• 上記画像のような構成で、ローカルの開発環境から、稼働環境のdb（MYSQL）に接続したい。
• dbはインターネットに公開されていない。

というような条件だったので、リモートのwebサーバ経由のポートフォワードで接続しました。

無理だった例

できればアプリケーションレベルで解決したかったので、php内で試行錯誤してみた。

$ssh_connection = ssh2_connect($ssh_host, $ssh_port);
ssh2_auth_password( $ssh_connection, $ssh_user, $ssh_pass);
$tunnel = ssh2_tunnel($ssh_connection, $db_host, 3306);
$connection = mysql_connect($tunnel, $username, $password);

トンネルの確立まではできたけど、無理でした。

mysql_connect()はトンネルを受け付けないらしい。

また

$host = "ssh2.tunnel://user:pass@xx.xx.xx.1:22/xx.xx.xx.2:3306";
$connection = mysql_connect($host, $username, $password);

このようにssh2ラッパーを使う方法もダメでした。

mysqliはトンネルをサポートしているらしいが

$connection = new mysqli("{$db_host}:3306", $username, $password, $database, $tunnel);

今回のアプリケーションは古いコードで、dbとの接続にmysql_connect()を使用しており、この方法は使えない。

同様に、pdoもつかえない。

というわけで、アプリケーションレベルでの対応を諦める。

解決

sshコマンドをバックグラウンドで走らせておくことで解決させました。

ssh -f -g -N -C -L {ローカルポート}:{リモートdbホスト}:3306 {sshユーザ}@{リモートsshホスト} -p 22

• -g  他のマシンからも 利用する
• -f このポートフォワーディングをバックグラウンドで実行する。
• -N SSHトンネリングのみに使用する。
• -C データを圧縮して送る。
• -L ポートフォワードを利用する。

{ローカルポート} はローカルで空いてるポートだったらなんでもOK。

今回のサーバ構成例だとこんな感じ。

ssh -f -g -N -C -L 13306:xx.xx.xx.2:3306 user@xx.xx.xx.1 -p 22

これでローカルに対して接続したら、トンネルくぐって接続してくれます。

$connection = mysql_connect("127.0.0.1:13306", $db_username, $db_password);

もちろんPDOだろうがなんだろうが、接続できます。

ちなみに、phpのexec()で、sshコマンドを打ってみたが、なんかうまくいかなかった。

まぁ作業前にコマンド一本打つか、/etc/rc.d/rc.localにコマンド書いとくかすればいいかな。

参考にさせてもらったサイトはこちら

http://www.tamurasouko.com/?p=1092

https://www.kmc.gr.jp/advent-calendar/ssh/2013/12/09/tunnel2.html

EC2で色々やってみたいと思い遅ればせながら導入してみた。

まずsshの鍵認証。

キーペア作成時に保存を促されるpemファイルからのログインだけど、これは問題ない。

さすがにこのくらいじゃ詰まらない。

何に引っかかったかというと、タイトルのとおりでもあるが、

ユーザを追加した際、鍵を手動で作成しても有効にならない！

パスワード認証にしようとも思ったが、
/etc/ssh/sshd_config
で
PasswordAuthentication yes
としても、有効にならない。なんでーー？
EC2の仕様なのか、centos7の仕様なのかわからないが、パスワード認証はあきらめ、
どうせなら鍵認証の方向で解決方法を模索した。
というわけで参考にした記事

引用元 http://qiita.com/dahugani/items/e1fc5c212bf6a7365f8f

まぁほぼ丸コピだけど、少しアレンジ

コマンドは当該のユーザ（この例だとnewuser）で行います。

cd /home/newuser
mkdir .ssh
chmod 700 .ssh
cd .ssh
ssh-keygen -t rsa
mv id_rsa.pub authorized_keys
chmod 600 authorized_keys
cat id_rsa

こんな感じで、鍵を作成し、表示された id_rsaの中身（秘密鍵）を、ローカルのテキストエディタにでも貼っつけて保存。

ポイントは、ファイル名を公開鍵のファイル名を authorized_keys にすること。

これがわかんなくて何時間も詰まってました。

以前使ってたサーバーでは、公開鍵のファイル名はなんでもよかったんだけどなあ。

sshd_configにバッチリ 『AuthorizedKeysFile .ssh/authorized_keys』 って書いてありました。

なおローカルに保存したファイルは、後々使うこともあるので、管理しやすいファイル名にしときましょう。

んで、このファイルを  PuTTy Key Generator （puttygen.exe） でインポート

Key_commentにわかりやすいコメントつけておいたほうが、後でわかりやすいです。

そんで Save private key で秘密鍵を作成します。

作成した秘密鍵を Pageantに登録しておわり。

teratermや、filezillaで接続できるか試してみましょう。

また、ユーザごとに鍵を分ける必要がなければ、
初期ユーザ（今回のケースだとcentos）の鍵がそのままつかえるので

ルート権限で下記のように

cd /home/newuser
cp -rp /home/centos/.ssh ./
chown -R newuser:newuser .ssh

こっちのほうが、ローカル側での設定がなにも要らないので
（sshログインできているということは、初期ユーザでの鍵設定が完了している）、

すごく簡単に完了します。