Artikkelissa käsitellään verkkoinfrastruktuurin perinteisen järjestämisen ongelmia ja menetelmiä samojen ongelmien ratkaisemiseksi pilviteknologioiden avulla.
Viitteellisiä. Nebula on SaaS-pilviympäristö verkkoinfrastruktuurin etäylläpitoon. Kaikkia Nebula-yhteensopivia laitteita hallitaan pilvestä suojatun yhteyden kautta. Voit hallita suurta hajautettua verkkoinfrastruktuuria yhdestä keskuksesta tuhlaamatta vaivaa sen luomiseen.
Miksi tarvitset toisen pilvipalvelun?
Suurin ongelma verkkoinfrastruktuurin kanssa työskennellessä ei ole verkon suunnittelu ja laitteiden hankinta tai edes sen asentaminen telineeseen, vaan kaikki muu, mitä tälle verkolle tulee tehdä tulevaisuudessa.
Uusi verkko - vanhat huolet
Kun uusi verkkosolmu otetaan käyttöön laitteen asennuksen ja liittämisen jälkeen, aloitetaan alkukonfigurointi. "Isojen pomojen" näkökulmasta - ei mitään monimutkaista: "Otamme projektin työdokumentaation ja aloitamme asennuksen..." Tämä on niin hyvin sanottu, kun kaikki verkkoelementit sijaitsevat samassa palvelinkeskuksessa. Jos ne ovat hajallaan oksien välillä, etäkäytön tarjoamisen päänsärky alkaa. Se on sellainen noidankehä: päästäksesi etäkäyttöön verkon kautta, sinun on määritettävä verkkolaitteet, ja tätä varten tarvitset pääsyn verkon kautta...
Meidän on keksittävä erilaisia suunnitelmia päästäksemme ulos yllä kuvatusta umpikujasta. Esimerkiksi kannettava tietokone, jossa on Internet-yhteys USB 4G -modeemin kautta, on liitetty liitäntäjohdolla mukautettuun verkkoon. Tähän kannettavaan tietokoneeseen on asennettu VPN-asiakas, ja sen kautta pääkonttorin verkonvalvoja yrittää päästä haaraverkkoon. Järjestelmä ei ole kaikkein läpinäkyvin - vaikka tuot kannettavan tietokoneen, jossa on esikonfiguroitu VPN, etäsivustolle ja pyydät kytkemään sen päälle, on kaukana tosiasiasta, että kaikki toimisi ensimmäisellä kerralla. Varsinkin jos puhumme eri alueesta eri palveluntarjoajan kanssa.
Osoittautuu, että luotettavin tapa on olla "linjan toisessa päässä" hyvä asiantuntija, joka osaa konfiguroida osansa projektin mukaan. Jos konttorin henkilökunnassa sellaista ei ole, vaihtoehdot jäävät: joko ulkoistaminen tai työmatkat.
Tarvitsemme myös seurantajärjestelmän. Se on asennettava, konfiguroitava, ylläpidettävä (ainakin tarkkailla levytilaa ja tehdä säännöllisesti varmuuskopioita). Ja joka ei tiedä mitään laitteistamme ennen kuin kerromme sille. Tätä varten sinun on rekisteröitävä kaikkien laitteiden asetukset ja seurattava säännöllisesti tietueiden merkitystä.
On hienoa, kun henkilökunnalla on oma "yhden miehen orkesteri", joka osaa verkonvalvojan erityisosaamisen lisäksi työskennellä Zabbixin tai muun vastaavan järjestelmän kanssa. Muussa tapauksessa palkkaamme toisen henkilön henkilöstöön tai ulkoistamme sen.
Huom. Surullisimmat virheet alkavat sanoilla: "Mitä tässä Zabbixissa pitää määrittää (Nagios, OpenView jne.)? Nostan sen nopeasti ja se on valmis!"
Toteutuksesta toimintaan
Tarkastellaanpa konkreettista esimerkkiä.
Saatiin hälytysviesti, joka ilmoitti, että WiFi-tukiasema ei vastaa.
Missä hän sijaitsee?
Tietysti hyvällä verkonvalvojalla on oma henkilökohtainen hakemistonsa, johon kaikki on kirjoitettu. Kysymykset alkavat, kun nämä tiedot on jaettava. Esimerkiksi sinun on kiireesti lähetettävä sanansaattaja selvittämään asiat paikan päällä, ja tätä varten sinun on annettava jotain: "Pääsypiste yrityskeskuksessa Stroiteley Street, rakennus 1, 3. kerros, huone nro. 301 etuoven vieressä katon alla."
Oletetaan, että olemme onnekkaita ja tukiasema saa virtansa PoE:n kautta, ja kytkimen avulla se voidaan käynnistää uudelleen etänä. Sinun ei tarvitse matkustaa, mutta tarvitset etäyhteyden kytkimeen. Jäljelle jää vain reitittimen portinvälitys PAT:n kautta tapahtuvan konfiguroinnin määrittäminen, VLAN ulkopuolelta yhdistämisen selvittäminen ja niin edelleen. On hyvä, jos kaikki on asetettu etukäteen. Työ ei ehkä ole vaikeaa, mutta se on tehtävä.
Joten ruokapiste käynnistettiin uudelleen. Ei auttanut?
Oletetaan, että laitteistossa on jotain vialla. Nyt etsimme tietoja takuusta, käynnistyksestä ja muista kiinnostavista yksityiskohdista.
WiFistä puheen ollen. WPA2-PSK:n kotiversion käyttöä, jossa on yksi avain kaikille laitteille, ei suositella yritysympäristössä. Ensinnäkin yksi avain kaikille on yksinkertaisesti vaarallinen, ja toiseksi, kun yksi työntekijä lähtee, sinun on vaihdettava tämä yhteinen avain ja tehtävä asetukset uudelleen kaikille laitteille kaikille käyttäjille. Tällaisten ongelmien välttämiseksi on olemassa WPA2-Enterprise, jossa on yksilöllinen todennus jokaiselle käyttäjälle. Mutta tätä varten tarvitset RADIUS-palvelimen - toisen infrastruktuuriyksikön, jota on ohjattava, varmuuskopioitava ja niin edelleen.
Huomioithan, että jokaisessa vaiheessa, olipa kyseessä toteutus tai käyttö, käytimme tukijärjestelmiä. Tämä sisältää kannettavan tietokoneen, jossa on "kolmannen osapuolen" Internet-yhteys, valvontajärjestelmä, laiteviitetietokanta ja RADIUS todennusjärjestelmänä. Verkkolaitteiden lisäksi sinun on ylläpidettävä myös kolmannen osapuolen palveluita.
Tällaisissa tapauksissa voit kuulla neuvon: "Anna se pilveen äläkä kärsi." Varmasti on pilvi Zabbix, ehkä jossain on pilvi RADIUS ja jopa pilvitietokanta laiteluettelon ylläpitämiseksi. Ongelmana on, että tätä ei tarvita erikseen, vaan "yhdessä pullossa". Ja silti herää kysymyksiä käyttöoikeuksien järjestämisestä, laitteen alkuasetuksista, turvallisuudesta ja paljon muusta.
Miltä se näyttää käytettäessä Nebulaa?
Tietenkin aluksi "pilvi" ei tiedä mitään suunnitelmistamme tai ostetuista laitteistamme.
Ensin luodaan organisaatioprofiili. Eli koko infrastruktuuri: pääkonttori ja sivuliikkeet rekisteröidään ensin pilveen. Yksityiskohdat määritellään ja tilit luodaan valtuutuksen siirtämistä varten.
Voit rekisteröidä laitteesi pilveen kahdella tavalla: vanhanaikaisesti - yksinkertaisesti syöttämällä sarjanumero verkkolomaketta täytettäessä tai skannaamalla QR-koodi matkapuhelimella. Toiseen tapaan tarvitset vain älypuhelimen, jossa on kamera ja Internet-yhteys, myös matkapuhelinoperaattorin kautta.
Tietysti Zyxel Nebula tarjoaa tarvittavan infrastruktuurin tietojen tallentamiseen, sekä kirjanpitoon että asetuksiin.
Kuva 1. Nebula Control Centerin suojausraportti.
Entä pääsyn määrittäminen? Porttien avaaminen, liikenteen välittäminen saapuvan yhdyskäytävän kautta, kaikki mitä tietoturvajärjestelmänvalvojat hellästi kutsuvat "poimintareikiksi"? Onneksi sinun ei tarvitse tehdä kaikkea tätä. Nebulaa käyttävät laitteet muodostavat lähtevän yhteyden. Ja järjestelmänvalvoja ei muodosta yhteyttä erilliseen laitteeseen, vaan pilveen määritystä varten. Nebula välittää kahden yhteyden välillä: laitteeseen ja verkonvalvojan tietokoneeseen. Tämä tarkoittaa, että saapuvan järjestelmänvalvojan soittamisvaihe voidaan minimoida tai ohittaa kokonaan. Eikä palomuurissa ole ylimääräisiä "reikiä".
Entä RADUIS-palvelin? Jonkinlaista keskitettyä todennustahan kaivataan!
Nebula ottaa myös nämä toiminnot haltuunsa. Laitteisiin pääsyä varten tilien todennus tapahtuu suojatun tietokannan kautta. Tämä yksinkertaistaa huomattavasti järjestelmän hallintaoikeuksien delegointia tai peruuttamista. Meidän on siirrettävä oikeudet - luo käyttäjä, määritä rooli. Meidän on poistettava oikeudet - teemme päinvastaiset vaiheet.
Erikseen kannattaa mainita WPA2-Enterprise, joka vaatii erillisen todennuspalvelun. Zyxel Nebulalla on oma analoginsa - DPPSK, jonka avulla voit käyttää WPA2-PSK:ta yksittäisellä avaimella jokaiselle käyttäjälle.
"Epämukavia" kysymyksiä
Alla yritämme antaa vastauksia vaikeimpiin kysymyksiin, joita usein kysytään pilvipalveluun astuessa
Onko se todella turvallista?
Kaikessa hallinnan ja hallinnan delegoinnissa turvallisuuden varmistamiseksi kahdella tekijällä on tärkeä rooli: anonymisoinnilla ja salauksella.
Salauksen käyttö liikenteen suojaamiseen uteliailta katseilta on lukijoille enemmän tai vähemmän tuttua.
Anonymisointi piilottaa tiedot omistajasta ja lähteestä pilvipalvelun tarjoajilta. Henkilötiedot poistetaan ja tietueille annetaan "kasvoton" tunniste. Pilviohjelmiston kehittäjä tai pilvijärjestelmää ylläpitävä ylläpitäjä eivät voi tietää pyyntöjen omistajaa. "Mistä tämä tuli? Ketä tämä voisi kiinnostaa?” – tällaiset kysymykset jäävät vastaamatta. Tietojen puute omistajasta ja lähteestä tekee sisäpiiriläisestä turhaa ajanhukkaa.
Jos vertaamme tätä lähestymistapaa perinteiseen käytäntöön ulkoistaa tai palkata saapuva järjestelmänvalvoja, on selvää, että pilviteknologiat ovat turvallisempia. Tuleva IT-asiantuntija tietää organisaatiostaan melko paljon ja voi tahtomattaan, aiheuttaa merkittäviä turvallisuushaittoja. Irtisanominen tai sopimuksen irtisanominen on vielä ratkaisematta. Joskus tämä edellyttää tilin estämisen tai poistamisen lisäksi maailmanlaajuista salasanojen vaihtamista palveluihin pääsyä varten sekä kaikkien resurssien tarkastusta "unohdettujen" sisäänkäyntipisteiden ja mahdollisten "kirjanmerkkien" osalta.
Kuinka paljon kalliimpi tai halvempi Nebula on kuin saapuva järjestelmänvalvoja?
Kaikki on suhteellista. Nebulan perusominaisuudet ovat saatavilla ilmaiseksi. Oikeastaan mikä voisi olla vielä halvempaa?
Tietenkin on mahdotonta tehdä täysin ilman verkon ylläpitäjää tai henkilöä, joka korvaa hänet. Kysymys on ihmisten määrästä, heidän erikoistumisestaan ja jakautumisesta sivustojen välillä.
Mitä tulee maksulliseen laajennettuun palveluun, suora kysymys: kalliimpi tai halvempi - tällainen lähestymistapa on aina epätarkka ja yksipuolinen. Olisi oikeampaa verrata monia tekijöitä aina rahasta tiettyjen asiantuntijoiden työn maksamiseen ja kustannuksiin, jotka aiheutuvat heidän vuorovaikutuksensa varmistamisesta urakoitsijan tai henkilön kanssa: laadunvalvonta, dokumentaation laatiminen, turvallisuustason ylläpito ja pian.
Jos puhumme aiheesta, onko kannattavaa vai ei kannattavaa ostaa maksullinen palvelupaketti (Pro-Pack), niin likimääräinen vastaus saattaa kuulostaa tältä: jos organisaatio on pieni, pärjäät perusasioissa. versio, jos organisaatio kasvaa, on järkevää ajatella Pro-Packia. Zyxel Nebulan versioiden väliset erot näkyvät taulukossa 1.
Taulukko 1. Erot Nebulan perus- ja Pro-Pack-ominaisuussarjojen välillä.
Tämä sisältää edistyneen raportoinnin, käyttäjien tarkastuksen, määritysten kloonauksen ja paljon muuta.
Entä liikenneturvallisuus?
Nebula käyttää protokollaa verkkolaitteiden turvallisen toiminnan varmistamiseksi.
NETCONF voi toimia useiden siirtoprotokollien päällä:
- ();
- ();
- ();
- ().
Jos vertaamme NETCONF:ia muihin menetelmiin, esimerkiksi hallintaan SNMP:n kautta, on huomattava, että NETCONF tukee lähtevää TCP-yhteyttä NAT-esteen voittamiseksi ja sitä pidetään luotettavampana.
Entä laitteistotuki?
Palvelinhuoneesta ei tietenkään kannata tehdä eläintarhaa, jossa on harvinaisten ja uhanalaisten laitteiden edustajia. On erittäin toivottavaa, että hallintatekniikan yhdistämät laitteet kattavat kaikki suunnat: keskuskytkimestä tukipisteisiin. Zyxelin insinöörit huolehtivat tästä mahdollisuudesta. Nebula käyttää monia laitteita:
- 10G keskuskytkimet;
- pääsytason kytkimet;
- kytkimet, joissa on PoE;
- tukiasemat;
- verkkoyhdyskäytäviä.
Käyttämällä laajaa valikoimaa tuettuja laitteita voit rakentaa verkkoja erilaisiin tehtäviin. Tämä pätee erityisesti yrityksiin, jotka eivät kasva ylöspäin, vaan ulospäin ja etsivät jatkuvasti uusia liiketoiminta-alueita.
Jatkuva kehitys
Perinteisellä hallintamenetelmällä toimivilla verkkolaitteilla on vain yksi tapa parantaa - itse laitteen vaihtaminen, olipa kyseessä sitten uusi laiteohjelmisto tai lisämoduuleja. Zyxel Nebulan tapauksessa on lisäpolku parantamiseen - pilviinfrastruktuurin parantamisen kautta. Esimerkiksi sen jälkeen, kun Nebula Control Center (NCC) on päivitetty versioon 10.1. (21) uusia ominaisuuksia on käyttäjien saatavilla, tässä on joitain niistä:
- Organisaation omistaja voi nyt siirtää kaikki omistusoikeudet toiselle järjestelmänvalvojalle samassa organisaatiossa.
- uusi rooli nimeltä Owner Representative, jolla on samat oikeudet kuin organisaation omistajalla;
- uusi koko organisaation kattava laiteohjelmiston päivitysominaisuus (Pro-Pack-ominaisuus);
- topologiaan on lisätty kaksi uutta vaihtoehtoa: laitteen uudelleenkäynnistys ja PoE-portin virran kytkeminen päälle ja pois (Pro-Pack-toiminto);
- tuki uusille tukiasemamalleille: WAC500, WAC500H, WAC5302D-Sv2 ja NWA1123ACv3;
- tuki tositteen todentamiseen QR-kooditulostuksella (Pro-Pack-toiminto).
Hyödyllisiä linkkejä
Lähde: will.com