Artiklis käsitletakse võrguinfrastruktuuri traditsioonilisel viisil korraldamise probleeme ja meetodeid samade probleemide lahendamiseks pilvetehnoloogiate abil.
Viide. Nebula on SaaS-i pilvekeskkond võrgu infrastruktuuri kaughaldamiseks. Kõiki Nebula toega seadmeid hallatakse pilvest turvalise ühenduse kaudu. Saate hallata suurt hajutatud võrguinfrastruktuuri ühest keskusest, ilma et peaksite selle loomisel vaeva nägema.
Miks vajate teist pilveteenust?
Võrgutaristuga töötamisel ei ole põhiprobleemiks mitte võrgu projekteerimine ja seadmete ostmine või isegi püstikusse paigaldamine, vaid kõik muu, mida selle võrguga edaspidi teha tuleb.
Uus võrk – vanad mured
Uue võrgusõlme kasutuselevõtmisel pärast seadmete paigaldamist ja ühendamist algab esialgne seadistamine. “Suurte ülemuste” seisukohalt - ei midagi keerulist: “Võtame projekti töödokumentatsiooni ja hakkame seadistama...” See on nii hästi öeldud, kui kõik võrguelemendid asuvad ühes andmekeskuses. Kui need on harude vahel laiali, algab kaugjuurdepääsu pakkumise peavalu. See on nõiaring: võrgu kaudu kaugjuurdepääsu saamiseks peate konfigureerima võrguseadmed ja selleks on vaja juurdepääsu üle võrgu...
Peame välja mõtlema erinevaid skeeme, et ülalkirjeldatud ummikseisust välja tulla. Näiteks USB 4G-modemi kaudu Interneti-juurdepääsuga sülearvuti ühendatakse patch-juhtme kaudu kohandatud võrku. Sellele sülearvutile on installitud VPN-klient ja selle kaudu proovib peakorteri võrguadministraator saada juurdepääsu haruvõrgule. Skeem pole just kõige läbipaistvam – isegi kui tood eelkonfigureeritud VPN-iga sülearvuti kaugsaidile ja palud selle sisse lülitada, pole kaugeltki tõsiasi, et kõik esimesel korral toimib. Eriti kui me räägime teisest piirkonnast erineva pakkujaga.
Selgub, et kõige usaldusväärsem on see, kui “teises otsas” on hea spetsialist, kes oskab oma osa projekti järgi seadistada. Kui filiaali töötajates sellist asja pole, jäävad valikuvõimalused: kas allhange või ärireisid.
Vajame ka seiresüsteemi. See tuleb installida, seadistada, hooldada (vähemalt jälgida kettaruumi ja teha regulaarselt varukoopiaid). Ja mis ei tea meie seadmetest midagi enne, kui me seda ütleme. Selleks peate registreerima kõigi seadmete seaded ja regulaarselt jälgima kirjete asjakohasust.
Tore, kui töötajatel on oma “ühemeheorkester”, mis lisaks võrguadministraatori spetsiifilistele teadmistele teab, kuidas töötada Zabbixi või mõne muu sarnase süsteemiga. Vastasel juhul võtame tööle teise inimese või tellime selle väljast.
Märkus. Kõige kurvemad vead algavad sõnadega: “Mis on selle Zabbixi seadistamiseks (Nagios, OpenView jne)? Ma võtan selle kiiresti ära ja see on valmis!"
Rakendamisest operatsioonini
Vaatame konkreetset näidet.
Saabus häireteade, mis teatas, et kuskil WiFi pääsupunkt ei reageeri.
Kus ta on?
Muidugi on heal võrguadministraatoril oma isiklik kataloog, kuhu on kõik kirja pandud. Küsimused algavad siis, kui seda teavet on vaja jagada. Näiteks peate kiiresti saatma messengeri, et asjad kohapeal korda ajada, ja selleks peate väljastama midagi sellist: "Pöörduspunkt ärikeskuses Stroiteley tänaval, maja 1, 3. korrusel, tuba nr. 301 välisukse kõrval lae all."
Oletame, et meil on vedanud ja pääsupunkti toiteallikaks on PoE ning lüliti võimaldab seda kaugkäivitada. Te ei pea reisima, kuid vajate kaugjuurdepääsu lülitile. Jääb vaid seadistada ruuteril pordiedastus PAT-i kaudu, välja selgitada väljastpoolt ühendamiseks mõeldud VLAN jne. Hea, kui kõik on eelnevalt paika pandud. Töö ei pruugi olla raske, kuid seda on vaja teha.
Niisiis, toidupood taaskäivitati. Ei aidanud?
Oletame, et riistvaras on midagi valesti. Nüüd otsime infot garantii, käivitamise ja muude huvipakkuvate detailide kohta.
Rääkides WiFi-st. WPA2-PSK koduversiooni kasutamine, millel on kõigi seadmete jaoks üks võti, ei ole ettevõtte keskkonnas soovitatav. Esiteks on üks võti kõigile lihtsalt ebaturvaline ja teiseks tuleb ühe töötaja lahkumisel seda ühist võtit muuta ja kõikide kasutajate jaoks kõikides seadmetes seaded uuesti teha. Selliste probleemide vältimiseks on olemas WPA2-Enterprise, millel on iga kasutaja jaoks individuaalne autentimine. Kuid selleks on vaja RADIUS-serverit – teist taristuüksust, mida tuleb juhtida, teha varukoopiaid jne.
Pange tähele, et igal etapil, olgu see siis juurutamine või toimimine, kasutasime tugisüsteeme. See hõlmab "kolmanda osapoole" Interneti-ühendusega sülearvutit, seiresüsteemi, seadmete viiteandmebaasi ja RADIUS-i autentimissüsteemina. Lisaks võrguseadmetele peate hooldama ka kolmandate osapoolte teenuseid.
Sellistel juhtudel võite kuulda nõuannet: "Anna see pilve ja ära kannata." Kindlasti on olemas pilv Zabbix, võib-olla on kuskil pilv RADIUS ja isegi pilveandmebaas seadmete loendi haldamiseks. Probleem on selles, et seda pole vaja eraldi, vaid "ühes pudelis". Ja ikkagi tekivad küsimused juurdepääsu korraldamise, seadme esialgse seadistamise, turvalisuse ja palju muu kohta.
Kuidas see udukogu kasutamisel välja näeb?
Muidugi ei tea “pilv” esialgu midagi meie plaanidest ega ostetud tehnikast.
Esiteks luuakse organisatsiooni profiil. See tähendab, et kogu infrastruktuur: peakorter ja filiaalid registreeritakse kõigepealt pilves. Täpsustatakse üksikasju ja luuakse kontod volituste delegeerimiseks.
Oma seadmeid saab pilves registreerida kahel viisil: vanaviisi – lihtsalt sisestades veebivormi täitmisel seerianumbri või skaneerides mobiiltelefoniga QR-koodi. Teise meetodi jaoks on vaja ainult nutitelefoni, millel on kaamera ja juurdepääs Internetile, sealhulgas mobiiliteenuse pakkuja kaudu.
Loomulikult tagab teabe salvestamiseks vajaliku infrastruktuuri, nii raamatupidamise kui ka seaded, Zyxel Nebula.
Joonis 1. Nebula juhtimiskeskuse turvaaruanne.
Aga juurdepääsu seadistamine? Portide avamine, liikluse suunamine läbi sissetuleva lüüsi – kõik see, mida turvaadministraatorid hellitavalt “avade valimiseks” kutsuvad? Õnneks ei pea te seda kõike tegema. Nebulat töötavad seadmed loovad väljuva ühenduse. Ja administraator loob konfigureerimiseks ühenduse mitte eraldi seadmega, vaid pilvega. Nebula vahendab kahte ühendust: seadme ja võrguadministraatori arvutiga. See tähendab, et saabuvale administraatorile helistamise etapi saab minimeerida või üldse vahele jätta. Ja tulemüüris pole täiendavaid "auke".
Aga RADUIS-server? Mingit tsentraliseeritud autentimist on ju vaja!
Ja need funktsioonid võtab üle ka udukogu. Kontode autentimine seadmetele juurdepääsuks toimub turvalise andmebaasi kaudu. See lihtsustab oluliselt süsteemi haldamise õiguste delegeerimist või äravõtmist. Peame õigused üle andma – looma kasutaja, määrama rolli. Peame õigused ära võtma – me teostame vastupidiseid samme.
Eraldi tasub mainida WPA2-Enterprise, mis nõuab eraldi autentimisteenust. Zyxel Nebulal on oma analoog - DPPSK, mis võimaldab kasutada WPA2-PSK-d iga kasutaja jaoks eraldi võtmega.
"Ebamugavad" küsimused
Allpool püüame anda vastused kõige keerulisematele küsimustele, mida pilveteenusesse sisenedes sageli esitatakse
Kas see on tõesti ohutu?
Igasuguse kontrolli ja haldamise delegeerimisel turvalisuse tagamiseks mängivad olulist rolli kaks tegurit: anonüümseks muutmine ja krüpteerimine.
Krüptimise kasutamine liikluse kaitsmiseks uudishimulike pilkude eest on lugejatele enam-vähem tuttav.
Anonüümseks muutmine peidab pilveteenuse pakkuja personali eest teabe omaniku ja allika kohta. Isikuandmed eemaldatakse ja kirjetele määratakse näotu tunnus. Päringute omanikku ei saa teada ei pilvetarkvara arendaja ega pilvesüsteemi haldav administraator. „Kust see tuli? Keda see võiks huvitada?” – sellised küsimused jäävadki vastuseta. Info puudumine omaniku ja allika kohta muudab insaideri mõttetuks ajaraiskamiseks.
Kui võrrelda seda lähenemist traditsioonilise allhanke või sissetuleva administraatori palkamise praktikaga, on ilmne, et pilvetehnoloogiad on turvalisemad. Kohaletulnud IT-spetsialist teab oma organisatsioonist üsna palju ja võib taht-tahtmata tekitada turvalisuse mõttes olulist kahju. Lahendamist vajab veel vallandamise või lepingu lõpetamise küsimus. Mõnikord hõlmab see lisaks konto blokeerimisele või kustutamisele ka teenustele juurdepääsu paroolide globaalset muutmist, samuti kõigi "unustatud" sisenemispunktide ja võimalike "järjehoidjate" ressursside auditeerimist.
Kui palju kallim või odavam on Nebula kui sissetulev administraator?
Kõik on suhteline. Nebula põhifunktsioonid on tasuta saadaval. Tegelikult, mis saaks veel odavam olla?
Loomulikult ei saa see täielikult hakkama ilma võrguadministraatori või teda asendava isikuta. Küsimus on inimeste arvus, nende spetsialiseerumises ja jaotuses saitide vahel.
Mis puudutab tasulist laiendatud teenust, siis otse küsimuse esitamine: kallim või odavam - selline lähenemine on alati ebatäpne ja ühekülgne. Õigem oleks võrrelda paljusid tegureid, alates rahast kuni konkreetsete spetsialistide töö eest tasumiseni ja lõpetades nende töövõtja või üksikisikuga suhtlemise tagamise kuludega: kvaliteedikontroll, dokumentatsiooni koostamine, turvalisuse taseme säilitamine ja nii edasi.
Kui me räägime teemast, kas tasulise teenuste paketi (Pro-Pack) ostmine on tulus või mitte tulus, siis võib ligikaudne vastus kõlada järgmiselt: kui organisatsioon on väike, saate põhiliste asjadega hakkama. versioon, kui organisatsioon kasvab, siis on mõttekas mõelda Pro-Packile. Erinevused Zyxeli udukogu versioonide vahel on näha tabelis 1.
Tabel 1. Erinevused Nebula põhi- ja Pro-Packi funktsioonikomplektide vahel.
See hõlmab täiustatud aruandlust, kasutajate auditeerimist, konfiguratsiooni kloonimist ja palju muud.
Aga liikluskaitse?
Nebula kasutab protokolli võrguseadmete ohutu töö tagamiseks.
NETCONF võib töötada mitme transpordiprotokolli peal:
- ();
- ();
- ();
- ().
Kui võrrelda NETCONF-i teiste meetoditega, näiteks haldamisega SNMP kaudu, siis tuleb märkida, et NETCONF toetab väljaminevat TCP-ühendust NAT-barjääri ületamiseks ja seda peetakse usaldusväärsemaks.
Aga riistvara tugi?
Loomulikult ei tohiks serveriruumi muuta loomaaiaks, kus on haruldaste ja ohustatud seadmete esindajad. On väga soovitav, et juhtimistehnoloogiaga ühendatud seadmed kataksid kõiki suundi: kesklülitist pääsupunktideni. Zyxeli insenerid hoolitsesid selle võimaluse eest. Nebula töötab palju seadmeid:
- 10G kesklülitid;
- juurdepääsutaseme lülitid;
- PoE-ga lülitid;
- juurdepääsupunktid;
- võrgulüüsid.
Laia valikut toetatud seadmeid kasutades saate luua võrke erinevat tüüpi ülesannete jaoks. See kehtib eriti ettevõtete kohta, mis kasvavad mitte ülespoole, vaid väljapoole, uurides pidevalt uusi ärivaldkondi.
Pidev areng
Traditsioonilise haldusmeetodiga võrguseadmetel on ainult üks täiustamisvõimalus - seadme enda muutmine, olgu selleks siis uus püsivara või lisamoodulid. Zyxel Nebula puhul on täiendav tee täiustumiseks – pilvetaristu täiustamise kaudu. Näiteks pärast Nebula Control Centeri (NCC) värskendamist versioonile 10.1. (21. september 2020) on kasutajatele saadaval uued funktsioonid, siin on mõned neist:
- Organisatsiooni omanik saab nüüd kõik omandiõigused üle anda sama organisatsiooni teisele administraatorile;
- uus roll nimega Omaniku esindaja, millel on organisatsiooni omanikuga samad õigused;
- uus kogu organisatsiooni hõlmav püsivara värskendusfunktsioon (Pro-Packi funktsioon);
- topoloogiasse on lisatud kaks uut võimalust: seadme taaskäivitamine ja PoE pordi toite sisse- ja väljalülitamine (Pro-Pack funktsioon);
- uute pääsupunktimudelite tugi: WAC500, WAC500H, WAC5302D-Sv2 ja NWA1123ACv3;
- vautšeri autentimise tugi QR-koodi printimisega (Pro-Pack funktsioon).
Kasulikud lingid
Allikas: www.habr.com