
<div dir="ltr"><div><div>Access through a bastion via proxycommand is a much better approach than direct access via ssh. Even considering direct access, it would likely be better to allow direct access via VPN than to allow the world to be able to access the ssh port of every node via IPv6.<br><br></div>We initially limited SSH through bastions because of IP limitations, but in the long-run I think it was also a good choice from a security point of view. We can mostly disable all SSH access to Labs by removing access to the bastions.<br><br></div>Take a look at how AWS implements VPC to get a better understanding of how this works in large infrastructures. Assume each VPC is a separate Labs project, or assume different accounts are different Labs projects.<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, May 5, 2015 at 12:24 AM, Petr Bena <span dir="ltr"><<a href="mailto:benapetr@gmail.com" target="_blank">benapetr@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Yes that's true, it's more or less something we could have, not<br>

something we really need. But at some point it would make stuff easier<br>

for some people, you probably wouldn't use public IPv6 to provide some<br>

service to public, but rather for example to make it simple for owner<br>

of virtual machine to directly ssh / scp into their instance, not<br>

having to go through some tunnels and so on.<br>

<div class="HOEnZb"><div class="h5"><br>

On Tue, May 5, 2015 at 1:14 AM, Ryan Lane <<a href="mailto:rlane32@gmail.com">rlane32@gmail.com</a>> wrote:<br>

> On Mon, May 4, 2015 at 5:05 AM, Petr Bena <<a href="mailto:benapetr@gmail.com">benapetr@gmail.com</a>> wrote:<br>

>><br>

>> Hey,<br>

>><br>

>> It's 2015, many years after IANA's IPv4 pool was exhausted. WE STILL<br>

>> DON'T HAVE IPv6 ON LABS! Why?<br>

>><br>

>> If we had it, every single instance could have it's own public address<br>

>> and things like <a href="http://tools.wmflabs.org/" target="_blank">http://tools.wmflabs.org/</a> wouldn't say "Server not<br>

>> found" if you were on IPv6 only box.<br>

>><br>

><br>

> Even with IPv6, it doesn't make a ton of sense to give direct access to the<br>

> nodes. You'd still have to support the case of IPv4, but then you'd add the<br>

> complexity of having things work two different ways, which makes<br>

> troubleshooting harder. Making things go through proxies is a good approach<br>

> as a whole.<br>

><br>

> That said, it would be nice to eventually have IPv6 support in Labs for<br>

> testing IPv6 for MediaWiki.<br>

><br>

> - Ryan<br>

><br>

</div></div><div class="HOEnZb"><div class="h5">> _______________________________________________<br>

> Labs-l mailing list<br>

> <a href="mailto:Labs-l@lists.wikimedia.org">Labs-l@lists.wikimedia.org</a><br>

> <a href="https://lists.wikimedia.org/mailman/listinfo/labs-l" target="_blank">https://lists.wikimedia.org/mailman/listinfo/labs-l</a><br>

><br>

<br>

_______________________________________________<br>

Labs-l mailing list<br>

<a href="mailto:Labs-l@lists.wikimedia.org">Labs-l@lists.wikimedia.org</a><br>

<a href="https://lists.wikimedia.org/mailman/listinfo/labs-l" target="_blank">https://lists.wikimedia.org/mailman/listinfo/labs-l</a><br>

</div></div></blockquote></div><br></div>