🥇Powered by ZeroTier. Виртуалдык тармактарды куруу боюнча практикалык колдонмо. 1-бөлүк

ZeroTier жөнүндө окуяны улантуу, макалада айтылган теориядан "Planet Earth үчүн Smart Ethernet Switch", мен практикага өтүп кетем, анда:

Жеке тармак контроллерин түзүп, конфигурациялайлы
Келгиле, виртуалдык тармак түзөлү
Келгиле, ага түйүндөрдү конфигурациялап, туташтыралы
Келгиле, алардын ортосундагы тармак байланышын текшерип көрөлү
Тармак контроллеринин GUIге кирүүсүнө сырттан бөгөт коёлу

Network Controller

Мурда айтылгандай, виртуалдык тармактарды түзүү, аларды башкаруу, ошондой эле түйүндөрдү туташтыруу үчүн колдонуучуга эки формада бар болгон тармактык контроллер, графикалык интерфейс (GUI) керек:

ZeroTier GUI параметрлери

ZeroTier иштеп чыгуучунун бири, төрт жазылуу планы бар коомдук булут SaaS чечими катары жеткиликтүү, анын ичинде акысыз, бирок башкарылган түзмөктөрдүн саны жана колдоо деңгээли чектелген
Экинчиси көз карандысыз иштеп чыгуучудан, функционалдык жагынан бир аз жөнөкөйлөштүрүлгөн, бирок жергиликтүү же булут ресурстарында колдонуу үчүн жеке ачык булак чечими катары жеткиликтүү.

Мен өзүмдүн практикамда экөөнү тең колдондум, натыйжада мен экинчисин чечтим. Буга иштеп чыгуучунун эскертүүлөрү себеп болгон.

"Тармак контроллерлору ZeroTier виртуалдык тармактары үчүн сертификаттоо органдары катары кызмат кылат. Контроллердин жашыруун ачкычтарын камтыган файлдар кылдаттык менен корголушу жана коопсуз архивделиши керек. Алардын компромисси уруксатсыз чабуулчуларга алдамчылык тармак конфигурацияларын түзүүгө мүмкүндүк берет жана алардын жоголушу тармакты башкаруу жана башкаруу мүмкүнчүлүгүн жоготууга алып келет, натыйжада аны жараксыз кылат."

→ Документке шилтеме

Ошондой эле, сиздин киберкоопсуздук паранойияңыздын белгилери :)

Cheburnet келсе да, мен дагы эле менин тармак контроллеру мүмкүнчүлүгүнө ээ болушу керек;
Мен гана тармак контроллерин колдонушум керек. Зарыл болгон учурда, ыйгарым укуктуу өкүлдөрүңүзгө мүмкүнчүлүк берүү;
Сырттан тармак контроллерине кирүү мүмкүнчүлүгүн чектөө мүмкүн болушу керек.

Бул макалада мен тармактык контроллерди жана ал үчүн GUIди жер-жерлерде физикалык же виртуалдык ресурстарга кантип жайгаштыруу керектиги жөнүндө өзүнчө сөз кылуунун маанисин көрбөй жатам. Ошондой эле мунун 3 себеби бар:

пландан ашык каттар болот
бул жөнүндө буга чейин айтып берди GUI иштеп чыгуучу GitHab боюнча
макаланын темасы башка нерсе жөнүндө

Ошондуктан, эң аз каршылык жолун тандап, мен бул окуяда VDS негизинде түзүлгөн GUI менен тармак контроллерин колдоном. шаблондон, боорукер RuVDS кесиптештерим тарабынан иштелип чыккан.

Баштапкы орнотуу

Көрсөтүлгөн шаблондон сервер түзгөндөн кийин, колдонуучу https:// жетүү аркылуу браузер аркылуу Web-GUI контроллерине кирүү мүмкүнчүлүгүн алат. :3443

Демейки боюнча, сервер алдын ала түзүлгөн өз алдынча кол коюлган TLS/SSL сертификатын камтыйт. Бул мен үчүн жетиштүү, анткени мен ага кирүүгө сырттан бөгөт коём. Сертификаттардын башка түрлөрүн колдонууну каалагандар үчүн бар орнотуу көрсөтмөлөрү GUI иштеп чыгуучу GitHab боюнча.

Колдонуучу биринчи жолу киргенде Кирүү демейки логин жана сырсөз менен - админ и купуя сөз:

Ал демейки сырсөздү ыңгайлаштырылган сырсөзгө өзгөртүүнү сунуштайт

Мен муну бир аз башкача кылам - мен учурдагы колдонуучунун сырсөзүн өзгөртпөйм, бирок жаңысын түзөм - Колдонуучу түзүү.

Мен жаңы колдонуучунун атын койдум - колдонуучунун аты:
Мен жаңы сырсөз койдум - Жаңы сырсөздү киргизиңиз:
Мен жаңы сырсөздү ырастайм - Сырсөздү кайра киргизиңиз:

Сиз киргизген символдор регистрге сезимтал - сак болуңуз!

Кийинки кирүүдө сырсөздү өзгөртүүнү ырастоо үчүн белгилөө кутучасы - Кийинки кирүүдө сырсөздү өзгөртүү: Мен майрамдабайм.

Киргизилген маалыматтарды ырастоо үчүн басыңыз Сыр сөздү коюңуз:

Андан кийин: Мен кайра кирем - Чыгуу / Кирүү, буга чейин жаңы колдонуучунун эсептик дайындары астында:

Андан кийин, мен колдонуучулар өтмөгүнө барам - Users жана колдонуучуну жок кылуу админанын атынын сол жагында жайгашкан таштанды челек сөлөкөтүн чыкылдатуу менен.

Келечекте колдонуучунун сырсөзүн анын атын же белгиленген сырсөзүн чыкылдатуу менен өзгөртө аласыз.

Виртуалдык тармак түзүү

Виртуалдык тармакты түзүү үчүн колдонуучу өтмөккө өтүшү керек Тармак кошуу. пункттан колдонуучу бул баракча аркылуу жасалышы мүмкүн Home — Web-GUIнин башкы бети, анда бул тармак контроллеринин ZeroTier дареги көрсөтүлөт жана ал аркылуу түзүлгөн тармактардын тизмеси баракка шилтеме бар.

Баракта Тармак кошуу колдонуучу жаңы түзүлгөн тармакка ат коёт.

Киргизилген маалыматтарды колдонууда - Түзүү колдонуучу тармактардын тизмеси бар баракка алынат, анда төмөнкүлөр камтылат:

Тармактын аталышы — шилтеме түрүндөгү тармактын аталышы, аны басканда сиз аны өзгөртө аласыз
Тармак ID — тармак идентификатору
майда-чүйдө — деталдаштырылган тармак параметрлери бар баракка шилтеме
жеңил орнотуу — оңой орнотуу үчүн баракка шилтеме
мүчөлөрү — түйүн башкаруу барагына шилтеме

Көбүрөөк орнотуу үчүн шилтемени басыңыз жеңил орнотуу. Ачылган баракта колдонуучу түзүлүп жаткан тармак үчүн IPv4 даректеринин диапазонун көрсөтөт. Бул баскычты басуу менен автоматтык түрдө аткарылышы мүмкүн Тармак дарегин түзүү же тиешелүү талаага тармактык масканы киргизүү менен кол менен CIDR.

Ийгиликтүү маалыматтарды киргизүүнү ырастаганда, Артка баскычын колдонуу менен тармактардын тизмеси бар баракка кайтуу керек. Бул учурда, негизги тармак орнотуу аяктады деп эсептесе болот.

Туташуу түйүндөрү

Биринчиден, ZeroTier One кызматы колдонуучу тармакка туташкысы келген түйүндө орнотулушу керек.
ZeroTier One деген эмне?ZeroTier One VPN кардарына окшош виртуалдык тармак порту аркылуу виртуалдык тармакка туташууларды камсыз кылган ноутбуктарда, рабочий компьютерлерде, серверлерде, виртуалдык машиналарда жана контейнерлерде иштеген кызмат.

Кызмат орнотулуп, ишке киргизилгенден кийин, алардын 16 орундуу даректерин колдонуп виртуалдык тармактарга туташа аласыз. Ар бир тармак кадимки Ethernet порту сыяктуу иш алып барган системада виртуалдык тармак порту катары көрүнөт.
Бөлүштүрүүлөргө шилтемелерди, ошондой эле орнотуу буйруктарын тапса болот өндүрүүчүнүн бетинде.

Орнотулган кызматты администратор/тамыр укуктары менен буйрук сабы терминалы (CLI) аркылуу башкара аласыз. Windows/MacOS да графикалык интерфейсти колдонуу менен. Android/iOS'до GUI аркылуу гана.
Кызматты орнотуунун ийгиликтүүлүгүн текшерүү:
CLI:
```
zerotier-cli status
```
жыйынтыгы:

200 info ebf416fac1 1.4.6 ONLINE
GUI:

Тиркеменин иштеп жаткандыгы жана андагы түйүн дареги менен Node ID сызыгынын болушу.
Түйүндү тармакка туташтыруу:
CLI:
```
zerotier-cli join <Network ID>
```
жыйынтыгы:

200 join OK

GUI:

Windows: сөлөкөтүн оң баскыч менен чыкылдатыңыз ZeroTier One тутумдук тактада жана элементти тандоо - Тармакка кошулуу.

macOS: Колдонмону ишке киргизиңиз ZeroTier One бар менюда, эгерде мурунтан эле ишке киргизиле элек болсо. ⏁ сөлөкөтүн чыкылдатып, тандаңыз Тармакка кошулуу.

Android/iOS: + (кошумча сүрөт) колдонмодо

Пайда болгон талаага GUIде көрсөтүлгөн тармак контроллерин киргизиңиз Тармак ID, жана басыңыз Тармакка кошулуу/кошуу.
Хостко IP дарегин дайындоо
Эми биз тармак контроллерине кайрылып, тармактардын тизмеси бар бетте шилтемени басыңыз мүчөлөрү. Эгерде сиз экранда ушуга окшош сүрөттү көрсөңүз, бул сиздин тармак контроллеруңуз туташкан түйүндөн тармакка туташууну ырастоо өтүнүчүн алганын билдирет.

Бул баракта биз бардыгын азыркыдай калтырып, шилтемеге өтүңүз IP дайындоо түйүнгө IP дарегин ыйгаруу бетине өтүңүз:

Даректи дайындагандан кийин баскычты басыңыз кайра туташкан түйүндөрдүн тизмесинин барагына кайтуу жана атын коюу - Мүчө аты жана тармактагы түйүндү авторизациялоо үчүн кутучаны белгилеңиз - Ыйгарым укуктуу. Айтмакчы, бул белги кутучасы келечекте хост тармагынан ажыратуу/туташуу үчүн абдан ыңгайлуу нерсе.

баскычын колдонуу менен өзгөртүүлөрдү сактоо сергитүү.
Түйүндүн тармакка туташуу абалын текшерүү:
Түйүндүн өзүндөгү туташуу абалын текшерүү үчүн:
CLI:
```
zerotier-cli listnetworks
```
жыйынтыгы:

200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips> 200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
GUI:

Тармактын абалы жакшы болушу керек

Калган түйүндөрдү туташтыруу үчүн, алардын ар бири үчүн 1-5 операцияларды кайталаңыз.

Түйүндөрдүн тармактык байланышын текшерүү

Мен муну буйрукту иштетүү менен кылам пинг Учурда мен башкарып жаткан тармакка туташкан түзмөктө.

Web-GUI контроллеринин скриншотунда сиз тармакка туташкан үч түйүндү көрө аласыз:

ZTNCUI - 10.10.10.1 - RuVDS DCлердин бириндеги GUI - VDS менен менин тармак контроллерим. Кадимки иш үчүн аны тармакка кошуунун кажети жок, бирок мен муну жасадым, анткени мен веб-интерфейске сырттан кирүүнү бөгөттөп салгым келет. Бул тууралуу кийинчерээк.
MyComp - 10.10.10.2 - менин жумуш компьютерим физикалык компьютер
Камдык көчүрмө - 10.10.10.3 — VDS башка DC.

Ошондуктан, менин жумушчу компьютеримден башка түйүндөрдүн болушун буйруктар менен текшерем:

ping 10.10.10.1

Pinging 10.10.10.1 with 32 bytes of data: Reply from 10.10.10.1: bytes=32 time=14ms TTL=64 Reply from 10.10.10.1: bytes=32 time=4ms TTL=64 Reply from 10.10.10.1: bytes=32 time=7ms TTL=64 Reply from 10.10.10.1: bytes=32 time=2ms TTL=64

Ping statistics for 10.10.10.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 2ms, Maximum = 14ms, Average = 6ms

ping 10.10.10.3

Pinging 10.10.10.3 with 32 bytes of data: Reply from 10.10.10.3: bytes=32 time=15ms TTL=64 Reply from 10.10.10.3: bytes=32 time=4ms TTL=64 Reply from 10.10.10.3: bytes=32 time=8ms TTL=64 Reply from 10.10.10.3: bytes=32 time=4ms TTL=64

Ping statistics for 10.10.10.3: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 4ms, Maximum = 15ms, Average = 7ms

Колдонуучу тармакта түйүндөрдүн бар экендигин текшерүү үчүн башка куралдарды колдонууга укуктуу, алар ОСке орнотулган жана NMAP, Advanced IP Scanner ж.б.

Тармак контроллерунун GUIге кирүү мүмкүнчүлүгүн сырттан жашырабыз.

Жалпысынан, мен RuVDS жеке эсебимдеги брандмауэрди колдонуп, тармак контроллерим жайгашкан VDSке уруксатсыз кирүү ыктымалдыгын азайта алам. Бул тема өзүнчө макала үчүн көбүрөөк мүмкүн. Ошондуктан, мен бул макалада мен түзгөн тармактан гана GUI контроллерине кирүү мүмкүнчүлүгүн кантип камсыз кылуу керектигин көрсөтөм.

Бул үчүн, сиз SSH аркылуу контроллер жайгашкан VDSке туташып, буйрукту колдонуп конфигурация файлын ачышыңыз керек:

nano /opt/key-networks/ztncui/.env

Ачылган файлда, GUI ачылуучу порттун дарегин камтыган "HTTPS_PORT=3443" сабынан кийин GUI ачыла турган дареги бар кошумча сапты кошуу керек - менин учурда бул HTTPS_HOST=10.10.10.1 .XNUMX.

Кийинки мен файлды сактайм

Сtrl+C Y Enter

жана буйрукту иштетүү:

systemctl restart ztncui

Мына ушундай, азыр менин тармактык контроллерумдун GUI 10.10.10.0.24 тармак түйүндөрү үчүн гана жеткиликтүү.

Ордуна корутундусу

Бул жерде мен ZeroTier негизинде виртуалдык тармактарды түзүү боюнча практикалык колдонмонун биринчи бөлүгүн бүтүргүм келет. Мен сенин сын чыдамсыздык менен күтөбүз.

Ал ортодо, мен сизге виртуалдык тармакты физикалык тармак менен кантип айкалыштыруу керек, "жол жоокери" режимин кантип уюштуруу керек жана дагы башка нерселерди айтып бере турган кийинки бөлүк жарык көргөнгө чейин убакыт өткөрүү үчүн, мен сизге аракет кылууну сунуштайм. базардан VDS негизинде GUI менен жеке тармак контроллерин колдонуу менен өзүңүздүн виртуалдык тармагыңызды уюштуруу сайты RUVDS. Мындан тышкары, бардык жаңы кардарлардын 3 күндүк акысыз сыноо мөөнөтү бар!

PS Ооба! Мен дээрлик унуттум! Түйүндү бул түйүндүн CLI ичиндеги буйругун колдонуу менен тармактан алып салсаңыз болот.

zerotier-cli leave <Network ID>

200 leave OK

же түйүндөгү кардар GUIдеги Delete буйругу.

-> Introduction. Теориялык бөлүгү. Planet Earth үчүн Smart Ethernet Switch
-> Виртуалдык тармактарды куруу боюнча практикалык колдонмо. 1-бөлүк
-> Виртуалдык тармактарды куруу боюнча практикалык колдонмо. 2-бөлүк

Source: www.habr.com

ZeroTier тарабынан иштейт. Виртуалдык тармактарды куруу боюнча практикалык колдонмо. 1-бөлүк