ProHoster > Blog > Adminisztráció > Nebula alapú hálózati infrastruktúra kiépítése. 1. rész – problémák és megoldások
Nebula alapú hálózati infrastruktúra kiépítése. 1. rész – problémák és megoldások
A cikk a hálózati infrastruktúra hagyományos módon történő megszervezésének problémáit, valamint ugyanezen problémák felhőtechnológiák segítségével történő megoldásának módszereit tárgyalja.
Referencia. A Nebula egy SaaS felhőkörnyezet a hálózati infrastruktúra távoli karbantartására. Az összes Nebula-kompatibilis eszközt a felhőből kezelik biztonságos kapcsolaton keresztül. Egy nagy elosztott hálózati infrastruktúrát egyetlen központból kezelhet anélkül, hogy a létrehozásával kapcsolatos erőfeszítéseket kellene költenie.
Miért van szüksége másik felhőszolgáltatásra?
A hálózati infrastruktúrával való munka során a fő probléma nem a hálózat tervezése és a berendezések beszerzése, vagy akár rackbe szerelése, hanem minden más, amit ezzel a hálózattal a jövőben el kell végezni.
Új hálózat – régi gondok
Új hálózati csomópont üzembe helyezésekor a berendezés telepítése és csatlakoztatása után megkezdődik a kezdeti konfiguráció. A „nagy főnökök” szemszögéből – semmi bonyolult: „Vegyük a projekt munkadokumentációját és elkezdjük a beállítást...” Ez olyan jól mondható, amikor az összes hálózati elem egy adatközpontban található. Ha szétszóródnak az ágak között, akkor kezdődik a fejfájás a távoli hozzáférés biztosításával kapcsolatban. Ez egy ördögi kör: a hálózaton keresztüli távoli eléréshez konfigurálnia kell a hálózati berendezéseket, ehhez pedig a hálózaton keresztüli hozzáférésre...
Különféle sémákat kell kitalálnunk, hogy kijussunk a fent leírt zsákutcából. Például egy USB 4G modemen keresztül internet-hozzáféréssel rendelkező laptop egy patch kábelen keresztül csatlakozik egy egyedi hálózathoz. Ezen a laptopon VPN-kliens van telepítve, és ezen keresztül a központ hálózati rendszergazdája megpróbál hozzáférni a fiókhálózathoz. A séma nem a legátláthatóbb - még akkor is, ha előre konfigurált VPN-vel rendelkező laptopot visz egy távoli webhelyre, és kéri a bekapcsolását, távolról sem tény, hogy minden működni fog az első alkalommal. Főleg, ha más régióról beszélünk, más szolgáltatóval.
Kiderült, hogy a legmegbízhatóbb az, ha a „vonal másik végén” van egy jó szakember, aki a projektnek megfelelően tudja konfigurálni a részét. Ha ilyen nincs a fióki személyzetben, maradnak a lehetőségek: vagy outsourcing, vagy üzleti utazás.
Szükségünk van egy megfigyelő rendszerre is. Telepíteni, konfigurálni, karbantartani (legalább lemezterületet figyelni és rendszeres biztonsági mentéseket készíteni) kell. És ami semmit sem tud a készülékeinkről, amíg el nem mondjuk. Ehhez regisztrálnia kell az összes berendezés beállításait, és rendszeresen figyelemmel kell kísérnie a rekordok relevanciáját.
Nagyon jó, ha a stábnak saját „egyszemélyes zenekara” van, amely a hálózati rendszergazda speciális tudása mellett tudja, hogyan kell Zabbix-szal vagy más hasonló rendszerrel dolgozni. Ellenkező esetben felveszünk egy másik személyt a személyzetbe, vagy kiszervezzük.
Megjegyzés. A legszomorúbb hibák a következő szavakkal kezdődnek: „Mivel konfigurálható ez a Zabbix (Nagios, OpenView stb.)? Gyorsan felveszem és kész is!"
A megvalósítástól a működésig
Nézzünk egy konkrét példát.
Riasztási üzenet érkezett, amely azt jelzi, hogy valahol egy WiFi hozzáférési pont nem válaszol.
Hol van ő?
Természetesen egy jó hálózati adminisztrátornak megvan a saját személyes könyvtára, amelybe minden le van írva. A kérdések akkor kezdődnek, amikor ezt az információt meg kell osztani. Például sürgősen küldenie kell egy messengert, hogy a dolgokat a helyszínen rendezze, és ehhez ki kell adnia valami ilyesmit: „Hozzáférési pont a Stroiteley utcai üzleti központban, 1. épület, a 3. emeleten, a 301. emeleten. XNUMX a bejárati ajtó mellett a mennyezet alatt."
Tegyük fel, hogy szerencsénk van, és a hozzáférési pont PoE-n keresztül működik, a kapcsoló pedig lehetővé teszi a távoli újraindítást. Nem kell utaznia, de távoli hozzáférésre van szüksége a kapcsolóhoz. Már csak be kell állítani a port továbbítást PAT-on keresztül a routeren, ki kell találni a VLAN-t a külső csatlakozáshoz stb. Jó, ha minden előre be van állítva. Lehet, hogy a munka nem nehéz, de meg kell tenni.
Tehát az élelmiszerboltot újraindították. Nem segített?
Tegyük fel, hogy valami nincs rendben a hardverrel. Most a garanciával, az üzembe helyezéssel és egyéb érdekes részletekkel kapcsolatos információkat keresünk.
Apropó WiFi. Vállalati környezetben nem javasolt a WPA2-PSK otthoni verziójának használata, amely minden eszközhöz egy kulccsal rendelkezik. Először is, egy mindenki számára elérhető kulcs egyszerűen nem biztonságos, másodszor pedig, amikor egy alkalmazott távozik, meg kell változtatnia ezt a közös kulcsot, és újra meg kell adnia a beállításokat minden eszközön az összes felhasználó számára. Az ilyen problémák elkerülése érdekében létezik WPA2-Enterprise egyedi hitelesítéssel minden felhasználó számára. Ehhez azonban szükség van egy RADIUS-kiszolgálóra - egy másik infrastruktúra-egységre, amelyet vezérelni kell, biztonsági másolatokat kell készíteni stb.
Kérjük, vegye figyelembe, hogy minden szakaszban, legyen az megvalósítás vagy üzemeltetés, támogató rendszereket használtunk. Ez magában foglalja a „harmadik féltől származó” internetkapcsolattal rendelkező laptopot, a megfigyelőrendszert, a berendezés referencia adatbázisát és a RADIUS-t, mint hitelesítési rendszert. A hálózati eszközökön kívül harmadik féltől származó szolgáltatásokat is fenn kell tartania.
Ilyen esetekben hallható a tanács: „Add a felhőnek, és ne szenvedj!” Biztos van egy felhő Zabbix, talán van valahol egy felhő RADIUS, és még egy felhő adatbázis is az eszközök listájának karbantartásához. Az a baj, hogy ez nem külön kell, hanem „egy üvegben”. Ennek ellenére kérdések merülnek fel a hozzáférés megszervezésével, az eszköz kezdeti beállításával, a biztonsággal és még sok mással kapcsolatban.
Hogyan néz ki a Nebula használatakor?
Természetesen kezdetben a „felhő” semmit sem tud a terveinkről vagy a vásárolt felszerelésekről.
Először egy szervezeti profilt kell létrehozni. Vagyis a teljes infrastruktúra: a központ és a fióktelepek először regisztrálásra kerülnek a felhőben. Megadják a részleteket, és fiókok jönnek létre a hatáskör-átruházáshoz.
Eszközeit kétféleképpen regisztrálhatja a felhőben: a régi módon - egyszerűen a sorozatszám megadásával egy webes űrlap kitöltésekor, vagy egy QR-kód beolvasásával mobiltelefonon. A második módszerhez mindössze egy okostelefonra van szüksége, kamerával és internet-hozzáféréssel, akár mobilszolgáltatón keresztül is.
Természetesen az információk tárolásához szükséges infrastruktúrát, mind a könyvelést, mind a beállításokat a Zyxel Nebula biztosítja.
1. ábra: Nebula Control Center biztonsági jelentés.
Mi a helyzet a hozzáférés beállításával? Portok megnyitása, forgalom továbbítása bejövő átjárón keresztül, mindaz, amit a biztonsági rendszergazdák szeretettel „kiválasztó lyukak”-nak neveznek? Szerencsére mindezt nem kell megtennie. A Nebula-t futtató eszközök kimenő kapcsolatot létesítenek. A rendszergazda pedig nem külön eszközhöz, hanem a felhőhöz csatlakozik a konfigurációhoz. A Nebula két kapcsolat között közvetít: az eszközhöz és a hálózati rendszergazda számítógépéhez. Ez azt jelenti, hogy a bejövő adminisztrátor felhívásának szakasza minimalizálható vagy teljesen kihagyható. És nincsenek további „lyukak” a tűzfalon.
Mi a helyzet a RADUIS szerverrel? Hiszen valami központosított hitelesítés kell!
És ezeket a funkciókat a Köd is átveszi. A berendezésekhez való hozzáféréshez szükséges fiókok hitelesítése egy biztonságos adatbázison keresztül történik. Ez nagymértékben leegyszerűsíti a rendszer kezeléséhez szükséges jogok átruházását vagy visszavonását. Át kell adnunk a jogokat - hozzon létre egy felhasználót, rendeljen hozzá egy szerepet. El kell venni a jogokat – fordított lépéseket hajtunk végre.
Külön érdemes megemlíteni a WPA2-Enterprise-t, amely külön hitelesítési szolgáltatást igényel. A Zyxel Nebula saját analógjával rendelkezik - DPPSK, amely lehetővé teszi a WPA2-PSK használatát minden felhasználó számára egyedi kulccsal.
"Kelmetlen" kérdések
Az alábbiakban megpróbálunk választ adni a felhőszolgáltatásba való belépéskor gyakran felmerülő legtrükkösebb kérdésekre
Tényleg biztonságos?
A biztonság biztosítása érdekében az irányítás és felügyelet bármely delegálásában két tényező játszik fontos szerepet: az anonimizálás és a titkosítás.
Az olvasók többé-kevésbé jól ismerik a titkosítás használatát, hogy megvédjék a forgalmat a kíváncsi szemektől.
Az anonimizálás elrejti a tulajdonosra és a forrásra vonatkozó információkat a felhőszolgáltató személyzete elől. A személyes adatok eltávolításra kerülnek, és az iratok „arctalan” azonosítót kapnak. Sem a felhőszoftver-fejlesztő, sem a felhőrendszert karbantartó rendszergazda nem ismerheti a kérések tulajdonosát. "Ez honnan jött? Kit érdekelhet ez?” – az ilyen kérdések megválaszolatlanok maradnak. A tulajdonosra és a forrásra vonatkozó információk hiánya értelmetlen időpocsékolássá teszi a bennfenteseket.
Ha ezt a megközelítést összehasonlítjuk a hagyományos gyakorlattal, amikor a kiszervezést vagy a bejövő adminisztrátort alkalmazzák, nyilvánvaló, hogy a felhőtechnológiák biztonságosabbak. Egy beérkező informatikus elég sokat tud a szervezetéről, és akarva-akaratlanul is jelentős károkat okozhat a biztonság terén. A felmondás vagy a szerződés felbontásának kérdése még megoldásra vár. Néha ez a fiók blokkolása vagy törlése mellett a szolgáltatások eléréséhez szükséges jelszavak globális megváltoztatásával, valamint az „elfelejtett” belépési pontok és az esetleges „könyvjelzők” összes erőforrásának ellenőrzésével jár.
Mennyivel drágább vagy olcsóbb a Nebula, mint egy bejövő admin?
Minden relatív. A Nebula alapvető funkciói ingyenesen elérhetők. Tulajdonképpen mi lehetne még olcsóbb?
Természetesen lehetetlen teljesen megtenni hálózati rendszergazda vagy őt helyettesítő személy nélkül. A kérdés az emberek száma, a specializációjuk és a webhelyek közötti megoszlásuk.
Ami a fizetős kiterjesztett szolgáltatást illeti, egy közvetlen kérdés: drágább vagy olcsóbb - egy ilyen megközelítés mindig pontatlan és egyoldalú lesz. Helyesebb lenne sok tényezőt összehasonlítani, kezdve a pénztől a konkrét szakemberek munkájának kifizetéséig és a vállalkozókkal vagy magánszemélyekkel való interakció biztosításának költségeiig: minőségellenőrzés, dokumentáció elkészítése, biztonsági szint fenntartása, ill. hamar.
Ha arról a témáról beszélünk, hogy kifizetődő-e vagy sem jövedelmező-e fizetős szolgáltatáscsomagot (Pro-Pack) vásárolni, akkor a hozzávetőleges válasz így hangozhat: ha kicsi a szervezet, akkor meg lehet boldogulni az alapokkal. verzió, ha a szervezet növekszik, akkor érdemes a Pro-Packre gondolni. A Zyxel-köd változatai közötti különbségek az 1. táblázatban láthatók.
1. táblázat: A Nebula alapvető és Pro-Pack szolgáltatáskészletei közötti különbségek.
Ez magában foglalja a fejlett jelentéskészítést, a felhasználói auditálást, a konfiguráció klónozását és még sok mást.
Mi a helyzet a forgalomvédelemmel?
A Nebula a protokollt használja NETCONF a hálózati berendezések biztonságos működésének biztosítása érdekében.
Ha összehasonlítjuk a NETCONF-ot más módszerekkel, például az SNMP-n keresztüli kezeléssel, meg kell jegyezni, hogy NETCONF támogatja a kimenő TCP-kapcsolatot a NAT-korlát leküzdésére, és megbízhatóbbnak tekinthető.
Mi a helyzet a hardveres támogatással?
Természetesen nem szabad a szerverszobát állatkertté alakítani, ahol ritka és veszélyeztetett berendezések képviselői vannak. Nagyon kívánatos, hogy a menedzsmenttechnológiával egyesített berendezések minden irányt lefedjenek: a központi kapcsolótól a hozzáférési pontokig. A Zyxel mérnökei gondoskodtak erről a lehetőségről. A Nebula számos eszközt futtat:
10G központi kapcsolók;
hozzáférési szint kapcsolók;
kapcsolók PoE-vel;
hozzáférési pontok;
hálózati átjárók.
A támogatott eszközök széles skálájával hálózatokat építhet különféle típusú feladatokhoz. Ez különösen igaz azokra a cégekre, amelyek nem felfelé, hanem kifelé növekszenek, és folyamatosan új üzleti területeket fedeznek fel.
Folyamatos fejlődés
A hagyományos felügyeleti módszerrel működő hálózati eszközöknek csak egy módja van a fejlesztésnek - magának az eszköznek a megváltoztatása, legyen az új firmware vagy további modulok. A Zyxel Nebula esetében van egy további út a fejlődéshez – a felhő infrastruktúra fejlesztésén keresztül. Például a Nebula Control Center (NCC) 10.1-es verzióra való frissítése után. (21. szeptember 2020.) új funkciók állnak a felhasználók rendelkezésére, ezek közül néhány:
Egy szervezet tulajdonosa mostantól átruházhatja az összes tulajdonjogot egy másik rendszergazdára ugyanabban a szervezetben;
egy új, Tulajdonos Képviselő nevű szerepkör, amely a szervezet tulajdonosával azonos jogokkal rendelkezik;
új, az egész szervezetre kiterjedő firmware-frissítési funkció (Pro-Pack funkció);
két új lehetőség került a topológiába: az eszköz újraindítása és a PoE port tápellátásának be- és kikapcsolása (Pro-Pack funkció);
új hozzáférési pont modellek támogatása: WAC500, WAC500H, WAC5302D-Sv2 és NWA1123ACv3;