ProHoster > Blogs > AdministrÄcija > TÄ«kla infrastruktÅ«ras izveide, pamatojoties uz miglÄju. 1. daļa - problÄmas un risinÄjumi
TÄ«kla infrastruktÅ«ras izveide, pamatojoties uz miglÄju. 1. daļa - problÄmas un risinÄjumi
RakstÄ tiks apskatÄ«tas tÄ«kla infrastruktÅ«ras organizÄÅ”anas problÄmas tradicionÄlÄ veidÄ un metodes to paÅ”u problÄmu risinÄÅ”anai, izmantojot mÄkoÅtehnoloÄ£ijas.
Par atskaites. Nebula ir SaaS mÄkoÅa vide tÄ«kla infrastruktÅ«ras attÄlinÄtai uzturÄÅ”anai. Visas MiglÄja iespÄjotÄs ierÄ«ces tiek pÄrvaldÄ«tas no mÄkoÅa, izmantojot droÅ”u savienojumu. Lielu izkliedÄtÄ tÄ«kla infrastruktÅ«ru varat pÄrvaldÄ«t no viena centra, netÄrÄjot pÅ«les tÄs izveidei.
KÄpÄc jums ir nepiecieÅ”ams cits mÄkoÅpakalpojums?
GalvenÄ problÄma, strÄdÄjot ar tÄ«kla infrastruktÅ«ru, ir nevis tÄ«kla projektÄÅ”ana un aprÄ«kojuma iegÄde vai pat uzstÄdÄ«Å”ana plauktÄ, bet gan viss pÄrÄjais, kas ar Å”o tÄ«klu turpmÄk bÅ«s jÄdara.
Jauns tīkls - vecas rūpes
Nododot ekspluatÄcijÄ jaunu tÄ«kla mezglu pÄc aprÄ«kojuma uzstÄdÄ«Å”anas un pievienoÅ”anas, sÄkas sÄkotnÄjÄ konfigurÄcija. No ālielo priekÅ”niekuā viedokļa - nekas sarežģīts: āPaÅemam projekta darba dokumentÄciju un sÄkam kÄrtot...ā Tas ir tik labi pateikts, kad visi tÄ«kla elementi atrodas vienÄ datu centrÄ. Ja tie ir izkaisÄ«ti pa zariem, sÄkas galvassÄpes, kas saistÄ«tas ar attÄlÄs piekļuves nodroÅ”inÄÅ”anu. Tas ir tÄds apburtais loks: lai iegÅ«tu attÄlo piekļuvi tÄ«klÄ, ir jÄkonfigurÄ tÄ«kla aprÄ«kojums, un Å”im nolÅ«kam ir nepiecieÅ”ama piekļuve tÄ«klam...
Mums ir jÄizdomÄ dažÄdas shÄmas, kÄ izkļūt no iepriekÅ” aprakstÄ«tÄ strupceļa. PiemÄram, klÄpjdators ar piekļuvi internetam, izmantojot USB 4G modemu, ir savienots ar plÄkstera vadu ar pielÄgotu tÄ«klu. Å ajÄ klÄpjdatorÄ ir instalÄts VPN klients, un caur to galvenÄs mÄ«tnes tÄ«kla administrators mÄÄ£ina piekļūt filiÄļu tÄ«klam. ShÄma nav pati pÄrskatÄmÄkÄ ā pat ja uz attÄlo vietni atvedat klÄpjdatoru ar iepriekÅ” konfigurÄtu VPN un lÅ«dzat to ieslÄgt, tas ir tÄlu no fakta, ka viss darbosies pirmajÄ reizÄ. It Ä«paÅ”i, ja mÄs runÄjam par citu reÄ£ionu ar citu pakalpojumu sniedzÄju.
IzrÄdÄs, visdroÅ”Äkais veids ir, ja āotrpus lÄ«nijasā ir labs speciÄlists, kurÅ” var konfigurÄt savu daļu atbilstoÅ”i projektam. Ja filiÄles darbinieku vidÅ« tÄda nav, paliek izvÄles iespÄjas: vai nu izmantot Ärpakalpojumus, vai komandÄjumi.
Mums ir vajadzÄ«ga arÄ« uzraudzÄ«bas sistÄma. Tas ir jÄinstalÄ, jÄkonfigurÄ, jÄuztur (vismaz jÄuzrauga diska vieta un regulÄri jÄveido dublÄjumkopijas). Un kas neko nezina par mÅ«su ierÄ«cÄm, kamÄr mÄs to nepaziÅojam. Lai to izdarÄ«tu, jums jÄreÄ£istrÄ visu iekÄrtu iestatÄ«jumi un regulÄri jÄuzrauga ierakstu atbilstÄ«ba.
Ir lieliski, ja personÄlam ir savs āviena cilvÄka orÄ·estrisā, kas papildus specifiskÄm tÄ«kla administratora zinÄÅ”anÄm prot strÄdÄt ar Zabbix vai citu lÄ«dzÄ«gu sistÄmu. PretÄjÄ gadÄ«jumÄ mÄs pieÅemam darbÄ citu personu vai Ärpakalpojumu sniedzÄju.
PiezÄ«me. SkumjÄkÄs kļūdas sÄkas ar vÄrdiem: āKo tur konfigurÄt Å”o Zabbix (Nagios, OpenView utt.)? Es to Ätri paÅemÅ”u, un tas ir gatavs!
No ievieŔanas līdz darbībai
ApskatÄ«sim konkrÄtu piemÄru.
Tika saÅemts trauksmes ziÅojums, ka kaut kur nereaÄ£Ä WiFi piekļuves punkts.
Kur tas ir?
Protams, labam tÄ«kla administratoram ir savs personÄ«gais direktorijs, kurÄ viss ir pierakstÄ«ts. JautÄjumi sÄkas, kad Ŕī informÄcija ir jÄdalÄs. PiemÄram, steidzami jÄnosÅ«ta ziÅnesis, lai sakÄrtotu lietas uz vietas, un Å”im nolÅ«kam ir jÄizsniedz kaut kas lÄ«dzÄ«gs: āPiekļuves punkts biznesa centrÄ Stroiteley ielÄ, 1. korpusÄ, 3. stÄvÄ, telpa Nr. 301 blakus ÄrdurvÄ«m zem griestiem."
PieÅemsim, ka mums ir paveicies un piekļuves punkts tiek darbinÄts, izmantojot PoE, un slÄdzis ļauj to attÄlinÄti atsÄknÄt. Jums nav jÄceļo, bet ir nepiecieÅ”ama attÄla piekļuve slÄdžam. Atliek tikai marÅ”rutÄtÄjÄ konfigurÄt portu pÄrsÅ«tÄ«Å”anu caur PAT, izdomÄt VLAN savienojuma izveidei no Ärpuses utt. Ir labi, ja viss ir iestatÄ«ts iepriekÅ”. Darbs var nebÅ«t grÅ«ts, bet tas ir jÄdara.
TÄtad, pÄrtikas tirdzniecÄ«bas vieta tika atsÄknÄta. NepalÄ«dzÄja?
PieÅemsim, ka kaut kas nav kÄrtÄ«bÄ ar aparatÅ«ru. Tagad meklÄjam informÄciju par garantiju, palaiÅ”anu un citÄm interesÄjoÅ”Äm detaļÄm.
RunÄjot par WiFi. KorporatÄ«vajÄ vidÄ nav ieteicams izmantot WPA2-PSK mÄjas versiju, kurai ir viena atslÄga visÄm ierÄ«cÄm. PirmkÄrt, viena atslÄga visiem ir vienkÄrÅ”i nedroÅ”a, otrkÄrt, vienam darbiniekam aizejot, ir jÄmaina Ŕī kopÄjÄ atslÄga un jÄatkÄrto iestatÄ«jumi visÄs ierÄ«cÄs visiem lietotÄjiem. Lai izvairÄ«tos no Å”ÄdÄm problÄmÄm, ir WPA2-Enterprise ar individuÄlu autentifikÄciju katram lietotÄjam. Bet Å”im jums ir nepiecieÅ”ams RADIUS serveris - cita infrastruktÅ«ras vienÄ«ba, kas jÄvada, jÄveido dublÄjumkopijas utt.
LÅ«dzu, Åemiet vÄrÄ, ka katrÄ posmÄ, neatkarÄ«gi no tÄ, vai tÄ ir ievieÅ”ana vai darbÄ«ba, mÄs izmantojÄm atbalsta sistÄmas. Tas ietver klÄpjdatoru ar ātreÅ”Äs pusesā interneta pieslÄgumu, uzraudzÄ«bas sistÄmu, aprÄ«kojuma atsauces datu bÄzi un RADIUS kÄ autentifikÄcijas sistÄmu. Papildus tÄ«kla ierÄ«cÄm jums ir jÄuztur arÄ« treÅ”o puÅ”u pakalpojumi.
Å Ädos gadÄ«jumos jÅ«s varat dzirdÄt padomu: "Dodiet to mÄkonim un necietiet." Noteikti ir mÄkonis Zabbix, iespÄjams, kaut kur ir mÄkoÅa RADIUS un pat mÄkoÅu datu bÄze, lai uzturÄtu ierÄ«Äu sarakstu. ProblÄma ir tÄda, ka tas nav vajadzÄ«gs atseviŔķi, bet gan "vienÄ pudelÄ". Un joprojÄm rodas jautÄjumi par piekļuves organizÄÅ”anu, sÄkotnÄjo ierÄ«ces iestatÄ«Å”anu, droŔību un daudz ko citu.
KÄ tas izskatÄs, izmantojot miglÄju?
Protams, sÄkotnÄji āmÄkonisā neko nezina ne par mÅ«su plÄniem, ne par iegÄdÄto tehniku.
PirmkÄrt, tiek izveidots organizÄcijas profils. Tas ir, visa infrastruktÅ«ra: galvenÄ mÄ«tne un filiÄles vispirms tiek reÄ£istrÄtas mÄkonÄ«. Detaļas ir norÄdÄ«tas un tiek izveidoti konti pilnvaru deleÄ£ÄÅ”anai.
IerÄ«ces mÄkonÄ« varat reÄ£istrÄt divos veidos: vecmodÄ«gÄ veidÄ ā vienkÄrÅ”i ievadot sÄrijas numuru, aizpildot tÄ«mekļa veidlapu, vai skenÄjot QR kodu, izmantojot mobilo tÄlruni. Viss, kas jums nepiecieÅ”ams otrajai metodei, ir viedtÄlrunis ar kameru un piekļuvi internetam, tostarp izmantojot mobilo sakaru pakalpojumu sniedzÄju.
Protams, nepiecieÅ”amo infrastruktÅ«ru informÄcijas glabÄÅ”anai gan uzskaitei, gan iestatÄ«jumiem nodroÅ”ina Zyxel Nebula.
1. attÄls. MiglÄja vadÄ«bas centra droŔības ziÅojums.
KÄ ar piekļuves iestatÄ«Å”anu? Portu atvÄrÅ”ana, datplÅ«smas pÄrsÅ«tÄ«Å”ana caur ienÄkoÅ”o vÄrteju ā tas viss, ko droŔības administratori mīļi sauc par ācaurumu atlasiā? Par laimi, jums tas viss nav jÄdara. IerÄ«ces, kurÄs darbojas Nebula, izveido izejoÅ”o savienojumu. Un administrators savieno nevis ar atseviŔķu ierÄ«ci, bet gan ar mÄkoni konfigurÄÅ”anai. MiglÄjs veic starpnieku starp diviem savienojumiem: ar ierÄ«ci un tÄ«kla administratora datoru. Tas nozÄ«mÄ, ka ienÄkoÅ”Ä administratora izsaukÅ”anas posmu var samazinÄt vai izlaist pavisam. Un nekÄdu papildu ācaurumuā ugunsmÅ«rÄ«.
KÄ ar RADUIS serveri? Galu galÄ kaut kÄda centralizÄta autentifikÄcija ir vajadzÄ«ga!
Un Ŕīs funkcijas arÄ« pÄrÅem MiglÄjs. Kontu autentifikÄcija, lai piekļūtu aprÄ«kojumam, tiek veikta, izmantojot droÅ”u datu bÄzi. Tas ievÄrojami vienkÄrÅ”o sistÄmas pÄrvaldÄ«bas tiesÄ«bu deleÄ£ÄÅ”anu vai atsaukÅ”anu. Mums ir jÄnodod tiesÄ«bas - jÄizveido lietotÄjs, jÄpieŔķir loma. Mums ir jÄatÅem tiesÄ«bas - mÄs veicam apgrieztÄs darbÄ«bas.
AtseviŔķi ir vÄrts pieminÄt WPA2-Enterprise, kam nepiecieÅ”ams atseviŔķs autentifikÄcijas pakalpojums. Zyxel Nebula ir savs analogs - DPPSK, kas ļauj izmantot WPA2-PSK ar individuÄlu atslÄgu katram lietotÄjam.
"NeÄrti" jautÄjumi
ZemÄk mÄs centÄ«simies sniegt atbildes uz sarežģītÄkajiem jautÄjumiem, kas bieži tiek uzdoti, ienÄkot mÄkoÅpakalpojumÄ
Vai tas tieÅ”Äm ir droÅ”i?
JebkurÄ kontroles un pÄrvaldÄ«bas deleÄ£ÄÅ”anÄ droŔības nodroÅ”inÄÅ”anai svarÄ«ga loma ir diviem faktoriem: anonimizÄcijai un Å”ifrÄÅ”anai.
Å ifrÄÅ”anas izmantoÅ”ana, lai aizsargÄtu trafiku no nevÄlamiem skatieniem, lasÄ«tÄjiem ir vairÄk vai mazÄk pazÄ«stama.
AnonimizÄcija slÄpj informÄciju par Ä«paÅ”nieku un avotu no mÄkoÅa pakalpojumu sniedzÄja personÄla. PersoniskÄ informÄcija tiek noÅemta, un ierakstiem tiek pieŔķirts ābez sejasā identifikators. Ne mÄkoÅa programmatÅ«ras izstrÄdÄtÄjs, ne mÄkoÅsistÄmu uzturoÅ”ais administrators nevar zinÄt pieprasÄ«jumu Ä«paÅ”nieku. "No kurienes tas nÄca? Kuru tas varÄtu interesÄt?ā ā Å”Ädi jautÄjumi paliks neatbildÄti. InformÄcijas trÅ«kums par Ä«paÅ”nieku un avotu padara iekÅ”Äjo informÄciju par bezjÄdzÄ«gu laika izŔķieÅ”anu.
Ja salÄ«dzinÄm Å”o pieeju ar tradicionÄlo praksi izmantot Ärpakalpojumus vai algot ienÄkoÅ”o administratoru, ir acÄ«mredzams, ka mÄkoÅtehnoloÄ£ijas ir droÅ”Äkas. IenÄkoÅ”ais IT speciÄlists diezgan daudz zina par savu organizÄciju un, gribot negribot, var nodarÄ«t bÅ«tisku kaitÄjumu droŔības ziÅÄ. VÄl jÄatrisina jautÄjums par atlaiÅ”anu vai lÄ«guma lauÅ”anu. Dažreiz papildus konta bloÄ·ÄÅ”anai vai dzÄÅ”anai tas ietver globÄlu paroļu maiÅu, lai piekļūtu pakalpojumiem, kÄ arÄ« visu resursu auditu āaizmirstajiemā ieejas punktiem un iespÄjamÄm āgrÄmatzÄ«mÄmā.
Cik daudz dÄrgÄks vai lÄtÄks ir Nebula nekÄ ienÄkoÅ”ais administrators?
Viss ir relatÄ«vs. Nebula pamatfunkcijas ir pieejamas bez maksas. PatiesÄ«bÄ, kas varÄtu bÅ«t vÄl lÄtÄks?
Protams, nav iespÄjams pilnÄ«bÄ iztikt bez tÄ«kla administratora vai personas, kas viÅu aizstÄj. JautÄjums ir par cilvÄku skaitu, viÅu specializÄciju un izplatÄ«bu vietnÄs.
Kas attiecas uz maksas paplaÅ”inÄto pakalpojumu, uzdodot tieÅ”u jautÄjumu: dÄrgÄk vai lÄtÄk - Å”Äda pieeja vienmÄr bÅ«s neprecÄ«za un vienpusÄ«ga. PareizÄk bÅ«tu salÄ«dzinÄt daudzus faktorus, sÄkot no naudas lÄ«dz samaksai par konkrÄtu speciÄlistu darbu un beidzot ar izmaksÄm par viÅu mijiedarbÄ«bas nodroÅ”inÄÅ”anu ar darbuzÅÄmÄju vai privÄtpersonu: kvalitÄtes kontrole, dokumentÄcijas noformÄÅ”ana, droŔības lÄ«meÅa uzturÄÅ”ana un tÄ tÄlÄk.
Ja mÄs runÄjam par tÄmu, vai ir izdevÄ«gi vai neizdevÄ«gi iegÄdÄties maksas pakalpojumu paketi (Pro-Pack), tad aptuvenÄ atbilde varÄtu izklausÄ«ties Å”Ädi: ja organizÄcija ir maza, jÅ«s varat iztikt ar pamata versija, ja organizÄcija aug, tad ir jÄga padomÄt par Pro-Pack. AtŔķirÄ«bas starp Zyxel miglÄja versijÄm ir redzamas 1. tabulÄ.
1. tabula. AtŔķirÄ«bas starp MiglÄja pamata un Pro-Pack funkciju komplektiem.
Tas ietver uzlabotus pÄrskatus, lietotÄju auditu, konfigurÄcijas klonÄÅ”anu un daudz ko citu.
KÄ ar satiksmes aizsardzÄ«bu?
MiglÄjs izmanto protokolu NETCONF nodroÅ”inÄt droÅ”u tÄ«kla iekÄrtu darbÄ«bu.
NETCONF var darboties, izmantojot vairÄkus transporta protokolus:
Ja salÄ«dzinÄm NETCONF ar citÄm metodÄm, piemÄram, pÄrvaldÄ«bu caur SNMP, jÄatzÄ«mÄ, ka NETCONF atbalsta izejoÅ”o TCP savienojumu, lai pÄrvarÄtu NAT barjeru, un tiek uzskatÄ«ts par uzticamÄku.
KÄ ar aparatÅ«ras atbalstu?
Protams, serveru telpu nevajadzÄtu pÄrvÄrst par zoodÄrzu ar retu un apdraudÄtu aprÄ«kojuma veidu pÄrstÄvjiem. Ir ļoti vÄlams, lai vadÄ«bas tehnoloÄ£ijas apvienotÄs iekÄrtas aptvertu visus virzienus: no centrÄlÄ slÄdža lÄ«dz piekļuves punktiem. Zyxel inženieri parÅ«pÄjÄs par Å”o iespÄju. MiglÄjs darbina daudzas ierÄ«ces:
10G centrÄlie slÄdži;
piekļuves lÄ«meÅa slÄdži;
PoE slÄdži;
piekļuves punkti;
tÄ«kla vÄrtejas.
Izmantojot plaÅ”u atbalstÄ«to ierÄ«Äu klÄstu, varat izveidot tÄ«klus dažÄda veida uzdevumiem. Tas jo Ä«paÅ”i attiecas uz uzÅÄmumiem, kas aug nevis uz augÅ”u, bet gan uz Äru, pastÄvÄ«gi pÄtot jaunas uzÅÄmÄjdarbÄ«bas jomas.
NepÄrtraukta attÄ«stÄ«ba
TÄ«kla ierÄ«cÄm ar tradicionÄlo pÄrvaldÄ«bas metodi ir tikai viens veids, kÄ uzlabot - mainÄ«t paÅ”u ierÄ«ci, vai tÄ bÅ«tu jauna programmaparatÅ«ra vai papildu moduļi. Zyxel miglÄja gadÄ«jumÄ ir papildu ceļŔ uz uzlabojumiem - uzlabojot mÄkoÅa infrastruktÅ«ru. PiemÄram, pÄc MiglÄja vadÄ«bas centra (NCC) atjauninÄÅ”anas uz versiju 10.1. (21. gada 2020. septembris) lietotÄjiem ir pieejamas jaunas funkcijas. TÄlÄk ir norÄdÄ«tas dažas no tÄm.
OrganizÄcijas Ä«paÅ”nieks tagad var nodot visas Ä«paÅ”umtiesÄ«bas citam administratoram tajÄ paÅ”Ä organizÄcijÄ;
jauna loma ar nosaukumu Owner Representant, kurai ir tÄdas paÅ”as tiesÄ«bas kÄ organizÄcijas Ä«paÅ”niekam;
jauna visas organizÄcijas programmaparatÅ«ras atjauninÄÅ”anas funkcija (Pro-Pack funkcija);
topoloÄ£ijai ir pievienotas divas jaunas iespÄjas: ierÄ«ces pÄrstartÄÅ”ana un PoE porta strÄvas ieslÄgÅ”ana un izslÄgÅ”ana (Pro-Pack funkcija);
atbalsts jauniem piekļuves punktu modeļiem: WAC500, WAC500H, WAC5302D-Sv2 un NWA1123ACv3;
atbalsts kuponu autentifikÄcijai ar QR koda drukÄÅ”anu (Pro-Pack funkcija).