La artikolo diskutos pri la problemoj pri organizado de reto-infrastrukturo laŭ la tradicia maniero kaj metodoj por solvi la samajn problemojn uzante nubajn teknologiojn.
Por referenco. Nebula estas SaaS-nuba medio por malproksime konservi retan infrastrukturon. Ĉiuj Nebula-ebligitaj aparatoj estas administritaj de la nubo per sekura konekto. Vi povas administri grandan distribuitan retan infrastrukturon de ununura centro sen elspezi la penon krei ĝin.
Kial vi bezonas alian nuban servon?
La ĉefa problemo kiam vi laboras kun retaj infrastrukturoj ne estas desegnado de la reto kaj aĉeti ekipaĵon, aŭ eĉ instali ĝin en rako, sed ĉio alia, kio devos esti farita kun ĉi tiu reto estonte.
Nova reto - malnovaj zorgoj
Kiam oni ekfunkciigas novan retan nodon post instalo kaj konekto de la ekipaĵo, komenciĝas la komenca agordo. El la vidpunkto de la "grandaj estroj" - nenio komplika: "Ni prenas la labordokumentaron por la projekto kaj komencas agordi..." Ĉi tio estas tiel bone dirita kiam ĉiuj retaj elementoj troviĝas en unu datuma centro. Se ili estas disigitaj trans branĉoj, komenciĝas la kapdoloro provizi foran aliron. Ĝi estas tia malvirta cirklo: por akiri foran aliron tra la reto, vi devas agordi retajn ekipaĵojn, kaj por tio vi bezonas aliron tra la reto...
Ni devas elpensi diversajn planojn por eliri el la supre priskribita blokiĝo. Ekzemple, tekokomputilo kun interreta aliro per USB 4G modemo estas konektita per flikŝnuro al kutima reto. VPN-kliento estas instalita sur ĉi tiu tekkomputilo, kaj per ĝi la retadministranto de la ĉefsidejo provas akiri aliron al la branĉo-reto. La skemo ne estas la plej travidebla - eĉ se vi alportas tekkomputilon kun antaŭ-agordita VPN al fora retejo kaj petas ŝalti ĝin, estas malproksime de fakto, ke ĉio funkcios la unuan fojon. Precipe se ni parolas pri malsama regiono kun malsama provizanto.
Rezultas, ke la plej fidinda maniero estas havi bonan specialiston "ĉe la alia fino de la linio", kiu povas agordi sian parton laŭ la projekto. Se ne ekzistas tia afero en la branĉa personaro, la elektoj restas: aŭ subkontraktado aŭ komerca vojaĝo.
Ni ankaŭ bezonas monitoran sistemon. Ĝi devas esti instalita, agordita, konservita (almenaŭ monitori diskospacon kaj fari regulajn sekurkopiojn). Kaj kiu scias nenion pri niaj aparatoj ĝis ni rakontas ĝin. Por fari tion, vi devas registri agordojn por ĉiuj ekipaĵoj kaj regule kontroli la gravecon de la rekordoj.
Estas bonege, kiam la personaro havas sian propran "unu-viran orkestron", kiu, krom la specifa scio de retadministranto, scias kiel labori kun Zabbix aŭ alia simila sistemo. Alie, ni dungas alian personon en dungitaro aŭ subkontraktas ĝin.
Notu. La plej malĝojaj eraroj komenciĝas per la vortoj: "Kio estas por agordi ĉi tiun Zabbix (Nagios, OpenView, ktp.)? Mi rapide prenos ĝin kaj ĝi estas preta!"
De efektivigo ĝis operacio
Ni rigardu specifan ekzemplon.
Alarma mesaĝo estis ricevita indikante ke WiFi-alirpunkto ie ne respondas.
Kie ŝi estas?
Kompreneble, bona retadministranto havas sian propran personan dosierujon, en kiu ĉio estas skribita. La demandoj komenciĝas kiam ĉi tiu informo devas esti dividita. Ekzemple, vi urĝe devas sendi mesaĝiston por ordigi aferojn surloke, kaj por tio vi devas elsendi ion kiel: "Alirpunkto en la komerca centro sur Stroiteley Street, konstruaĵo 1, en la 3-a etaĝo, ĉambro Nr. 301 apud la frontpordo sub plafono."
Ni diru, ke ni estas bonŝancaj kaj la alirpunkto estas funkciigita per PoE, kaj la ŝaltilo permesas ĝin esti rekomencita malproksime. Vi ne bezonas vojaĝi, sed vi bezonas foran aliron al la ŝaltilo. Restas nur agordi havenon plusendante per PAT sur la enkursigilo, eltrovi la VLAN por konekti de ekstere, ktp. Estas bone, se ĉio estas agordita anticipe. La laboro eble ne estas malfacila, sed ĝi devas esti farita.
Do, la manĝelirejo estis rekomencita. Ĉu ne helpis?
Ni diru, ke io misas en la aparataro. Nun ni serĉas informojn pri la garantio, ekfunkciigo kaj aliaj interesaj detaloj.
Parolante pri WiFi. Uzi la hejman version de WPA2-PSK, kiu havas unu ŝlosilon por ĉiuj aparatoj, ne estas rekomendita en kompania medio. Unue, unu ŝlosilo por ĉiuj estas simple nesekura, kaj due, kiam unu dungito foriras, vi devas ŝanĝi ĉi tiun komunan ŝlosilon kaj refari la agordojn en ĉiuj aparatoj por ĉiuj uzantoj. Por eviti tiajn problemojn, ekzistas WPA2-Enterprise kun individua aŭtentigo por ĉiu uzanto. Sed por tio vi bezonas RADIUS-servilon - alian infrastrukturan unuon, kiun oni devas kontroli, sekurkopiojn, ktp.
Bonvolu noti, ke en ĉiu etapo, ĉu ĝi estas efektivigo aŭ operacio, ni uzis subtenajn sistemojn. Ĉi tio inkluzivas tekokomputilon kun "triaparta" Interreta konekto, monitora sistemo, ekipaĵa referenca datumbazo kaj RADIUS kiel aŭtentikigsistemo. Krom retaj aparatoj, vi ankaŭ devas konservi triajn servojn.
En tiaj kazoj, vi povas aŭdi la konsilon: "Donu ĝin al la nubo kaj ne suferu." Verŝajne ekzistas nubo Zabbix, eble estas nubo RADIUS ie, kaj eĉ nuba datumbazo por konservi liston de aparatoj. La problemo estas, ke tio ne bezonas aparte, sed "en unu botelo". Kaj tamen, aperas demandoj pri organizado de aliro, komenca aparato-agordo, sekureco kaj multe pli.
Kiel ĝi aspektas kiam vi uzas Nebula?
Kompreneble, komence la "nubo" scias nenion pri niaj planoj aŭ la aĉetita ekipaĵo.
Unue, organizo-profilo estas kreita. Tio estas, la tuta infrastrukturo: ĉefsidejo kaj branĉoj unue estas registritaj en la nubo. Detaloj estas precizigitaj kaj kontoj estas kreitaj por delegado de aŭtoritato.
Vi povas registri viajn aparatojn en la nubo laŭ du manieroj: la malnovmoda maniero - simple enigante la serian numeron dum plenigo de retformularo aŭ skanante QR-kodon per poŝtelefono. Ĉio, kion vi bezonas por la dua metodo, estas inteligenta telefono kun fotilo kaj interreta aliro, inkluzive per poŝtelefono.
Kompreneble, la necesa infrastrukturo por stoki informojn, kaj kontadon kaj agordojn, estas provizita de Zyxel Nebula.
Figuro 1. Nebula Kontrolcentro sekureca raporto.
Kio pri agordo de aliro? Malfermi havenojn, plusendante trafikon tra envenanta enirejo, ĉion, kion sekurecaj administrantoj ame nomas "pluki truojn"? Feliĉe, vi ne bezonas fari ĉion ĉi. Aparatoj kurantaj Nebula establas eksiĝintan konekton. Kaj la administranto konektas ne al aparta aparato, sed al la nubo por agordo. Nebula mediacias inter du konektoj: al la aparato kaj al la komputilo de la retadministranto. Ĉi tio signifas, ke la stadio de vokado de envenanta administranto povas esti minimumigita aŭ tute preterlasita. Kaj neniuj aldonaj "truoj" en la fajroŝirmilo.
Kio pri la RADUIS-servilo? Post ĉio, necesas ia centralizita aŭtentigo!
Kaj ĉi tiujn funkciojn ankaŭ transprenas Nebula. Aŭtentikigo de kontoj por aliro al ekipaĵo okazas per sekura datumbazo. Ĉi tio multe simpligas la delegacion aŭ retiron de rajtoj por administri la sistemon. Ni devas transdoni rajtojn - krei uzanton, asigni rolon. Ni devas forpreni la rajtojn - ni plenumas la inversajn paŝojn.
Aparte, indas mencii WPA2-Enterprise, kiu postulas apartan aŭtentikigservon. Zyxel Nebula havas sian propran analogon - DPPSK, kiu permesas vin uzi WPA2-PSK kun individua ŝlosilo por ĉiu uzanto.
"Malkonvenaj" demandoj
Malsupre ni provos doni respondojn al la plej malfacilaj demandoj, kiujn oni ofte faras enirante en nuba servo
Ĉu vere sekura?
En ajna delegacio de kontrolo kaj administrado por certigi sekurecon, du faktoroj ludas gravan rolon: anonimigo kaj ĉifrado.
Uzi ĉifradon por protekti trafikon de malklaraj okuloj estas io, kion la legantoj pli-malpli konas.
Anonimigo kaŝas informojn pri la posedanto kaj fonto de nuba provizanto. Personaj informoj estas forigitaj kaj rekordoj ricevas "senvizaĝan" identigilon. Nek la programisto de nuba programaro nek la administranto prizorganta la nuban sistemon povas koni la posedanton de la petoj. "De kie ĉi tio venis? Kiu povus interesiĝi pri tio?” - tiaj demandoj restos neresponditaj. La manko de informoj pri la posedanto kaj fonto faras internulon sencela tempoperdo.
Se ni komparas ĉi tiun aliron kun la tradicia praktiko de subkontraktado aŭ dungado de envenanta administranto, estas evidente, ke nubaj teknologioj estas pli sekuraj. Alvenanta IT-specialisto scias sufiĉe multe pri sia organizo, kaj povas, vole-nevole, kaŭzi gravan damaĝon laŭ sekureco. La afero de maldungo aŭ ĉesigo de la kontrakto ankoraŭ devas esti solvita. Kelkfoje, krom blokado aŭ forigo de konto, tio implicas tutmondan ŝanĝon de pasvortoj por aliri servojn, kaj ankaŭ revizion de ĉiuj rimedoj por "forgesitaj" enirpunktoj kaj eblaj "legosignoj".
Kiom multe pli multekosta aŭ pli malmultekosta estas Nebula ol envenanta administranto?
Ĉio estas relativa. La bazaj funkcioj de Nebula disponeblas senpage. Efektive, kio povus esti eĉ pli malmultekosta?
Kompreneble, estas neeble tute fari sen reta administranto aŭ persono anstataŭanta lin. La demando estas la nombro da homoj, ilia specialiĝo kaj distribuo inter retejoj.
Koncerne al la pagita etendita servo, farante rektan demandon: pli multekosta aŭ pli malmultekosta - tia aliro ĉiam estos malpreciza kaj unuflanka. Estus pli ĝuste kompari multajn faktorojn, de mono ĝis pagi por la laboro de specifaj specialistoj kaj finiĝantaj per la kostoj de certigi ilian interagon kun entreprenisto aŭ individuo: kontrolo de kvalito, redaktado de dokumentado, konservado de la nivelo de sekureco, kaj tiel plu.
Se ni parolas pri la temo, ĉu estas enspezige aŭ ne profita aĉeti pagitan pakaĵon da servoj (Pro-Pack), tiam proksimuma respondo povus soni tiel: se la organizo estas malgranda, vi povas elteni la bazan. versio, se la organizo kreskas, tiam havas sencon pensi pri Pro-Pack. La diferencoj inter versioj de Zyxel Nebula videblas en Tabelo 1.
Tablo 1. Diferencoj inter la bazaj kaj Pro-Pack-aj funkcioj por Nebula.
Ĉi tio inkluzivas altnivelan raportadon, uzantan revizion, agordan klonadon kaj multe pli.
Kio pri trafika protekto?
Nebula uzas la protokolon certigi sekuran funkciadon de retaj ekipaĵoj.
NETCONF povas funkcii aldone al pluraj transportprotokoloj:
- ();
- ();
- ();
- ().
Se ni komparas NETCONF kun aliaj metodoj, ekzemple, administrado per SNMP, oni devas rimarki tion NETCONF subtenas eksiĝintan TCP-konekton por venki NAT-barieron kaj estas konsiderata pli fidinda.
Kio pri aparatara subteno?
Kompreneble, vi ne devus igi la servilan ĉambron en zoo kun reprezentantoj de maloftaj kaj endanĝerigitaj specoj de ekipaĵo. Estas tre dezirinde, ke ekipaĵoj kunigitaj per administrada teknologio kovru ĉiujn direktojn: de la centra ŝaltilo ĝis alirpunktoj. Zyxel-inĝenieroj prizorgis ĉi tiun eblecon. Nebula funkciigas multajn aparatojn:
- 10G centraj ŝaltiloj;
- alirnivelaj ŝaltiloj;
- ŝaltiloj kun PoE;
- alirpunktoj;
- retaj enirejoj.
Uzante larĝan gamon de subtenataj aparatoj, vi povas konstrui retojn por diversaj specoj de taskoj. Ĉi tio validas precipe por kompanioj, kiuj kreskas ne supren, sed eksteren, konstante esplorantaj novajn areojn por fari komercon.
Kontinua disvolviĝo
Retaj aparatoj kun tradicia administra metodo havas nur unu manieron de plibonigo - ŝanĝi la aparaton mem, ĉu ĝi estas nova firmvaro aŭ pliaj moduloj. En la kazo de Zyxel Nebula, ekzistas plia vojo por plibonigo - per plibonigo de la nuba infrastrukturo. Ekzemple, post ĝisdatigo de Nebula Control Center (NCC) al versio 10.1. (21-a de septembro 2020) novaj funkcioj estas disponeblaj por uzantoj, jen kelkaj el ili:
- La posedanto de organizo nun povas transdoni ĉiujn posedrajtojn al alia administranto en la sama organizo;
- nova rolo nomita Owner Representative, kiu havas la samajn rajtojn kiel la organizposedanto;
- nova organizo-kovranta firmware ĝisdatigo funkcio (Pro-Pack trajto);
- du novaj opcioj estis aldonitaj al la topologio: rekomenci la aparaton kaj ŝalti kaj malŝalti la havenon PoE (funkcio Pro-Pack);
- subteno por novaj alirpunktomodeloj: WAC500, WAC500H, WAC5302D-Sv2 kaj NWA1123ACv3;
- subteno por aŭtentikigo de kuponoj kun QR-koda presado (funkcio Pro-Pack).
utilaj ligoj
fonto: www.habr.com