地球のためのスマート イーサネット スイッチ

「いくつかの方法でソリューションを作成 (問題を解決) できますが、最も高価な方法や最も一般的な方法が常に最も効果的であるとは限りません。」

プリアンブル

約 XNUMX 年前、災害データ復旧のためのリモート モデルを開発する過程で、私はすぐには気づかなかった XNUMX つの障害に遭遇しました。それは、コミュニティ ソースにネットワーク仮想化のための新しいオリジナル ソリューションに関する情報が不足していたことです。 

開発したモデルのアルゴリズムは次のように計画されました。 

1. 私に連絡してきたリモート ユーザーは、かつてコンピュータが起動を拒否し、「システム ディスクが検出されません/フォーマットされていません」というメッセージを表示して、Life USB を使用してディスクをロードしました。 
2. ブート プロセス中に、システムは安全なプライベート ローカル ネットワークに自動的に接続します。このネットワークには、それ自体に加えて、管理者のワークステーション (この場合はラップトップ)、および NAS ノードが含まれています。 
3. 次に、ディスク パーティションを復活させるか、そこからデータを抽出するために接続します。

最初は、私の管理下にあるネットワーク内のローカル ルーター上の VPN サーバーを使用してこのモデルを実装し、次にレンタルした VDS に実装しました。 しかし、よくあることですが、チザムの第一法則によれば、雨が降るとインターネット プロバイダーのネットワークがダウンし、事業体間の紛争によりサービス プロバイダーは「エネルギー」を失うことになります...

そこで、必要なツールが満たさなければならない基本的な要件を最初に策定することにしました。 一つ目は地方分権化です。 第二に、このようなライフ USB がいくつかあることを考えると、それぞれに個別の隔離されたネットワークがあります。 XNUMX 番目に、さまざまなデバイスのネットワークへの迅速な接続と、ラップトップが上記の法律の対象となった場合を含むそれらの簡単な管理です。

これに基づいて、あまり適切ではないいくつかのオプションの実際的な調査に XNUMX か月半を費やした後、私は自らの危険を承知で、当時私が知らなかった新興企業の ZeroTier という別のツールを試してみることにしました。 後で後悔することはありませんでした。

この年末年始の休暇中、その記念すべき瞬間以降、コンテンツの状況が変わったかどうかを理解しようとして、私は Habr を情報源として使用して、このトピックに関する記事の入手可能性について選択的な監査を実施しました。 検索結果のクエリ「ZeroTier」については、これに言及している記事が XNUMX つだけあり、少なくとも簡単な説明が記載されている記事は XNUMX つもありません。 そして、その中にはZeroTier, Inc.の創設者自身が書いた記事の翻訳があるにもかかわらずです。 — アダム・イエリメンコ.

結果は残念なものだったので、現代の「探求者」が私と同じ道を歩まなくて済むように、ZeroTier についてさらに詳しく話し始めるようになりました。

だから、あなたは何ですか？

開発者は、ZeroTier を地球のためのインテリジェントなイーサネット スイッチとして位置づけています。 

「これは、暗号的に安全なグローバル ピアツーピア (P2P) ネットワーク上に構築された分散ネットワーク ハイパーバイザーです。 企業の SDN スイッチに似たツールで、ローカルおよびグローバルの物理ネットワーク上に仮想ネットワークを編成するように設計されており、ほぼすべてのアプリケーションやデバイスに接続できます。」

これはマーケティングの説明に近く、ここでは技術的な特徴について説明します。

▍カーネル: 

ZeroTier Network Hypervisor は、グローバル暗号化ピアツーピア (P2P) ネットワーク上で、VXLAN に似たイーサネット ネットワークをエミュレートするスタンドアロン ネットワーク仮想化エンジンです。

ZeroTier で使用されるプロトコルはオリジナルのものですが、外観は VXLAN や IPSec に似ており、概念的には別個ですが密接に関連している 1 つの層、VL2 と VLXNUMX で構成されています。

→ ドキュメントへのリンク

▍VL1 は基本的なピアツーピア (P2P) トランスポート層であり、一種の「仮想ケーブル」です。

「グローバル データ センターには、ケーブル配線の『グローバル クローゼット』が必要です。」

従来のネットワークでは、L1 (OSI レイヤー 1) は、データを伝送する実際のケーブルまたは無線、およびデータを変調および復調する物理トランシーバー デバイス チップを指します。 VL1 はピアツーピア (P2P) ネットワークであり、暗号化、認証、および必要に応じて仮想ケーブルを編成するその他のネットワーク トリックを使用して、同じことを行います。

さらに、これは自動的かつ迅速に行われ、新しい ZeroTier ノードを起動するユーザーの関与はありません。

これを実現するために、VL1 はドメイン ネーム システムと同様に構成されています。 ネットワークの中心には可用性の高いルート サーバーのグループがあり、その役割は DNS ルート ネーム サーバーの役割と似ています。 現時点では、メイン (惑星) ルート サーバーは開発者である ZeroTier, Inc. の管理下にあります。 無料のサービスとして提供されます。 

ただし、次のことを可能にするカスタム ルート サーバー (LUN) を作成することは可能です。

• ZeroTier, Inc. のインフラストラクチャへの依存を軽減します。 ドキュメントへのリンク
• 遅延を最小限に抑えて生産性を向上させます。 
• インターネット接続が失われた場合でも、通常どおり動作し続けます。

最初は、ノードは相互に直接接続せずに起動されます。 

VL1 の各ピアには、一意の 40 ビット (10 進数 XNUMX) の ZeroTier アドレスがあります。これは、IP アドレスとは異なり、ルーティング情報を含まない暗号化された識別子です。 このアドレスは、公開キーと秘密キーのペアの公開部分から計算されます。 ノードのアドレス、公開鍵、および秘密鍵が一緒になってその ID を形成します。

Member ID: df56c5621c  
            |
            ZeroTier address of node

暗号化については、別の記事で説明します。

→ ドキュメントへのリンク

通信を確立するために、ピアはまずルート サーバーのツリーの「上向き」にパケットを送信し、これらのパケットがネットワークを通過する際に、途中で順方向チャネルのランダムな作成を開始します。 ツリーは、保存されているルート マップに合わせて最適化するために、常に「自動的に崩壊」しようとします。

ピアツーピア接続を確立するメカニズムは次のとおりです。

1. ノード A はノード B にパケットを送信したいと考えていますが、直接パスがわからないため、パケットを上流のノード R (moon、ユーザーのルート サーバー) に送信します。
2. ノード R がノード B と直接接続している場合、ノード R はそこにパケットを転送します。 それ以外の場合は、惑星ルートに到達する前にパケットを上流に送信します。惑星ルートはすべてのノードについて知っているため、パケットは、オンラインであれば最終的にノード B に到達します。
3. ノード R はまた、ノード B に到達する方法に関するヒントを含む「ランデブー」と呼ばれるメッセージをノード A に送信します。一方、パケットをノード B に転送するルート サーバーは、ノード B に到達する方法を通知する「ランデブー」を送信します。ノードAに到達します。
4. ノード A と B はランデブー メッセージを受信し、途中で遭遇した NAT またはステートフル ファイアウォールを突破するために、テスト メッセージを相互に送信しようとします。 これが機能すると、直接接続が確立され、パケットが行き来しなくなります。

直接接続を確立できない場合は、中継を介して通信が継続され、成功するまで直接接続の試行が続けられます。 

VL1 には、直接接続を確立するための他の機能もあります。これには、LAN ピアの検出、対称 IPv4 NAT を通過するためのポート予測、およびローカル物理 LAN で使用可能な場合は uPnP や NAT-PMP を使用した明示的なポート マッピングが含まれます。

→ ドキュメントへのリンク

▍VL2 は、SDN 管理機能を備えた VXLAN に似た Ethernet ネットワーク仮想化プロトコルです。 OSやアプリケーションの使い慣れた通信環境…

VL1 とは異なり、VL2 ネットワーク (VLAN) の作成とそれらのネットワークへのノードの接続、および管理にはユーザーの直接の参加が必要です。 彼はネットワーク コントローラーを使用してこれを行うことができます。 本質的には、これは通常の ZeroTier ノードであり、コントローラー機能は XNUMX つの方法で制御されます。XNUMX つはファイルを変更することによる直接的な方法、もう XNUMX つは開発者が強く推奨しているように、公開された API を使用する方法です。 

ZeroTier 仮想ネットワークを管理するこの方法は、一般の人にとってはあまり便利ではないため、いくつかの GUI があります。
 

• 開発者の ZeroTier の XNUMX つは、無料を含む XNUMX つのサブスクリプション プランを備えたパブリック クラウド SaaS ソリューションとして利用可能ですが、管理対象デバイスの数とサポート レベルが制限されています。
• XNUMX つ目は独立した開発者によるもので、機能はやや簡素化されていますが、オンプレミスまたはクラウド リソースで使用するためのプライベート オープンソース ソリューションとして利用できます。

VL2 は VL1 の上に実装され、VL1 によって転送されます。 ただし、VL1 エンドポイントの暗号化と認証を継承し、非対称キーを使用して資格情報の署名と検証も行います。 VL2 を使用すると、既存の物理ネットワーク トポロジを気にせずに VL1 を実装できます。 つまり、接続性とルーティング効率の問題は VL2 の問題です。 VL1 仮想ネットワークと VL1 パスの間には接続がないことを理解することが重要です。 有線 LAN での VLAN 多重化と同様に、複数のネットワーク メンバーシップを共有する XNUMX つのノード間には、依然として VLXNUMX (仮想ケーブル) パスが XNUMX つだけあります。

各 VL2 ネットワーク (VLAN) は、64 ビット (16 進数 40) の ZeroTier ネットワーク アドレスによって識別されます。これには、コントローラーの 24 ビットの ZeroTier アドレスと、そのコントローラーによって作成されたネットワークを識別する XNUMX ビットの番号が含まれます。

Network ID: 8056c2e21c123456
            |         |
            |         Network number on controller
            |
            ZeroTier address of controller

ノードがネットワークに参加するか、ネットワーク構成の更新を要求すると、ノードはネットワーク構成要求メッセージを (VL1 経由で) ネットワーク コントローラーに送信します。 次に、コントローラーはノードの VL1 アドレスを使用してネットワーク上でノードを見つけ、適切な証明書、資格情報、および構成情報を送信します。 VL2 仮想ネットワークの観点からは、VL1 ZeroTier アドレスは巨大なグローバル仮想スイッチ上のポート番号と考えることができます。

ネットワーク コントローラーによって特定のネットワークのメンバー ノードに発行されるすべての資格情報は、すべてのネットワーク参加者が検証できるように、コントローラーの秘密キーで署名されます。 資格情報にはコントローラーによって生成されたタイムスタンプが含まれているため、ホストのローカル システム クロックにアクセスすることなく相対比較が可能になります。 

資格情報はその所有者にのみ発行され、ネットワーク上の他のノードと通信したいピアに送信されます。 これにより、ノード上に大量の資格情報をキャッシュしたり、ネットワーク コントローラーに常時接続したりする必要がなく、ネットワークを巨大なサイズに拡張できます。

ZeroTier ネットワークは、シンプルなパブリッシュ/サブスクライブ システムを通じてマルチキャスト配信をサポートします。

→ ドキュメントへのリンク

ノードが特定の配布グループのマルチキャスト ブロードキャストを受信したい場合、そのグループのメンバーシップを、通信しているネットワークの他のメンバーおよびネットワーク コントローラーにアドバタイズします。 ノードがマルチキャストを送信したい場合、同時に最近のパブリケーションのキャッシュにアクセスし、定期的に追加のパブリケーションを要求します。

ブロードキャスト (イーサネット ff: ff: ff: ff: ff: ff) は、すべての参加者が加入するマルチキャスト グループとして扱われます。 不要な場合は、ネットワーク レベルで無効にしてトラフィックを削減できます。 

ZeroTier は実際のイーサネット スイッチをエミュレートします。 この事実により、私たちは次のことを実行できるようになります。 通常のイーサネット ブリッジを使用して、作成された仮想ネットワークを他のイーサネット ネットワーク (有線 LAN、WiFi、仮想バックプレーンなど) とデータ リンク レベルで結合します。

ブリッジとして機能するには、ネットワーク コントローラーがホストをブリッジとして指定する必要があります。 通常のネットワーク ホストは MAC アドレス以外の送信元からトラフィックを送信することができないため、このスキームはセキュリティ上の理由から実装されています。 ブリッジとして指定されたノードは、マルチキャスト アルゴリズムの特別なモードも使用します。これは、グループ サブスクリプションおよびすべてのブロードキャスト トラフィックと ARP リクエストのレプリケーション中に、より積極的かつ対象を絞ってノードと対話します。 

このスイッチには、パブリック ネットワークとアドホック ネットワーク、QoS メカニズム、およびネットワーク ルール エディタを作成する機能もあります。

▍ノード:

ゼロティアワン ラップトップ、デスクトップ、サーバー、仮想マシン、コンテナ上で実行されるサービスで、VPN クライアントと同様に、仮想ネットワーク ポートを介して仮想ネットワークへの接続を提供します。 

サービスをインストールして開始すると、16 桁のアドレスを使用して仮想ネットワークに接続できるようになります。 各ネットワークはシステム上の仮想ネットワーク ポートとして表示され、通常のイーサネット ポートと同様に動作します。

ZeroTier One は現在、次の OS およびシステムで利用できます。

オペレーティングシステム：

• Microsoft Windowsの - MSI インストーラー x86/x64
• MacOSの - PKG インストーラー
• アップルのiOS - アプリストア
• Android - プレイストア
• Linux - DEB/RPM
• FreeBSDの - FreeBSD パッケージ

NAS：

• Synology NAS
• QNAP NAS
• WD MyCloud NAS

Другие：

• デッカー - ドッカーファイル
• OpenWrtの - コミュニティポート
• アプリの埋め込み - SDK (libzt)

上記をすべて要約すると、ZeroTier は物理、仮想、またはクラウド リソースを共通のローカル ネットワークに結合するための優れた高速ツールであり、ネットワークを VLAN に分割する機能があり、単一障害点がないことがわかります。 。

Habr の ZeroTier に関する最初の記事の形式での理論的な部分はこれで終わりです。おそらくこれですべてです。 次回の記事では、ZeroTier に基づく仮想ネットワーク インフラストラクチャの作成を実際にデモンストレーションする予定です。この場合、プライベート オープン ソース GUI テンプレートを備えた VDS がネットワーク コントローラーとして使用されます。 

親愛なる読者！ プロジェクトで ZeroTier テクノロジーを使用していますか? そうでない場合、リソースをネットワーク化するためにどのようなツールを使用しますか?

出所： habr.com