En la babilejo de Telegramo Mi ofte vidas demandojn pri kiel ŝpari monon aĉetante permesilon de Mikrotik, aŭ uzi RouterOS, ĝenerale, senpage. Sufiĉe strange, sed ekzistas tiaj manieroj en la jura kampo.
En ĉi tiu artikolo, mi ne tuŝos la licencadon de aparataro Mikrotik, ĉar ili havas la maksimuman permesilon instalitan de la fabriko, kiun la aparataro povas servi.
De kie venis Mikrotik CHR?
Mikrotik produktas diversajn retajn ekipaĵojn kaj instalas sur ĝi universalan operaciumon de sia propra produktado - RouterOS. Ĉi tiu operaciumo havas grandegan funkciecon kaj klaran administran interfacon, kaj la ekipaĵo sur kiu ĝi estas uzata ne estas tre multekosta, kio klarigas ĝian larĝan distribuadon.
Por uzi RouterOS ekster ilia aparataro, Mikrotik publikigis x86 version kiu povus esti instalita sur iu ajn komputilo, donante duan vivon al antikva aparataro. Sed la permesilo estis ligita al la aparataj numeroj de la ekipaĵo sur kiu ĝi estis instalita. Tio estas, se la HDD mortis, tiam eblis adiaŭi la permesilon ...
aparataro kaj RouterOS x86 havas 6 nivelojn kaj enhavas amason da parametroj:
La versio x86 havis alian problemon - ĝi ne estis tre amika kun hipervizieroj kiel gasto. Sed se ne atendis altajn ŝarĝojn, tiam tute taŭga versio.
La laŭleĝa RouterOS x86 en la provo nur povas funkcii plene dum 24 horoj, kaj la senpaga havas multajn limigojn. Neniu sistemadministranto povos plene taksi la tutan funkciecon de RouterOS en 24 horoj ...
El pirata rimedo estis facile elŝuti bildon de virtuala maŝino kun jam instalita RouterOS x86, kompreneble kun ĝiaj lambastonoj, sed por mi, ekzemple, tio sufiĉis.
"Se vi ne povas venki la homamason, gvidu ĝin"
Kun la tempo, la kompetenta administrado de Mikrotik decidis, ke estas neeble batali piratadon kaj ke necesas igi ĝin neprofita ŝteli ilian operaciumon.
Do estis branĉo de RouterOS - "Cloud Hosted Router", alinome . Ĉi tiu sistemo estas optimumigita nur por laboro sur virtualiga sistemo. Vi povas elŝuti la bildon por ĉiuj komunaj virtualigaj platformoj: VHDX-bildo, VMDK-bildo, VDI-bildo, OVA-ŝablono, Kruda disko-bildo. La lasta virtuala disko povas esti deplojita sur preskaŭ ajna platformo.
La licencsistemo ankaŭ ŝanĝiĝis:
La limigo validas nur por la rapideco de retaj havenoj. En la senpaga versio, ĝi estas 1 Mbps, kio sufiĉas por konstrui virtualajn standojn (ekzemple, sur )
La pagita versio en la oficiala retejo mordas multe, sed vi povas aĉeti iom pli malmultekoste de oficialaj komercistoj:
Kaj se vi kontentas pri la rapideco de 1 Gbit/s en la havenoj, tiam sufiĉas por vi la permesilo P1:
Por kio estas CHR? Miaj ekzemploj.Mi ofte aŭdas la demandon: por kio vi bezonas ĉi tiun virtualan enkursigilon? Jen kelkaj ekzemploj de tio, por kio mi persone uzas ĝin. Bonvolu ne olivar pri ĉi tiuj decidoj, ĉar ili ne estas la temo de ĉi tiu artikolo. Ĉi tio estas nur aplika ekzemplo.
Centra enkursigilo por kombini oficejojn
Kelkfoje necesas kombini plurajn oficejojn en unu reton. Ne estas oficejo kun dika interreta kanalo kaj blanka ip. Eble ĉiuj sidas sur Yota, aŭ kanalo de 5 Mbps. Kaj la provizanto povas filtri iujn ajn protokolojn. Ekzemple, mi rimarkis, ke L2TP simple ne altiĝas per la Sankt-Peterburga provizanto Comfortel ...
En ĉi tiu kazo, mi levis CHR en la datumcentro, kie ili donas grasan stabilan kanalon por unu vds (kompreneble, mi testis ĝin de ĉiuj oficejoj). Tie, la reto tre malofte tute defalas, male al "oficejaj" provizantoj.
Ĉiuj oficejoj kaj uzantoj konektas al CHR per la VPN-protokolo, kiu estas la plej optimuma por ili. Ekzemple, poŝtelefonaj uzantoj (Android, IOS) sentas bonege sur IPSec Xauth.
Samtempe, se datumbazo de pluraj dekoj da gigabajtoj estas sinkronigita inter oficejo 1 kaj oficejo 2, tiam la uzanto rigardanta la fotilojn en la retejo ne rimarkos tion, ĉar la rapideco estos limigita de la kanala larĝo sur la fina aparato. , kaj ne per la kanalo CHR.
Enirejo por hiperviziero
Luante malgrandan nombron da serviloj en la DC por pluraj taskoj, mi uzas virtualigon de VMWare ESXi (vi povas uzi ajnan alian, la principo ne ŝanĝiĝas), kiu ebligas al vi flekseble administri la disponeblajn rimedojn kaj distribui ilin inter la servoj levitaj en la gastsistemoj.
Reto kaj sekureca administrado Mi fidas CHR kiel plenrajtan enkursigilon, sur kiu mi administras ĉiun retan agadon, kaj ujojn kaj la eksteran reton.
Cetere, post instalo de ESXi, la fizika servilo ne havas blankan ipv4. La maksimumo kiu povas aperi estas ipv6-adreso. En tia situacio, detekti hipervizion per simpla skanilo kaj utiligi "novan vundeblecon" simple ne estas realisma.
Dua vivo por malnova komputilo
Mi pensas, ke mi jam diris ĝin :-). Sen aĉeti multekostan enkursigilon, vi ankoraŭ povas altigi CHR sur malnova komputilo.
Plena CHR senpage
Plej ofte mi renkontas, ke ili serĉas senpagan CHR por levi prokurilon pri eksterlanda vds-gastigado. Kaj ili ne volas pagi 10k rublojn por permesilo el sia salajro.
Malpli oftaj, sed ekzistas: sovaĝe avida gvidado, devigante administrantojn konstrui infrastrukturon el feko kaj bastonoj.
Provo 60 tagoj
Kun la apero de CHR, la testo pliiĝis de 24 horoj al 60 tagoj! Antaŭkondiĉo por ĝia provizo estas la rajtigo de la instalado sub la sama ensaluto kaj pasvorto, kiujn vi havas
Noto pri ĉi tiu instalado aperos en via konto en la retejo:
Ĉu la juĝo finiĝos? Kio sekvas???
Sed nenio!
La havenoj funkcios plenrapide kaj ĉiuj funkcioj daŭre funkcios...
Ĝi nur ĉesos ricevi firmware-ĝisdatigojn, kio por multaj ne estas kritika. Se vi sufiĉe atentas sekurecon dum agordo, tiam vi eĉ ne bezonos iri al ĝi dum jaroj. Kion vi devas atenti speciale mi skribis en ĉi tiu artikolo
Kaj se vi ankoraŭ bezonas ĝisdatigi la firmware post la fino de la provo?
Ni restarigas la provon jene:
1. Ni faras sekurkopion.
2. Ni portas ĝin al nia komputilo.
3. Reinstalu CHR sur vds tute.
4. Ensalutu
Tiel, informoj pri la sekva instalado de CHR aperos en la persona konto en la retejo de Mikrotik.
5. Pligrandigu la sekurkopion.
Agordoj restarigitaj kaj denove restas 60 tagoj!
Ne povas esti reinstalita
Imagu, ke vi havas cent vendejojn, kie antikva komputilo kun CHR estas uzata kiel enkursigilo. Vi kontrolas CVE kaj provas respondi rapide al malkovritaj vundeblecoj.
Unufoje ĉiujn du monatojn, reinstali CHR sur ĉiuj objektoj estas malŝparo de administraj rimedoj.
Sed ekzistas maniero, kiu postulas almenaŭ unu aĉetitan licencon CHR P1. Preskaŭ ĉiu oficejo povas trovi 2k rublojn, kaj se ĝi ne povas, tiam vi forkuru de tie ^_^.
La ideo estas laŭleĝe transdoni la permesilon per via persona konto ĉe mikrotik.com de aparato al aparato!
Ni elektas "Sistema ID", ni bezonas enkursigilon.
Kaj alklaku "Transloki abonon".
La permesilo "moviĝis" al nova aparato, kaj la malnova aparato, kiu perdis sian permesilon, ricevis novan provon en 60 tagoj sen ajna reinstalo kaj aldonaj gestoj!
Tio estas, kun nur unu permesilo, vi povas servi grandegan CHR-floton!
Kial Mikrotik tiom malstreĉis sian licencadpolitikon?
Pro la havebleco de CHR, Mikrotik kreis grandegan komunumon ĉirkaŭ siaj produktoj. Armeo de specialistoj kaj entuziasmuloj testas sian produkton, faras raportojn pri trovitaj cimoj, generas scion pri diversaj kazoj ktp., tio estas, ĝi kondutas kiel sukcesa malfermkoda projekto.
Tiel, ne nur amaso da kaosa scio amasiĝas en virtuala medio, sed specialistoj estas trejnitaj, kiuj havas sufiĉan sperton kun aparta sistemo kaj, sekve, preferas la ekipaĵon de aparta vendisto. Kaj komercaj gvidantoj emas aŭskulti la specialistojn laborantajn por ili.
Kial Artoоestas pagebla trejnado kaj daŭraj MUM-konferencoj! En faka komunumo en Telegramo nun estas pli ol 3000 XNUMX homoj, kie fakuloj diskutas solvojn al diversaj problemoj. Sed ĉi tiuj estas temoj por apartaj artikoloj.
Tiel, la ĉefa enspezo de Mikrotik venas de vendado de ekipaĵo, ne licencoj por $45.
Ĉi tie kaj nun ni atestas la rapidan kreskon de IT-giganto, kiu aperis relative lastatempe - en 1997 en Latvio.
Mi ne miros, se post 5 jaroj D-Link anoncos la liberigon de alia enkursigilo funkcianta RouterOS de Mikrotik. Ĉi tio okazis multajn fojojn en la historio. Memoru, kiam Apple forlasis sian propran PowerPC en favoro de Intel-procesoroj.
Mi esperas, ke ĉi tiu artikolo forigis iujn viajn dubojn pri la uzo de produktoj de Mikrotik.
fonto: www.habr.com