Viedais Ethernet slēdzis planētai Zeme

“Risinājumu (problēmu atrisināt) var radīt vairākos veidos, taču visdārgākā un/vai populārākā metode ne vienmēr ir visefektīvākā!”

Preambula

Apmēram pirms trim gadiem, izstrādājot attālināto modeli katastrofu datu atgūšanai, saskāros ar vienu šķērsli, kas netika uzreiz pamanīts - informācijas trūkums par jauniem oriģināliem tīkla virtualizācijas risinājumiem kopienas avotos. 

Izstrādātā modeļa algoritms tika plānots šādi: 

1. Attālināts lietotājs, kurš sazinājās ar mani un kura dators reiz atteicās palaist, parādot ziņojumu “sistēmas disks nav atrasts/nav formatēts”, ielādē to, izmantojot Life USB. 
2. Sāknēšanas procesa laikā sistēma automātiski izveido savienojumu ar drošu privāto lokālo tīklu, kurā papildus atrodas administratora darbstacija, šajā gadījumā klēpjdators, un NAS mezgls. 
3. Tad pieslēdzos - vai nu lai atdzīvinātu diska nodalījumus, vai lai izvilktu no turienes datus.

Sākotnēji es ieviesu šo modeli, izmantojot VPN serveri vietējā maršrutētājā tīklā, kuru kontrolēju, pēc tam īrētā VDS. Bet, kā tas bieži notiek un saskaņā ar pirmo Chisholm likumu, ja līs, interneta pakalpojumu sniedzēja tīkls pazudīs, tad strīdi starp uzņēmumiem radīs pakalpojuma sniedzēja "enerģijas zudumu"...

Tāpēc es nolēmu vispirms formulēt pamatprasības, kurām jāatbilst nepieciešamajam instrumentam. Pirmā ir decentralizācija. Otrkārt, ņemot vērā, ka man ir vairāki šādi dzīves USB, katram no tiem ir atsevišķs izolēts tīkls. Nu, treškārt, ātrs pieslēgums dažādu ierīču tīklam un vienkārša to pārvaldība, tai skaitā gadījumā, ja arī mans portatīvais dators kļūst par augstāk minētā likuma upuri.

Pamatojoties uz to un pavadījis divarpus mēnešus praktiskai vairāku ne pārāk piemērotu variantu izpētei, es, riskējot un riskējot, nolēmu izmēģināt citu rīku no man tobrīd nezināma starta uzņēmuma ar nosaukumu ZeroTier. Ko es nekad vēlāk nenožēloju.

Šajās Jaungada brīvdienās, mēģinot saprast, vai kopš šī neaizmirstamā brīža situācija ar saturu ir mainījusies, veicu selektīvu auditu par rakstu pieejamību par šo tēmu, izmantojot Habru kā avotu. Vaicājumam “ZeroTier” meklēšanas rezultātos ir tikai trīs raksti, kuros tas ir minēts, un ne viens ar vismaz īsu aprakstu. Un tas neskatoties uz to, ka starp tiem ir arī paša ZeroTier, Inc. dibinātāja raksta tulkojums. — Ādams Iermenko.

Rezultāti bija neapmierinoši un mudināja mani sākt runāt par ZeroTier sīkāk, glābjot mūsdienu "meklētājus" no nepieciešamības iet to pašu ceļu, kuru izvēlējos es.

Kas tad tu esi?

Izstrādātājs pozicionē ZeroTier kā viedo Ethernet slēdzi planētai Zeme. 

“Tas ir izplatīts tīkla hipervizors, kas izveidots uz kriptogrāfiski droša globālā vienādranga (P2P) tīkla. Rīks, kas līdzīgs korporatīvajam SDN slēdzim, kas paredzēts virtuālo tīklu organizēšanai pār fiziskajiem tīkliem, gan lokāliem, gan globāliem, ar iespēju savienot gandrīz jebkuru lietojumprogrammu vai ierīci.

Šis ir vairāk mārketinga apraksts, tagad par tehnoloģiskajām iezīmēm.

▍Kodols: 

ZeroTier Network Hypervisor ir atsevišķs tīkla virtualizācijas dzinējs, kas līdzinās Ethernet tīklam, līdzīgi kā VXLAN, papildus globālajam šifrētam vienādranga (P2P) tīklam.

ZeroTier izmantotie protokoli ir oriģināli, lai gan pēc izskata līdzīgi VXLAN un IPSec, un tie sastāv no diviem konceptuāli atsevišķiem, bet cieši saistītiem slāņiem: VL1 un VL2.

→ Saite uz dokumentāciju

▍VL1 ir pamata peer-to-peer (P2P) transporta slānis, sava veida “virtuālais kabelis”.

"Globālajam datu centram ir nepieciešams globāls kabeļu skapis."

Parastos tīklos L1 (OSI Layer 1) attiecas uz faktiskajiem kabeļiem vai bezvadu radio, kas pārraida datus, un fiziskās raiduztvērēja ierīces mikroshēmas, kas tos modulē un demodulē. VL1 ir vienādranga (P2P) tīkls, kas veic to pašu, izmantojot šifrēšanu, autentifikāciju un citus tīkla trikus, lai pēc vajadzības sakārtotu virtuālos kabeļus.

Turklāt tas to dara automātiski, ātri un bez lietotāja iesaistīšanas, uzsākot jaunu ZeroTier mezglu.

Lai to panāktu, VL1 tiek organizēts līdzīgi kā domēna vārdu sistēma. Tīkla centrā ir ļoti pieejamu saknes serveru grupa, kuras loma ir līdzīga DNS saknes nosaukumu serveru lomai. Šobrīd galvenie (planētu) saknes serveri atrodas izstrādātāja - ZeroTier, Inc. pārziņā. un tiek nodrošināti kā bezmaksas pakalpojums. 

Tomēr ir iespējams izveidot pielāgotus saknes serverus (luns), kas ļauj:

• samazināt atkarību no ZeroTier, Inc. infrastruktūras; Saite uz dokumentāciju
• palielināt produktivitāti, samazinot kavēšanos; 
• turpināt strādāt kā parasti, ja tiek zaudēts interneta savienojums.

Sākotnēji mezgli tiek palaisti bez tiešiem savienojumiem viens ar otru. 

Katram VL1 vienādrangam ir unikāla 40 bitu (10 heksadecimālo) ZeroTier adrese, kas atšķirībā no IP adresēm ir šifrēts identifikators, kas nesatur maršrutēšanas informāciju. Šī adrese tiek aprēķināta no publiskās/privātās atslēgas pāra publiskās daļas. Mezgla adrese, publiskā atslēga un privātā atslēga kopā veido tā identitāti.

Member ID: df56c5621c  
            |
            ZeroTier address of node

Kas attiecas uz šifrēšanu, tas ir iemesls atsevišķam rakstam.

→ Saite uz dokumentāciju

Lai izveidotu saziņu, partneri vispirms nosūta paketes "augšup" saknes serveru kokā, un, kad šīs paketes pārvietojas pa tīklu, tās uzsāk nejaušu pārsūtīšanas kanālu izveidi. Koks nepārtraukti cenšas “sabrukt pats no sevis”, lai optimizētu sevi saglabātajai maršruta kartei.

Vienādranga savienojuma izveides mehānisms ir šāds:

1. Mezgls A vēlas nosūtīt paketi uz mezglu B, bet, tā kā tas nezina tiešo ceļu, tas nosūta to augšup uz mezglu R (mēness, lietotāja saknes serveris).
2. Ja mezglam R ir tiešs savienojums ar mezglu B, tas pārsūta paketi uz turieni. Pretējā gadījumā tā nosūta paketi augšup pa straumi, pirms tā sasniedz planētu saknes. Planētu saknes zina par visiem mezgliem, tāpēc pakete galu galā sasniegs mezglu B, ja tā būs tiešsaistē.
3. Mezgls R arī nosūta uz mezglu A ziņojumu, ko sauc par "randevous", kurā ir norādījumi par to, kā tas var sasniegt mezglu B. Tikmēr saknes serveris, kas pārsūta paketi uz mezglu B, nosūta "randevous", informējot to par to, kā tas var sasniegt. sasniegt mezglu A.
4. Mezgli A un B saņem savus tikšanās ziņojumus un mēģina viens otram nosūtīt testa ziņojumus, mēģinot pārkāpt visus ceļā konstatētos NAT vai stāvokļu ugunsmūrus. Ja tas darbojas, tiek izveidots tiešs savienojums, un paketes vairs neiet uz priekšu un atpakaļ.

Ja nevar izveidot tiešu savienojumu, saziņa turpināsies, izmantojot releju, un tiešā savienojuma mēģinājumi turpināsies, līdz tiek sasniegts veiksmīgs rezultāts. 

VL1 ir arī citas funkcijas tiešas savienojamības izveidošanai, tostarp LAN vienādranga atklāšana, portu prognozēšana simetriskā IPv4 NAT šķērsošanai un skaidra portu kartēšana, izmantojot uPnP un/vai NAT-PMP, ja tas ir pieejams vietējā fiziskajā LAN.

→ Saite uz dokumentāciju

▍VL2 ir VXLAN līdzīgs Ethernet tīkla virtualizācijas protokols ar SDN pārvaldības funkcijām. Pazīstama saziņas vide OS un lietojumprogrammām...

Atšķirībā no VL1, VL2 tīklu (VLAN) izveidei un mezglu savienošanai ar tiem, kā arī to pārvaldīšanai ir nepieciešama tieša lietotāja līdzdalība. Viņš to var izdarīt, izmantojot tīkla kontrolleri. Būtībā tas ir parasts ZeroTier mezgls, kurā kontroliera funkcijas tiek kontrolētas divos veidos: vai nu tieši, mainot failus, vai, kā izstrādātājs stingri iesaka, izmantojot publicētu API. 

Šī ZeroTier virtuālo tīklu pārvaldības metode nav īpaši ērta vidusmēra cilvēkam, tāpēc ir vairākas GUI:
 

• Viens no izstrādātāja ZeroTier, pieejams kā publiska mākoņa SaaS risinājums ar četriem abonēšanas plāniem, tostarp bezmaksas, bet ierobežots pārvaldīto ierīču skaitā un atbalsta līmenī.
• Otrais ir no neatkarīga izstrādātāja, nedaudz vienkāršots funkcionalitātē, bet pieejams kā privāts atvērtā pirmkoda risinājums lietošanai uz vietas vai mākoņa resursos.

VL2 ir ieviests virs VL1 un tiek transportēts ar to. Tomēr tas pārmanto VL1 galapunkta šifrēšanu un autentifikāciju, kā arī izmanto tās asimetriskas atslēgas, lai parakstītu un pārbaudītu akreditācijas datus. VL1 ļauj ieviest VL2, neuztraucoties par esošo fiziskā tīkla topoloģiju. Tas nozīmē, ka savienojamības un maršrutēšanas efektivitātes problēmas ir VL1 problēmas. Ir svarīgi saprast, ka starp VL2 virtuālajiem tīkliem un VL1 ceļiem nav savienojuma. Līdzīgi kā VLAN multipleksēšana vadu LAN, diviem mezgliem, kuriem ir vairākas dalības tīklā, starp tiem joprojām būs tikai viens VL1 (virtuālā kabeļa) ceļš.

Katrs VL2 tīkls (VLAN) tiek identificēts ar 64 bitu (16 heksadecimālo) ZeroTier tīkla adresi, kas satur kontrollera 40 bitu ZeroTier adresi un 24 bitu numuru, kas identificē šī kontrollera izveidoto tīklu.

Network ID: 8056c2e21c123456
            |         |
            |         Network number on controller
            |
            ZeroTier address of controller

Kad mezgls pievienojas tīklam vai pieprasa tīkla konfigurācijas atjauninājumu, tas nosūta tīkla konfigurācijas pieprasījuma ziņojumu (izmantojot VL1) tīkla kontrollerim. Pēc tam kontrolieris izmanto mezgla VL1 adresi, lai to atrastu tīklā un nosūtītu tam atbilstošos sertifikātus, akreditācijas datus un konfigurācijas informāciju. No VL2 virtuālo tīklu viedokļa VL1 ZeroTier adreses var uzskatīt par portu numuriem uz milzīga globāla virtuālā slēdža.

Visi akreditācijas dati, ko tīkla kontrolleri izsniedz attiecīgā tīkla dalībnieku mezgliem, tiek parakstīti ar kontroliera slepeno atslēgu, lai visi tīkla dalībnieki varētu tos pārbaudīt. Akreditācijas datiem ir kontrollera ģenerēti laikspiedoli, kas ļauj relatīvi salīdzināt, nepiekļūstot resursdatora lokālajam sistēmas pulkstenim. 

Akreditācijas dati tiek izsniegti tikai to īpašniekiem un pēc tam nosūtīti vienaudžiem, kuri vēlas sazināties ar citiem tīkla mezgliem. Tas ļauj tīklam mērogot līdz milzīgiem izmēriem, bez nepieciešamības kešatmiņā saglabāt lielu daudzumu akreditācijas datu mezglos vai pastāvīgi sazināties ar tīkla kontrolleri.

ZeroTier tīkli atbalsta multiraides izplatīšanu, izmantojot vienkāršu publicēšanas/abonēšanas sistēmu.

→ Saite uz dokumentāciju

Ja mezgls vēlas saņemt multiraides apraidi noteiktai izplatīšanas grupai, tas reklamē dalību šajā grupā citiem tīkla dalībniekiem, ar kuriem tas sazinās, un tīkla kontrollerim. Kad mezgls vēlas nosūtīt multiraidi, tas vienlaikus piekļūst jaunāko publikāciju kešatmiņai un periodiski pieprasa papildu publikācijas.

Apraide (Ethernet ff: ff: ff: ff: ff: ff) tiek uzskatīta par multiraides grupu, kuru abonē visi dalībnieki. To var atspējot tīkla līmenī, lai samazinātu trafiku, ja tas nav nepieciešams. 

ZeroTier atdarina īstu Ethernet slēdzi. Šis fakts ļauj mums veikt izveidoto virtuālo tīklu apvienošana ar citiem Ethernet tīkliem (vadu LAN, WiFi, virtuālā aizmugures plate u.c.) datu posma līmenī - izmantojot parasto Ethernet tiltu.

Lai tas darbotos kā tilts, tīkla kontrollerim ir jānorāda resursdators kā tāds. Šī shēma tiek ieviesta drošības apsvērumu dēļ, jo parastiem tīkla resursdatoriem nav atļauts sūtīt trafiku no cita avota, izņemot to MAC adresi. Mezgli, kas apzīmēti kā tilti, izmanto arī īpašu multiraides algoritma režīmu, kas ar tiem mijiedarbojas agresīvāk un mērķtiecīgāk grupas abonēšanas un visas apraides trafika un ARP pieprasījumu replikācijas laikā. 

Slēdžam ir arī iespēja izveidot publiskos un ad-hoc tīklus, QoS mehānismu un tīkla noteikumu redaktoru.

▍ Mezgls:

ZeroTier One ir pakalpojums, kas darbojas klēpjdatoros, galddatoros, serveros, virtuālajās mašīnās un konteineros, kas nodrošina savienojumus ar virtuālo tīklu, izmantojot virtuālā tīkla portu, līdzīgi kā VPN klientam. 

Kad pakalpojums ir instalēts un palaists, varat izveidot savienojumu ar virtuālajiem tīkliem, izmantojot to 16 ciparu adreses. Katrs tīkls sistēmā parādās kā virtuāls tīkla ports, kas darbojas tāpat kā parasts Ethernet ports.

ZeroTier One pašlaik ir pieejams šādām operētājsistēmām un sistēmām.

OS:

• Microsoft Windows - MSI instalētājs x86/x64
• MacOS - PKG uzstādītājs
• Apple iOS - Aplikāciju veikals
• android - Spēļu veikals
• Linux - DEB/RPM
• FreeBSD - FreeBSD pakotne

NAS:

• Synology NAS
• QNAP NAS
• WD MyCloud NAS

Citi:

• dokers - docker fails
• OpenWRT - kopienas osta
• Lietotņu iegulšana - SDK (libzt)

Apkopojot visu iepriekš minēto, es vēlos atzīmēt, ka ZeroTier ir lielisks un ātrs rīks fizisko, virtuālo vai mākoņa resursu apvienošanai kopējā vietējā tīklā, ar iespēju to sadalīt VLAN un bez viena kļūmes punkta. .

Tas arī teorētiskajai daļai pirmā raksta formātā par ZeroTier for Habr - tas laikam arī viss! Nākamajā rakstā plānoju praktiski demonstrēt uz ZeroTier balstītas virtuālā tīkla infrastruktūras izveidi, kur kā tīkla kontrolleris tiks izmantots VDS ar privātu atvērtā koda GUI veidni. 

Cienījamie lasītāji! Vai savos projektos izmantojat ZeroTier tehnoloģiju? Ja nē, kādus rīkus jūs izmantojat savu resursu tīklam?

Avots: www.habr.com