ProHoster > Օրագիր > Վարչակազմը > Միգամածության վրա հիմնված ցանցային ենթակառուցվածքի կառուցում: Մաս 1 - խնդիրներ և լուծումներ
Միգամածության վրա հիմնված ցանցային ենթակառուցվածքի կառուցում: Մաս 1 - խնդիրներ և լուծումներ
Հոդվածում կքննարկվեն ավանդական եղանակով ցանցային ենթակառուցվածքի կազմակերպման խնդիրները և նույն խնդիրները ամպային տեխնոլոգիաների միջոցով լուծելու մեթոդները:
Համար. Nebula-ն SaaS ամպային միջավայր է ցանցային ենթակառուցվածքի հեռակառավարման համար: Nebula-ով միացված բոլոր սարքերը կառավարվում են ամպից՝ անվտանգ կապի միջոցով: Դուք կարող եք կառավարել մեծ բաշխված ցանցային ենթակառուցվածքը մեկ կենտրոնից՝ առանց դրա ստեղծման ջանքերը ծախսելու:
Ինչու՞ է ձեզ անհրաժեշտ մեկ այլ ամպային ծառայություն:
Ցանցային ենթակառուցվածքի հետ աշխատելիս հիմնական խնդիրը ցանցի նախագծումն ու սարքավորումներ ձեռք բերելը կամ նույնիսկ դարակաշարում տեղադրելը չէ, այլ այն ամենը, ինչ պետք է անել այս ցանցի հետ ապագայում:
Նոր ցանց՝ հին հոգսեր
Սարքավորումը տեղադրելուց և միացնելուց հետո ցանցի նոր հանգույցը շահագործման հանձնելիս սկսվում է նախնական կոնֆիգուրացիան: «Մեծ ղեկավարների» տեսանկյունից ոչ մի բարդ բան չկա. «Մենք վերցնում ենք նախագծի աշխատանքային փաստաթղթերը և սկսում ենք կարգավորել...» Սա այնքան լավ է ասված, երբ ցանցի բոլոր տարրերը տեղակայված են մեկ տվյալների կենտրոնում: Եթե դրանք ցրված են ճյուղերով, ապա սկսվում է հեռահար մուտք ապահովելու գլխացավը։ Դա այնքան արատավոր շրջան է. ցանցից հեռահար մուտք ստանալու համար անհրաժեշտ է կարգավորել ցանցային սարքավորումները, և դրա համար անհրաժեշտ է մուտք գործել ցանցի միջոցով...
Մենք պետք է տարբեր սխեմաներ մշակենք վերը նկարագրված փակուղուց դուրս գալու համար։ Օրինակ, USB 4G մոդեմի միջոցով ինտերնետ հասանելիությամբ նոութբուքը միացված է կարկատանի միջոցով հատուկ ցանցին: Այս նոութբուքի վրա տեղադրված է VPN-հաճախորդ, որի միջոցով ցանցի ադմինիստրատորը շտաբից փորձում է մուտք գործել մասնաճյուղային ցանց: Սխեման ամենաթափանցիկ չէ. նույնիսկ եթե դուք նախապես կազմաձևված VPN-ով նոութբուք եք բերում հեռավոր կայք և խնդրեք միացնել այն, հեռու է այն փաստից, որ ամեն ինչ կաշխատի առաջին անգամ: Հատկապես, եթե մենք խոսում ենք այլ տարածաշրջանի մասին, այլ մատակարարով:
Պարզվում է, որ ամենահուսալի միջոցը «գծի մյուս ծայրում» լավ մասնագետ ունենալն է, ով կարող է իր մասը կարգավորել ըստ նախագծի։ Եթե մասնաճյուղի աշխատակազմում նման բան չկա, տարբերակները մնում են՝ կա՛մ աութսորսինգ, կա՛մ գործուղում:
Մեզ պետք է նաև մոնիտորինգի համակարգ։ Այն պետք է տեղադրվի, կազմաձևվի, պահպանվի (առնվազն վերահսկել սկավառակի տարածությունը և կանոնավոր կրկնօրինակումներ անել): Եվ որը ոչինչ չգիտի մեր սարքերի մասին, քանի դեռ մենք դա չենք ասում: Դա անելու համար դուք պետք է գրանցեք պարամետրերը բոլոր սարքավորումների համար և պարբերաբար վերահսկեք գրառումների համապատասխանությունը:
Հիանալի է, երբ անձնակազմն ունի իր «մեկ մարդու նվագախումբը», որը, բացի ցանցային ադմինիստրատորի հատուկ գիտելիքներից, գիտի ինչպես աշխատել Zabbix-ի կամ նմանատիպ այլ համակարգի հետ: Հակառակ դեպքում, մենք վարձում ենք մեկ այլ անձի աշխատակազմում կամ աութսորսինգ ենք անում:
Նշում. Ամենատխուր սխալները սկսվում են հետևյալ բառերով. «Ի՞նչ կա այս Zabbix-ը կարգավորելու համար (Nagios, OpenView և այլն): Ես արագ կվերցնեմ այն և պատրաստ է»:
Իրագործումից մինչև գործարկում
Եկեք նայենք կոնկրետ օրինակին:
Տագնապի հաղորդագրություն է ստացվել, որը ցույց է տալիս, որ WiFi մուտքի կետն ինչ-որ տեղ չի արձագանքում:
Որտեղ է նա գտնվում:
Իհարկե, լավ ցանցային ադմինիստրատորն ունի իր անձնական գրացուցակը, որտեղ ամեն ինչ գրված է: Հարցերը սկսվում են, երբ այս տեղեկատվությունը պետք է տարածվի: Օրինակ, դուք շտապ պետք է մեսենջեր ուղարկեք, որպեսզի ամեն ինչ տեղում դասավորվի, և դրա համար պետք է թողարկեք նման բան. 1 առաստաղի տակ մուտքի դռան կողքին»։
Ենթադրենք, մեր բախտը բերել է, և մուտքի կետը սնուցվում է PoE-ի միջոցով, և անջատիչը թույլ է տալիս այն վերագործարկել հեռակա կարգով: Ձեզ հարկավոր չէ ճանապարհորդել, սակայն ձեզ անհրաժեշտ է հեռահար մուտք դեպի անջատիչ: Մնում է միայն կարգավորել նավահանգիստների փոխանցումը PAT-ի միջոցով երթուղիչի վրա, պարզել VLAN-ը դրսից միանալու համար և այլն: Լավ է, եթե ամեն ինչ նախապես կարգավորվի: Աշխատանքը գուցե դժվար չէ, բայց պետք է անել։
Այսպիսով, սննդի կետը վերագործարկվեց: Չե՞ք օգնել:
Ենթադրենք, սարքաշարում ինչ-որ բան այն չէ: Այժմ մենք տեղեկություններ ենք փնտրում երաշխիքի, մեկնարկի և հետաքրքրող այլ մանրամասների մասին:
Խոսելով WiFi-ի մասին. Կորպորատիվ միջավայրում խորհուրդ չի տրվում օգտագործել WPA2-PSK-ի տնային տարբերակը, որն ունի մեկ բանալի բոլոր սարքերի համար: Նախ, բոլորի համար մեկ բանալին պարզապես անվտանգ չէ, և երկրորդը, երբ մեկ աշխատակից հեռանում է, դուք պետք է փոխեք այս ընդհանուր բանալին և նորից կատարեք կարգավորումները բոլոր սարքերում բոլոր օգտագործողների համար: Նման խնդիրներից խուսափելու համար կա WPA2-Enterprise՝ յուրաքանչյուր օգտագործողի համար անհատական նույնականացումով: Բայց դրա համար անհրաժեշտ է RADIUS սերվեր՝ մեկ այլ ենթակառուցվածքային միավոր, որը պետք է վերահսկվի, կրկնօրինակումներ արվեն և այլն:
Խնդրում ենք նկատի ունենալ, որ յուրաքանչյուր փուլում, լինի դա իրականացում, թե գործարկում, մենք օգտագործել ենք աջակցության համակարգեր: Սա ներառում է «երրորդ կողմի» ինտերնետ կապով նոութբուք, մոնիտորինգի համակարգ, սարքավորումների տվյալների բազա և RADIUS՝ որպես նույնականացման համակարգ: Ցանցային սարքերից բացի, դուք պետք է սպասարկեք նաև երրորդ կողմի ծառայություններ:
Նման դեպքերում կարող եք լսել խորհուրդը՝ «Տվեք ամպին և մի տանջվեք»։ Անշուշտ կա Zabbix ամպ, երևի ինչ-որ տեղ կա ամպային շառավիղ, և նույնիսկ ամպային տվյալների բազա՝ սարքերի ցանկը պահելու համար: Դժբախտությունն այն է, որ դա անհրաժեշտ է ոչ թե առանձին, այլ «մեկ շշով»: Եվ այնուամենայնիվ, հարցեր են առաջանում մուտքի կազմակերպման, սարքի սկզբնական տեղադրման, անվտանգության և շատ ավելին:
Ինչպիսի՞ն է այն Nebula-ն օգտագործելիս:
Իհարկե, սկզբում «ամպը» ոչինչ չգիտի մեր պլանների կամ գնված սարքավորումների մասին:
Նախ, ստեղծվում է կազմակերպության պրոֆիլը: Այսինքն՝ ամբողջ ենթակառուցվածքը՝ շտաբը և մասնաճյուղերը, նախ գրանցվում են ամպի մեջ։ Մանրամասները նշվում են և ստեղծվում են հաշիվներ լիազորությունների պատվիրակման համար:
Դուք կարող եք գրանցել ձեր սարքերը ամպում երկու եղանակով՝ հին ձևով. պարզապես մուտքագրելով սերիական համարը վեբ ձևը լրացնելիս կամ QR կոդը սկանավորելով բջջային հեռախոսի միջոցով: Երկրորդ մեթոդի համար անհրաժեշտ է միայն սմարթֆոն՝ տեսախցիկով և ինտերնետ հասանելիությամբ, այդ թվում՝ բջջային պրովայդերի միջոցով։
Իհարկե, տեղեկատվության պահպանման համար անհրաժեշտ ենթակառուցվածքը՝ և՛ հաշվապահական, և՛ կարգավորումները, տրամադրվում է Zyxel Nebula-ի կողմից։
Նկար 1. Nebula Control Center անվտանգության հաշվետվություն:
Ինչ վերաբերում է մուտքի կարգավորմանը: Նավահանգիստներ բացե՞լը, մուտքային դարպասի միջոցով երթևեկությունը փոխանցելը, այն ամենը, ինչ անվտանգության ադմինիստրատորները սիրալիրորեն անվանում են «փակելու անցքեր»: Բարեբախտաբար, ձեզ հարկավոր չէ անել այս ամենը: Nebula-ով աշխատող սարքերը ելքային կապ են հաստատում: Իսկ ադմինիստրատորը միանում է ոչ թե առանձին սարքին, այլ ամպին կոնֆիգուրացիայի համար։ Միգամածությունը միջնորդում է երկու կապերի միջև՝ սարքին և ցանցի ադմինիստրատորի համակարգչին: Սա նշանակում է, որ մուտքային ադմինին զանգահարելու փուլը կարելի է նվազագույնի հասցնել կամ ընդհանրապես բաց թողնել: Եվ ոչ մի լրացուցիչ «անցք» firewall-ում:
Ինչ վերաբերում է RADUIS սերվերին: Ի վերջո, անհրաժեշտ է որոշակի կենտրոնացված նույնականացում:
Եվ այս գործառույթները նույնպես ստանձնում է Nebula-ն։ Սարքավորումների հասանելիության համար հաշիվների իսկությունը կատարվում է անվտանգ տվյալների բազայի միջոցով: Սա մեծապես հեշտացնում է համակարգի կառավարման իրավունքի պատվիրակումը կամ չեղարկումը: Պետք է իրավունքներ փոխանցենք՝ օգտատեր ստեղծել, դեր նշանակել։ Մենք պետք է խլենք իրավունքները՝ մենք կատարում ենք հակառակ քայլերը։
Առանձին-առանձին, հարկ է նշել WPA2-Enterprise-ը, որը պահանջում է նույնականացման առանձին ծառայություն: Zyxel Nebula-ն ունի իր անալոգը՝ DPPSK, որը թույլ է տալիս օգտագործել WPA2-PSK-ը՝ յուրաքանչյուր օգտագործողի համար անհատական բանալիով:
«Անհարմար» հարցեր
Ստորև մենք կփորձենք տալ ամենաբարդ հարցերի պատասխանները, որոնք հաճախ տրվում են ամպային ծառայություն մտնելիս
Արդյո՞ք դա իսկապես անվտանգ է:
Անվտանգությունն ապահովելու համար վերահսկման և կառավարման ցանկացած պատվիրակության մեջ երկու գործոն կարևոր դեր է խաղում՝ անանունացում և գաղտնագրում:
Երթևեկությունը հետաքրքրասեր աչքերից պաշտպանելու համար գաղտնագրման օգտագործումը մի բան է, որին քիչ թե շատ ծանոթ են ընթերցողները:
Անանունացումը թաքցնում է սեփականատիրոջ և աղբյուրի մասին տեղեկատվությունը ամպային մատակարարի անձնակազմից: Անձնական տվյալները հեռացվում են, և գրառումներին վերագրվում է «անդեմ» նույնացուցիչ: Ոչ ամպային ծրագրերի մշակողը, ոչ էլ ամպային համակարգը պահպանող ադմինիստրատորը չեն կարող իմանալ հարցումների տիրոջը: «Որտեղի՞ց է սա եկել. Ո՞ւմ կարող է սա հետաքրքրել»,- նման հարցերը կմնան անպատասխան։ Սեփականատիրոջ և աղբյուրի մասին տեղեկատվության բացակայությունը ինսայդերին ժամանակի անիմաստ վատնում է դարձնում:
Եթե համեմատենք այս մոտեցումը աութսորսինգի կամ մուտքային ադմինիստրատոր վարձելու ավանդական պրակտիկայի հետ, ապա ակնհայտ է, որ ամպային տեխնոլոգիաներն ավելի անվտանգ են։ Ներգնա ՏՏ մասնագետը բավականին շատ բան գիտի իր կազմակերպության մասին և կարող է կամա թե ակամա զգալի վնաս պատճառել անվտանգության առումով: Պայմանագրի արձակման կամ խզման հարցը դեռ պետք է լուծվի։ Երբեմն, բացի հաշիվը արգելափակելուց կամ ջնջելուց, դա ենթադրում է ծառայություններ մուտք գործելու համար գաղտնաբառերի գլոբալ փոփոխություն, ինչպես նաև «մոռացված» մուտքի կետերի և հնարավոր «էջանիշների» բոլոր ռեսուրսների աուդիտ:
Որքա՞ն ավելի թանկ կամ էժան է Nebula-ն, քան մուտքային ադմինիստրատորը:
Ամեն ինչ հարաբերական է։ Nebula-ի հիմնական հատկանիշները հասանելի են անվճար: Իրականում, ի՞նչը կարող է լինել ավելի էժան:
Իհարկե, անհնար է ամբողջությամբ անել առանց ցանցի ադմինիստրատորի կամ նրան փոխարինող անձի: Հարցը մարդկանց քանակն է, նրանց մասնագիտացումը և բաշխվածությունը կայքերում:
Ինչ վերաբերում է վճարովի ընդլայնված ծառայությանը, ուղղակի հարց տալով՝ ավելի թանկ կամ ավելի էժան, նման մոտեցումը միշտ կլինի ոչ ճշգրիտ և միակողմանի։ Ավելի ճիշտ կլինի համեմատել բազմաթիվ գործոններ՝ սկսած փողից, կոնկրետ մասնագետների աշխատանքի համար վճարելուց և վերջացրած կապալառուի կամ անհատի հետ նրանց փոխգործակցությունն ապահովելու ծախսերով. որակի վերահսկում, փաստաթղթերի կազմում, անվտանգության մակարդակի պահպանում և այլն։ այսպես շարունակ։
Եթե մենք խոսում ենք այն թեմայի մասին, թե շահավետ է, թե ոչ ձեռնտու է գնել ծառայությունների վճարովի փաթեթ (Pro-Pack), ապա մոտավոր պատասխանը կարող է հնչել այսպես. տարբերակ, եթե կազմակերպությունն աճում է, ապա իմաստ ունի մտածել Pro-Pack-ի մասին: Zyxel Nebula-ի տարբերակների միջև եղած տարբերությունները կարելի է տեսնել Աղյուսակ 1-ում:
Աղյուսակ 1. Nebula-ի հիմնական և Pro-Pack առանձնահատկությունների հավաքածուների տարբերությունները:
Սա ներառում է առաջադեմ հաշվետվություններ, օգտվողների աուդիտ, կոնֆիգուրացիայի կլոնավորում և շատ ավելին:
Ինչ վերաբերում է երթեւեկության պաշտպանությանը:
Nebula-ն օգտագործում է արձանագրությունը NETCONF ապահովել ցանցային սարքավորումների անվտանգ շահագործումը.
NETCONF-ը կարող է աշխատել մի քանի տրանսպորտային արձանագրությունների վրա.
Եթե համեմատենք NETCONF-ը այլ մեթոդների հետ, օրինակ՝ կառավարումը SNMP-ի միջոցով, ապա պետք է նշել, որ NETCONF աջակցում է ելքային TCP կապին NAT արգելքը հաղթահարելու համար և համարվում է ավելի հուսալի:
Ինչ վերաբերում է ապարատային աջակցությանը:
Իհարկե, դուք չպետք է սերվերի սենյակը վերածեք կենդանաբանական այգու՝ հազվագյուտ և վտանգված տեսակի սարքավորումների ներկայացուցիչներով: Շատ ցանկալի է, որ կառավարման տեխնոլոգիայով միավորված սարքավորումները ծածկեն բոլոր ուղղությունները՝ կենտրոնական անջատիչից մինչև մուտքի կետեր: Zyxel-ի ինժեներները հոգացել են այս հնարավորության մասին: Nebula-ն գործարկում է բազմաթիվ սարքեր.
10G կենտրոնական անջատիչներ;
մուտքի մակարդակի անջատիչներ;
PoE անջատիչներ;
մուտքի կետեր;
ցանցային դարպասներ.
Օգտագործելով աջակցվող սարքերի լայն տեսականի, դուք կարող եք ցանցեր ստեղծել տարբեր տեսակի առաջադրանքների համար: Սա հատկապես վերաբերում է այն ընկերություններին, որոնք աճում են ոչ թե դեպի վեր, այլ դեպի դուրս՝ մշտապես ուսումնասիրելով բիզնես վարելու նոր ոլորտներ:
Շարունակական զարգացում
Ավանդական կառավարման մեթոդով ցանցային սարքերը բարելավման միայն մեկ ճանապարհ ունեն՝ փոխել սարքն ինքնին, լինի դա նոր որոնվածը, թե լրացուցիչ մոդուլներ: Zyxel Nebula-ի դեպքում կա բարելավման լրացուցիչ ճանապարհ՝ ամպային ենթակառուցվածքի բարելավման միջոցով: Օրինակ, Nebula Control Center (NCC) 10.1 տարբերակին թարմացնելուց հետո: (սեպտեմբերի 21, 2020) օգտատերերին հասանելի են նոր հնարավորություններ, ահա դրանցից մի քանիսը.
Կազմակերպության սեփականատերն այժմ կարող է սեփականության բոլոր իրավունքները փոխանցել նույն կազմակերպության մեկ այլ ադմինիստրատորի.
նոր դեր, որը կոչվում է Սեփականատիրոջ ներկայացուցիչ, որն ունի նույն իրավունքները, ինչ կազմակերպության սեփականատերը.
որոնվածի թարմացման նոր գործառույթ ամբողջ կազմակերպության համար (Pro-Pack հատկություն);
Տոպոլոգիայում ավելացվել է երկու նոր տարբերակ՝ սարքի վերագործարկում և PoE պորտի միացումն ու անջատումը (Pro-Pack ֆունկցիան);
աջակցություն նոր մուտքի կետերի մոդելներին՝ WAC500, WAC500H, WAC5302D-Sv2 և NWA1123ACv3;
QR կոդի տպագրությամբ վաուչերի նույնականացման աջակցություն (Pro-Pack ֆունկցիա):