ZeroTier を搭載。 仮想ネットワークを構築するための実践的なガイド。 パート1

記事で概説されている理論からの ZeroTier の話の続きです。地球のためのスマート イーサネット スイッチ」ということで、次の練習に移ります。

• プライベート ネットワーク コントローラーを作成して構成しましょう
• 仮想ネットワークを作成してみよう
• ノードを設定して接続しましょう
• それらの間のネットワーク接続を確認してみましょう
• ネットワークコントローラーのGUIへの外部からのアクセスをブロックしましょう

Сетевойконтроллер

前述したように、仮想ネットワークを作成、管理し、ノードを接続するには、ユーザーはネットワーク コントローラー、つまり次の XNUMX つの形式で存在するグラフィカル インターフェイス (GUI) が必要です。

ZeroTier GUI オプション

• 開発者の ZeroTier の XNUMX つは、無料を含む XNUMX つのサブスクリプション プランを備えたパブリック クラウド SaaS ソリューションとして利用可能ですが、管理対象デバイスの数とサポート レベルが制限されています。
• XNUMX つ目は独立した開発者によるもので、機能はやや簡素化されていますが、オンプレミスまたはクラウド リソースで使用するためのプライベート オープン ソース ソリューションとして利用できます。

練習では両方を使いましたが、最終的には後者に落ち着きました。 その理由は開発者の警告でした。

「ネットワーク コントローラーは、ZeroTier 仮想ネットワークの認証局として機能します。 コントローラーの秘密キーを含むファイルは慎重に保護し、安全にアーカイブする必要があります。 これらの侵害により、無許可の攻撃者が不正なネットワーク構成を作成することが可能になり、ネットワークが失われるとネットワークの制御と管理の能力が失われ、実質的にネットワークが使用できなくなります。」

→ ドキュメントへのリンク

また、あなた自身のサイバーセキュリティパラノイアの兆候:) 

• Cheburnet が来ても、ネットワーク コントローラーにアクセスできる必要があります。
• ネットワーク コントローラーを使用するのは私だけです。 必要に応じて、権限を与えられた代理人へのアクセスを提供します。
• ネットワークコントローラへの外部からのアクセスを制限できること。

この記事では、ネットワーク コントローラーとその GUI をオンプレミスの物理リソースまたは仮想リソースにデプロイする方法について個別に説明することにあまり意味はありません。 そして、これには次の 3 つの理由があります。 

• 予定より手紙が多くなる
• もうこれについては 言った GUI開発者のGitHab上
• 記事のテーマは別のことについてです

したがって、最も抵抗の少ないパスを選択して、このストーリーでは、によって作成された VDS ベースの GUI を備えたネットワーク コントローラーを使用します。 テンプレートから、RuVDS の同僚によって親切に開発されました。

初期設定

指定されたテンプレートからサーバーを作成した後、ユーザーは https:// にアクセスすることでブラウザを通じて Web-GUI コントローラーにアクセスできるようになります。 :3443

デフォルトでは、サーバーには事前に生成された自己署名 TLS/SSL 証明書がすでに含まれています。 外部からのアクセスをブロックしているので、これで十分です。 他の種類の証明書を使用したい場合は、 インストール手順 GUI 開発者の GitHab 上で。

ユーザーが初めてログインするとき ログイン デフォルトのログイン名とパスワードを使用 - 管理人 и password:

デフォルトのパスワードをカスタムパスワードに変更することを提案します

私は少しやり方が異なります - 既存のユーザーのパスワードを変更せず、新しいパスワードを作成します - ユーザーの作成.

新しいユーザーの名前を設定しました - :
新しいパスワードを設定しました - 新しいパスワードを入力してください: 
新しいパスワードを確認します - パスワード再入力:

入力する文字は大文字と小文字が区別されます。注意してください。

次回ログイン時にパスワード変更を確認するチェックボックス - 次回ログイン時にパスワードを変更します。 お祝いはしません。 

入力したデータを確認するには、 を押します。 パスワードを設定してください:

次に: 再ログインします - ログアウト / ログイン、すでに新しいユーザーの資格情報の下にあります。

次に、「ユーザー」タブに移動します - ユーザー そしてユーザーを削除します 管理人名前の左側にあるゴミ箱アイコンをクリックします。

今後は、ユーザーの名前または設定されたパスワードをクリックして、ユーザーのパスワードを変更できます。

仮想ネットワークの作成

仮想ネットワークを作成するには、ユーザーはタブに移動する必要があります。 ネットワークを追加する。 地点から ユーザー これはページから行うことができます ホーム — Web-GUI のメイン ページ。このネットワーク コントローラーの ZeroTier アドレスが表示され、それを通じて作成されたネットワークのリストのページへのリンクが含まれます。

ページ上 ネットワークを追加する ユーザーは新しく作成したネットワークに名前を割り当てます。

入力データを適用するとき- ネットワークの作成 ユーザーは、次の内容を含むネットワークのリストを含むページに移動します。 

ネットワーク名 — リンク形式のネットワーク名。クリックすると変更できます。 
ネットワークID — ネットワーク識別子
詳細 — 詳細なネットワークパラメータを含むページへのリンク
簡単なセットアップ — 簡単なセットアップのためのページへのリンク
メンバー — ノード管理ページへのリンク

さらにセットアップするには、リンクに従ってください 簡単なセットアップ。 開いたページで、ユーザーは作成中のネットワークの IPv4 アドレスの範囲を指定します。 これはボタンを押すことで自動的に実行できます ネットワークアドレスを生成する または、適切なフィールドにネットワーク ネットワーク マスクを入力して手動で設定します。 CIDR.

データ入力が成功したことを確認するときは、「戻る」ボタンを使用してネットワークのリストが表示されるページに戻る必要があります。 この時点で、基本的なネットワーク設定は完了したと見なされます。

ネットワークノードの接続

1. まず、ユーザーがネットワークに接続したいノードに ZeroTier One サービスをインストールする必要があります。

   ゼロティアワンとは何ですか?ゼロティアワン ラップトップ、デスクトップ、サーバー、仮想マシン、コンテナ上で実行されるサービスで、VPN クライアントと同様に、仮想ネットワーク ポートを介して仮想ネットワークへの接続を提供します。 

   サービスをインストールして開始すると、16 桁のアドレスを使用して仮想ネットワークに接続できるようになります。 各ネットワークはシステム上の仮想ネットワーク ポートとして表示され、通常のイーサネット ポートと同様に動作します。
   ディストリビューションへのリンクとインストール コマンドが見つかります。 メーカーのページにある.

   インストールされたサービスは、管理者/root 権限を持つコマンド ライン ターミナル (CLI) を介して管理できます。 Windows/MacOS でもグラフィカル インターフェイスを使用します。 Android/iOS では GUI のみを使用します。

2. サービスのインストールが成功したかどうかを確認します。

   CLI：

   zerotier-cli status

   結果： 

   200 info ebf416fac1 1.4.6 ONLINE
   GUI：

   アプリケーションが実行中であるという事実と、その中にノード アドレスを含むノード ID を含む行が存在すること。

3. ノードをネットワークに接続します。

   CLI：

   zerotier-cli join <Network ID>

   結果： 

   200 join OK

   GUI：

   Windows： アイコンを右クリックします ゼロティアワン システムトレイで項目を選択 - ネットワークに参加する.

   
   MacOS： Запуститьприложение ゼロティアワン まだ起動していない場合は、バー メニューで。 ⏁ アイコンをクリックして選択します ネットワークに参加する.

   Android/iOS: アプリ内の + (プラス画像)

   
   表示されるフィールドに、GUI で指定したネットワーク コントローラーを入力します。 ネットワークIDを押して、 ネットワークに参加/追加.

4. ホストへの IP アドレスの割り当て
   ここでネットワーク コントローラーに戻り、ネットワークのリストが表示されるページでリンクをクリックします。 メンバー。 これと同様の画像が画面に表示された場合は、ネットワーク コントローラーが接続されたノードからネットワークへの接続を確認する要求を受信したことを意味します。

   
   このページでは、今のところすべてをそのままにし、リンクをクリックします。 IP割り当て ノードに IP アドレスを割り当てるページに移動します。

   
   アドレスを割り当てたら、 ボタンをクリックします 戻る 接続されているノードのリストのページに戻り、名前を設定します - メンバー名 チェックボックスをオンにしてネットワーク上のノードを承認します - 認可された。 ちなみにこのチェックボックスは、将来的にホストネットワークとの接続を切断したり接続したりする際に非常に便利なものです。

   
   ボタンを使用して変更を保存します Refresh.

5. ノードのネットワークへの接続ステータスを確認します。
   ノード自体の接続ステータスを確認するには、次のコマンドを実行します。
   CLI：

   zerotier-cli listnetworks

   結果：

   200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips>
200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
   GUI：

   ネットワークステータスはOKであるはずです

   残りのノードを接続するには、それぞれのノードに対して操作 1 ～ 5 を繰り返します。

ノードのネットワーク接続を確認する

コマンドを実行してこれを行います ピング 現在管理しているネットワークに接続されているデバイス上で。

Web-GUI コントローラーのスクリーンショットでは、ネットワークに接続されている XNUMX つのノードが確認できます。

1. ZTNCUI - 10.10.10.1 - GUI を備えたネットワーク コントローラー - RuVDS DC の XNUMX つの VDS。 通常の作業ではネットワークに追加する必要はありませんが、外部からのWebインターフェースへのアクセスをブロックしたいため追加しました。 これについては後で詳しく説明します。 
2. MyComp - 10.10.10.2 - 私の職場のコンピューターは物理的な PC です
3. バックアップ - 10.10.10.3 — 別の DC の VDS。

したがって、職場のコンピューターから次のコマンドを使用して他のノードの可用性を確認します。

ping 10.10.10.1

Pinging 10.10.10.1 with 32 bytes of data:
Reply from 10.10.10.1: bytes=32 time=14ms TTL=64
Reply from 10.10.10.1: bytes=32 time=4ms TTL=64
Reply from 10.10.10.1: bytes=32 time=7ms TTL=64
Reply from 10.10.10.1: bytes=32 time=2ms TTL=64

Ping statistics for 10.10.10.1:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 2ms, Maximum = 14ms, Average = 6ms

ping 10.10.10.3

Pinging 10.10.10.3 with 32 bytes of data:
Reply from 10.10.10.3: bytes=32 time=15ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Reply from 10.10.10.3: bytes=32 time=8ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64

Ping statistics for 10.10.10.3:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 4ms, Maximum = 15ms, Average = 7ms

ユーザーは、ネットワーク上のノードの可用性を確認するために、OS に組み込まれているツールや、NMAP、Advanced IP Scanner などの他のツールを使用する権利を有します。

ネットワーク コントローラー GUI への外部からのアクセスを隠します。

一般に、RuVDS 個人アカウントのファイアウォールを使用すると、ネットワーク コントローラーが配置されている VDS への不正アクセスの可能性を減らすことができます。 このトピックは別の記事で説明する可能性があります。 そこで、この記事で作成したネットワークからのみ GUI コントローラーにアクセスできるようにする方法を説明します。

これを行うには、コントローラーが配置されている VDS に SSH 経由で接続し、次のコマンドを使用して構成ファイルを開く必要があります。

nano /opt/key-networks/ztncui/.env

開いたファイルで、GUI が開くポートのアドレスを含む行「HTTPS_PORT=3443」の後に、GUI が開くアドレスを含む行を追加する必要があります。私の場合は HTTPS_HOST=10.10.10.1 です。 .XNUMX。 

次にファイルを保存します

Сtrl+C
Y
Enter 

そして、次のコマンドを実行します。

systemctl restart ztncui

これで、ネットワーク コントローラーの GUI はネットワーク ノード 10.10.10.0.24 でのみ使用できるようになりました。

代わりに、結論の 

ここで、ZeroTier に基づいて仮想ネットワークを作成するための実践ガイドの最初の部分を終了したいと思います。 コメントをお待ちしております。 

それまでの間、次のパートの公開までの時間を潰すために、仮想ネットワークと物理ネットワークを組み合わせる方法、「ロード ウォリアー」モードなどを編成する方法について説明します。試してみることをお勧めします。マーケットプレイスの VDS に基づく GUI を備えたプライベート ネットワーク コントローラーを使用して、独自の仮想ネットワークを編成します。 オンライン RUVDS。 さらに、すべての新規クライアントには 3 日間の無料お試し期間があります。

PS はい！ 忘れそうだった！ このノードの CLI でコマンドを使用して、ネットワークからノードを削除できます。

zerotier-cli leave <Network ID>

200 leave OK

または、ノード上のクライアント GUI の [削除] コマンドを使用します。

-> 導入。 理論的な部分。 地球のためのスマート イーサネット スイッチ
-> 仮想ネットワークを構築するための実践的なガイド。 パート1
-> 仮想ネットワークを構築するための実践的なガイド。 パート2

出所： habr.com