导语
越来越多的业务开始上云,现在的个人开发环境也有上云的趋势。利用VSCode的远程开发模式,很多开发者已经把代码和编译环境都配置在云服务器上,本地的笔记本只是一个接入端。而这个接入端不一定是电脑,也可以使iPad等更轻量的设备。
Code Server
到目前为止,微软还没有提供iPad版本的VSCode。幸运的是,有一个叫coderom的团队提供了一个code server,安装到Linux服务器上之后,可以通过浏览器打开VSCode,进而实现从iPad上远程开发的目的。
同时,coderom还提供了code server的docker镜像,配置起来更加简便。
所以你需要的资源包括:一台云服务器,一个域名(可选,但用域名会方便很多),一台配了键盘的iPad。
开箱即用的方式
云服务安装好docker之后,直接把code server的容器跑起来就可以了:
docker run -it -p 80:8080 -v "$PWD/code:/home/coder/project" -u "$(id -u):$(id -g)" -e PASSWORD='abde32c' codercom/code-server:3.7.4
然后在iPad的浏览器上打开你的域名
上面docker启动时时已经通过环境变量指定密码,如果不指定密码,code server会随机生成一个。输入密码,即可开始iPad编程之旅。
安全保障
从上面的截图右下角也可以看到,现在访问code server没有加密,很不安全。一个方式是用一个ssh客户端进行端口转发,然后iPad直接访问本地端口来访问code server。iPad的ssh客户端可以选择Terminus。于是,docker容器改成只监听本地端口:
docker run -it -p 127.0.0.1:8090:8080 -v "$PWD/code:/home/coder/project" -u "$(id -u):$(id -g)" -e PASSWORD='abde32c' codercom/code-server:3.7.4
然后用Terminus做端口转发:
但是iPad一个应用不在前台时很容易被清理掉,然后端口转发就停止了。好在现在iPad可以多应用开启,只不过要挤占有限的屏幕空间,用起来并不畅快。
HTTPS
另一个方式是通过HTTPS访问。code server也自带了https选项,但这里我没有选择使用它。因为我觉得更合适的方式是各个模块各司其职,让code server专门负责vscode的事情,通过另一个程序来做HTTPS的请求转发。另外一个考虑是,自己来做HTTPS请求转发,可以灵活定制。可以考虑写一个golang程序来做HTTPS监听,并将请求转发到本地的8090端口。
提供HTTPS服务需要有证书,因为这里的HTTPS服务仅仅是自己访问,只需要用一个自签名证书就可以了。推荐的方式是先生成一个rootCA根证书,再用这个根证书颁发一个服务器证书server.key和server.crt。这样客户端只需要信任根证书,服务端证书就自动被信任,而且以后服务端再换证书,客户端也不用修改。注意下面的http://your.domain.com需要替换成你的真实域名。
# generate rootCA locally.
openssl genrsa -out rootCA.key 2048
openssl req -x509 -new -days 750 -subj "/C=US/L=CA/O=VSCode Server CA/CN=VSCode Server Root CA" -key rootCA.key -out rootCA.crt# generate server certificate and key.
openssl genrsa -out server.key 2048
openssl req -new -sha256 -key server.key -subj "/C=US/ST=CA/O=VSCode Server/CN=your.domain.com" -out server.csr
openssl x509 -req -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -days 365 -sha256 -extensions SAN -extfile <(cat /etc/ssl/openssl.cnf <(printf "n[SAN]nsubjectAltName &#61; DNS:your.domain.comnextendedKeyUsage &#61; serverAuth")) -in server.csr -out server.crt
服务器上需要rootCA.crt、server.key、server.crt&#xff0c;iPad需要rootCA.crt&#xff0c;rootCA.key应该仅保存在你的个人机器上。然后再实现一个golang的HTTPS服务器&#xff1a;
package mainimport ("crypto/tls""crypto/x509""fmt""io/ioutil""net/http""net/http/httputil""net/url""time"
)func main() {codeServer, _ :&#61; url.Parse("http://localhost:8090/")codeServerDirector :&#61; func(req *http.Request) {req.Header.Add("X-Forwarded-Host", req.Host)req.Header.Add("X-Origin-Host", codeServer.Host)req.URL.Scheme &#61; "http"req.URL.Host &#61; codeServer.Host}codeServerProxy :&#61; &httputil.ReverseProxy{Director: codeServerDirector}http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {fmt.Printf("proxy receive request from: %v at: %vn", r.RemoteAddr, time.Now())codeServerProxy.ServeHTTP(w, r)})certificate, err :&#61; tls.LoadX509KeyPair("../cert/server.crt", "../cert/server.key")if err !&#61; nil {fmt.Printf("load certificate fail: %vn", err)return}certPool :&#61; x509.NewCertPool()ca, err :&#61; ioutil.ReadFile("../cert/rootCA.crt")if err !&#61; nil {fmt.Printf("read ca file fail:%vn", err)return}if ok :&#61; certPool.AppendCertsFromPEM(ca); !ok {fmt.Println("failed to append certs")return}tlsconfig :&#61; &tls.Config{Certificates: []tls.Certificate{certificate},ClientAuth: tls.NoClientCert, //tls.RequireAndVerifyClientCert,ClientCAs: certPool,}s :&#61; &http.Server{Addr: "0.0.0.0:443",Handler: nil,TLSConfig: tlsconfig,}s.ListenAndServeTLS("", "")
}
这个golang的HTTPS服务器的功能非常单一&#xff0c;就是将所有请求转发给localhost:8090&#xff0c;即code server的端口。
iPad客户端需要信任rootCA.crt&#xff0c;然后直接打开https://your.domain.com&#xff0c;然后就可以到达之前输入密码的界面&#xff0c;进入编程环境。
还能更安全吗
注意现在只是客户端验证服务端的证书&#xff0c;服务端并没有验证客户端的证书&#xff0c;拦在攻击者前面的只有一个密码了。我们可以让服务端也校验客户端的证书&#xff0c;实现双向认证。先用之前的根证书颁发一个客户端证书&#xff1a;
# generate client certificate and key.
openssl genrsa -out client.key 2048
openssl req -new -sha256 -key client.key -subj "/C&#61;US/ST&#61;CA/O&#61;VSCode Client/CN&#61;your.domain.com" -out client.csr
openssl x509 -req -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -days 365 -sha256 -extensions SAN -extfile <(cat /etc/ssl/openssl.cnf <(printf "n[SAN]nsubjectAltName &#61; DNS:your.domain.comnextendedKeyUsage &#61; clientAuth")) -in client.csr -out client.crt
openssl pkcs12 -export -out client.pfx -inkey client.key -in client.crt
然后整个打包发送到iPad上&#xff0c;安装为描述文件。注意我们已经信任了根证书&#xff0c;这个client.crt会自动被信任。HTTPS服务器的tls配置修改为要求客户端提供证书&#xff1a;
tlsconfig :&#61; &tls.Config{Certificates: []tls.Certificate{certificate},ClientAuth: tls.RequireAndVerifyClientCert,ClientCAs: certPool,
}
接着重新启动HTTPS服务器。
这种方式在Mac的Chrome验证通过&#xff0c;不过遗憾的是&#xff0c;iPad上的Chrome不认手动导入的客户端证书&#xff0c;Safari则仅在第一此连接时使用了客户端证书&#xff0c;后面的又不读取了&#xff0c;服务端会报tls: client didn&#39;t provide a certificate的错误。
所以目前暂时还只能使用单向HTTPS&#43;密码的方式&#xff0c;为了更加安全&#xff0c;端口就不能长期打开了&#xff0c;仅在使用的时候把code server和HTTPS服务器打开。
总结
在iPad上用VSCode连接云服务器开发是可行的。通过配置独立于cod server 的HTTPS转发服务&#xff0c;可以加入更多的定制功能&#xff08;比如自签名证书和客户端验证&#xff09;。期待最终能实现iPad上的双向HTTPS验证方式使用VSCode。