"Tista 'toħloq soluzzjoni (issolvi problema) b'diversi modi, iżda l-aktar metodu għali u/jew popolari mhux dejjem huwa l-aktar effettiv!"
Preambolu
Madwar tliet snin ilu, fil-proċess tal-iżvilupp ta 'mudell remot għall-irkupru tad-dejta tad-diżastri, iltqajt magħhom ostaklu wieħed li ma ġiex innutat immedjatament - in-nuqqas ta' informazzjoni dwar soluzzjonijiet oriġinali ġodda għall-virtwalizzazzjoni tan-netwerk f'sorsi tal-komunità.
L-algoritmu għall-mudell żviluppat kien ippjanat kif ġej:
- Utent remot li kkuntattjani, li l-kompjuter tiegħu darba rrifjuta li boot, juri l-messaġġ "disk tas-sistema mhux misjub/mhux ifformattjat," jgħabbih billi juża life USB.
- Matul il-proċess tal-ibbutjar, is-sistema tikkonnettja awtomatikament ma 'netwerk lokali privat sigur, li minbarra fih innifsu fih l-istazzjon tax-xogħol tal-amministratur, f'dan il-każ laptop, u node NAS.
- Imbagħad nikkonnettja - jew biex terġa 'tixgħel il-ħitan tad-disk, jew biex tiġbed data minn hemm.
Inizjalment, implimentajt dan il-mudell bl-użu ta 'server VPN fuq router lokali f'netwerk taħt il-kontroll tiegħi, imbagħad fuq VDS mikrija. Iżda, kif jiġri ta’ spiss u skont l-ewwel liġi ta’ Chisholm, jekk ix-xita, in-netwerk tal-fornitur tal-Internet jinżel, allura tilwim bejn entitajiet kummerċjali jġiegħel lill-fornitur tas-servizz jitlef "enerġija"...
Għalhekk, iddeċidejt li l-ewwel nifformula r-rekwiżiti bażiċi li l-għodda meħtieġa għandha tissodisfa. L-ewwel hija d-deċentralizzazzjoni. It-tieni nett, peress li għandi diversi USBs tal-ħajja bħal dawn, kull wieħed minnhom għandu netwerk iżolat separat. Ukoll, it-tielet, konnessjoni mgħaġġla man-netwerk ta 'diversi apparati u ġestjoni sempliċi tagħhom, inkluż f'każ li l-laptop tiegħi wkoll jaqa' vittma tal-liġi msemmija hawn fuq.
Ibbażat fuq dan u wara li qattajt xahrejn u nofs fuq riċerka prattika ta 'diversi għażliet mhux adattati ħafna, jien, għar-riskju u r-riskju tiegħi, iddeċidejt li nipprova għodda oħra minn startup mhux magħrufa għalija f'dak iż-żmien imsejħa ZeroTier. Li qatt ma ddispjaċini wara.
Matul dawn il-vaganzi tas-Sena l-Ewwel, filwaqt li nipprova nifhem jekk is-sitwazzjoni bil-kontenut nbidlitx minn dak il-mument memorabbli, għamilt verifika selettiva għad-disponibbiltà ta’ artikli dwar dan is-suġġett, billi użajt lil Habr bħala sors. Għall-mistoqsija "ZeroTier" fir-riżultati tat-tfittxija hemm biss tliet artikoli li jsemmuha, u mhux wieħed wieħed b'mill-inqas deskrizzjoni qasira. U dan minkejja li fosthom hemm traduzzjoni ta’ artiklu miktub mill-fundatur ta’ ZeroTier, Inc. — .
Ir-riżultati kienu diżappuntanti u qanqluni biex nibda nitkellem dwar ZeroTier f'aktar dettall, u b'hekk salvaw lil "seekers" moderni milli jkollhom imorru l-istess rotta li ħadt jien.
Allura x'inti?
L-iżviluppatur ipoġġi ZeroTier bħala swiċċ Ethernet intelliġenti għall-pjaneta Dinja.
“Huwa hypervisor tan-netwerk distribwit mibni fuq netwerk globali peer-to-peer (P2P) sikur kriptografikament. Għodda simili għal swiċċ SDN korporattiv, iddisinjat biex jorganizza netwerks virtwali fuq dawk fiżiċi, kemm lokali kif ukoll globali, bil-kapaċità li tikkonnettja kważi kull applikazzjoni jew apparat.”
Din hija aktar deskrizzjoni tal-marketing, issa dwar il-karatteristiċi teknoloġiċi.
▍Qalba:
ZeroTier Netwerk Hypervisor hija magna awtonoma tal-virtwalizzazzjoni tan-netwerk li timita netwerk Ethernet, simili għal VXLAN, fuq netwerk globali encrypted peer-to-peer (P2P).
Il-protokolli użati f'ZeroTier huma oriġinali, għalkemm simili fid-dehra għal VXLAN u IPSec u jikkonsistu f'żewġ saffi kunċettwalment separati, iżda relatati mill-qrib: VL1 u VL2.
→
▍VL1 huwa saff bażiku tat-trasport peer-to-peer (P2P), tip ta '"kejbil virtwali".
"Ċentru tad-dejta globali jeħtieġ 'armarju globali' ta' kejbils."
F'netwerks konvenzjonali, L1 (OSI Layer 1) jirreferi għall-kejbils attwali jew radjijiet bla fili li jġorru d-dejta u ċ-ċipep tal-apparat fiżiku tat-transceiver li jimmodulawha u jiddemodulawha. VL1 huwa netwerk peer-to-peer (P2P) li jagħmel l-istess ħaġa, billi juża kriptaġġ, awtentikazzjoni, u tricks oħra ta 'netwerking biex jorganizza kejbils virtwali kif meħtieġ.
Barra minn hekk, tagħmel dan awtomatikament, malajr u mingħajr l-involviment tal-utent li jniedi node ZeroTier ġdid.
Biex jinkiseb dan, VL1 huwa organizzat b'mod simili għas-sistema tal-isem tad-dominju. Fil-qalba tan-netwerk hemm grupp ta 'servers tal-għeruq disponibbli ħafna, li r-rwol tagħhom huwa simili għal dak tas-servers tal-ismijiet tal-għeruq tad-DNS. Bħalissa, is-servers tal-għeruq prinċipali (planetarji) huma taħt il-kontroll tal-iżviluppatur - ZeroTier, Inc. u huma pprovduti bħala servizz b'xejn.
Madankollu, huwa possibbli li toħloq servers tal-għeruq tad-dwana (luns) li jippermettulek:
- tnaqqas id-dipendenza fuq l-infrastruttura ZeroTier, Inc.;
- tiżdied il-produttività billi jitnaqqas id-dewmien;
- kompli jaħdem bħas-soltu jekk tintilef il-konnessjoni tal-Internet.
Inizjalment, in-nodi huma mnedija mingħajr konnessjonijiet diretti ma 'xulxin.
Kull peer fuq VL1 għandu indirizz ZeroTier uniku ta' 40-bit (10 eżadeċimali), li, b'differenza mill-indirizzi IP, huwa identifikatur kriptat li ma fih l-ebda informazzjoni dwar ir-routing. Dan l-indirizz huwa kkalkulat mill-parti pubblika tal-par taċ-ċwievet pubbliċi/privati. L-indirizz ta' node, iċ-ċavetta pubblika u ċ-ċavetta privata flimkien jiffurmaw l-identità tiegħu.
Member ID: df56c5621c
|
ZeroTier address of nodeFir-rigward tal-kriptaġġ, din hija raġuni għal artikolu separat.
→
Biex tiġi stabbilita komunikazzjoni, il-pari l-ewwel jibagħtu pakketti "fuq" is-siġra tas-servers tal-għeruq, u hekk kif dawn il-pakketti jivvjaġġaw min-netwerk, jibdew ħolqien każwali ta 'kanali 'l quddiem tul it-triq. Is-siġra qed tipprova kontinwament "kollass waħedha" sabiex tottimizza lilha nnifisha għall-mappa tar-rotta li taħżen.
Il-mekkaniżmu biex tiġi stabbilita konnessjoni peer-to-peer huwa kif ġej:
- In-Node A jrid jibgħat pakkett lin-Node B, iżda peress li ma jafx il-mogħdija diretta, jibgħatha 'l fuq lejn in-Node R (il-qamar, is-server tal-għeruq tal-utent).
- Jekk in-node R għandu konnessjoni diretta man-node B, jgħaddi l-pakkett hemmhekk. Inkella, tibgħat il-pakkett upstream qabel ma tilħaq l-għeruq planetarji.L-għeruq planetarji jafu dwar in-nodi kollha, għalhekk il-pakkett eventwalment jilħaq in-node B jekk ikun onlajn.
- Node R jibgħat ukoll messaġġ imsejjaħ "rendezvous" lin-node A, li fih ħjiel dwar kif jista 'jilħaq in-node B. Sadanittant, is-server tal-għeruq, li jibgħat il-pakkett lin-node B, jibgħat "rendezvous" biex jinfurmah dwar kif jista'. tilħaq in-node A.
- In-nodi A u B jirċievu l-messaġġi ta' rendezvous tagħhom u jippruvaw jibagħtu messaġġi tat-test lil xulxin f'tentattiv biex jiksru kwalunkwe NAT jew firewalls stateful li jiltaqgħu magħhom matul it-triq. Jekk dan jaħdem, allura tiġi stabbilita konnessjoni diretta, u l-pakketti ma jibqgħux imorru u lura.
Jekk ma tistax tiġi stabbilita konnessjoni diretta, il-komunikazzjoni tkompli permezz ta 'relay, u t-tentattivi ta' konnessjoni diretta se jkomplu sakemm jinkiseb riżultat ta 'suċċess.
VL1 għandu wkoll karatteristiċi oħra biex jistabbilixxi konnettività diretta, inkluża skoperta tal-pari tal-LAN, tbassir tal-port għat-traversament ta 'NAT IPv4 simetriku, u mapping espliċitu tal-port bl-użu ta' uPnP u/jew NAT-PMP jekk disponibbli fuq il-LAN fiżika lokali.
→
▍VL2 huwa protokoll tal-virtwalizzazzjoni tan-netwerk Ethernet bħal VXLAN b'funzjonijiet ta 'ġestjoni SDN. Ambjent ta' komunikazzjoni familjari għal OS u applikazzjonijiet...
B'differenza VL1, il-ħolqien ta 'netwerks VL2 (VLANs) u l-konnessjoni ta' nodi magħhom, kif ukoll il-ġestjoni tagħhom, teħtieġ parteċipazzjoni diretta mill-utent. Huwa jista 'jagħmel dan billi juża kontrollur tan-netwerk. Essenzjalment, huwa node ZeroTier regolari, fejn il-funzjonijiet tal-kontrollur huma kkontrollati b'żewġ modi: jew direttament, billi jinbidlu l-fajls, jew, kif jirrakkomanda bil-qawwa l-iżviluppatur, bl-użu ta 'API ppubblikata.
Dan il-metodu ta 'ġestjoni ta' netwerks virtwali ZeroTier mhuwiex konvenjenti ħafna għall-persuna medja, għalhekk hemm diversi GUIs:
- Wieħed mill-iżviluppatur ZeroTier, disponibbli bħala soluzzjoni SaaS ta' cloud pubbliku b'erba' pjanijiet ta' abbonament, inkluż b'xejn, iżda limitat fin-numru ta' apparati ġestiti u livell ta' appoġġ
- It-tieni huwa minn żviluppatur indipendenti, kemmxejn simplifikat fil-funzjonalità, iżda disponibbli bħala soluzzjoni opensource privata għall-użu fuq il-premessa jew fuq ir-riżorsi tal-cloud.
VL2 huwa implimentat fuq VL1 u huwa ttrasportat minnu. Madankollu, jiret l-encryption u l-awtentikazzjoni tal-endpoint VL1, u juża wkoll iċ-ċwievet asimmetriċi tiegħu biex jiffirma u jivverifika l-kredenzjali. VL1 jippermettilek li timplimenta VL2 mingħajr ma tinkwieta dwar it-topoloġija tan-netwerk fiżiku eżistenti. Jiġifieri, problemi bil-konnettività u l-effiċjenza tar-rotot huma problemi VL1. Huwa importanti li wieħed jifhem li m'hemm l-ebda konnessjoni bejn in-netwerks virtwali VL2 u l-mogħdijiet VL1. Simili għall-multiplexing tal-VLAN f'LAN bil-fili, żewġ nodi li jaqsmu sħubijiet multipli fin-netwerk xorta se jkollhom passaġġ wieħed biss VL1 (kejbil virtwali) bejniethom.
Kull netwerk VL2 (VLAN) huwa identifikat b'indirizz tan-netwerk ZeroTier ta' 64 bit (16 eżadeċimali), li fih l-indirizz ZeroTier ta' 40 bit tal-kontrollur u numru ta' 24 bit li jidentifika n-netwerk maħluq minn dak il-kontrollur.
Network ID: 8056c2e21c123456
| |
| Network number on controller
|
ZeroTier address of controllerMeta node jingħaqad ma 'netwerk jew jitlob aġġornament tal-konfigurazzjoni tan-netwerk, jibgħat messaġġ ta' talba ta 'konfigurazzjoni tan-netwerk (permezz ta' VL1) lill-kontrollur tan-netwerk. Il-kontrollur imbagħad juża l-indirizz VL1 tan-node biex isibha fuq in-netwerk u jibgħatlu ċ-ċertifikati, il-kredenzjali u l-informazzjoni tal-konfigurazzjoni xierqa. Mil-lat ta 'netwerks virtwali VL2, l-indirizzi VL1 ZeroTier jistgħu jitqiesu bħala numri tal-port fuq swiċċ virtwali globali enormi.
Il-kredenzjali kollha maħruġa mill-kontrolluri tan-netwerk lil nodi membri ta' netwerk partikolari huma ffirmati biċ-ċavetta sigrieta tal-kontrollur sabiex il-parteċipanti kollha tan-netwerk ikunu jistgħu jivverifikawhom. Il-kredenzjali għandhom timestamps iġġenerati mill-kontrollur, li jippermettu paragun relattiv mingħajr ma jkollhom aċċess għall-arloġġ tas-sistema lokali tal-host.
Il-kredenzjali jinħarġu biss lis-sidien tagħhom u mbagħad jintbagħtu lil sħabhom li jridu jikkomunikaw ma 'nodi oħra fuq in-netwerk. Dan jippermetti li n-netwerk jiskala għal daqsijiet enormi mingħajr il-ħtieġa li jdaħħal ammonti kbar ta 'kredenzjali fuq in-nodi jew jikkuntattja kontinwament lill-kontrollur tan-netwerk.
In-netwerks ZeroTier jappoġġjaw id-distribuzzjoni multicast permezz ta’ sistema sempliċi ta’ pubblikazzjoni/abbonament.
→
Meta node jixtieq jirċievi xandira multicast għal grupp ta 'distribuzzjoni partikolari, jirreklama s-sħubija f'dak il-grupp lil membri oħra tan-netwerk li jkun qed jikkomunika miegħu u lill-kontrollur tan-netwerk. Meta node jixtieq jibgħat multicast, fl-istess ħin jaċċessa l-cache tiegħu tal-pubblikazzjonijiet reċenti u perjodikament jitlob pubblikazzjonijiet addizzjonali.
Xandira (Ethernet ff: ff: ff: ff: ff: ff) hija ttrattata bħala grupp multicast li għalih il-parteċipanti kollha jissottoskrivu. Jista 'jiġi diżattivat fil-livell tan-netwerk biex jitnaqqas it-traffiku jekk ma jkunx meħtieġ.
ZeroTier jimita swiċċ Ethernet reali. Dan il-fatt jippermettilna li nwettqu li tgħaqqad in-netwerks virtwali maħluqa ma 'netwerks Ethernet oħra (LAN bil-fili, WiFi, backplane virtwali, eċċ.) fil-livell tal-link tad-data - bl-użu ta' pont Ethernet regolari.
Biex jaġixxi bħala pont, il-kontrollur tan-netwerk irid jaħtar host bħala tali. Din l-iskema hija implimentata għal raġunijiet ta 'sigurtà, peress li l-hosts tan-netwerk normali mhumiex permessi li jibagħtu traffiku minn sors ieħor għajr l-indirizz MAC tagħhom. Nodi nominati bħala pontijiet jużaw ukoll mod speċjali tal-algoritmu multicast, li jinteraġixxi magħhom b'mod aktar aggressiv u mmirat waqt l-abbonamenti tal-grupp u r-replikazzjoni tat-traffiku kollu tax-xandir u t-talbiet ARP.
Is-swiċċ għandu wkoll il-kapaċità li joħloq netwerks pubbliċi u ad-hoc, mekkaniżmu QoS u editur tar-regoli tan-netwerk.
▍Node:
ZeroTier Wieħed huwa servizz li jaħdem fuq laptops, desktops, servers, magni virtwali u kontenituri li jipprovdi konnessjonijiet ma 'netwerk virtwali permezz ta' port ta 'netwerk virtwali, simili għal klijent VPN.
Ladarba s-servizz jiġi installat u beda, tista' tikkonnettja man-netwerks virtwali billi tuża l-indirizzi tagħhom b'16-il ċifra. Kull netwerk jidher bħala port tan-netwerk virtwali fuq is-sistema, li jġib ruħu bħal port Ethernet regolari.
ZeroTier One bħalissa huwa disponibbli għall-OS u s-sistemi li ġejjin.
OS:
- Microsoft Windows - Installatur MSI x86/x64
- MacOS - Installatur PKG
- Apple IOS - App Store
- Android — Play Store
- Linux - DEB/RPM
- FreeBSD - Pakkett FreeBSD
NAS:
- Sinoloġija NAS
- QNAP NAS
- WD MyCloud NAS
Oħrajn:
- Docker - fajl docker
- openwrt - port tal-komunità
- App embedding - SDK (libzt)
Biex niġbor fil-qosor dak kollu t'hawn fuq, ninnota li ZeroTier hija għodda eċċellenti u veloċi biex tgħaqqad ir-riżorsi fiżiċi, virtwali jew sħab tiegħek f'netwerk lokali komuni, bil-kapaċità li taqsamha f'VLANs u n-nuqqas ta' punt wieħed ta' falliment. .
Dak hu għall-parti teoretika fil-format tal-ewwel artiklu dwar ZeroTier għal Habr - aktarx li kollox! Fl-artiklu li jmiss, qed nippjana li nuri fil-prattika l-ħolqien ta 'infrastruttura ta' netwerk virtwali bbażata fuq ZeroTier, fejn VDS b'mudell GUI ta 'sors miftuħ privat se jintuża bħala kontrollur tan-netwerk.
Għeżież qarrejja! Tuża t-teknoloġija ZeroTier fil-proġetti tiegħek? Jekk le, liema għodod tuża biex netwerks ir-riżorsi tiegħek?
Sors: www.habr.com