🥇Knúið af ZeroTier. Hagnýt leiðarvísir til að byggja upp sýndarnet. Part 1

Haldið áfram sögunni um ZeroTier, frá kenningunni sem lýst er í greininni “Snjall Ethernet Switch fyrir Planet Earth", ég held áfram að æfa þar sem:

Við skulum búa til og stilla einkanetstýringu
Við skulum búa til sýndarnet
Við skulum stilla og tengja hnúta við það
Við skulum athuga nettenginguna á milli þeirra
Við skulum loka fyrir aðgang að GUI netstýringarinnar að utan

Sky stjórnandi

Eins og áður hefur komið fram, til að búa til sýndarnet, stjórna þeim, sem og tengja hnúta, þarf notandinn netstýringu, grafískt viðmót (GUI) sem er til í tvennu formi:

ZeroTier GUI valkostir

Ein frá þróunaraðilanum ZeroTier, fáanleg sem almenningsský SaaS lausn með fjórum áskriftaráætlunum, þar á meðal ókeypis, en takmarkað í fjölda stýrðra tækja og stuðningsstig
Annað er frá óháðum þróunaraðila, nokkuð einfölduð í virkni, en fáanleg sem einka opinn uppspretta lausn til notkunar á staðnum eða á skýjaauðlindum.

Á æfingum mínum notaði ég bæði og þar af leiðandi settist ég að lokum á þann seinni. Ástæðan fyrir þessu voru viðvaranir framkvæmdaraðila.

„Netstýringar þjóna sem vottunaryfirvöld fyrir ZeroTier sýndarnet. Skrár sem innihalda leynilega lykla stjórnanda verða að vera vandlega varin og geymd á öruggan hátt. Málamiðlun þeirra gerir óviðkomandi árásarmönnum kleift að búa til sviksamlegar netstillingar og tap þeirra leiðir til taps á getu til að stjórna og stjórna netinu, sem gerir það í raun ónothæft.

→ Tengill á skjöl

Og líka merki um þína eigin netöryggisofsóknarbrjálæði :)

Jafnvel þótt Cheburnet komi, verð ég samt að hafa aðgang að netstýringunni minni;
Aðeins ég ætti að nota netstýringuna. Ef nauðsyn krefur, veita viðurkenndum fulltrúum þínum aðgang;
Það ætti að vera hægt að takmarka aðgang að netstýringunni að utan.

Í þessari grein sé ég ekki mikinn tilgang í að dvelja sérstaklega um hvernig eigi að nota netstýringu og GUI fyrir það á líkamlegum eða sýndarauðlindum á staðnum. Og það eru líka 3 ástæður fyrir þessu:

það verða fleiri bréf en áætlað var
um þetta nú þegar sagði á GUI verktaki GitHab
efni greinarinnar er um eitthvað annað

Þess vegna, með því að velja leið minnstu viðnáms, mun ég nota í þessari sögu netstýringu með GUI byggt á VDS, búin til af frá sniðmáti, vinsamlega þróað af samstarfsmönnum mínum frá RuVDS.

Upphafleg uppsetning

Eftir að hafa búið til netþjón úr tilgreindu sniðmáti fær notandinn aðgang að Web-GUI stjórnandi í gegnum vafra með því að opna https:// :3443

Sjálfgefið er að þjónninn inniheldur þegar fyrirfram útbúið sjálfundirritað TLS/SSL vottorð. Þetta er nóg fyrir mig, þar sem ég loka fyrir aðgang að því að utan. Fyrir þá sem vilja nota annars konar skírteini er til leiðbeiningar um uppsetningu á GUI verktaki GitHab.

Þegar notandi skráir sig inn í fyrsta skipti Skrá inn með sjálfgefna innskráningu og lykilorði - Admin и lykilorð:

Það bendir til þess að breyta sjálfgefna lykilorðinu í sérsniðið

Ég geri það aðeins öðruvísi - ég breyti ekki lykilorði núverandi notanda heldur bý til nýtt - Búðu til notanda.

Ég stillti nafn nýja notandans - Notandanafn:
Ég setti nýtt lykilorð - Sláðu inn nýtt lykilorð:
Ég staðfesti nýja lykilorðið - Sláðu aftur inn lykilorð:

Stafirnir sem þú slærð inn eru hástafaviðkvæmir - farðu varlega!

Gátreitur til að staðfesta breytingu á lykilorði við næstu innskráningu - Breyta lykilorði við næstu innskráningu: Ég fagna ekki.

Til að staðfesta innslögð gögn, ýttu á Stilltu lykilorð:

Síðan: Ég skrái mig aftur inn - Útskráning / Skrá inn, þegar undir skilríkjum nýja notandans:

Næst fer ég í notendaflipann - Notendur og eyða notandanum Adminmeð því að smella á ruslatunnuna sem staðsett er vinstra megin við nafnið hans.

Í framtíðinni geturðu breytt lykilorði notandans með því að smella annað hvort á nafn hans eða á uppsett lykilorð.

Að búa til sýndarnet

Til að búa til sýndarnet þarf notandinn að fara í flipann Bættu við neti. Frá punkti Notandi þetta er hægt að gera í gegnum síðuna Heim — aðalsíða vef-GUI, sem sýnir ZeroTier vistfang þessa netstýringarkerfis og inniheldur tengil á síðuna fyrir lista yfir netkerfi sem búin eru til í gegnum hann.

Á síðunni Bættu við neti notandinn gefur nafni á nýstofnaða netið.

Þegar inntaksgögnum er beitt − Búðu til net notandinn er færður á síðu með lista yfir netkerfi sem inniheldur:

Nafn nets — nafn netsins í formi tengils, þegar þú smellir á það geturðu breytt því
Netauðkenni — auðkenni netkerfis
smáatriði — tengill á síðu með nákvæmum netbreytum
auðveld uppsetning - hlekkur á síðu til að auðvelda uppsetningu
meðlimir — tengill á hnútstjórnunarsíðuna

Fyrir frekari uppsetningu fylgdu hlekknum auðveld uppsetning. Á síðunni sem opnast tilgreinir notandinn fjölda IPv4 vistfönga fyrir netið sem verið er að búa til. Þetta er hægt að gera sjálfkrafa með því að ýta á hnapp Búðu til netfang eða handvirkt með því að slá inn netkerfisgrímuna í viðeigandi reit CIDR.

Þegar þú staðfestir árangursríka innslátt gagna verður þú að fara aftur á síðuna með lista yfir netkerfi með því að nota Til baka hnappinn. Á þessum tímapunkti getur grunnnetuppsetningin talist lokið.

Að tengja nethnúta

Í fyrsta lagi verður að setja ZeroTier One þjónustuna upp á hnútnum sem notandinn vill tengja við netið.
Hvað er ZeroTier One?ZeroTier One er þjónusta sem keyrir á fartölvum, borðtölvum, netþjónum, sýndarvélum og ílátum sem veitir tengingar við sýndarnet í gegnum sýndarnetgátt, svipað og VPN biðlari.

Þegar þjónustan hefur verið sett upp og ræst geturðu tengst sýndarnetum með 16 stafa netföngum þeirra. Hvert net birtist sem sýndarnettengi á kerfinu, sem hegðar sér alveg eins og venjulegt Ethernet tengi.
Hægt er að finna tengla á dreifingar, svo og uppsetningarskipanir á síðu framleiðanda.

Þú getur stjórnað uppsettu þjónustunni í gegnum skipanalínustöð (CLI) með stjórnanda/rótarréttindum. Á Windows/MacOS einnig með grafísku viðmóti. Aðeins í Android/iOS með GUI.
Athugaðu árangur af uppsetningu þjónustu:
CLI:
```
zerotier-cli status
```
Niðurstaða:

200 info ebf416fac1 1.4.6 ONLINE
GUI:

Sú staðreynd að forritið er í gangi og tilvist í því línu með hnútakenni með hnútsfanginu.
Að tengja hnút við netið:
CLI:
```
zerotier-cli join <Network ID>
```
Niðurstaða:

200 join OK

GUI:

Windows: hægrismelltu á táknið ZeroTier One í kerfisbakkanum og velur hlutinn - Skráðu þig í Network.

MacOS: Ræstu forritið ZeroTier One í barvalmyndinni, ef það er ekki þegar opnað. Smelltu á ⏁ táknið og veldu Skráðu þig í Network.

Android/iOS: + (auk mynd) í appinu

Í reitinn sem birtist skaltu slá inn netstýringuna sem tilgreindur er í GUI Netauðkenni, og ýttu á Skráðu þig/bættu við neti.
Úthluta IP tölu til gestgjafa
Nú snúum við aftur að netstýringunni og á síðunni með lista yfir net fylgirðu hlekknum meðlimir. Ef þú sérð mynd svipaða þessari á skjánum þýðir það að netstýringin þín hafi fengið beiðni um að staðfesta tenginguna við netið frá tengda hnútnum.

Á þessari síðu látum við allt eins og það er í bili og fylgjum hlekknum IP úthlutun farðu á síðuna til að úthluta IP tölu til hnútsins:

Eftir að þú hefur úthlutað heimilisfanginu skaltu smella á hnappinn Back farðu aftur á síðu lista yfir tengda hnúta og stilltu nafnið - Nafn meðlims og hakaðu í gátreitinn til að heimila hnútinn á netinu - Leyfilegt. Við the vegur, þessi gátreitur er mjög þægilegur hlutur til að aftengja/tengjast við hýsilnetið í framtíðinni.

Vistaðu breytingar með því að nota hnappinn Uppfæra.
Athugar tengingarstöðu hnútsins við netið:
Til að athuga tengingarstöðu á hnútnum sjálfum skaltu keyra:
CLI:
```
zerotier-cli listnetworks
```
Niðurstaða:

200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips> 200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
GUI:

Staða netkerfisins ætti að vera í lagi

Til að tengja hnútana sem eftir eru skaltu endurtaka aðgerð 1-5 fyrir hvern þeirra.

Athugar nettengingu hnúta

Ég geri þetta með því að keyra skipunina ping á tækinu sem er tengt við netið sem ég er núna að stjórna.

Á skjáskotinu af Web-GUI stjórnandanum geturðu séð þrjá hnúta tengda netinu:

ZTNCUI - 10.10.10.1 - netstýringin mín með GUI - VDS í einum af RuVDS DCs. Fyrir venjulega vinnu er engin þörf á að bæta því við netið, en ég gerði þetta vegna þess að ég vil loka fyrir aðgang að vefviðmótinu að utan. Meira um þetta síðar.
MyComp - 10.10.10.2 - Vinnutölvan mín er líkamleg tölva
Afritun - 10.10.10.3 — VDS í öðru DC.

Þess vegna, frá vinnutölvunni minni athuga ég framboð annarra hnúta með skipunum:

ping 10.10.10.1

Pinging 10.10.10.1 with 32 bytes of data: Reply from 10.10.10.1: bytes=32 time=14ms TTL=64 Reply from 10.10.10.1: bytes=32 time=4ms TTL=64 Reply from 10.10.10.1: bytes=32 time=7ms TTL=64 Reply from 10.10.10.1: bytes=32 time=2ms TTL=64

Ping statistics for 10.10.10.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 2ms, Maximum = 14ms, Average = 6ms

ping 10.10.10.3

Pinging 10.10.10.3 with 32 bytes of data: Reply from 10.10.10.3: bytes=32 time=15ms TTL=64 Reply from 10.10.10.3: bytes=32 time=4ms TTL=64 Reply from 10.10.10.3: bytes=32 time=8ms TTL=64 Reply from 10.10.10.3: bytes=32 time=4ms TTL=64

Ping statistics for 10.10.10.3: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 4ms, Maximum = 15ms, Average = 7ms

Notandinn hefur rétt til að nota önnur tæki til að athuga hvort hnútar séu tiltækir á netinu, bæði innbyggð í stýrikerfið og svo sem NMAP, Advanced IP Scanner o.fl.

Við felum aðgang að GUI netstýringarinnar að utan.

Almennt get ég dregið úr líkum á óviðkomandi aðgangi að VDS sem netstýringin mín er á með því að nota eldvegg á RuVDS persónulega reikningnum mínum. Þetta efni er líklegra fyrir sérstaka grein. Þess vegna mun ég hér sýna hvernig á að veita aðgang að GUI stjórnandi aðeins frá netinu sem ég bjó til í þessari grein.

Til að gera þetta þarftu að tengjast í gegnum SSH við VDS sem stjórnandinn er á og opna stillingarskrána með skipuninni:

nano /opt/key-networks/ztncui/.env

Í opnuðu skránni, eftir línuna „HTTPS_PORT=3443“ sem inniheldur heimilisfang gáttarinnar þar sem GUI opnast, þarftu að bæta við viðbótarlínu með heimilisfanginu sem GUI mun opna á - í mínu tilfelli er það HTTPS_HOST=10.10.10.1 .XNUMX.

Næst mun ég vista skrána

Сtrl+C Y Enter

og keyrðu skipunina:

systemctl restart ztncui

Og það er það, nú er GUI netstýringarinnar míns aðeins fáanlegt fyrir nethnúta 10.10.10.0.24.

Í stað þess að niðurstöðu

Þetta er þar sem ég vil klára fyrsta hluta hagnýtrar handbókar um að búa til sýndarnet byggð á ZeroTier. Ég bíð spenntur eftir athugasemdum þínum.

Í millitíðinni, til að láta tímann líða fram að útgáfu næsta hluta, þar sem ég mun segja þér hvernig á að sameina sýndarnet með líkamlegu, hvernig á að skipuleggja „vegakappa“ ham og eitthvað annað, mæli ég með að þú reynir að skipuleggja þitt eigið sýndarnet með því að nota einkanetstýringu með GUI byggt á VDS frá markaðstorgi Online RUVDS. Þar að auki hafa allir nýir viðskiptavinir ókeypis prufutíma í 3 daga!

PS Já! Ég næstum gleymdi! Þú getur fjarlægt hnút af netinu með því að nota skipun í CLI þessa hnút.

zerotier-cli leave <Network ID>

200 leave OK

eða Eyða skipuninni í GUI biðlara á hnútnum.

-> Kynning. Fræðilegur hluti. Snjall Ethernet Switch fyrir Planet Earth
-> Hagnýt leiðarvísir til að byggja upp sýndarnet. 1. hluti
-> Hagnýt leiðarvísir til að byggja upp sýndarnet. 2. hluti

Heimild: www.habr.com

Keyrt af ZeroTier. Hagnýt leiðarvísir til að byggja upp sýndarnet. 1. hluti