Ydy hi'n anodd creu peiriant rhithwir (VM) yn y cwmwl? Dim mwy anodd na gwneud te. Ond pan ddaw i gorfforaeth fawr, gall hyd yn oed gweithred mor syml fod yn boenus o hir. Nid yw'n ddigon creu peiriant rhithwir; mae angen i chi hefyd gael y mynediad angenrheidiol i waith yn unol â'r holl reoliadau. Poen cyfarwydd i bob datblygwr? Mewn un banc mawr, cymerodd y weithdrefn hon o sawl awr i sawl diwrnod. A chan fod cannoedd o lawdriniaethau cyffelyb bob mis, mae'n hawdd dychmygu maint y cynllun llafurus hwn. I roi terfyn ar hyn, fe wnaethom foderneiddio cwmwl preifat y banc ac awtomeiddio nid yn unig y broses o greu VMs, ond hefyd gweithrediadau cysylltiedig.
Tasg Rhif 1. Cwmwl gyda chysylltiad Rhyngrwyd
Creodd y banc gwmwl preifat gan ddefnyddio ei dîm TG mewnol ar gyfer un rhan o'r rhwydwaith. Dros amser, roedd y rheolwyr yn gwerthfawrogi ei fanteision a phenderfynodd ymestyn y cysyniad cwmwl preifat i amgylcheddau a segmentau eraill o'r banc. Roedd hyn yn gofyn am fwy o arbenigwyr ac arbenigedd cryf mewn cymylau preifat. Felly, ymddiriedwyd yn ein tîm i foderneiddio'r cwmwl.
Prif ffrwd y prosiect hwn oedd creu peiriannau rhithwir mewn segment ychwanegol o ddiogelwch gwybodaeth - yn y parth dad-filwredig (DMZ). Dyma lle mae gwasanaethau'r banc wedi'u hintegreiddio â systemau allanol sydd wedi'u lleoli y tu allan i'r seilwaith bancio.
Ond roedd ochr fflip i'r fedal hon hefyd. Roedd gwasanaethau o’r DMZ ar gael “y tu allan” ac roedd hyn yn golygu set gyfan o risgiau diogelwch gwybodaeth. Yn gyntaf oll, dyma'r bygythiad o systemau hacio, ehangu dilynol y maes ymosod yn y DMZ, ac yna treiddio i mewn i seilwaith y banc. Er mwyn lleihau rhai o'r risgiau hyn, gwnaethom gynnig defnyddio mesur diogelwch ychwanegol - datrysiad micro-segmentu.
Amddiffyniad micro-segmentu
Mae segmentu clasurol yn adeiladu ffiniau gwarchodedig ar ffiniau rhwydweithiau gan ddefnyddio wal dân. Gyda microsegmentu, gellir gwahanu pob VM unigol yn segment personol, ynysig.
Mae hyn yn gwella diogelwch y system gyfan. Hyd yn oed os bydd ymosodwyr yn hacio un gweinydd DMZ, bydd yn hynod o anodd iddynt ledaenu'r ymosodiad ar draws y rhwydwaith - bydd yn rhaid iddynt dorri trwy lawer o "ddrysau wedi'u cloi" o fewn y rhwydwaith. Mae wal dân bersonol pob VM yn cynnwys ei reolau ei hun yn ei gylch, sy'n pennu'r hawl i fynd i mewn ac allan. Fe wnaethom ddarparu micro-segmentu gan ddefnyddio Wal Dân Dosbarthedig VMware NSX-T. Mae'r cynnyrch hwn yn ganolog yn creu rheolau wal dân ar gyfer VMs ac yn eu dosbarthu ar draws y seilwaith rhithwiroli. Nid oes ots pa westai OS sy'n cael ei ddefnyddio, mae'r rheol yn cael ei chymhwyso ar lefel cysylltu peiriannau rhithwir â'r rhwydwaith.
Problem N2. I chwilio am gyflymder a chyfleustra
Defnyddio peiriant rhithwir? Yn hawdd! Cwpl o gliciau ac rydych chi wedi gorffen. Ond yna mae llawer o gwestiynau'n codi: sut i gael mynediad o'r VM hwn i un arall neu system? Neu o system arall yn ôl i'r VM?
Er enghraifft, mewn banc, ar ôl archebu VM ar y porth cwmwl, roedd angen agor y porth cymorth technegol a chyflwyno cais am ddarparu'r mynediad angenrheidiol. Arweiniodd camgymeriad yn y cais at alwadau a gohebiaeth i gywiro'r sefyllfa. Ar yr un pryd, gall VM gael 10-15-20 mynediad a chymerodd prosesu pob un amser. Proses diafol.
Yn ogystal, roedd angen gofal arbennig ar gyfer “glanhau” olion gweithgaredd bywyd peiriannau rhithwir o bell. Ar ôl iddynt gael eu tynnu, arhosodd miloedd o reolau mynediad ar y wal dân, gan lwytho'r offer. Mae hyn yn faich ychwanegol ac yn dyllau diogelwch.
Ni allwch wneud hyn gyda rheolau yn y cwmwl. Mae'n anghyfleus ac yn anniogel.
Er mwyn lleihau'r amser y mae'n ei gymryd i ddarparu mynediad i VMs a'i gwneud yn gyfleus i'w rheoli, rydym wedi datblygu gwasanaeth rheoli mynediad rhwydwaith ar gyfer VMs.
Mae'r defnyddiwr ar y lefel peiriant rhithwir yn y ddewislen cyd-destun yn dewis eitem i greu rheol mynediad, ac yna yn y ffurf sy'n agor yn nodi'r paramedrau - o ble, ble, mathau protocol, rhifau porthladdoedd. Ar ôl llenwi a chyflwyno'r ffurflen, mae'r tocynnau angenrheidiol yn cael eu creu'n awtomatig yn y system cymorth technegol defnyddiwr yn seiliedig ar Reolwr Gwasanaeth HP. Maent yn gyfrifol am gymeradwyo hyn neu'r mynediad hwnnw ac, os cymeradwyir mynediad, i arbenigwyr sy'n cyflawni rhai o'r gweithrediadau nad ydynt wedi'u hawtomeiddio eto.
Ar ôl i gam y broses fusnes sy'n cynnwys arbenigwyr weithio, mae'r rhan o'r gwasanaeth yn dechrau sy'n creu rheolau ar waliau tân yn awtomatig.
Fel y cord olaf, mae'r defnyddiwr yn gweld cais wedi'i gwblhau'n llwyddiannus ar y porth. Mae hyn yn golygu bod y rheol wedi'i chreu a gallwch weithio gydag ef - gweld, newid, dileu.
Sgôr terfynol y buddion
Yn y bôn, fe wnaethom foderneiddio agweddau bach ar y cwmwl preifat, ond cafodd y banc effaith amlwg. Mae defnyddwyr bellach yn derbyn mynediad i'r rhwydwaith trwy'r porth yn unig, heb ddelio'n uniongyrchol â'r Ddesg Gwasanaeth. Meysydd ffurf orfodol, eu dilysiad ar gyfer cywirdeb y data a gofnodwyd, rhestrau wedi'u ffurfweddu ymlaen llaw, data ychwanegol - mae hyn i gyd yn helpu i lunio cais mynediad cywir, a fydd gyda lefel uchel o debygolrwydd yn cael ei ystyried ac ni chaiff ei wrthod gan weithwyr diogelwch gwybodaeth dyledus. i fewnbynnu gwallau. Nid yw peiriannau rhithwir bellach yn flychau du - gallwch barhau i weithio gyda nhw trwy wneud newidiadau ar y porth.
O ganlyniad, heddiw mae gan arbenigwyr TG y banc ar gael iddynt arf mwy cyfleus ar gyfer cael mynediad, a dim ond y bobl hynny sy'n cymryd rhan yn y broses, hebddynt yn bendant ni allant wneud heb. Yn gyfan gwbl, o ran costau llafur, mae hwn yn ryddhad o'r llwyth llawn dyddiol o 1 person o leiaf, yn ogystal â dwsinau o oriau a arbedir i ddefnyddwyr. Roedd awtomeiddio creu rheolau yn ei gwneud hi'n bosibl gweithredu datrysiad micro-segmentu nad yw'n creu baich ar weithwyr banc.
Ac yn olaf, daeth y “rheol mynediad” yn uned gyfrifo'r cwmwl. Hynny yw, nawr mae'r cwmwl yn storio gwybodaeth am y rheolau ar gyfer pob VM ac yn eu glanhau pan fydd peiriannau rhithwir yn cael eu dileu.
Yn fuan bydd buddion moderneiddio yn lledaenu i gwmwl y banc cyfan. Mae awtomeiddio'r broses creu VM a micro-segmentu wedi symud y tu hwnt i'r DMZ ac wedi dal segmentau eraill. Ac fe gynyddodd hyn ddiogelwch y cwmwl yn ei gyfanrwydd.
Mae'r datrysiad a weithredir hefyd yn ddiddorol gan ei fod yn caniatáu i'r banc gyflymu prosesau datblygu, gan ddod ag ef yn agosach at y model o gwmnïau TG yn unol â'r maen prawf hwn. Wedi'r cyfan, o ran cymwysiadau symudol, pyrth a gwasanaethau cwsmeriaid, mae unrhyw gwmni mawr heddiw yn ymdrechu i ddod yn "ffatri" ar gyfer cynhyrchu cynhyrchion digidol. Yn yr ystyr hwn, mae banciau i bob pwrpas yn chwarae ar yr un lefel â'r cwmnïau TG cryfaf, gan gadw i fyny â chreu cymwysiadau newydd. Ac mae'n dda pan fydd galluoedd seilwaith TG a adeiladwyd ar fodel cwmwl preifat yn caniatáu ichi ddyrannu'r adnoddau angenrheidiol ar gyfer hyn mewn ychydig funudau ac mor ddiogel â phosibl.
Awduron:
Vyacheslav Medvedev, Pennaeth Adran Cyfrifiadura Cwmwl, Jet Infosystems,
Ilya Kuikin, prif beiriannydd adran cyfrifiadura cwmwl Jet Infosystems
Ffynhonnell: hab.com