堡垒机如何连接数据库？网页堡垒机自动化踩坑与全套解决方案

一、前言

在政企、金融等严格合规的内网环境中，数据库不会直接暴露在公网，所有运维访问必须经过堡垒机做统一身份认证、操作录像与SQL审计。目前主流堡垒机分为两大类：传统SSH跳板堡垒机、网页应用发布型堡垒机（如启明星辰天玥运维安全网关V6.0、JumpServer网页版）。

很多开发人员都会遇到同一个难题：手里只有堡垒机网页账号密码，没有数据库账号明文，想用Python脚本自动拉取业务数据，结果代码始终无法建立数据库连接。
本文结合天玥V6.0堡垒机的真实场景，拆解两种登录模式的区别，给出手动运维方案+自动化代码方案，同时讲清为什么网页单点登录不能被程序复用。

二、两种堡垒机访问数据库模式（核心区分）

模式1：WEB网页应用发布模式（绝大多数企业默认配置）

工作流程

1. 浏览器HTTPS登录堡垒机网页，输入堡垒机账号密码；
2. 在资源列表选中MySQL/Oracle数据库资产；
3. 堡垒机自动调用本地Navicat、PL/SQL客户端，自动代填内置保存的数据库账号密码，全程看不到库密码。

核心限制（自动化失败的根本原因）

1. 数据库账号密码保存在堡垒机后台，仅在拉起桌面客户端时自动填充，不会对外暴露；
2. 会话为浏览器私有代理通道，TCP连接绑定桌面客户端进程，不会在本机开启监听端口；
3. Python爬虫只能模拟网页登录、点击资源，无法劫持客户端内部的数据库TCP连接；
4. 天玥V6.0自带Java应用控件，仅支持浏览器唤起客户端，无对外开放的数据库代理API。

一句话总结：网页模式只能手动打开可视化工具，Python程序无法接管这条数据库连接，不能直接写代码读取数据。

模式2：SSH字符跳板模式（适合自动化脚本，推荐给运维开通）

管理员在堡垒机后台开启账号的SSH菜单登录权限，开放22端口：

1. 使用SSH客户端登录堡垒机，输入堡垒机账号密码；
2. 进入字符菜单，选择对应数据库资源，堡垒机可配置会话自动代填数据库账号；
3. 支持建立SSH本地端口隧道，把内网数据库端口映射到本机。

这种模式打通的是网络层通道，完全支持Python代码连接，也是数据自动化采集的最优解。

三、方案一：手动可视化连接数据库（网页堡垒机标准操作）

以天玥运维安全网关V6.0为例：

1. 打开IE浏览器，访问堡垒机HTTPS地址，安装运维控件与应用发布插件；
2. 输入堡垒机运维账号、密码完成身份校验；
3. 在我的资源中找到对应数据库资产，连接方式选择【应用发布代理】；
4. 绑定本地Navicat、DBeaver等数据库客户端，点击连接，堡垒机自动代填账号密码，直接打开数据库窗口执行SQL。

优点：全程留痕，SQL语句、操作行为会被堡垒机全程审计，满足等保合规要求。
缺点：仅支持人工操作，无法实现定时脚本、数据自动导出。

四、方案二：SSH隧道+Python自动化连接（代码读取数据首选）

前置条件（需要管理员配置堡垒机）

1. 给当前账号开通SSH菜单登录权限，放行堡垒机22端口；
2. 在资源配置中开启SSH会话密码代填，登录跳板后无需手动输入数据库账号；
3. 堡垒机内网可以正常连通数据库IP与端口（MySQL默认3306）。

1. 安装Python依赖库

pipinstallsshtunnel pymysql

2. 完整代码：堡垒机账号建立隧道，连接内网数据库

fromsshtunnelimportSSHTunnelForwarderimportpymysql# 1. 搭建堡垒机SSH跳板隧道tunnel=SSHTunnelForwarder(# 堡垒机地址与SSH端口ssh_address_or_host=("堡垒机IP地址",22),ssh_username="堡垒机网页账号",ssh_password="堡垒机登录密码",# 内网数据库地址与端口remote_bind_address=("数据库内网IP",3306),# 映射到本机临时端口local_bind_address=("127.0.0.1",3307))# 启动隧道tunnel.start()print("SSH隧道建立成功")# 2. 连接本机映射端口访问数据库# 若堡垒机已自动代填库账号，管理员可配置免密会话db_conn=pymysql.connect(host="127.0.0.1",port=3307,user="数据库账号",password="数据库密码",database="业务库名",charset="utf8mb4")# 执行SQL查询cursor=db_conn.cursor()cursor.execute("SELECT * FROM business_data LIMIT 100;")result=cursor.fetchall()print(result)# 释放资源cursor.close()db_conn.close()tunnel.stop()

关键知识点：SSH隧道只打通网络，不能绕过数据库认证

SSH端口转发仅仅解决“外网访问不到内网数据库”的网络隔离问题。

• 只拥有堡垒机账号：只能打通通道，依然需要数据库账号才能登录；
• 想要只输入堡垒机账密就能连库：必须由管理员在堡垒机资产中录入数据库凭证，开启自动代填功能。

五、方案三：网页堡垒机无SSH权限的折中方案（无端口转发权限时使用）

如果运维严格限制SSH登录，仅保留网页应用发布，无法开启跳板隧道，可以采用折中方案：

1. 在一台可以正常登录堡垒机的内网电脑/云主机部署Python脚本；
2. 远程桌面登录堡垒机应用发布环境，在堡垒机会话内部执行SQL查询；
3. 将查询结果导出为CSV文件，本地程序通过文件同步拉取数据。

优缺点：不需要修改堡垒机权限配置，满足安全管控；缺点是需要一台常驻内网的中转机器，无法纯本地运行代码。

六、方案四：数据库协议代理（最优长期方案，天玥V6.0原生支持）

天玥运维安全网关自带数据库协议代理功能，管理员可以单独配置端口映射规则：

1. 在堡垒机后台新建MySQL代理端口，绑定数据库资产；
2. 开启账号鉴权：仅校验堡垒机账号密码，堡垒机后台自动填充数据库账号密码；
3. 开发人员本地Python直接连接堡垒机IP:代理端口，全程不需要知晓数据库明文账号。

这是唯一可以做到“只凭堡垒机账号，本地代码直连数据库”的正规合规配置，同时所有SQL操作依然会被堡垒机记录审计日志，兼顾自动化与信息安全。

七、高频踩坑总结（天玥堡垒机专属问题）

1. ❌ 误区：用requests登录网页堡垒机，就能复用数据库连接
   ✅ 真相：网页拉起的是本地桌面客户端进程，连接链路不对外开放，爬虫拿不到TCP数据库会话。

2. ❌ 误区：SSH隧道可以跳过数据库账号密码
   ✅ 真相：隧道=网络通路，数据库本身的账号校验无法绕过，只能依靠堡垒机后台代填凭证。

3. ❌ 误区：网页版堡垒机可以配置端口转发
   ✅ 真相：应用发布模式不支持端口映射，只有SSH字符菜单模式才能开启端口转发。

4. 端口连通排查顺序：先通堡垒机SSH → 再测堡垒机到数据库内网连通性 → 最后调试本地端口映射。

八、总结

1. 人工运维场景：使用天玥V6.0网页应用发布模式，自动代填账号，操作全程可审计，满足等保要求；
2. Python自动化数据采集场景：优先联系管理员开通【SSH菜单跳板+自动代填】，使用sshtunnel搭建隧道运行脚本；
3. 严格封闭内网环境：申请开启堡垒机【数据库协议代理端口】，仅凭堡垒机账号即可本地直连数据库；
4. 绝对不要尝试抓包破解网页会话，堡垒机私有应用代理协议无法被外部程序劫持，只会浪费大量开发时间。