Ma dijwar e ku meriv makîneyek virtual (VM) di ewr de biafirîne? Ji çêkirina çayê ne dijwartir e. Lê gava ku dor tê ser pargîdaniyek mezin, tewra çalakiyek wusa hêsan jî dikare bi êş dirêj bibe. Ne bes e ku meriv makîneyek virtual biafirîne; di heman demê de hûn hewce ne ku li gorî hemî rêziknameyên karûbarê hewce bistînin. Ji bo her pêşdebiran êşek naskirî? Di bankek mezin de, ev prosedur ji çend demjimêran heya çend rojan girt. Û ji ber ku mehê bi sedan operasyonên bi vî rengî hebûn, hêsan e ku meriv pîvana vê plansaziya kedxwariyê bifikire. Ji bo ku em dawî li vê yekê bînin, me ewrê taybet a bankê nûjen kir û ne tenê pêvajoya çêkirina VM-an, lê di heman demê de karûbarên têkildar jî otomatîk kir.
Karê Hejmar 1. Cloud bi girêdana Înternetê
Bank bi karanîna tîmê xweya IT-ya hundurîn ji bo yek perçeyek torê ewrek taybet çêkir. Bi demê re, rêveberiyê feydeyên wê nirxand û biryar da ku têgeha ewrê taybet li hawîrdor û beşên din ên bankê dirêj bike. Vê yekê di ewrên taybet de bêtir pispor û pisporiya bihêz hewce dike. Ji ber vê yekê, tîmê me bi nûjenkirina ewr re hate spartin.
Rêya sereke ya vê projeyê afirandina makîneyên virtual bû di beşek din a ewlehiya agahdariyê - li devera bêçek (DMZ). Li vir karûbarên bankê bi pergalên derveyî yên ku li derveyî binesaziya bankingê ne ve têne yek kirin.
Lê ev madalya aliyekî din jî hebû. Karûbarên ji DMZ-ê "derve" peyda bûn û ev yek bi tevahî xetereyên ewlehiya agahdarî vedihewand. Berî her tiştî, ev xetera pergalên hackkirinê ye, paşê berfirehkirina qada êrîşê li DMZ, û dûv re jî ketina nav binesaziya bankê. Ji bo kêmkirina hin ji van xetereyan, me pêşniyar kir ku tedbîrek ewlehiyê ya din bikar bînin - çareseriyek mîkro-segmentation.
Parastina mîkro-segmentation
Dabeşkirina klasîk sînorên parastî li ser sînorên torê bi karanîna dîwarek agir ava dike. Bi mîkrosegmentasyonê, her VM-ya ferdî dikare di parçeyek kesane, veqetandî de were veqetandin.
Ev ewlehiya tevahiya pergalê zêde dike. Tewra ku êrîşkar serverek DMZ hack bikin, dê ji wan re zehf dijwar be ku êrîşê li seranserê torê belav bikin - ew ê neçar bimînin ku di nav torê de gelek "deriyên girtî" bişkînin. Firewallê kesane ya her VM-ê di derheqê wê de qaîdeyên xwe hene, ku mafê ketin û derketinê diyar dike. Me mîkro-segmentation bi karanîna VMware NSX-T Distributed Firewall peyda kir. Ev hilber ji bo VM-an qaîdeyên dîwarê agir bi navendî diafirîne û wan li ser binesaziya virtualbûnê belav dike. Kîjan OS-ya mêvan tê bikar anîn ne girîng e, qaîdeyek di asta girêdana makîneyên virtual bi torê re tê sepandin.
Pirsgirêk N2. Di lêgerîna bilez û rehetiyê de
Makîneyek virtual bicîh bikin? Bi hêsanî! Çend klîk û hûn qediyan. Lê paşê gelek pirs derdikevin: meriv çawa ji vê VM-ê bigihîje pergalek din an pergalek din? An jî ji pergalek din vegere VM?
Mînakî, di bankek de, piştî fermankirina VM li ser portalê ewr, pêdivî bû ku portala piştevaniya teknîkî vebe û daxwazek ji bo peydakirina gihîştina pêwîst bişîne. Di serîlêdanê de xeletiyek bû sedema bang û nameyan ji bo rastkirina rewşê. Di heman demê de, VM dikare 10-15-20 gihîştinan hebe û pêvajoyê her yek dem girt. Pêvajoya Îblîs.
Wekî din, "paqijkirina" şopên çalakiya jiyanê ya makîneyên virtual yên dûr hewceyê lênihêrîna taybetî ye. Piştî ku ew hatin rakirin, bi hezaran qaîdeyên gihîştinê li ser dîwarê agir man, ku amûr bar kirin. Ev hem barekî zêde û hem jî qulên ewlehiyê ye.
Hûn nikarin vê yekê bi qaîdeyên di ewr de bikin. Nerehet e û ne ewle ye.
Ji bo kêmkirina dema ku ji bo peydakirina gihandina VM-yan digire û birêvebirina wan rehet bike, me karûbarek rêveberiya gihîştina torê ji bo VM-an pêşxistiye.
Bikarhêner di asta makîneya virtual de di pêşeka çarçoveyê de babetek hildibijêre da ku qaîdeyek gihîştinê biafirîne, û dûv re di forma ku vedibe de pîvanan diyar dike - ji ku, li ku, celebên protokolê, hejmarên portê. Piştî dagirtin û şandina formê, bilêtên pêwîst bixweber di pergala piştevaniya teknîkî ya bikarhêner de li ser bingeha Gerînendeyê Karûbarê HP-ê têne çêkirin. Ew berpirsiyar in ku erêkirina vê an wê gihîştinê û, ger gihîştin were pejirandin, ji pisporên ku hin karên ku hîn ne otomatîkî ne pêk tînin.
Piştî ku qonaxa pêvajoya karsaziyê ya ku pispor tê de xebitî, beşa karûbarê ku bixweber qaîdeyên li ser dîwarên agir diafirîne dest pê dike.
Wekî akorda dawîn, bikarhêner li ser portalê daxwazek bi serfirazî qedandî dibîne. Ev tê vê wateyê ku qaîdeyek hatî afirandin û hûn dikarin pê re bixebitin - bibînin, biguherînin, jêbirin.
Encama dawî ya feydeyên
Di bingeh de, me aliyên piçûk ên ewrê taybet nûjen kir, lê bank bandorek berbiçav wergirt. Bikarhêner naha gihîştina torê tenê bi portalê distînin, bêyî ku rasterast bi Maseya Karûbarê re mijûl bibin. Zeviyên forma mecbûrî, erêkirina wan ji bo rastbûna daneyên têketinê, navnîşên pêş-sazkirî, daneyên zêde - ev hemî ji bo formulekirina daxwazek gihîştina rast, ku bi îhtîmalek mezin dê ji hêla xebatkarên ewlehiya agahdariyê ve were hesibandin û neyên red kirin ji bo çewtiyên têketinê. Makîneyên virtual êdî qutiyên reş ne - hûn dikarin bi çêkirina guhertinên li ser portalê bi wan re xebata xwe bidomînin.
Wekî encamek, îro pisporên IT-ê yên bankê ji bo bidestxistina amûrek hêsantir di destê wan de ne, û tenê ew kes beşdarî pêvajoyê dibin, bêyî ku ew bê guman nikarin bêyî wan bikin. Bi tevahî, di warê lêçûnên kedê de, ev serbestberdanek e ji barkirina rojane ya bi kêmî ve 1 kes, û her weha bi dehan demjimêrên ku ji bo bikarhêneran têne xilas kirin. Otomatîzekirina afirandina qaîdeyê îmkana pêkanîna çareseriyek mîkro-segmentasyonê ku bargiraniyek li ser karmendên bankê çê nake.
Û di dawiyê de, "qanûna gihîştinê" bû yekîneya hesabê ewr. Ango, naha ewr agahdariya li ser qaîdeyên ji bo hemî VM-yan hilîne û dema ku makîneyên virtual têne jêbirin wan paqij dike.
Dê di demek nêz de feydeyên nûjenkirinê li tevahiya ewrê bankê belav bibin. Otomatîzekirina pêvajoya afirandina VM û mîkro-segmentasyona ji DMZ-ê derbas bûye û beşên din girtine. Û vê yekê ewlehiya ewr bi tevahî zêde kir.
Çareseriya ku hatiye pêkanîn di heman demê de balkêş e ku destûrê dide bankê ku pêvajoyên pêşkeftinê bilezîne, li gorî vê pîvanê nêzîkê modela pargîdaniyên IT-ê bike. Jixwe, dema ku dor tê ser sepanên mobîl, portal û karûbarên xerîdar, îro her pargîdaniyek mezin hewl dide ku bibe "fabrîkek" ji bo hilberîna hilberên dîjîtal. Di vê wateyê de, bank bi pratîkî bi pargîdaniyên IT-ê yên herî bihêz re dileyizin, bi çêkirina serîlêdanên nû re dimeşin. Û baş e dema ku kapasîteyên binesaziyek IT-ê ku li ser modela ewr a taybet hatî çêkirin dihêle hûn di çend hûrdeman de û bi qasî ku pêkan bi ewlehî çavkaniyên pêwîst ji bo vê yekê veqetînin.
Nivîskar:
Vyacheslav Medvedev, Serokê Dezgeha Cloud Computing, Jet Infosystems,
Ilya Kuikin, endezyarê sereke yê beşa berhevkirina ewr a Jet Infosystems
Source: www.habr.com