一、前言在政企、金融等严格合规的内网环境中数据库不会直接暴露在公网所有运维访问必须经过堡垒机做统一身份认证、操作录像与SQL审计。目前主流堡垒机分为两大类传统SSH跳板堡垒机、网页应用发布型堡垒机如启明星辰天玥运维安全网关V6.0、JumpServer网页版。很多开发人员都会遇到同一个难题手里只有堡垒机网页账号密码没有数据库账号明文想用Python脚本自动拉取业务数据结果代码始终无法建立数据库连接。本文结合天玥V6.0堡垒机的真实场景拆解两种登录模式的区别给出手动运维方案自动化代码方案同时讲清为什么网页单点登录不能被程序复用。二、两种堡垒机访问数据库模式核心区分模式1WEB网页应用发布模式绝大多数企业默认配置工作流程浏览器HTTPS登录堡垒机网页输入堡垒机账号密码在资源列表选中MySQL/Oracle数据库资产堡垒机自动调用本地Navicat、PL/SQL客户端自动代填内置保存的数据库账号密码全程看不到库密码。核心限制自动化失败的根本原因数据库账号密码保存在堡垒机后台仅在拉起桌面客户端时自动填充不会对外暴露会话为浏览器私有代理通道TCP连接绑定桌面客户端进程不会在本机开启监听端口Python爬虫只能模拟网页登录、点击资源无法劫持客户端内部的数据库TCP连接天玥V6.0自带Java应用控件仅支持浏览器唤起客户端无对外开放的数据库代理API。一句话总结网页模式只能手动打开可视化工具Python程序无法接管这条数据库连接不能直接写代码读取数据。模式2SSH字符跳板模式适合自动化脚本推荐给运维开通管理员在堡垒机后台开启账号的SSH菜单登录权限开放22端口使用SSH客户端登录堡垒机输入堡垒机账号密码进入字符菜单选择对应数据库资源堡垒机可配置会话自动代填数据库账号支持建立SSH本地端口隧道把内网数据库端口映射到本机。这种模式打通的是网络层通道完全支持Python代码连接也是数据自动化采集的最优解。三、方案一手动可视化连接数据库网页堡垒机标准操作以天玥运维安全网关V6.0为例打开IE浏览器访问堡垒机HTTPS地址安装运维控件与应用发布插件输入堡垒机运维账号、密码完成身份校验在我的资源中找到对应数据库资产连接方式选择【应用发布代理】绑定本地Navicat、DBeaver等数据库客户端点击连接堡垒机自动代填账号密码直接打开数据库窗口执行SQL。优点全程留痕SQL语句、操作行为会被堡垒机全程审计满足等保合规要求。缺点仅支持人工操作无法实现定时脚本、数据自动导出。四、方案二SSH隧道Python自动化连接代码读取数据首选前置条件需要管理员配置堡垒机给当前账号开通SSH菜单登录权限放行堡垒机22端口在资源配置中开启SSH会话密码代填登录跳板后无需手动输入数据库账号堡垒机内网可以正常连通数据库IP与端口MySQL默认3306。1. 安装Python依赖库pipinstallsshtunnel pymysql2. 完整代码堡垒机账号建立隧道连接内网数据库fromsshtunnelimportSSHTunnelForwarderimportpymysql# 1. 搭建堡垒机SSH跳板隧道tunnelSSHTunnelForwarder(# 堡垒机地址与SSH端口ssh_address_or_host(堡垒机IP地址,22),ssh_username堡垒机网页账号,ssh_password堡垒机登录密码,# 内网数据库地址与端口remote_bind_address(数据库内网IP,3306),# 映射到本机临时端口local_bind_address(127.0.0.1,3307))# 启动隧道tunnel.start()print(SSH隧道建立成功)# 2. 连接本机映射端口访问数据库# 若堡垒机已自动代填库账号管理员可配置免密会话db_connpymysql.connect(host127.0.0.1,port3307,user数据库账号,password数据库密码,database业务库名,charsetutf8mb4)# 执行SQL查询cursordb_conn.cursor()cursor.execute(SELECT * FROM business_data LIMIT 100;)resultcursor.fetchall()print(result)# 释放资源cursor.close()db_conn.close()tunnel.stop()关键知识点SSH隧道只打通网络不能绕过数据库认证SSH端口转发仅仅解决“外网访问不到内网数据库”的网络隔离问题。只拥有堡垒机账号只能打通通道依然需要数据库账号才能登录想要只输入堡垒机账密就能连库必须由管理员在堡垒机资产中录入数据库凭证开启自动代填功能。五、方案三网页堡垒机无SSH权限的折中方案无端口转发权限时使用如果运维严格限制SSH登录仅保留网页应用发布无法开启跳板隧道可以采用折中方案在一台可以正常登录堡垒机的内网电脑/云主机部署Python脚本远程桌面登录堡垒机应用发布环境在堡垒机会话内部执行SQL查询将查询结果导出为CSV文件本地程序通过文件同步拉取数据。优缺点不需要修改堡垒机权限配置满足安全管控缺点是需要一台常驻内网的中转机器无法纯本地运行代码。六、方案四数据库协议代理最优长期方案天玥V6.0原生支持天玥运维安全网关自带数据库协议代理功能管理员可以单独配置端口映射规则在堡垒机后台新建MySQL代理端口绑定数据库资产开启账号鉴权仅校验堡垒机账号密码堡垒机后台自动填充数据库账号密码开发人员本地Python直接连接堡垒机IP:代理端口全程不需要知晓数据库明文账号。这是唯一可以做到“只凭堡垒机账号本地代码直连数据库”的正规合规配置同时所有SQL操作依然会被堡垒机记录审计日志兼顾自动化与信息安全。七、高频踩坑总结天玥堡垒机专属问题❌ 误区用requests登录网页堡垒机就能复用数据库连接✅ 真相网页拉起的是本地桌面客户端进程连接链路不对外开放爬虫拿不到TCP数据库会话。❌ 误区SSH隧道可以跳过数据库账号密码✅ 真相隧道网络通路数据库本身的账号校验无法绕过只能依靠堡垒机后台代填凭证。❌ 误区网页版堡垒机可以配置端口转发✅ 真相应用发布模式不支持端口映射只有SSH字符菜单模式才能开启端口转发。端口连通排查顺序先通堡垒机SSH → 再测堡垒机到数据库内网连通性 → 最后调试本地端口映射。八、总结人工运维场景使用天玥V6.0网页应用发布模式自动代填账号操作全程可审计满足等保要求Python自动化数据采集场景优先联系管理员开通【SSH菜单跳板自动代填】使用sshtunnel搭建隧道运行脚本严格封闭内网环境申请开启堡垒机【数据库协议代理端口】仅凭堡垒机账号即可本地直连数据库绝对不要尝试抓包破解网页会话堡垒机私有应用代理协议无法被外部程序劫持只会浪费大量开发时间。