Í greininni verður fjallað um vandamál við að skipuleggja netinnviði á hefðbundinn hátt og aðferðir til að leysa sömu mál með skýjatækni.
Til hliðsjónar. Nebula er SaaS skýjaumhverfi til að viðhalda netinnviðum fjarstýrt. Öllum Nebula-virkum tækjum er stjórnað úr skýinu í gegnum örugga tengingu. Þú getur stjórnað stórum dreifðum netinnviðum frá einni miðstöð án þess að eyða fyrirhöfn í að búa það til.
Af hverju þarftu aðra skýjaþjónustu?
Aðalvandamálið þegar unnið er með netinnviði er ekki að hanna netið og kaupa búnað, eða jafnvel setja það upp í rekki, heldur allt annað sem þarf að gera með þessu neti í framtíðinni.
Nýtt net - gamlar áhyggjur
Þegar nýr nethnút er tekinn í notkun eftir uppsetningu og tengingu búnaðarins hefst upphafsstillingin. Frá sjónarhóli „stóru yfirmannanna“ - ekkert flókið: „Við tökum vinnuskjölin fyrir verkefnið og byrjum að setja upp...“ Þetta er svo vel sagt þegar allir netþættirnir eru staðsettir í einu gagnaveri. Ef þeir eru dreifðir um útibú byrjar höfuðverkurinn við að veita fjaraðgang. Þetta er svo vítahringur: til að fá fjaraðgang yfir netið þarftu að stilla netbúnað og til þess þarftu aðgang yfir netið...
Við verðum að koma með ýmis kerfi til að komast út úr öngþveitinu sem lýst er hér að ofan. Til dæmis er fartölva með netaðgang í gegnum USB 4G mótald tengd með plástursnúru við sérsniðið net. VPN viðskiptavinur er settur upp á þessari fartölvu og í gegnum hann reynir netstjórinn frá höfuðstöðvunum að fá aðgang að útibúaneti. Kerfið er ekki það gagnsæjasta - jafnvel þó þú komir með fartölvu með fyrirfram stilltu VPN á fjarlæga síðu og biður um að kveikja á henni, þá er það langt frá því að vera staðreynd að allt virki í fyrsta skipti. Sérstaklega ef við erum að tala um annað svæði með öðrum veitanda.
Í ljós kemur að áreiðanlegasta leiðin er að hafa góðan sérfræðing „á hinum enda línunnar“ sem getur stillt sinn hluta í samræmi við verkefnið. Ef ekkert slíkt er í starfsliði útibúsins eru möguleikarnir eftir: annað hvort útvistun eða viðskiptaferðir.
Við þurfum líka eftirlitskerfi. Það þarf að setja það upp, stilla, viðhalda (a.m.k. fylgjast með diskplássi og taka reglulega afrit). Og sem veit ekkert um tækin okkar fyrr en við segjum frá því. Til að gera þetta þarftu að skrá stillingar fyrir allan búnað og fylgjast reglulega með mikilvægi gagna.
Það er frábært þegar starfsfólkið hefur sína eigin „eins manns hljómsveit“ sem, auk sérstakrar þekkingar netkerfisstjóra, veit hvernig á að vinna með Zabbix eða öðru sambærilegu kerfi. Að öðrum kosti ráðum við annan mann í starfsfólk eða útvistum það.
Ath. Sorglegustu mistökin byrja á orðunum: „Hvað er til að stilla þennan Zabbix (Nagios, OpenView o.s.frv.)? Ég tek það fljótt upp og það er tilbúið!"
Frá framkvæmd til reksturs
Við skulum líta á ákveðið dæmi.
Viðvörunarskilaboð barst sem gefa til kynna að WiFi aðgangsstaður einhvers staðar svarar ekki.
Hvar er hún?
Auðvitað er góður netstjóri með sína eigin persónulegu möppu þar sem allt er skrifað niður. Spurningarnar byrja þegar þessum upplýsingum þarf að deila. Til dæmis þarftu að senda boðbera til að redda hlutunum á staðnum og til þess þarftu að gefa út eitthvað eins og: „Aðgangsstaður í viðskiptamiðstöðinni á Stroiteley Street, byggingu 1, á 3. hæð, herbergi nr. 301 við hliðina á útidyrunum undir lofti.“
Segjum að við séum heppin og aðgangsstaðurinn sé knúinn í gegnum PoE og rofinn gerir það kleift að endurræsa hann fjarstýrt. Þú þarft ekki að ferðast, en þú þarft fjaraðgang að rofanum. Allt sem er eftir er að stilla höfn framsendingu í gegnum PAT á beininum, finna út VLAN fyrir tengingu utan frá og svo framvegis. Gott ef allt er sett upp fyrirfram. Verkið er kannski ekki erfitt, en það þarf að gera það.
Svo var matsölustaðurinn endurræstur. Hjálpaði ekki?
Segjum að eitthvað sé að í vélbúnaðinum. Nú erum við að leita að upplýsingum um ábyrgðina, gangsetningu og aðrar upplýsingar sem vekja áhuga.
Talandi um WiFi. Ekki er mælt með því að nota heimaútgáfu af WPA2-PSK, sem hefur einn lykil fyrir öll tæki, í fyrirtækjaumhverfi. Í fyrsta lagi er einn lykill fyrir alla einfaldlega óöruggur og í öðru lagi, þegar einn starfsmaður hættir, þarf að breyta þessum sameiginlega lykli og gera aftur stillingar á öllum tækjum fyrir alla notendur. Til að forðast slík vandræði er til WPA2-Enterprise með einstakri auðkenningu fyrir hvern notanda. En til þess þarftu RADIUS miðlara - aðra innviðaeiningu sem þarf að stjórna, taka afrit og svo framvegis.
Vinsamlegast athugaðu að á hverju stigi, hvort sem það er innleiðing eða rekstur, notuðum við stuðningskerfi. Þetta felur í sér fartölvu með „þriðju aðila“ nettengingu, eftirlitskerfi, tilvísunargagnagrunn fyrir búnað og RADIUS sem auðkenningarkerfi. Til viðbótar við nettæki þarftu einnig að viðhalda þjónustu þriðja aðila.
Í slíkum tilfellum geturðu heyrt ráðleggingarnar: „Gefðu það skýinu og þjáðust ekki. Vissulega er til ský Zabbix, kannski er ský RADIUS einhvers staðar, og jafnvel skýjagagnagrunnur til að halda lista yfir tæki. Vandamálið er að þetta er ekki þörf sérstaklega, heldur "í einni flösku." Og enn vakna spurningar um skipulagningu aðgangs, fyrstu uppsetningu tækja, öryggi og margt fleira.
Hvernig lítur það út þegar Nebula er notað?
Auðvitað veit „skýið“ í upphafi ekkert um áætlanir okkar eða keyptan búnað.
Fyrst er skipulagssnið búið til. Það er, allt innviði: höfuðstöðvar og útibú er fyrst skráð í skýinu. Upplýsingar eru tilgreindar og reikningar eru búnir til fyrir framsal valds.
Þú getur skráð tækin þín í skýið á tvo vegu: á gamla mátann - einfaldlega með því að slá inn raðnúmerið þegar þú fyllir út vefeyðublað eða með því að skanna QR kóða með farsíma. Allt sem þú þarft fyrir seinni aðferðina er snjallsími með myndavél og internetaðgangi, þar á meðal í gegnum farsímaþjónustu.
Að sjálfsögðu er nauðsynlegur innviði til að geyma upplýsingar, bæði bókhald og stillingar, frá Zyxel Nebula.
Mynd 1. Öryggisskýrsla Nebula Control Center.
Hvað með að setja upp aðgang? Að opna gáttir, senda umferð í gegnum komandi gátt, allt það sem öryggisstjórnendur kalla ástúðlega „tína holur“? Sem betur fer þarftu ekki að gera allt þetta. Tæki sem keyra Nebula koma á sendandi tengingu. Og stjórnandinn tengist ekki sérstöku tæki, heldur skýinu til að stilla upp. Nebula miðlar á milli tveggja tenginga: við tækið og við tölvu netstjórans. Þetta þýðir að hægt er að lágmarka það stig að hringja í móttekinn stjórnanda eða sleppa því alveg. Og engin viðbótar „göt“ í eldveggnum.
Hvað með RADUIS netþjóninn? Enda þarf einhvers konar miðstýrða auðkenningu!
Og þessar aðgerðir eru einnig teknar af Nebula. Auðkenning reikninga fyrir aðgang að búnaði fer fram í gegnum öruggan gagnagrunn. Þetta einfaldar mjög framsal eða afturköllun réttinda til að stjórna kerfinu. Við þurfum að flytja réttindi - búa til notanda, úthluta hlutverki. Við þurfum að taka af okkur réttindin - við framkvæmum öfug skref.
Sérstaklega er vert að minnast á WPA2-Enterprise, sem krefst sérstakrar auðkenningarþjónustu. Zyxel Nebula hefur sína eigin hliðstæðu - DPPSK, sem gerir þér kleift að nota WPA2-PSK með einstökum lykli fyrir hvern notanda.
„Óþægilegar“ spurningar
Hér að neðan munum við reyna að svara erfiðustu spurningunum sem oft er spurt þegar farið er inn í skýjaþjónustu
Er það virkilega öruggt?
Í hvaða úthlutun sem er eftirlit og stjórnun til að tryggja öryggi gegna tveir þættir mikilvægu hlutverki: nafnleynd og dulkóðun.
Notkun dulkóðunar til að vernda umferð fyrir hnýsnum augum er eitthvað sem lesendur þekkja meira og minna.
Nafnleynd felur upplýsingar um eiganda og uppruna frá starfsfólki skýjaveitunnar. Persónuupplýsingar eru fjarlægðar og gögnum er úthlutað „andlitslausu“ auðkenni. Hvorki skýjahugbúnaðarframleiðandinn né stjórnandinn sem heldur utan um skýjakerfið geta vitað eiganda beiðnanna. „Hvaðan kom þetta? Hver gæti haft áhuga á þessu?“ - slíkum spurningum verður ósvarað. Skortur á upplýsingum um eiganda og uppruna gerir innherja tilgangslausa tímasóun.
Ef við berum þessa nálgun saman við hefðbundna framkvæmd að útvista eða ráða komandi stjórnanda er augljóst að skýjatækni er öruggari. Komandi upplýsingatæknisérfræðingur veit töluvert um stofnun sína og getur, viljandi, valdið verulegum skaða hvað varðar öryggi. Enn á eftir að leysa málið um uppsögn eða riftun samnings. Stundum, auk þess að loka á eða eyða reikningi, felur þetta í sér alþjóðlega breytingu á lykilorðum til að fá aðgang að þjónustu, sem og úttekt á öllum tilföngum fyrir „gleymda“ aðgangsstaði og möguleg „bókamerki“.
Hversu miklu dýrari eða ódýrari er Nebula en innkominn stjórnandi?
Allt er afstætt. Grunneiginleikar Nebula eru fáanlegir ókeypis. Reyndar, hvað gæti verið enn ódýrara?
Auðvitað er ómögulegt að gera alveg án þess að netkerfisstjóri eða einstaklingur komi í hans stað. Spurningin er fjöldi fólks, sérhæfingu þeirra og dreifingu á síður.
Að því er varðar greidda útbreidda þjónustu, spyrðu beinna spurningar: dýrari eða ódýrari - slík nálgun mun alltaf vera ónákvæm og einhliða. Réttara væri að bera saman marga þætti, allt frá peningum til að greiða fyrir vinnu tiltekinna sérfræðinga og enda með kostnaði við að tryggja samskipti þeirra við verktaka eða einstakling: gæðaeftirlit, gerð gagna, viðhalda öryggisstigi og svo framvegis.
Ef við erum að tala um efnið hvort það sé arðbært eða ekki arðbært að kaupa greiddan pakka af þjónustu (Pro-Pack), þá gæti áætlað svar hljómað svona: ef stofnunin er lítil geturðu komist af með grunn útgáfu, ef fyrirtækið er að stækka, þá er skynsamlegt að hugsa um Pro-Pack. Muninn á útgáfum af Zyxel-þokunni má sjá í töflu 1.
Tafla 1. Mismunur á grunn- og Pro-Pack eiginleikasettum fyrir Nebula.
Þetta felur í sér háþróaða skýrslugerð, endurskoðun notenda, klónun stillinga og margt fleira.
Hvað með umferðarvernd?
Nebula notar samskiptaregluna til að tryggja öruggan rekstur netbúnaðar.
NETCONF getur keyrt ofan á nokkrar flutningssamskiptareglur:
- ();
- ();
- ();
- ().
Ef við berum NETCONF saman við aðrar aðferðir, til dæmis, stjórnun í gegnum SNMP, skal tekið fram að NETCONF styður útleiðandi TCP tengingu til að yfirstíga NAT hindrun og er talin áreiðanlegri.
Hvað með stuðning við vélbúnað?
Auðvitað ættir þú ekki að breyta netþjónaherberginu í dýragarð með fulltrúum sjaldgæfra og í útrýmingarhættu búnaðar. Það er mjög æskilegt að búnaður sameinaður stjórnunartækni nái yfir allar áttir: frá miðlægum rofa til aðgangsstaða. Verkfræðingar Zyxel sáu um þennan möguleika. Nebula keyrir mörg tæki:
- 10G miðlægir rofar;
- aðgangsstigsrofar;
- skiptir með PoE;
- aðgangsstaðir;
- netgáttir.
Með því að nota fjölbreytt úrval af studdum tækjum geturðu byggt upp net fyrir ýmiss konar verkefni. Þetta á sérstaklega við um fyrirtæki sem eru ekki að vaxa upp á við, heldur út á við, og skoða stöðugt ný svæði til að stunda viðskipti.
Stöðug þróun
Nettæki með hefðbundinni stjórnunaraðferð hafa aðeins eina leið til umbóta - að breyta tækinu sjálfu, hvort sem það er nýr fastbúnaður eða viðbótareiningar. Í tilviki Zyxel-þokunnar er önnur leið til úrbóta - með því að bæta skýjainnviði. Til dæmis, eftir að hafa uppfært Nebula Control Center (NCC) í útgáfu 10.1. (21. september 2020) nýir eiginleikar eru í boði fyrir notendur, hér eru nokkrir þeirra:
- Eigandi fyrirtækis getur nú framselt allan eignarrétt til annars stjórnanda í sömu fyrirtæki;
- nýtt hlutverk sem heitir Owner Representative, sem hefur sömu réttindi og eigandi stofnunarinnar;
- nýr vélbúnaðaruppfærslueiginleiki fyrir alla stofnun (Pro-Pack lögun);
- tveimur nýjum valkostum hefur verið bætt við svæðisfræðina: endurræsa tækið og kveikja og slökkva á PoE tenginu (Pro-Pack aðgerð);
- stuðningur við nýjar gerðir aðgangsstaða: WAC500, WAC500H, WAC5302D-Sv2 og NWA1123ACv3;
- Stuðningur við auðkenningarskírteini með QR kóða prentun (Pro-Pack aðgerð).
gagnlegir krækjur
Heimild: www.habr.com