ساخت زیرساخت شبکه بر اساس سحابی. بخش 1 - مشکلات و راه حل ها

در این مقاله مشکلات سازمان‌دهی زیرساخت‌های شبکه به روش سنتی و روش‌های حل مسائل مشابه با استفاده از فناوری‌های ابری مورد بحث قرار خواهد گرفت.

برای مرجع Nebula یک محیط ابری SaaS برای نگهداری از راه دور زیرساخت شبکه است. همه دستگاه‌های دارای سحابی از طریق یک اتصال امن از ابر مدیریت می‌شوند. شما می توانید یک زیرساخت شبکه توزیع شده بزرگ را از یک مرکز واحد بدون صرف تلاش برای ایجاد آن مدیریت کنید.

چرا به سرویس ابری دیگری نیاز دارید؟

مشکل اصلی هنگام کار با زیرساخت شبکه، طراحی شبکه و خرید تجهیزات و یا حتی نصب آن در یک رک نیست، بلکه هر کار دیگری است که در آینده باید با این شبکه انجام شود.

شبکه جدید - نگرانی های قدیمی

هنگام راه اندازی یک گره شبکه جدید پس از نصب و اتصال تجهیزات، پیکربندی اولیه آغاز می شود. از دیدگاه "کارفرمایان بزرگ" - هیچ چیز پیچیده ای نیست: "ما اسناد کاری پروژه را می گیریم و شروع به راه اندازی می کنیم..." این زمانی که همه عناصر شبکه در یک مرکز داده قرار دارند به خوبی گفته می شود. اگر آنها در سراسر شاخه ها پراکنده شوند، سردرد ارائه دسترسی از راه دور شروع می شود. این یک دور باطل است: برای دسترسی از راه دور از طریق شبکه، باید تجهیزات شبکه را پیکربندی کنید، و برای این کار به دسترسی از طریق شبکه نیاز دارید...

برای رهایی از بن‌بستی که در بالا توضیح داده شد، باید طرح‌های مختلفی ارائه کنیم. به عنوان مثال، یک لپ تاپ با دسترسی به اینترنت از طریق یک مودم USB 4G از طریق یک سیم پچ به یک شبکه سفارشی متصل می شود. یک کلاینت VPN روی این لپ تاپ نصب شده است و از طریق آن مدیر شبکه از دفتر مرکزی سعی می کند به شبکه شعبه دسترسی پیدا کند. این طرح شفاف ترین نیست - حتی اگر یک لپ تاپ با VPN از پیش پیکربندی شده را به یک سایت راه دور بیاورید و بخواهید آن را روشن کنید، دور از واقعیت است که همه چیز برای اولین بار کار می کند. به خصوص اگر در مورد منطقه ای متفاوت با ارائه دهنده متفاوت صحبت می کنیم.

معلوم می شود که مطمئن ترین راه داشتن یک متخصص خوب "در آن سوی خط" است که بتواند قسمت خود را مطابق پروژه پیکربندی کند. اگر چنین چیزی در کارکنان شعبه وجود نداشته باشد، گزینه ها باقی می مانند: یا برون سپاری یا سفر کاری.

ما همچنین به یک سیستم نظارتی نیاز داریم. نیاز به نصب، پیکربندی، نگهداری دارد (حداقل فضای دیسک را کنترل کرده و به طور منظم نسخه پشتیبان تهیه کنید). و تا زمانی که ما آن را بگوییم چیزی در مورد دستگاه های ما نمی داند. برای انجام این کار، باید تنظیمات مربوط به تمام تجهیزات را ثبت کنید و به طور منظم بر ارتباط سوابق نظارت کنید.

وقتی کارکنان «ارکستر تک نفره» خود را دارند، که علاوه بر دانش خاص یک مدیر شبکه، می‌دانند چگونه با Zabbix یا سیستم مشابه دیگری کار کنند، عالی است. در غیر این صورت، ما شخص دیگری را در کارمندان استخدام می کنیم یا آن را برون سپاری می کنیم.

توجه داشته باشید. غم انگیزترین اشتباهات با این کلمات شروع می شود: "چه چیزی برای پیکربندی این Zabbix (Nagios، OpenView و غیره) وجود دارد؟ من سریع آن را برمی دارم و آماده است!»

از اجرا تا بهره برداری

بیایید یک مثال خاص را در نظر بگیریم.

یک پیام هشدار دریافت شد که نشان می‌دهد نقطه دسترسی WiFi در جایی پاسخ نمی‌دهد.

او کجاست؟

البته یک مدیر شبکه خوب دایرکتوری شخصی خود را دارد که همه چیز در آن نوشته شده است. سوالات زمانی شروع می شوند که این اطلاعات باید به اشتراک گذاشته شود. به عنوان مثال، شما باید فوراً یک پیام رسان بفرستید تا موارد را در محل مرتب کند، و برای این کار باید چیزی مانند: «نقطه دسترسی در مرکز تجاری در خیابان Stroiteley، ساختمان 1، در طبقه 3، اتاق شماره 301. XNUMX کنار درب ورودی زیر سقف."

فرض کنید ما خوش شانس هستیم و نقطه دسترسی از طریق PoE تغذیه می شود و سوئیچ به آن اجازه راه اندازی مجدد از راه دور را می دهد. شما نیازی به سفر ندارید، اما نیاز به دسترسی از راه دور به سوئیچ دارید. تنها چیزی که باقی می ماند این است که ارسال پورت از طریق PAT روی روتر را پیکربندی کنید، VLAN را برای اتصال از خارج مشخص کنید و غیره. اگر همه چیز از قبل تنظیم شده باشد خوب است. کار ممکن است سخت نباشد، اما باید انجام شود.

بنابراین، خروجی غذا راه اندازی مجدد شد. کمک نکرد؟

بیایید بگوییم مشکلی در سخت افزار وجود دارد. اکنون ما به دنبال اطلاعاتی در مورد گارانتی، راه اندازی و سایر جزئیات مورد علاقه هستیم.

صحبت از وای فای شد. استفاده از نسخه خانگی WPA2-PSK که یک کلید برای همه دستگاه ها دارد، در محیط شرکتی توصیه نمی شود. اولاً، یک کلید برای همه به سادگی ناامن است، و ثانیاً، وقتی یک کارمند ترک می‌کند، باید این کلید مشترک را تغییر دهید و تنظیمات را در همه دستگاه‌ها برای همه کاربران دوباره انجام دهید. برای جلوگیری از چنین مشکلاتی، WPA2-Enterprise با احراز هویت فردی برای هر کاربر وجود دارد. اما برای این کار شما به یک سرور RADIUS نیاز دارید - واحد زیرساخت دیگری که باید کنترل شود، نسخه پشتیبان تهیه شود و غیره.

لطفاً توجه داشته باشید که در هر مرحله، اعم از اجرا یا عملیات، از سیستم‌های پشتیبانی استفاده می‌کنیم. این شامل یک لپ تاپ با یک اتصال اینترنتی "شخص ثالث"، یک سیستم نظارت، یک پایگاه داده مرجع تجهیزات، و RADIUS به عنوان یک سیستم احراز هویت است. علاوه بر دستگاه های شبکه، شما باید خدمات شخص ثالث را نیز حفظ کنید.

در چنین مواقعی می توانید این نصیحت را بشنوید: «آن را به ابر بده و عذاب نکش». مطمئناً یک ابر Zabbix وجود دارد، شاید یک Cloud RADIUS در جایی وجود داشته باشد، و حتی یک پایگاه داده ابری برای نگهداری لیستی از دستگاه ها. مشکل این است که این به طور جداگانه مورد نیاز نیست، بلکه "در یک بطری" است. و همچنان، سوالاتی در مورد سازماندهی دسترسی، راه اندازی اولیه دستگاه، امنیت و موارد دیگر مطرح می شود.

هنگام استفاده از Nebula چگونه به نظر می رسد؟

البته، در ابتدا "ابر" چیزی در مورد برنامه های ما یا تجهیزات خریداری شده نمی داند.

ابتدا یک نمایه سازمان ایجاد می شود. یعنی کل زیرساخت: دفتر مرکزی و شعب ابتدا در فضای ابری ثبت می شود. جزئیات مشخص شده و حساب هایی برای تفویض اختیار ایجاد می شود.

شما می توانید دستگاه های خود را در فضای ابری به دو روش ثبت کنید: روش قدیمی - به سادگی با وارد کردن شماره سریال هنگام پر کردن فرم وب یا اسکن یک کد QR با استفاده از تلفن همراه. تنها چیزی که برای روش دوم نیاز دارید یک گوشی هوشمند با دوربین و دسترسی به اینترنت، از جمله از طریق ارائه دهنده تلفن همراه است.

البته زیرساخت های لازم برای ذخیره سازی اطلاعات اعم از حسابداری و تنظیمات توسط زایکسل نبولا فراهم شده است.

شکل 1. گزارش امنیتی مرکز کنترل سحابی.

در مورد راه اندازی دسترسی چطور؟ باز کردن پورت‌ها، ارسال ترافیک از طریق دروازه ورودی، همه آن چیزی که مدیران امنیتی با محبت آنها را «چاله‌های انتخاب» می‌نامند؟ خوشبختانه، شما نیازی به انجام همه این کارها ندارید. دستگاه هایی که Nebula را اجرا می کنند یک اتصال خروجی برقرار می کنند. و مدیر نه به یک دستگاه جداگانه، بلکه برای پیکربندی به ابر متصل می شود. سحابی بین دو اتصال واسطه می شود: به دستگاه و به کامپیوتر مدیر شبکه. این بدان معنی است که مرحله تماس با یک ادمین ورودی را می توان به حداقل رساند یا به طور کلی از آن گذشت. و هیچ "سوراخ" اضافی در فایروال وجود ندارد.

در مورد سرور RADUIS چطور؟ به هر حال، نوعی احراز هویت متمرکز مورد نیاز است!

و این توابع نیز توسط سحابی گرفته شده است. احراز هویت حساب ها برای دسترسی به تجهیزات از طریق یک پایگاه داده ایمن انجام می شود. این امر تفویض یا سلب حقوق برای مدیریت سیستم را بسیار ساده می کند. ما نیاز به انتقال حقوق داریم - یک کاربر ایجاد کنیم، نقشی را اختصاص دهیم. ما باید حقوق را از بین ببریم - ما مراحل معکوس را انجام می دهیم.

به طور جداگانه، لازم به ذکر است WPA2-Enterprise، که نیاز به یک سرویس احراز هویت جداگانه دارد. Zyxel Nebula آنالوگ خود را دارد - DPPSK، که به شما امکان می دهد از WPA2-PSK با یک کلید جداگانه برای هر کاربر استفاده کنید.

سوالات "ناخوشایند".

در زیر سعی خواهیم کرد به پیچیده ترین سوالاتی که اغلب هنگام ورود به یک سرویس ابری پرسیده می شود، پاسخ دهیم

آیا واقعاً بی خطر است؟

در هر تفویض کنترل و مدیریت برای تضمین امنیت، دو عامل نقش مهمی ایفا می کنند: ناشناس سازی و رمزگذاری.

استفاده از رمزگذاری برای محافظت از ترافیک در برابر چشمان کنجکاو چیزی است که خوانندگان کم و بیش با آن آشنا هستند.

ناشناس سازی اطلاعات مربوط به مالک و منبع را از پرسنل ارائه دهنده ابر پنهان می کند. اطلاعات شخصی حذف می شود و به سوابق یک شناسه "بی چهره" اختصاص داده می شود. نه توسعه‌دهنده نرم‌افزار ابری و نه مدیری که سیستم ابری را حفظ می‌کند، نمی‌توانند صاحب درخواست‌ها را بشناسند. "این از کجا آمد؟ چه کسی ممکن است به این علاقه داشته باشد؟" - چنین سوالاتی بی پاسخ خواهند ماند. فقدان اطلاعات در مورد مالک و منبع باعث اتلاف وقت بیهوده توسط خودی می شود.

اگر این رویکرد را با روش سنتی برون سپاری یا استخدام یک مدیر ورودی مقایسه کنیم، واضح است که فناوری های ابری امن تر هستند. یک متخصص IT که وارد می شود، چیزهای زیادی در مورد سازمان خود می داند و خواه ناخواه می تواند آسیب های قابل توجهی را از نظر امنیت ایجاد کند. موضوع برکناری یا فسخ قرارداد همچنان باید حل شود. گاهی اوقات، علاوه بر مسدود کردن یا حذف یک حساب کاربری، این امر مستلزم تغییر کلی گذرواژه‌ها برای دسترسی به سرویس‌ها و همچنین ممیزی تمام منابع برای نقاط ورودی «فراموش شده» و «نشانک‌های» احتمالی است.

Nebula چقدر گرانتر یا ارزانتر از یک مدیر ورودی است؟

همه چیز نسبی است. ویژگی های اساسی Nebula به صورت رایگان در دسترس است. در واقع، چه چیزی می تواند حتی ارزان تر باشد؟

البته، بدون مدیر شبکه یا شخصی که جایگزین او شده باشد، غیرممکن است. سوال تعداد افراد، تخصص و توزیع آنها در سایت ها است.

در مورد خدمات گسترده پرداخت شده، پرسیدن یک سوال مستقیم: گران تر یا ارزان تر - چنین رویکردی همیشه نادرست و یک طرفه خواهد بود. مقایسه بسیاری از عوامل، از پول برای پرداخت برای کار متخصصان خاص و پایان دادن به هزینه های اطمینان از تعامل آنها با یک پیمانکار یا فرد صحیح تر است: کنترل کیفیت، تهیه اسناد، حفظ سطح امنیت، و به زودی.

اگر ما در مورد این موضوع صحبت می کنیم که آیا خرید یک بسته خدمات پولی (Pro-Pack) سودآور است یا سودآور نیست، ممکن است یک پاسخ تقریبی به این صورت به نظر برسد: اگر سازمان کوچک است، می توانید با موارد اساسی کنار بیایید. نسخه، اگر سازمان در حال رشد است، فکر کردن به Pro-Pack منطقی است. تفاوت بین نسخه های سحابی زایکسل را می توان در جدول 1 مشاهده کرد.

جدول 1. تفاوت بین مجموعه ویژگی های پایه و Pro-Pack برای Nebula.

این شامل گزارش گیری پیشرفته، ممیزی کاربر، شبیه سازی پیکربندی و موارد دیگر می شود.

در مورد حفاظت از ترافیک چطور؟

Nebula از پروتکل استفاده می کند NETCONF برای اطمینان از عملکرد ایمن تجهیزات شبکه

NETCONF می تواند در بالای چندین پروتکل حمل و نقل اجرا شود:

• SSH (RFC 4742);
• SOAP (RFC 4743);
• بوق بزنید (RFC 4744);
• TLS (RFC 5539).

اگر NETCONF را با روش های دیگر مانند مدیریت از طریق SNMP مقایسه کنیم، باید توجه داشت که NETCONF از اتصال TCP خروجی برای غلبه بر مانع NAT پشتیبانی می کند و قابل اعتمادتر در نظر گرفته می شود.

پشتیبانی سخت افزاری چطور؟

البته، شما نباید اتاق سرور را به باغ وحش با نمایندگان تجهیزات نادر و در معرض خطر تبدیل کنید. بسیار مطلوب است که تجهیزات متحد شده توسط فناوری مدیریت همه جهات را پوشش دهند: از سوئیچ مرکزی تا نقاط دسترسی. مهندسان Zyxel از این امکان مراقبت کردند. Nebula دستگاه های زیادی را اجرا می کند:

• سوئیچ های مرکزی 10G؛
• سوئیچ های سطح دسترسی؛
• سوئیچ با PoE؛
• نقاط دسترسی؛
• دروازه های شبکه

با استفاده از طیف گسترده ای از دستگاه های پشتیبانی شده، می توانید شبکه هایی را برای انواع مختلف وظایف بسازید. این امر به ویژه در مورد شرکت هایی صادق است که نه صعودی، بلکه به سمت بیرون رشد می کنند و دائماً در حال کاوش در زمینه های جدید برای انجام تجارت هستند.

توسعه مداوم

دستگاه های شبکه با روش مدیریت سنتی تنها یک راه برای بهبود دارند - تغییر خود دستگاه، خواه سیستم عامل جدید یا ماژول های اضافی. در مورد سحابی Zyxel، یک مسیر اضافی برای بهبود وجود دارد - از طریق بهبود زیرساخت ابر. به عنوان مثال، پس از به روز رسانی مرکز کنترل سحابی (NCC) به نسخه 10.1. (21 سپتامبر 2020) ویژگی های جدیدی در دسترس کاربران قرار گرفته است که در اینجا به برخی از آنها اشاره می کنیم:

• مالک یک سازمان اکنون می تواند تمام حقوق مالکیت را به مدیر دیگری در همان سازمان منتقل کند.
• نقش جدیدی به نام نماینده مالک که دارای حقوقی مشابه با مالک سازمان است.
• ویژگی جدید به روز رسانی سیستم عامل در سراسر سازمان (ویژگی Pro-Pack)؛
• دو گزینه جدید به توپولوژی اضافه شده است: راه اندازی مجدد دستگاه و روشن و خاموش کردن پورت PoE (عملکرد Pro-Pack).
• پشتیبانی از مدل های جدید نقطه دسترسی: WAC500، WAC500H، WAC5302D-Sv2 و NWA1123ACv3.
• پشتیبانی از احراز هویت کوپن با چاپ کد QR (عملکرد Pro-Pack).

لینک های مفید

1. چت تلگرام زایکسل
2. انجمن تجهیزات Zyxel
3. بسیاری از ویدیوهای مفید در کانال یوتیوب
4. سحابی Zyxel - سهولت مدیریت به عنوان مبنایی برای پس انداز
5. تفاوت بین نسخه های Zyxel Nebula
6. سحابی زایکسل و رشد شرکت
7. ابر ابرنواختر سحابی زایکسل - مسیری مقرون به صرفه برای امنیت؟
8. سحابی Zyxel – گزینه هایی برای کسب و کار شما

منبع: www.habr.com