {
    ssh -i "$KEY" \
        -o ServerAliveInterval=60 \
        -o ServerAliveCountMax=3 \
        -o ConnectTimeout=10 \
        -L ${LOCAL_PORT}:${REMOTE_HOST}:${REMOTE_PORT} \
        ${USER}@${HOST} -N &
    return $!
}

function monitor_tunnel() {
    local pid=$1
    local retry_count=0
    
    while [ $retry_count -lt $MAX_RETRIES ]; do
        if kill -0 $pid 2>/dev/null; then
            printf "\r  SSH隧道活跃中... (重试次数: %d)" "$retry_count"
            sleep 60
        else
            printf "\n SSH隧道断开，尝试重连...\n"
            kill $pid 2>/dev/null
            sleep $RETRY_DELAY
            start_tunnel
            pid=$!
            retry_count=$((retry_count + 1))
        fi
    done
    
    printf "\n 达到最大重试次数，停止重连。\n"
}

# 启动初始隧道
start_tunnel
SSH_PID=$!
trap "kill $SSH_PID 2>/dev/null; exit" EXIT

# 开始监控
monitor_tunnel $SSH_PID

2. 日志记录功能

#!/bin/bash

# 添加日志功能
LOG_FILE="/tmp/ssh_tunnel.log"

function log_message() {
    echo "$(date '+%Y-%m-%d %H:%M:%S') - $1" | tee -a "$LOG_FILE"
}

function start_tunnel() {
    log_message "启动SSH隧道..."
    ssh -i "$KEY" \
        -o ServerAliveInterval=60 \
        -o ServerAliveCountMax=3 \
        -L ${LOCAL_PORT}:${REMOTE_HOST}:${REMOTE_PORT} \
        ${USER}@${HOST} -N &
    SSH_PID=$!
    log_message "SSH隧道已启动，PID: $SSH_PID"
    return $SSH_PID
}

# 在监控循环中添加日志
while kill -0 $SSH_PID 2>/dev/null; do
    NOW=$(date +%s)
    ELAPSED_MIN=$(( (NOW - START_TIME) / 60 ))
    printf "\r  SSH隧道已活跃 %d 分钟..." "$ELAPSED_MIN"
    sleep 60
done

log_message "SSH隧道断开连接"

3. 健康检查功能

#!/bin/bash

# 添加健康检查
function check_tunnel_health() {
    # 检查本地端口是否可访问
    if nc -z localhost $LOCAL_PORT 2>/dev/null; then
        return 0
    else
        return 1
    fi
}

function monitor_tunnel() {
    local pid=$1
    
    while kill -0 $pid 2>/dev/null; do
        NOW=$(date +%s)
        ELAPSED_MIN=$(( (NOW - START_TIME) / 60 ))
        
        # 执行健康检查
        if check_tunnel_health; then
            printf "\r  SSH隧道健康运行 %d 分钟..." "$ELAPSED_MIN"
        else
            printf "\r  SSH隧道可能有问题 %d 分钟..." "$ELAPSED_MIN"
        fi
        
        sleep 60
    done
}

使用示例

基本使用

# 1. 保存脚本为 tunnel_monitor.sh
chmod +x tunnel_monitor.sh

# 2. 修改配置变量
vim tunnel_monitor.sh

# 3. 运行脚本
./tunnel_monitor.sh

后台运行

# 在后台运行并保存PID
nohup ./tunnel_monitor.sh > tunnel.log 2>&1 &
echo $! > tunnel.pid

# 检查状态
ps -p $(cat tunnel.pid)

# 停止隧道
kill $(cat tunnel.pid)

系统服务集成

# /etc/systemd/system/ssh-tunnel.service
[Unit]
Description=SSH Tunnel Monitor
After=network.target

[Service]
Type=simple
User=your-user
ExecStart=/path/to/tunnel_monitor.sh
Restart=always
RestartSec=10

[Install]
WantedBy=multi-user.target

故障排除

常见问题

1. 1. 权限问题

# 确保SSH密钥权限正确
chmod 600 my-bastion-host-key-pair.pem

1. 2. 端口冲突

# 检查端口是否被占用
netstat -tlnp | grep :27088
lsof -i :27088

1. 3. 连接超时

# 增加连接超时时间
ssh -o ConnectTimeout=30 -o ServerAliveInterval=60 ...

调试模式

#!/bin/bash
# 添加调试信息
set -x  # 启用调试模式

# 在SSH命令中添加详细输出
ssh -v -i "$KEY" \
    -o ServerAliveInterval=60 \
    -o ServerAliveCountMax=3 \
    -L ${LOCAL_PORT}:${REMOTE_HOST}:${REMOTE_PORT} \
    ${USER}@${HOST} -N &

最佳实践

1. 安全性考虑

# 使用环境变量存储敏感信息
export SSH_KEY_PATH="/path/to/key.pem"
export SSH_USER="ec2-user"
export SSH_HOST="your-bastion-host"

# 在脚本中使用
ssh -i "$SSH_KEY_PATH" -o UserKnownHostsFile=/dev/null ...

2. 资源管理

# 限制SSH连接数量
ssh -o ControlMaster=no -o ControlPath=none ...

# 设置合理的超时时间
ssh -o ConnectTimeout=10 -o ServerAliveInterval=60 ...

3. 监控集成

# 集成到监控系统
function send_alert() {
    local message="$1"
    # 发送到Slack、邮件或其他通知系统
    curl -X POST -H 'Content-type: application/json' \
        --data "{\"text\":\"$message\"}" \
        https://hooks.slack.com/services/YOUR/WEBHOOK/URL
}

性能优化

1. 减少资源使用

# 使用更高效的监控间隔
sleep 30  # 而不是60秒

# 优化SSH参数
ssh -o Compression=yes -o TCPKeepAlive=yes ...

2. 并发处理

# 支持多个隧道
declare -A tunnel_pids

function start_multiple_tunnels() {
    local tunnels=(
        "27088:docdb1:27017"
        "27089:docdb2:27017"
        "27090:redis:6379"
    )
    
    for tunnel in "${tunnels[@]}"; do
        IFS=':' read -r local_port remote_host remote_port <<< "$tunnel"
        start_single_tunnel $local_port $remote_host $remote_port
    done
}

监控指标

1. 连接统计

# 记录连接统计
function log_stats() {
    local uptime=$1
    local retry_count=$2
    
    echo "隧道统计:" >> tunnel_stats.log
    echo "  运行时间: ${uptime}分钟" >> tunnel_stats.log
    echo "  重试次数: ${retry_count}" >> tunnel_stats.log
    echo "  时间戳: $(date)" >> tunnel_stats.log
    echo "---" >> tunnel_stats.log
}

2. 性能监控

# 监控网络延迟
function check_latency() {
    local latency=$(ping -c 1 $HOST | grep "time=" | cut -d "=" -f4)
    echo "延迟: $latency"
}

总结

这个SSH隧道监控脚本虽然简单，但非常实用。它提供了：

• 自动隧道监控
• 实时状态反馈
• 优雅的进程清理
• 可扩展的架构
• 易于集成到现有系统

对于需要稳定SSH隧道连接的开发者和运维人员来说，这是一个非常有价值的工具。