Bydd yr erthygl yn trafod problemau trefnu seilwaith rhwydwaith yn y ffordd draddodiadol a dulliau ar gyfer datrys yr un materion gan ddefnyddio technolegau cwmwl.
Er gwybodaeth. Mae Nebula yn amgylchedd cwmwl SaaS ar gyfer cynnal a chadw seilwaith rhwydwaith o bell. Mae'r holl ddyfeisiau sydd wedi'u galluogi gan Nebula yn cael eu rheoli o'r cwmwl trwy gysylltiad diogel. Gallwch reoli seilwaith rhwydwaith gwasgaredig mawr o un ganolfan heb wario'r ymdrech i'w greu.
Pam mae angen gwasanaeth cwmwl arall arnoch chi?
Y brif broblem wrth weithio gyda seilwaith rhwydwaith yw nid dylunio'r rhwydwaith a phrynu offer, neu hyd yn oed ei osod mewn rac, ond popeth arall y bydd yn rhaid ei wneud gyda'r rhwydwaith hwn yn y dyfodol.
Rhwydwaith newydd - hen bryderon
Wrth roi nod rhwydwaith newydd ar waith ar ôl gosod a chysylltu'r offer, mae'r cyfluniad cychwynnol yn dechrau. O safbwynt y “penaethiaid mawr” - dim byd cymhleth: “Rydym yn cymryd y dogfennau gweithio ar gyfer y prosiect ac yn dechrau sefydlu...” Mae hyn wedi'i ddweud cystal pan fydd yr holl elfennau rhwydwaith wedi'u lleoli mewn un ganolfan ddata. Os ydynt wedi'u gwasgaru ar draws canghennau, mae'r cur pen o ddarparu mynediad o bell yn dechrau. Mae'n gylch mor ddieflig: i gael mynediad o bell dros y rhwydwaith, mae angen i chi ffurfweddu offer rhwydwaith, ac ar gyfer hyn mae angen mynediad dros y rhwydwaith...
Mae'n rhaid i ni ddod o hyd i wahanol gynlluniau i ddod allan o'r cyfyngder a ddisgrifir uchod. Er enghraifft, mae gliniadur gyda mynediad i'r Rhyngrwyd trwy fodem USB 4G wedi'i gysylltu trwy linyn clwt i rwydwaith arferol. Mae cleient VPN wedi'i osod ar y gliniadur hon, a thrwyddo mae gweinyddwr y rhwydwaith o'r pencadlys yn ceisio cael mynediad i'r rhwydwaith cangen. Nid y cynllun yw'r mwyaf tryloyw - hyd yn oed os byddwch chi'n dod â gliniadur gyda VPN wedi'i ffurfweddu ymlaen llaw i safle anghysbell ac yn gofyn i'w droi ymlaen, mae'n bell o fod yn ffaith y bydd popeth yn gweithio y tro cyntaf. Yn enwedig os ydym yn sôn am ranbarth gwahanol gyda darparwr gwahanol.
Mae'n ymddangos mai'r ffordd fwyaf dibynadwy yw cael arbenigwr da "ar ben arall y llinell" a all ffurfweddu ei ran yn ôl y prosiect. Os nad oes y fath beth yn staff y gangen, erys yr opsiynau: naill ai drwy gontract allanol neu deithio busnes.
Mae angen system fonitro arnom hefyd. Mae angen ei osod, ei ffurfweddu, ei gynnal (o leiaf monitro gofod disg a gwneud copïau wrth gefn yn rheolaidd). Ac sy'n gwybod dim am ein dyfeisiau nes i ni ddweud hynny. I wneud hyn, mae angen i chi gofrestru gosodiadau ar gyfer pob darn o offer a monitro perthnasedd y cofnodion yn rheolaidd.
Mae'n wych pan fydd gan y staff ei “gerddorfa un dyn” ei hun, sydd, yn ogystal â gwybodaeth benodol gweinyddwr rhwydwaith, yn gwybod sut i weithio gyda Zabbix neu system debyg arall. Fel arall, rydym yn llogi person arall ar staff neu'n ei roi ar gontract allanol.
Nodyn. Mae'r camgymeriadau tristaf yn dechrau gyda'r geiriau: “Beth sydd yna i ffurfweddu'r Zabbix hwn (Nagios, OpenView, ac ati)? Byddaf yn ei godi'n gyflym ac mae'n barod!"
O weithrediad i weithrediad
Gadewch i ni edrych ar enghraifft benodol.
Derbyniwyd neges larwm yn nodi nad yw pwynt mynediad WiFi yn rhywle yn ymateb.
Ble mae hi?
Wrth gwrs, mae gan weinyddwr rhwydwaith da ei gyfeiriadur personol ei hun lle mae popeth wedi'i ysgrifennu. Mae'r cwestiynau'n dechrau pan fydd angen rhannu'r wybodaeth hon. Er enghraifft, mae angen i chi anfon negesydd ar frys i ddatrys pethau yn y fan a'r lle, ac ar gyfer hyn mae angen ichi gyhoeddi rhywbeth fel: “Pwynt mynediad yn y ganolfan fusnes ar Stroiteley Street, adeilad 1, ar y 3ydd llawr, ystafell Rhif. 301 nesaf at y drws ffrynt o dan y nenfwd."
Gadewch i ni ddweud ein bod ni'n lwcus ac mae'r pwynt mynediad yn cael ei bweru trwy PoE, ac mae'r switsh yn caniatáu iddo gael ei ailgychwyn o bell. Nid oes angen i chi deithio, ond mae angen mynediad o bell i'r switsh. Y cyfan sydd ar ôl yw ffurfweddu anfon porthladd ymlaen trwy PAT ar y llwybrydd, cyfrifo'r VLAN ar gyfer cysylltu o'r tu allan, ac ati. Mae'n dda os caiff popeth ei osod ymlaen llaw. Efallai na fydd y gwaith yn anodd, ond mae angen ei wneud.
Felly, ail-gychwynwyd y siop fwyd. Heb helpu?
Gadewch i ni ddweud bod rhywbeth o'i le yn y caledwedd. Nawr rydym yn chwilio am wybodaeth am y warant, cychwyn a manylion eraill o ddiddordeb.
Wrth siarad am WiFi. Ni argymhellir defnyddio fersiwn cartref WPA2-PSK, sydd ag un allwedd ar gyfer pob dyfais, mewn amgylchedd corfforaethol. Yn gyntaf, mae un allwedd i bawb yn anniogel, ac yn ail, pan fydd un gweithiwr yn gadael, mae'n rhaid i chi newid yr allwedd gyffredin hon ac ail-wneud y gosodiadau ar bob dyfais ar gyfer pob defnyddiwr. Er mwyn osgoi trafferthion o'r fath, mae WPA2-Enterprise gyda dilysiad unigol ar gyfer pob defnyddiwr. Ond ar gyfer hyn mae angen gweinydd RADIUS arnoch chi - uned seilwaith arall y mae angen ei rheoli, gwneud copïau wrth gefn, ac ati.
Sylwch ein bod wedi defnyddio systemau cymorth ar bob cam, boed yn weithrediad neu weithrediad. Mae hyn yn cynnwys gliniadur gyda chysylltiad Rhyngrwyd “trydydd parti”, system fonitro, cronfa ddata cyfeirio offer, a RADIUS fel system ddilysu. Yn ogystal â dyfeisiau rhwydwaith, mae'n rhaid i chi hefyd gynnal gwasanaethau trydydd parti.
Mewn achosion o’r fath, gallwch glywed y cyngor: “Rhowch ef i’r cwmwl a pheidiwch â dioddef.” Yn sicr mae yna gwmwl Zabbix, efallai bod cwmwl RADIUS yn rhywle, a hyd yn oed cronfa ddata cwmwl i gynnal rhestr o ddyfeisiau. Y drafferth yw nad oes angen hyn ar wahân, ond “mewn un botel.” Ac o hyd, mae cwestiynau'n codi ynghylch trefnu mynediad, gosod dyfais gychwynnol, diogelwch, a llawer mwy.
Sut mae'n edrych wrth ddefnyddio Nebula?
Wrth gwrs, i ddechrau nid yw'r “cwmwl” yn gwybod dim am ein cynlluniau na'r offer a brynwyd.
Yn gyntaf, mae proffil sefydliad yn cael ei greu. Hynny yw, mae'r seilwaith cyfan: pencadlys a changhennau yn cael ei gofrestru gyntaf yn y cwmwl. Nodir manylion a chrëir cyfrifon ar gyfer dirprwyo awdurdod.
Gallwch gofrestru'ch dyfeisiau yn y cwmwl mewn dwy ffordd: y ffordd hen ffasiwn - yn syml trwy nodi'r rhif cyfresol wrth lenwi ffurflen we neu drwy sganio cod QR gan ddefnyddio ffôn symudol. Y cyfan sydd ei angen arnoch ar gyfer yr ail ddull yw ffôn clyfar gyda chamera a mynediad i'r Rhyngrwyd, gan gynnwys trwy ddarparwr ffôn symudol.
Wrth gwrs, mae Zyxel Nebula yn darparu'r seilwaith angenrheidiol ar gyfer storio gwybodaeth, cyfrifeg a gosodiadau.
Ffigur 1. Adroddiad diogelwch Canolfan Reoli Nebula.
Beth am sefydlu mynediad? Agor porthladdoedd, anfon traffig ymlaen trwy borth sy'n dod i mewn, y cyfan y mae gweinyddwyr diogelwch yn ei alw'n annwyl i "dynnu tyllau"? Yn ffodus, nid oes angen i chi wneud hyn i gyd. Mae dyfeisiau sy'n rhedeg Nebula yn sefydlu cysylltiad sy'n mynd allan. Ac mae'r gweinyddwr yn cysylltu nid â dyfais ar wahân, ond â'r cwmwl ar gyfer cyfluniad. Mae Nebula yn cyfryngu rhwng dau gysylltiad: i'r ddyfais ac i gyfrifiadur gweinyddwr y rhwydwaith. Mae hyn yn golygu y gellir lleihau'r cam o alw gweinyddwr sy'n dod i mewn neu ei hepgor yn gyfan gwbl. A dim “tyllau” ychwanegol yn y wal dân.
Beth am y gweinydd RADUIS? Wedi'r cyfan, mae angen rhyw fath o ddilysu canolog!
Ac mae'r swyddogaethau hyn hefyd yn cael eu cymryd drosodd gan Nebula. Dilysir cyfrifon ar gyfer mynediad at offer trwy gronfa ddata ddiogel. Mae hyn yn symleiddio'n fawr y broses o ddirprwyo neu dynnu hawliau i reoli'r system yn ôl. Mae angen i ni drosglwyddo hawliau - creu defnyddiwr, aseinio rôl. Mae angen i ni ddileu'r hawliau - rydym yn cyflawni'r camau gwrthdroi.
Ar wahân, mae'n werth sôn am WPA2-Enterprise, sy'n gofyn am wasanaeth dilysu ar wahân. Mae gan Zyxel Nebula ei analog ei hun - DPPSK, sy'n eich galluogi i ddefnyddio WPA2-PSK gydag allwedd unigol ar gyfer pob defnyddiwr.
Cwestiynau "anghyfleus".
Isod byddwn yn ceisio rhoi atebion i'r cwestiynau mwyaf dyrys a ofynnir yn aml wrth fynd i mewn i wasanaeth cwmwl
A yw'n wirioneddol ddiogel?
Mewn unrhyw ddirprwyaeth o reolaeth a rheolaeth i sicrhau diogelwch, mae dau ffactor yn chwarae rhan bwysig: anhysbysrwydd ac amgryptio.
Mae defnyddio amgryptio i amddiffyn traffig rhag llygaid busneslyd yn rhywbeth y mae darllenwyr fwy neu lai yn gyfarwydd ag ef.
Mae anonymization yn cuddio gwybodaeth am y perchennog a'r ffynhonnell gan bersonél darparwr cwmwl. Caiff gwybodaeth bersonol ei thynnu a rhoddir dynodwr “diwyneb” i gofnodion. Ni all datblygwr meddalwedd y cwmwl na'r gweinyddwr sy'n cynnal y system cwmwl adnabod perchennog y ceisiadau. “O ble daeth hwn? Pwy allai fod â diddordeb yn hyn?” - bydd cwestiynau o'r fath yn parhau heb eu hateb. Mae diffyg gwybodaeth am y perchennog a'r ffynhonnell yn gwneud y tu mewn yn wastraff amser dibwrpas.
Os byddwn yn cymharu'r dull hwn â'r arfer traddodiadol o gontract allanol neu logi gweinyddwr sy'n dod i mewn, mae'n amlwg bod technolegau cwmwl yn fwy diogel. Mae arbenigwr TG newydd yn gwybod cryn dipyn am ei sefydliad, a gall, yn wir, achosi niwed sylweddol o ran diogelwch. Mae angen datrys y mater o ddiswyddo neu derfynu contract o hyd. Weithiau, yn ogystal â rhwystro neu ddileu cyfrif, mae hyn yn golygu newid cyfrineiriau yn fyd-eang ar gyfer cyrchu gwasanaethau, yn ogystal ag archwiliad o'r holl adnoddau ar gyfer pwyntiau mynediad “anghofiedig” a “nodau tudalen” posibl.
Faint yn ddrutach neu'n rhatach yw Nebula na gweinyddwr sy'n dod i mewn?
Mae popeth yn gymharol. Mae nodweddion sylfaenol Nebula ar gael am ddim. Mewn gwirionedd, beth allai fod hyd yn oed yn rhatach?
Wrth gwrs, mae'n amhosibl gwneud yn llwyr heb weinyddwr rhwydwaith neu berson yn ei le. Y cwestiwn yw nifer y bobl, eu harbenigedd a'u dosbarthiad ar draws safleoedd.
O ran y gwasanaeth estynedig taledig, gan ofyn cwestiwn uniongyrchol: yn ddrutach neu'n rhatach - bydd dull o'r fath bob amser yn anghywir ac yn unochrog. Byddai’n fwy cywir cymharu llawer o ffactorau, yn amrywio o arian i dalu am waith arbenigwyr penodol ac yn gorffen gyda chostau sicrhau eu rhyngweithio â chontractwr neu unigolyn: rheoli ansawdd, llunio dogfennaeth, cynnal lefel y diogelwch, a yn y blaen.
Os ydym yn sôn am y pwnc a yw'n broffidiol ai peidio i brynu pecyn o wasanaethau taledig (Pro-Pack), yna efallai y bydd ateb bras yn swnio fel hyn: os yw'r sefydliad yn fach, gallwch ddod ymlaen â'r sylfaenol fersiwn, os yw'r sefydliad yn tyfu, yna mae'n gwneud synnwyr i feddwl am Pro-Pack. Mae’r gwahaniaethau rhwng fersiynau o Zyxel Nebula i’w gweld yn Nhabl 1.
Tabl 1. Gwahaniaethau rhwng y setiau nodwedd sylfaenol a Pro-Pack ar gyfer Nebula.
Mae hyn yn cynnwys adrodd uwch, archwilio defnyddwyr, clonio cyfluniad, a llawer mwy.
Beth am amddiffyn traffig?
Mae Nebula yn defnyddio'r protocol i sicrhau gweithrediad diogel offer rhwydwaith.
Gall NETCONF redeg ar ben sawl protocol trafnidiaeth:
- ();
- ();
- ();
- ().
Os byddwn yn cymharu NETCONF â dulliau eraill, er enghraifft, rheoli trwy SNMP, dylid nodi hynny NETCONF yn cefnogi cysylltiad TCP sy'n mynd allan i oresgyn rhwystr NAT ac fe'i hystyrir yn fwy dibynadwy.
Beth am gefnogaeth caledwedd?
Wrth gwrs, ni ddylech droi'r ystafell weinydd yn sw gyda chynrychiolwyr mathau prin o offer sydd mewn perygl. Mae'n ddymunol iawn bod offer unedig gan dechnoleg rheoli yn cwmpasu pob cyfeiriad: o'r switsh canolog i bwyntiau mynediad. Roedd peirianwyr Zyxel yn gofalu am y posibilrwydd hwn. Mae Nebula yn rhedeg llawer o ddyfeisiau:
- Switsys canolog 10G;
- switshis lefel mynediad;
- switshis gyda PoE;
- pwyntiau mynediad;
- pyrth rhwydwaith.
Gan ddefnyddio ystod eang o ddyfeisiau a gefnogir, gallwch adeiladu rhwydweithiau ar gyfer gwahanol fathau o dasgau. Mae hyn yn arbennig o wir ar gyfer cwmnïau sy'n tyfu nid i fyny, ond tuag allan, yn gyson yn archwilio meysydd newydd ar gyfer gwneud busnes.
Datblygiad parhaus
Dim ond un ffordd o wella sydd gan ddyfeisiau rhwydwaith gyda dull rheoli traddodiadol - newid y ddyfais ei hun, boed yn firmware newydd neu fodiwlau ychwanegol. Yn achos Zyxel Nebula, mae llwybr ychwanegol ar gyfer gwelliant - trwy wella seilwaith y cwmwl. Er enghraifft, ar ôl diweddaru Canolfan Reoli Nebula (NCC) i fersiwn 10.1. (Medi 21, 2020) mae nodweddion newydd ar gael i ddefnyddwyr, dyma rai ohonyn nhw:
- Gall perchennog sefydliad yn awr drosglwyddo'r holl hawliau perchnogaeth i weinyddwr arall yn yr un sefydliad;
- rôl newydd o'r enw Cynrychiolydd Perchennog, sydd â'r un hawliau â pherchennog y sefydliad;
- nodwedd diweddaru firmware newydd ar draws y sefydliad (nodwedd Pro-Pack);
- mae dau opsiwn newydd wedi'u hychwanegu at y topoleg: ailgychwyn y ddyfais a throi pŵer porthladd PoE ymlaen ac i ffwrdd (swyddogaeth Pro-Pack);
- cefnogaeth ar gyfer modelau pwynt mynediad newydd: WAC500, WAC500H, WAC5302D-Sv2 a NWA1123ACv3;
- cefnogaeth ar gyfer dilysu talebau gydag argraffu cod QR (swyddogaeth Pro-Pack).
Dolenni defnyddiol
Ffynhonnell: hab.com