Мақалада желілік инфрақұрылымды дәстүрлі түрде ұйымдастыру мәселелері және бұлтты технологияларды қолдану арқылы бірдей мәселелерді шешу әдістері талқыланады.
Анықтама үшін. Nebula - желілік инфрақұрылымды қашықтан ұстауға арналған SaaS бұлттық ортасы. Nebula қолдайтын барлық құрылғылар қауіпсіз қосылым арқылы бұлттан басқарылады. Үлкен бөлінген желілік инфрақұрылымды құруға күш жұмсамай-ақ бір орталықтан басқаруға болады.
Неліктен сізге басқа бұлттық қызмет қажет?
Желілік инфрақұрылыммен жұмыс істеу кезіндегі негізгі мәселе желіні жобалау және жабдықты сатып алу, тіпті оны сөреге орнату емес, болашақта осы желімен жасалуы керек болатын барлық нәрсе.
Жаңа желі - ескі уайымдар
Жабдықты орнатып, қосқаннан кейін жаңа желі түйінін іске қосу кезінде бастапқы конфигурация басталады. «Үлкен бастықтардың» көзқарасы бойынша - күрделі ештеңе жоқ: «Біз жобаның жұмыс құжаттамасын алып, орнатуды бастаймыз...» Бұл желі элементтері бір деректер орталығында орналасқанда өте жақсы айтылған. Егер олар филиалдар бойынша шашыраңқы болса, қашықтан қол жеткізуді қамтамасыз етудің бас ауруы басталады. Бұл өте тұйық шеңбер: желі арқылы қашықтан қол жеткізу үшін желілік жабдықты конфигурациялау керек, ал ол үшін желі арқылы кіру керек...
Жоғарыда сипатталған тығырықтан шығу үшін әртүрлі схемалар ойлап табуға тура келеді. Мысалы, USB 4G модемі арқылы Интернетке кіру мүмкіндігі бар ноутбук патч сымы арқылы реттелетін желіге қосылады. Бұл ноутбукте VPN клиенті орнатылған және ол арқылы бас кеңседегі желі әкімшісі филиалдық желіге қол жеткізуге тырысады. Схема ең мөлдір емес - тіпті алдын ала конфигурацияланған VPN бар ноутбукты қашықтағы сайтқа әкеліп, оны қосуды сұрасаңыз да, бәрі бірінші рет жұмыс істейтіні шындықтан алыс. Әсіресе, егер біз басқа провайдері бар басқа аймақ туралы айтатын болсақ.
Ең сенімді әдіс - жобаға сәйкес өз бөлігін конфигурациялай алатын «жолдың екінші жағында» жақсы маманның болуы. Егер филиал қызметкерлерінде мұндай нәрсе болмаса, опциялар қалады: аутсорсинг немесе іскерлік саяхат.
Бізге де мониторинг жүйесі қажет. Оны орнату, конфигурациялау, қолдау қажет (кем дегенде дискілік кеңістікті бақылап, тұрақты сақтық көшірмелерді жасаңыз). Біз айтпайынша ол біздің құрылғылар туралы ештеңе білмейді. Ол үшін жабдықтың барлық бөліктерінің параметрлерін тіркеп, жазбалардың өзектілігін үнемі қадағалап отыру керек.
Қызметкерлердің желі әкімшісінің арнайы білімінен басқа, Zabbix немесе басқа ұқсас жүйемен қалай жұмыс істеу керектігін білетін жеке «бір адамдық оркестрі» болған кезде өте жақсы. Әйтпесе, біз штат бойынша басқа адамды жалдаймыз немесе оны аутсорсингке аламыз.
Ескерту: Ең өкінішті қателер мына сөздерден басталады: «Бұл Zabbix (Nagios, OpenView және т.б.) конфигурациялау үшін не бар? Мен оны тез алып кетемін, ол дайын!»
Іске асырудан іске қосуға дейін
Нақты мысалды қарастырайық.
WiFi кіру нүктесі бір жерде жауап бермей тұрғанын көрсететін дабыл хабары алынды.
Ол қайда орналасқан?
Әрине, жақсы желі әкімшісінің барлығы жазылған жеке каталогы бар. Сұрақтар осы ақпаратты бөлісу қажет болғанда басталады. Мысалы, сіз дереу хабаршыны жіберуіңіз керек және ол үшін сізге келесідей нәрсені беру керек: «Строителей көшесі, 1-ғимарат, 3-қабаттағы №301 бөлмедегі бизнес орталығындағы кіру нүктесі. XNUMX төбенің астындағы алдыңғы есіктің қасында».
Айталық, біз бақыттымыз және кіру нүктесі PoE арқылы жұмыс істейді және коммутатор оны қашықтан қайта жүктеуге мүмкіндік береді. Сізге саяхаттаудың қажеті жоқ, бірақ коммутаторға қашықтан қол жеткізу қажет. Маршрутизатордағы PAT арқылы портты қайта жіберуді конфигурациялау, сырттан қосылу үшін VLAN желісін анықтау және т.б. қалады. Егер бәрі алдын ала орнатылса жақсы. Жұмыс қиын болмауы мүмкін, бірақ оны жасау керек.
Осылайша, азық-түлік нүктесі қайта іске қосылды. Көмектеспеді ме?
Аппараттық құралда бірдеңе дұрыс емес делік. Қазір біз кепілдік, іске қосу және басқа да қызықты мәліметтер туралы ақпаратты іздейміз.
WiFi туралы айтатын болсақ. Барлық құрылғылар үшін бір кілті бар WPA2-PSK үй нұсқасын пайдалану корпоративтік ортада ұсынылмайды. Біріншіден, барлығына бір кілт жай ғана қауіпті, екіншіден, бір қызметкер кеткенде, осы жалпы кілтті өзгертіп, барлық пайдаланушылар үшін барлық құрылғылардағы параметрлерді қайта жасау керек. Мұндай қиындықтарды болдырмау үшін әрбір пайдаланушы үшін жеке аутентификациясы бар WPA2-Enterprise бар. Бірақ бұл үшін сізге RADIUS сервері қажет - басқарылуы керек басқа инфрақұрылымдық блок, сақтық көшірмелерді жасау және т.б.
Әрбір кезеңде, ол іске асыру немесе операция болсын, біз қолдау жүйелерін пайдаланғанымызды ескеріңіз. Бұған «үшінші тарап» интернет қосылымы бар ноутбук, бақылау жүйесі, жабдықтың анықтамалық дерекқоры және аутентификация жүйесі ретінде RADIUS кіреді. Желілік құрылғылардан басқа, сізге үшінші тарап қызметтеріне де қызмет көрсету қажет.
Мұндай жағдайларда сіз: «Оны бұлтқа беріңіз және зардап шекпеңіз» деген кеңесті ести аласыз. Әрине, Zabbix бұлты бар, мүмкін бір жерде бұлт RADIUS, тіпті құрылғылар тізімін жүргізу үшін бұлтты дерекқор бар. Мәселе мынада, бұл бөлек емес, «бір бөтелкеде». Дегенмен, қол жеткізуді ұйымдастыру, құрылғыны бастапқы орнату, қауіпсіздік және т.б. туралы сұрақтар туындайды.
Небуланы пайдаланған кезде ол қандай көрінеді?
Әрине, бастапқыда «бұлт» біздің жоспарларымыз немесе сатып алынған жабдық туралы ештеңе білмейді.
Алдымен ұйым профилі жасалады. Яғни, бүкіл инфрақұрылым: штаб-пәтер мен филиалдар алдымен бұлтқа тіркеледі. Егжей-тегжейлер көрсетіліп, өкілеттіктерді беру үшін шоттар жасалады.
Құрылғыларды бұлтта екі жолмен тіркеуге болады: ескі әдіс - веб-пішінді толтыру кезінде сериялық нөмірді енгізу немесе ұялы телефон арқылы QR кодын сканерлеу арқылы. Екінші әдіс үшін сізге камерасы бар смартфон және Интернетке қол жетімділік, соның ішінде ұялы байланыс провайдері арқылы қажет.
Әрине, ақпаратты сақтау үшін қажетті инфрақұрылымды, есепке алуды да, параметрлерді де Zyxel Nebula қамтамасыз етеді.
Сурет 1. Nebula Control Center қауіпсіздік есебі.
Кіруді орнату туралы не деуге болады? Порттарды ашу, кіріс шлюзі арқылы трафикті бағыттау, қауіпсіздік әкімшілері «саңылауларды таңдау» деп сүйіспеншілікпен атайды ма? Бақытымызға орай, мұның бәрін жасаудың қажеті жоқ. Nebula жұмыс істейтін құрылғылар шығыс байланыс орнатады. Ал әкімші жеке құрылғыға емес, конфигурациялау үшін бұлтқа қосылады. Тұмандық екі қосылым арасында делдал болады: құрылғыға және желі әкімшісінің компьютеріне. Бұл кіріс әкімшіге қоңырау шалу кезеңін азайтуға немесе мүлдем өткізіп жіберуге болатындығын білдіреді. Брандмауэрде қосымша «саңылаулар» жоқ.
RADUIS сервері туралы не деуге болады? Өйткені, орталықтандырылған аутентификацияның қандай да бір түрі қажет!
Және бұл функцияларды да тұман қабылдайды. Жабдыққа қол жеткізу үшін тіркелгілердің аутентификациясы қауіпсіз дерекқор арқылы жүзеге асырылады. Бұл жүйені басқару құқығын беруді немесе алып қоюды айтарлықтай жеңілдетеді. Бізге құқықтарды беру керек - пайдаланушы жасау, рөл тағайындау. Біз құқықтарды алып тастауымыз керек - біз кері қадамдарды орындаймыз.
Жеке аутентификация қызметін қажет ететін WPA2-Enterprise туралы бөлек айта кеткен жөн. Zyxel Nebula-ның өз аналогы бар - DPPSK, ол WPA2-PSK әр пайдаланушы үшін жеке кілтпен пайдалануға мүмкіндік береді.
«Ыңғайсыз» сұрақтар
Төменде біз бұлттық қызметке кіру кезінде жиі қойылатын ең күрделі сұрақтарға жауап беруге тырысамыз
Бұл шынымен қауіпсіз бе?
Қауіпсіздікті қамтамасыз ету үшін бақылау мен басқарудың кез келген делегациясында екі фактор маңызды рөл атқарады: анонимдеу және шифрлау.
Трафикті бейтаныс көздерден қорғау үшін шифрлауды пайдалану оқырмандарға азды-көпті таныс нәрсе.
Анонимизация бұлттық провайдер қызметкерлерінен иесі мен көзі туралы ақпаратты жасырады. Жеке ақпарат жойылады және жазбаларға «бетсіз» идентификатор тағайындалады. Бұлтты бағдарламалық құралды әзірлеуші де, бұлттық жүйеге қызмет көрсететін әкімші де сұраулардың иесін біле алмайды. «Бұл қайдан шықты? Бұған кім мүдделі болуы мүмкін?» – деген сауалдар жауапсыз қалады. Иесі мен дереккөзі туралы ақпараттың болмауы инсайдерлерді уақытты босқа кетіреді.
Егер бұл тәсілді аутсорсингтің немесе кіріс әкімшісін жалдаудың дәстүрлі тәжірибесімен салыстыратын болсақ, бұлтты технологиялар қауіпсіз екені анық. Келіп жатқан IT маманы өз ұйымы туралы көп біледі және қауіпсіздік тұрғысынан айтарлықтай зиян келтіруі мүмкін. Жұмыстан шығару немесе келісім-шартты бұзу мәселесі әлі де шешілуі керек. Кейде тіркелгіні бұғаттаудан немесе жоюдан басқа, бұл қызметтерге қол жеткізу үшін құпия сөздерді жаһандық өзгертуді, сондай-ақ «ұмытылған» кіру нүктелері мен ықтимал «бетбелгілер» үшін барлық ресурстарды тексеруді талап етеді.
Небула кіріс әкімшіге қарағанда қаншалықты қымбат немесе арзан?
Барлығы салыстырмалы. Небуланың негізгі мүмкіндіктері тегін. Шын мәнінде, одан да арзан не болуы мүмкін?
Әрине, желі әкімшісінсіз немесе оны алмастыратын адамсыз толығымен істеу мүмкін емес. Мәселе адамдардың саны, олардың мамандануы және сайттар бойынша таралуы.
Ақылы кеңейтілген қызметке келетін болсақ, тікелей сұрақ қою: қымбатырақ немесе арзанырақ - мұндай көзқарас әрқашан дәл емес және біржақты болады. Ақшадан бастап нақты мамандардың жұмысына ақы төлеуге дейінгі және олардың мердігермен немесе жеке тұлғамен өзара әрекеттесуін қамтамасыз ету шығындарына дейінгі көптеген факторларды салыстыру дұрысырақ болар еді: сапаны бақылау, құжаттаманы ресімдеу, қауіпсіздік деңгейін сақтау және т.б.
Егер біз ақылы қызметтер пакетін (Pro-Pack) сатып алу тиімді немесе тиімсіз деген тақырып туралы айтатын болсақ, онда шамамен жауап келесідей болуы мүмкін: егер ұйым кішкентай болса, сіз негізгі құралдармен жұмыс істей аласыз. нұсқасы, егер ұйым өсіп келе жатқан болса, онда Pro-Pack туралы ойланудың мағынасы бар. Zyxel Nebula нұсқалары арасындағы айырмашылықтарды 1-кестеден көруге болады.
Кесте 1. Nebula үшін негізгі және Pro-Pack мүмкіндіктер жиындарының арасындағы айырмашылықтар.
Бұған кеңейтілген есеп беру, пайдаланушы аудиті, конфигурацияны клондау және т.б. кіреді.
Жол қозғалысын қорғау туралы не деуге болады?
Nebula протоколды пайдаланады желілік жабдықтың қауіпсіз жұмысын қамтамасыз ету.
NETCONF бірнеше тасымалдау протоколдарының үстінде жұмыс істей алады:
- ();
- ();
- ();
- ().
NETCONF-ті басқа әдістермен, мысалы, SNMP арқылы басқарумен салыстыратын болсақ, мынаны атап өткен жөн NETCONF NAT кедергісін еңсеру үшін шығыс TCP қосылымын қолдайды және сенімдірек деп саналады.
Аппараттық қолдау туралы не деуге болады?
Әрине, серверлік бөлмені сирек кездесетін және жойылып бара жатқан жабдық түрлерінің өкілдері бар хайуанаттар бағына айналдыруға болмайды. Басқару технологиясымен біріктірілген жабдықтың орталық коммутатордан бастап кіру нүктелеріне дейінгі барлық бағыттарды қамтитыны өте құптарлық. Zyxel инженерлері бұл мүмкіндікті ойластырды. Nebula көптеген құрылғыларды басқарады:
- 10G орталық қосқыштар;
- қол жеткізу деңгейінің қосқыштары;
- PoE қосқыштары;
- кіру нүктелері;
- желілік шлюздер.
Қолдау көрсетілетін құрылғылардың кең ауқымын пайдалана отырып, әртүрлі тапсырмалар түрлері үшін желілерді құруға болады. Бұл әсіресе жоғары емес, сыртқа қарай дамып келе жатқан, бизнес жүргізудің жаңа бағыттарын үнемі зерттейтін компанияларға қатысты.
Үздіксіз даму
Дәстүрлі басқару әдісі бар желілік құрылғыларда жақсартудың бір ғана жолы бар - ол жаңа микробағдарлама немесе қосымша модульдер болсын, құрылғының өзін өзгерту. Zyxel Nebula жағдайында жақсартудың қосымша жолы бар - бұлттық инфрақұрылымды жақсарту арқылы. Мысалы, Nebula Control Center (NCC) 10.1 нұсқасына жаңартқаннан кейін. (21 жылдың 2020 қыркүйегі) жаңа мүмкіндіктер пайдаланушыларға қолжетімді, олардың кейбіреулері:
- Ұйым иесі енді барлық меншік құқықтарын сол ұйымдағы басқа әкімшіге бере алады;
- ұйым иесімен бірдей құқықтарға ие иеленушінің өкілі деп аталатын жаңа рөл;
- жаңа ұйымдық микробағдарламаны жаңарту мүмкіндігі (Pro-Pack мүмкіндігі);
- топологияға екі жаңа опция қосылды: құрылғыны қайта жүктеу және PoE портының қуатын қосу және өшіру (Pro-Pack функциясы);
- жаңа кіру нүктесі үлгілерін қолдау: WAC500, WAC500H, WAC5302D-Sv2 және NWA1123ACv3;
- QR кодын басып шығару арқылы ваучердің аутентификациясын қолдау (Pro-Pack функциясы).
Пайдалы сілтемелер
Ақпарат көзі: www.habr.com