"Konponbide bat (arazo bat konpondu) hainbat modutan sor dezakezu, baina metodorik garestiena eta/edo ezagunena ez da beti eraginkorrena!"
hitzaurrean
Duela hiru urte inguru, hondamendien datuak berreskuratzeko urruneko eredu bat garatzeko prozesuan, berehala ohartu ez zen oztopo batekin topo egin nuen: komunitateko iturrietan sare birtualizaziorako jatorrizko irtenbide berriei buruzko informazio falta.
Garatutako ereduaren algoritmoa honela planifikatu zen:
- Nirekin harremanetan jarri zen urruneko erabiltzaile batek, bere ordenagailuak behin abiarazteari uko egin zion, "sistemako diskoa ez da detektatua/ formateatu gabe" mezua bistaratzen du, bizitzako USBa erabiliz kargatzen du.
- Abiarazte prozesuan, sistema automatikoki konektatzen da sare lokal pribatu seguru batera, eta horrek berez gain administratzailearen lan-estazioa dauka, kasu honetan ordenagailu eramangarri bat eta NAS nodo bat.
- Gero konektatzen naiz - bai disko-partizioak berpizteko, bai hortik datuak ateratzeko.
Hasieran, eredu hau VPN zerbitzari bat erabiliz inplementatu nuen tokiko bideratzaile batean nire kontrolpean dagoen sare batean, gero alokaturiko VDS batean. Baina, askotan gertatzen den bezala eta Chisholmen lehen legearen arabera, euria egiten badu, Internet hornitzailearen sarea behera egingo du, orduan enpresa-entitateen arteko liskarrek zerbitzu-hornitzaileak "energia" galtzea eragingo du...
Horregatik, lehenik eta behin beharrezko tresnak bete behar dituen oinarrizko baldintzak formulatzea erabaki nuen. Lehenengoa deszentralizazioa da. Bigarrenik, halako bizitza USB asko ditudala kontuan hartuta, horietako bakoitzak sare isolatu bat du. Beno, hirugarrenik, hainbat gailuren sarera konektatu azkarra eta horien kudeaketa sinplea, nire ordenagailu eramangarria ere goian aipatutako legearen biktima bada ere.
Horretan oinarrituta eta bi hilabete eta erdi ez oso egokiak diren hainbat aukeraren ikerketa praktikoan eman ondoren, nire arrisku eta arriskuan, garai hartan ezezaguna zen startup bateko beste tresna bat probatzea erabaki nuen ZeroTier izenekoa. Gerora sekula damutu ez nintzenaz.
Urte Berriko oporraldi hauetan, une gogoangarri hartatik edukien egoera aldatu ote den ulertu nahian, gai honi buruzko artikuluen eskuragarritasunari buruzko ikuskaritza selektiboa egin nuen, Habr iturri gisa hartuta. Bilaketa-emaitzetan "ZeroTier" kontsultarako hiru artikulu baino ez daude aipatzen, eta ez deskribapen labur batekin gutxienez. Eta hau horien artean ZeroTier, Inc.-ren sortzaileak berak idatzitako artikulu baten itzulpena egon arren. β .
Emaitzak etsigarriak izan ziren eta ZeroTier-i buruz xehetasun gehiagoz hitz egiten hastera bultzatu ninduen, "bilatzaile" modernoak nik egindako bide beretik joan behar ez izateko.
Beraz, zer zara?
Garatzaileak ZeroTier Lurra planetarako Ethernet etengailu adimendun gisa kokatzen du.
"Sare banatuko hipervisor bat da, kriptografikoki segurua den peer-to-peer (P2P) sare global baten gainean eraikia. SDN konmutadore korporatibo baten antzeko tresna, sare birtualak fisikoen gainean antolatzeko diseinatua, lokala zein globala, ia edozein aplikazio edo gailu konektatzeko gaitasuna duenaβ.
Hau marketing deskribapen bat da, orain ezaugarri teknologikoei buruzkoa.
βKernel:
ZeroTier Network Hypervisor sare birtualizazio motor autonomo bat da, Ethernet sare bat emulatzen duena, VXLAN-en antzekoa, enkriptatutako peer-to-peer (P2P) sare global baten gainean.
ZeroTier-en erabiltzen diren protokoloak jatorrizkoak dira, nahiz eta itxuraz VXLAN eta IPSec-en antzekoak izan eta kontzeptualki bereizitako bi geruzaz osatuta daude, baina estu lotuta daudenak: VL1 eta VL2.
β
βVL1 peer-to-peer (P2P) oinarrizko garraio-geruza bat da, "kable birtual" moduko bat.
"Datu zentro global batek kableen 'armairu globala' behar du".
Sare konbentzionaletan, L1 (OSI geruza 1) datuak garraiatzen dituzten benetako kable edo haririk gabeko irratiei eta haiek modulatzen eta demodulatzen duten transceptor gailu fisikoen txipei egiten die erreferentzia. VL1 peer-to-peer (P2P) sare bat da, eta gauza bera egiten du, enkriptatzea, autentifikazioa eta sareko beste trikimailu batzuk erabiliz kable birtualak behar bezala antolatzeko.
Gainera, hori automatikoki, azkar eta ZeroTier nodo berri bat abiarazteko erabiltzaileak inplikatu gabe egiten du.
Hori lortzeko, VL1 domeinu-izen sistemaren antzera antolatzen da. Sarearen muinean erabilgarritasun handiko erro-zerbitzarien talde bat dago, eta horien eginkizuna DNS erro-zerbitzarien antzekoa da. Momentuz, erro zerbitzari nagusiak (planetarioak) garatzailearen kontrolpean daude - ZeroTier, Inc. eta doako zerbitzu gisa eskaintzen dira.
Hala ere, posible da root zerbitzari pertsonalizatuak (luns) sortzea ahalbidetzen dutenak:
- ZeroTier, Inc. azpiegiturekiko menpekotasuna murriztea;
- produktibitatea handitu atzerapenak gutxituz;
- jarraitu normalean lanean Internet konexioa galtzen bada.
Hasieran, nodoak elkarren arteko konexio zuzenik gabe abiarazten dira.
VL1-en pareko bakoitzak 40 biteko (10 hamaseimal) ZeroTier helbide esklusibo bat du, IP helbideak ez bezala, bideratze-informaziorik ez duen identifikatzaile enkriptatu bat da. Helbide hau gako publiko/pribatu bikotearen zati publikotik kalkulatzen da. Nodo baten helbideak, gako publikoak eta gako pribatuak elkarrekin osatzen dute bere identitatea.
Member ID: df56c5621c
|
ZeroTier address of nodeEnkriptatzeari dagokionez, artikulu bereizi baten arrazoia da.
β
Komunikazioa ezartzeko, kideek lehenik eta behin erro-zerbitzarien zuhaitzean "gora" bidaltzen dituzte paketeak, eta pakete horiek sarean zehar bidaiatzen duten heinean, bidean aurrerako kanalen ausazko sorrera hasten dute. Zuhaitza etengabe saiatzen da Β«bere kabuz kolapsatzenΒ» gordetzen duen ibilbide-mapa optimizatzeko.
Peer-to-peer konexioa ezartzeko mekanismoa honakoa da:
- A nodoak pakete bat bidali nahi du B nodora, baina zuzeneko bidea ezagutzen ez duenez, korronte gora bidaltzen du R nodora (ilargia, erabiltzailearen erro zerbitzaria).
- R nodoak B nodoarekin zuzeneko konexioa badu, paketea hara birbidaltzen du. Bestela, paketea korronte gora bidaltzen du planeta-erroetara iritsi baino lehen.Planetar-erroek nodo guztiak ezagutzen dituzte, beraz, paketea azkenean B-ra iritsiko da sarean badago.
- R nodoak "bilera" izeneko mezu bat ere bidaltzen dio A nodoari, B nodoraino nola irits daitekeen argibideak dituena. Bitartean, erroko zerbitzariak, paketea B nodora birbidaltzen duenak, "bilera" bat bidaltzen dio nola egin dezakeen jakiteko. A nodoraino iritsi.
- A eta B nodoek beren topaketa-mezuak jasotzen dituzte eta proba-mezuak elkarri bidaltzen saiatzen dira, bidean aurkitutako NAT edo egoera-suebakiak urratu nahian. Honek funtzionatzen badu, zuzeneko konexioa ezartzen da eta paketeak ez dira aurrera eta atzera egiten.
Konexio zuzena ezarri ezin bada, komunikazioak errele bidez jarraituko du eta zuzeneko konexio saiakerak emaitza arrakastatsua lortu arte jarraituko du.
VL1-ek konektagarritasun zuzena ezartzeko beste ezaugarri batzuk ere baditu, besteak beste, LAN parekoen aurkikuntza, IPv4 NAT simetrikoaren iragarpena eta portuen mapa esplizitua uPnP eta/edo NAT-PMP erabiliz, tokiko LAN fisikoan eskuragarri badago.
β
βVL2 VXLAN antzeko Ethernet sare birtualizazio protokoloa da, SDN kudeaketa funtzioak dituena. OS eta aplikazioetarako komunikazio ingurune ezaguna...
VL1 ez bezala, VL2 sareak (VLAN) sortzeak eta haiei nodoak konektatzeaz gain, horiek kudeatzeaz gain, erabiltzailearen parte-hartze zuzena behar da. Sareko kontrolagailu bat erabiliz egin dezake. Funtsean, ZeroTier nodo arrunt bat da, non kontrolagailuaren funtzioak bi modutara kontrolatzen diren: zuzenean, fitxategiak aldatuz, edo, garatzaileak gomendatzen duen bezala, argitaratutako API bat erabiliz.
ZeroTier sare birtualak kudeatzeko metodo hau ez da oso erosoa pertsona arruntarentzat, beraz, hainbat GUI daude:
- ZeroTier garatzailearen bat, hodei publikoko SaaS soluzio gisa eskuragarri lau harpidetza-planekin, doakoa barne, baina kudeatutako gailu kopuruan eta laguntza mailan mugatua.
- Bigarrena garatzaile independente batena da, funtzionalitatean zertxobait sinplifikatua, baina kode irekiko irtenbide pribatu gisa eskuragarri dago lokalean edo hodeiko baliabideetan erabiltzeko.
VL2 VL1-en gainean ezartzen da eta honek garraiatzen du. Hala ere, VL1 amaierako puntuaren enkriptatzea eta autentifikazioa heredatzen ditu, eta bere gako asimetrikoak ere erabiltzen ditu kredentzialak sinatzeko eta egiaztatzeko. VL1-ek VL2 ezartzeko aukera ematen dizu lehendik dagoen sare fisikoaren topologiaz kezkatu gabe. Hau da, konektagarritasun eta bideratze eraginkortasun arazoak VL1 arazoak dira. Garrantzitsua da ulertzea ez dagoela konexiorik VL2 sare birtualen eta VL1 bideen artean. Kabledun LAN batean VLAN multiplexaren antzera, sareko kide anitzak partekatzen dituzten bi nodok VL1 (kable birtual) bide bakarra izango dute haien artean.
VL2 sare (VLAN) bakoitza 64 biteko (16 hamaseimal) ZeroTier sare-helbide batekin identifikatzen da, zeinak kontrolagailuaren 40 biteko ZeroTier helbidea eta kontrolagailu horrek sortutako sarea identifikatzen duen 24 biteko zenbaki batekin.
Network ID: 8056c2e21c123456
| |
| Network number on controller
|
ZeroTier address of controllerNodo bat sare batera sartzen denean edo sareko konfigurazio eguneratzea eskatzen duenean, sareko konfigurazio eskaera mezu bat bidaltzen dio (VL1 bidez) sareko kontrolatzaileari. Orduan kontrolatzaileak nodoaren VL1 helbidea erabiltzen du sarean aurkitzeko eta ziurtagiri, kredentzial eta konfigurazio-informazio egokiak bidaltzeko. VL2 sare birtualen ikuspuntutik, VL1 ZeroTier helbideak etengailu birtual handi batean portu-zenbaki gisa har daitezke.
Sare-kontrolatzaileek sare jakin bateko kide nodoei emandako kredentzial guztiak kontrolagailuaren gako sekretuarekin sinatzen dira, sareko parte-hartzaile guztiek egiazta ditzaten. Kredentzialak kontrolagailuak sortutako denbora-zigiluak dituzte, konparazio erlatiboa ahalbidetuz ostalariaren sistema lokaleko erlojuan sartu beharrik gabe.
Kredentzialak jabeei soilik ematen zaizkie eta sareko beste nodo batzuekin komunikatu nahi duten kideei bidaltzen zaizkie. Horri esker, sarea tamaina izugarrietara eskala daiteke nodoetan kredentzial kopuru handiak gorde beharrik gabe edo sareko kontrolagailuarekin etengabe harremanetan jarri beharrik gabe.
ZeroTier sareek multicast banaketa onartzen dute argitaratze/harpidetza sistema sinple baten bidez.
β
Nodo batek banaketa-talde jakin baterako multidifusio bat jaso nahi duenean, talde horretako kide izatea iragartzen die komunikatzen ari den sareko beste kideei eta sare-kontrolatzaileari. Nodo batek multicast bat bidali nahi duenean, aldi berean bere azken argitalpenen cachean sartzen da eta aldian-aldian argitalpen gehigarriak eskatzen ditu.
Emisio bat (Ethernet ff: ff: ff: ff: ff: ff) parte-hartzaile guztiek harpidetzen duten multicast talde gisa tratatzen da. Sareko mailan desgaitu daiteke trafikoa murrizteko, beharrezkoa ez bada.
ZeroTier-ek benetako Ethernet etengailu bat emulatzen du. Gertaera honek aurrera eramateko aukera ematen digu sortutako sare birtualak beste Ethernet sare batzuekin konbinatuz (kabledun LAN, WiFi, backplane birtuala, etab.) datu-lotura mailan - Ethernet zubi arrunt bat erabiliz.
Zubi gisa jarduteko, sareko kontrolatzaileak ostalari bat izendatu behar du. Eskema hau segurtasun arrazoiengatik inplementatzen da, sareko ostalari arruntek ezin baitute trafikoa bidaltzeko beren MAC helbidea ez den iturri batetik. Zubi gisa izendatutako nodoek multicast algoritmoaren modu berezi bat ere erabiltzen dute, talde harpidetzetan eta difusio-trafiko eta ARP eskaera guztien errepliketan haiekin modu oldarkorragoan eta bideratuagoan elkarreragiten duena.
Etengailuak sare publikoak eta ad-hoc, QoS mekanismoa eta sare-arauen editorea sortzeko gaitasuna ere badu.
βNodoa:
ZeroTier One ordenagailu eramangarrietan, mahaigainetan, zerbitzarietan, makina birtualetan eta edukiontzietan exekutatzen den zerbitzua da, sare birtual baterako konexioak eskaintzen dituena sare birtualaren ataka baten bidez, VPN bezero baten antzera.
Zerbitzua instalatu eta martxan jarri ondoren, sare birtualetara konekta zaitezke haien 16 digituko helbideak erabiliz. Sare bakoitza sare birtual ataka gisa agertzen da sisteman, Ethernet ataka arrunt baten antzera jokatzen duena.
ZeroTier One sistema eragile eta sistema hauetarako eskuragarri dago une honetan.
OS:
- Microsoft Windows - MSI instalatzailea x86/x64
- MacOS - PKG instalatzailea
- Apple iOS - App denda
- Android β Play Store
- Linux - DEB/RPM
- FreeBSD - FreeBSD paketea
NAS:
- Synology NAS
- QNAP NAS
- WD MyCloud NAS
beste batzuk:
- Docker - Docker fitxategia
- OpenWRT - Erkidegoko portua
- Aplikazioa txertatzea - SDK (libzt)
Aurreko guztia laburbiltzeko, ZeroTier zure baliabide fisikoak, birtualak edo hodeiak sare lokal komun batean konbinatzeko tresna bikaina eta azkarra dela ohartuko nuke, VLANetan banatzeko gaitasunarekin eta hutsegite puntu bakar bat ez dagoelako. .
Hori da Habr-erako ZeroTier-i buruzko lehen artikuluaren formatuan dagoen atal teorikoa - hori da dena ziurrenik! Hurrengo artikuluan, ZeroTier-en oinarritutako sare birtualaren azpiegitura baten sorrera praktikan frogatzeko asmoa dut, non kode irekiko GUI txantiloi pribatua duen VDS bat sare kontrolatzaile gisa erabiliko den.
Irakurle maitea! ZeroTier teknologia erabiltzen al duzu zure proiektuetan? Hala ez bada, zer tresna erabiltzen dituzu zure baliabideak saretzeko?
Iturria: www.habr.com