"Dir kënnt eng Léisung erstellen (e Problem léisen) op verschidde Manéieren, awer déi deier an / oder populär Method ass net ëmmer déi effektiv!"
Präambel
Virun ongeféier dräi Joer, am Prozess vun der Entwécklung vun engem Fernmodell fir Katastrophendaten Erhuelung, hunn ech en Hindernis begéint deen net direkt gemierkt gouf - de Mangel un Informatioun iwwer nei originell Léisunge fir Netzwierkvirtualiséierung a Gemeinschaftsquellen.
Den Algorithmus fir den entwéckelte Modell gouf wéi follegt geplangt:
- E Fernbenotzer, dee mech kontaktéiert huet, deem säi Computer eemol refuséiert huet ze booten, de Message "Systemdisk net entdeckt / net formatéiert" weist, lued et mat Life USB.
- Wärend dem Bootprozess verbënnt de System automatesch mat engem séchere private lokalen Netzwierk, deen nieft sech selwer d'Aarbechtsstatioun vum Administrator enthält, an dësem Fall e Laptop an en NAS Node.
- Da konnektéieren ech - entweder fir d'Diskpartitionen ze reaniméieren oder d'Daten vun do aus ze extrahieren.
Am Ufank hunn ech dëse Modell mat engem VPN-Server op engem lokalen Router an engem Netzwierk ënner menger Kontroll implementéiert, duerno op engem gelounten VDS. Awer, wéi dacks geschitt a laut dem éischte Gesetz vum Chisholm, wann et reent, wäert d'Netzwierk vum Internetprovider erofgoen, da wäert Streidereien tëscht Geschäftsunitéiten de Serviceprovider "Energie" verléieren ...
Dofir hunn ech beschloss fir d'éischt d'Basisfuerderunge ze formuléieren, déi dat néidegt Tool erfëllen muss. Déi éischt ass Dezentraliséierung. Zweetens, well ech e puer sou Liewen USBs hunn, jidderee vun hinnen huet en separat isoléiert Netzwierk. Gutt, drëttens, séier Verbindung zum Netz vu verschiddenen Apparater an einfacher Gestioun vun hinnen, och am Fall wou mäi Laptop och Affer vum Gesetz ernimmt gëtt.
Baséierend op dëser an zwee an en halleft Méint op praktesch Fuerschung vun e puer net ganz gëeegent Optiounen verbruecht, Ech, op meng eegen Gefor a Risiko, decidéiert en anert Outil aus engem Startup unbekannt fir mech zu där Zäit genannt ZeroTier ze probéieren. Wat ech spéider ni bedauert hunn.
Wärend dësen Neie Joer Vakanzen, probéiert ze verstoen ob d'Situatioun mam Inhalt zënter deem onvergiessleche Moment geännert huet, hunn ech e selektiven Audit fir d'Disponibilitéit vun Artikelen iwwer dëst Thema gemaach, mat Habr als Quell. Fir d'Ufro "ZeroTier" an de Sichresultater ginn et nëmmen dräi Artikelen déi et ernimmen, an net een eenzegen mat op d'mannst eng kuerz Beschreiwung. An dëst trotz der Tatsaach, datt ënnert hinnen eng Iwwersetzung vun engem Artikel ass, geschriwwen vum Grënner vun ZeroTier, Inc. - .
D'Resultater waren enttäuschend an hunn mech opgefuerdert méi detailléiert iwwer ZeroTier ze schwätzen, fir modern "Sicher" ze spueren, dee selwechte Wee ze goen wéi ech geholl hunn.
Also wat bass du?
Den Entwéckler positionéiert ZeroTier als intelligenten Ethernet Schalter fir Planéit Äerd.
"Et ass e verdeelt Netzwierk Hypervisor gebaut uewen op engem kryptographesch séchere globalen peer-to-peer (P2P) Netzwierk. En Tool ähnlech wéi e Corporate SDN Switch, entwéckelt fir virtuell Netzwierker iwwer physesch ze organiséieren, souwuel lokal a global, mat der Fäegkeet fir bal all Applikatioun oder Apparat ze verbannen.
Dëst ass méi eng Marketingbeschreiwung, elo iwwer d'technologesch Features.
▍Kernel:
ZeroTier Network Hypervisor ass e Stand-alone Netzwierk Virtualiséierungsmotor deen en Ethernet Netzwierk emuléiert, ähnlech wéi VXLAN, uewen op engem globalen verschlësselte Peer-to-Peer (P2P) Netzwierk.
D'Protokoller, déi am ZeroTier benotzt ginn, sinn originell, och wann et ähnlech ass wéi VXLAN an IPSec a besteet aus zwee konzeptuell getrennten, awer enk verbonne Schichten: VL1 a VL2.
→
▍VL1 ass eng Basis Peer-to-Peer (P2P) Transportschicht, eng Aart vu "virtuellen Kabel".
"E globalen Datenzenter erfuerdert e 'globale Kleederschaf' vu Verkabelung."
A konventionell Netzwierker bezitt L1 (OSI Layer 1) op déi aktuell Kabelen oder drahtlose Radios déi Daten droen an déi kierperlech Transceiver-Apparatchips déi se moduléieren an demoduléieren. VL1 ass e Peer-to-Peer (P2P) Netzwierk dat datselwecht mécht, Verschlësselung, Authentifikatioun an aner Netzwierker Tricks benotzt fir virtuell Kabelen ze organiséieren wéi néideg.
Ausserdeem mécht et dat automatesch, séier an ouni d'Bedeelegung vum Benotzer en neien ZeroTier Node lancéiert.
Fir dëst z'erreechen, ass VL1 ähnlech wéi den Domain Numm System organiséiert. Am Häerz vum Netz ass eng Grupp vu héich verfügbare Root Serveren, deenen hir Roll ähnlech ass wéi déi vun DNS Root Numm Serveren. Am Moment sinn d'Haapt (planetaresch) Root-Server ënner der Kontroll vum Entwéckler - ZeroTier, Inc. a ginn als gratis Service geliwwert.
Wéi och ëmmer, et ass méiglech personaliséiert Root-Server (luns) ze kreéieren déi Iech erlaben:
- reduzéieren Ofhängegkeet op ZeroTier, Inc Infrastruktur;
- d'Produktivitéit erhéijen andeems d'Verspéidungen minimiséieren;
- weider wéi normal ze schaffen wann d'Internetverbindung verluer ass.
Am Ufank ginn Noden ouni direkt Verbindunge matenee lancéiert.
All Peer op VL1 huet eng eenzegaarteg 40-Bit (10 hexadezimal) ZeroTier Adress, déi, am Géigesaz zu IP Adressen, e verschlësselten Identifizéierer ass deen keng Routinginformatioun enthält. Dës Adress gëtt aus dem ëffentlechen Deel vum ëffentlechen / private Schlësselpaar berechent. D'Adress vun engem Node, ëffentleche Schlëssel a private Schlëssel bilden zesummen seng Identitéit.
Member ID: df56c5621c
|
ZeroTier address of nodeWat d'Verschlësselung ugeet, ass dëst e Grond fir en separaten Artikel.
→
Fir d'Kommunikatioun z'etabléieren, schécken Peer fir d'éischt Pakete "op" de Bam vun de Root Serveren, a wéi dës Päck duerch d'Netz reesen, initiéieren se zoufälleg Kreatioun vu Forward Channels laanscht de Wee. De Bam probéiert dauernd "eleng ze kollapsen" fir sech fir d'Streckkaart ze optimiséieren, déi hien späichert.
De Mechanismus fir eng Peer-to-Peer Verbindung opzebauen ass wéi follegt:
- Node A wëll e Paket op Node B schécken, awer well et den direkten Wee net kennt, schéckt se op Node R (Mound, de Root Server vum Benotzer).
- Wann Node R eng direkt Verbindung mam Node B huet, schéckt se de Paket dohinner. Soss schéckt et de Paket upstream ier se d'planetaresch Wuerzelen erreecht.D'planetaresch Wuerzelen wëssen iwwer all Noden, sou datt de Paket schlussendlech Node B erreechen wann et online ass.
- Node R schéckt och e Message genannt "Rendezvous" un Node A, mat Hiweiser op wéi et Node B erreechen kann. Mëttlerweil schéckt de Root Server, deen de Paket op Node B weiderginn, e "Rendez" informéiert iwwer wéi et kann erreechen Node A.
- Noden A a B kréien hir Rendez-Messagen a versichen Testmeldungen uneneen ze schécken an engem Versuch, all NAT oder statesch Firewalls ze briechen, déi laanscht de Wee begéint sinn. Wann dëst funktionnéiert, da gëtt eng direkt Verbindung etabléiert, a Pakete ginn net méi zréck an zréck.
Wann eng direkt Verbindung kann net etabléiert ginn, Kommunikatioun wäert weider duerch Relais, an direkt Verbindung Versich wäert weider bis en erfollegräicht Resultat erreecht ass.
VL1 huet och aner Funktiounen fir direkt Konnektivitéit z'etabléieren, dorënner LAN Peer Entdeckung, Portprediktioun fir Traversal vu symmetresche IPv4 NAT, an explizit Portmapping mat uPnP an / oder NAT-PMP wann verfügbar op der lokaler kierperlecher LAN.
→
▍VL2 ass e VXLAN-ähnlechen Ethernet Netzwierk Virtualiséierungsprotokoll mat SDN Management Funktiounen. Bekannt Kommunikatiounsëmfeld fir OS an Uwendungen ...
Am Géigesaz zu VL1, d'Schafe vu VL2 Netzwierker (VLANs) an d'Verbindung vun Noden mat hinnen, souwéi d'Gestioun vun hinnen, erfuerdert direkt Participatioun vum Benotzer. Hien kann dëst mat engem Netzwierkkontroller maachen. Am Wesentlechen ass et e reegelméissegen ZeroTier Node, wou d'Controllerfunktiounen op zwou Weeër kontrolléiert ginn: entweder direkt, andeems Dir Dateien verännert, oder, wéi den Entwéckler staark recommandéiert, eng publizéiert API benotzt.
Dës Method fir ZeroTier virtuell Netzwierker ze managen ass net ganz bequem fir déi duerchschnëttlech Persoun, sou datt et e puer GUIs sinn:
- Ee vum Entwéckler ZeroTier, verfügbar als ëffentlech Cloud SaaS Léisung mat véier Abonnementspläng, abegraff gratis, awer limitéiert an der Unzuel vu verwalteten Apparater an der Ënnerstëtzung
- Déi zweet ass vun engem onofhängegen Entwéckler, e bësse vereinfacht a Funktionalitéit, awer verfügbar als privat Opensource Léisung fir on-premise oder op Cloud Ressourcen ze benotzen.
VL2 gëtt uewen op VL1 ëmgesat a gëtt vun him transportéiert. Wéi och ëmmer, et ierft d'Verschlësselung an d'Authentifikatioun vum VL1 Endpunkt, a benotzt och seng asymmetresch Schlësselen fir d'Umeldungsinformatiounen z'ënnerschreiwen an z'iwwerpréiwen. VL1 erlaabt Iech VL2 ëmzesetzen ouni Iech iwwer déi existent kierperlech Netzwierktopologie ze këmmeren. Dat ass, Problemer mat Konnektivitéit a Routing Effizienz sinn VL1 Problemer. Et ass wichteg ze verstoen datt et keng Verbindung tëscht VL2 virtuelle Netzwierker a VL1 Weeër ass. Ähnlech wéi VLAN-Multiplexing an engem kabellosen LAN, zwee Wirbelen, déi verschidde Reseau Memberschaften deelen, hunn nach ëmmer nëmmen ee VL1 (virtuellen Kabel) Wee tëscht hinnen.
All VL2 Netz (VLAN) gëtt identifizéiert duerch eng 64-Bit (16 Hexadezimal) ZeroTier Netzwierkadress, déi d'40-Bit ZeroTier Adress vum Controller enthält an eng 24-Bit Zuel, déi d'Netzwierk identifizéiert, déi vun deem Controller erstallt gouf.
Network ID: 8056c2e21c123456
| |
| Network number on controller
|
ZeroTier address of controllerWann e Node an engem Netz bäitrieden oder e Netzwierkkonfiguratiounsupdate freet, schéckt en e Netzwierkkonfiguratiounsufromessage (iwwer VL1) un den Netzwierkkontroller. De Controller benotzt dann d'VL1 Adress vum Node fir se am Netz ze fannen an et déi entspriechend Certificaten, Umeldungsinformatiounen a Konfiguratiounsinformatioun ze schécken. Aus der Siicht vu VL2 virtuelle Netzwierker kënnen VL1 ZeroTier Adressen als Portnummeren op engem risege globale virtuelle Schalter geduecht ginn.
All Umeldungsinformatiounen, déi vun Netzwierkcontroller un Memberknäppchen vun engem bestëmmten Netzwierk ausgestallt ginn, gi mam geheime Schlëssel vum Controller ënnerschriwwen, sou datt all Netzwierk Participanten se verifizéiere kënnen. D'Umeldungsinformatiounen hunn Zäitstempel generéiert vum Controller, wat e relativen Verglach erlaabt ouni Zougang zu der lokaler Systemuhr vum Host.
Umeldungsinformatiounen ginn nëmmen un hir Besëtzer ausgestallt an dann un Kollegen geschéckt, déi mat anere Wirbelen am Netz kommunizéieren wëllen. Dëst erlaabt d'Netzwierk op enorm Gréissten ze skaléieren ouni d'Bedierfnes fir grouss Quantitéiten un Umeldungsinformatiounen op Noden ze cache oder dauernd den Netzwierkkontroller ze kontaktéieren.
ZeroTier Netzwierker ënnerstëtzen Multicast Verdeelung duerch en einfache Verëffentlechungs- / abonnéieren System.
→
Wann e Node eng Multicast Sendung fir eng bestëmmte Verdeelungsgrupp wëll kréien, annoncéiert et Memberschaft an deem Grupp un aner Membere vum Netz mat deem et kommunizéiert an dem Netzwierkkontroller. Wann en Node wëllt e Multicast schécken, kritt hien gläichzäiteg Zougang zu sengem Cache vu rezente Publikatiounen a freet periodesch zousätzlech Publikatiounen.
Eng Sendung (Ethernet ff: ff: ff: ff: ff: ff) gëtt als Multicast-Grupp behandelt, op deen all Participanten abonnéieren. Et kann um Netzniveau behënnert ginn fir den Traffic ze reduzéieren wann et net néideg ass.
ZeroTier emuléiert e richtegen Ethernet Schalter. Dës Tatsaach erlaabt eis auszeféieren kombinéiert déi geschaf virtuell Netzwierker mat anere Ethernet Netzwierker (verkabelt LAN, WiFi, virtuelle Backplane, etc.) um Datelinkniveau - mat enger regulärer Ethernet Bréck.
Fir als Bréck ze handelen, muss den Netzwierkkontroller e Host als solch designéieren. Dëse Schema gëtt aus Sécherheetsgrënn ëmgesat, well normal Netzwierkhoster net erlaabt sinn Traffic aus enger anerer Quell wéi hir MAC Adress ze schécken. Noden, déi als Brécke bezeechent ginn, benotzen och e spezielle Modus vum Multicast Algorithmus, deen mat hinnen méi aggressiv a geziilt interagéiert wärend Gruppenabonnementer a Replikatioun vun all Broadcast Traffic an ARP Ufroen.
De Schalter huet och d'Fäegkeet fir ëffentlech an ad-hoc Netzwierker ze kreéieren, e QoS Mechanismus an e Reseau Regelen Editor.
▍Node:
ZeroTier One ass e Service deen op Laptops, Desktops, Serveren, virtuelle Maschinnen a Container leeft, deen Verbindunge mat engem virtuellen Netzwierk iwwer e virtuellen Netzwierkport ubitt, ähnlech wéi e VPN Client.
Wann de Service installéiert a gestart ass, kënnt Dir mat virtuellen Netzwierker mat hiren 16-Zifferen Adressen verbannen. All Netzwierk erschéngt als e virtuellen Netzwierkport um System, dee sech grad wéi e normale Ethernet Hafen behält.
ZeroTier One ass de Moment verfügbar fir déi folgend OS a Systemer.
OS:
- Microsoft Windows - MSI Installateur x86/x64
- MacOS - PKG Installateur
- Apple iOS - App Store
- Android - Play Store
- Linux - DEB/RPM
- FreeBSD - FreeBSD Package
NAS:
- Synologie NAS
- QNAP NAS
- WD MyCloud NAS
Aner:
- Docker - docker Datei
- oppenwrt - Communautéit port
- App Embedding - SDK (libzt)
Fir all déi uewe genannten ze resuméieren, géif ech bemierken datt ZeroTier en exzellent a séier Tool ass fir Är kierperlech, virtuell oder Wollek Ressourcen an e gemeinsamt lokalt Netzwierk ze kombinéieren, mat der Fäegkeet et an VLANs opzedeelen an d'Feele vun engem eenzege Punkt vum Echec. .
Dat ass et fir den theoreteschen Deel am Format vum éischten Artikel iwwer ZeroTier fir Habr - dat ass wahrscheinlech alles! Am nächsten Artikel plangen ech an der Praxis d'Schafung vun enger virtueller Netzwierkinfrastruktur baséiert op ZeroTier ze demonstréieren, wou e VDS mat enger privater Open Source GUI Schabloun als Netzwierkkontroller benotzt gëtt.
Léif Lieser! Benotzt Dir ZeroTier Technologie an Äre Projeten? Wann net, wéi eng Tools benotzt Dir fir Är Ressourcen ze vernetzen?
Source: will.com