ایا په بادل کې د مجازی ماشین (VM) رامینځته کول ستونزمن دي؟ د چای جوړولو په پرتله ډیر ستونزمن نه دی. مګر کله چې دا لوی شرکت ته راځي، حتی دا ډول ساده عمل کولی شي دردناکه اوږد وي. دا د مجازی ماشین رامینځته کولو لپاره کافي ندي؛ تاسو اړتیا لرئ د ټولو مقرراتو سره سم کار کولو لپاره اړین لاسرسی ترلاسه کړئ. د هر پراختیا کونکي لپاره پیژندل شوی درد؟ په یوه لوی بانک کې، دا کړنلاره د څو ساعتونو څخه تر څو ورځو پورې ونیوله. او له هغه ځایه چې په میاشت کې په سلګونو ورته عملیات شتون لري، نو د دې کار مصرف کولو سکیم اندازه تصور کول اسانه دي. د دې د پای ته رسولو لپاره، موږ د بانک شخصي کلاوډ عصري کړی او نه یوازې د VMs رامینځته کولو پروسه اتومات کړې ، بلکه اړوند عملیات هم.
دنده نمبر 1. کلاوډ د انټرنیټ اتصال سره
بانک د شبکې د یوې برخې لپاره د خپل داخلي IT ټیم په کارولو سره شخصي کلاوډ رامینځته کړ. د وخت په تیریدو سره، مدیریت د دې ګټو ستاینه وکړه او پریکړه یې وکړه چې د خصوصي بادل مفهوم د بانک نورو چاپیریالونو او برخو ته وغځوي. دا په خصوصي بادلونو کې ډیر متخصصینو او قوي مهارتونو ته اړتیا لري. له همدې امله، زموږ ټیم د بادل عصري کولو ته وسپارل شو.
د دې پروژې اصلي جریان د معلوماتو امنیت په اضافي برخه کې د مجازی ماشینونو رامینځته کول وو - په غیر نظامي زون (DMZ). دا هغه ځای دی چې د بانک خدمات د بانکي زیربنا څخه بهر د بهرني سیسټمونو سره مدغم شوي.
خو دغه مډال هم یو فلپ اړخ درلود. د DMZ خدمتونه "بهر" شتون درلود او پدې کې د معلوماتو امنیت خطرونو بشپړ سیټ شامل و. تر ټولو لومړی، دا د هیک کولو سیسټمونو ګواښ دی، په DMZ کې د برید ساحې پراخول، او بیا د بانک زیربنا ته ننوتل. د دې خطرونو ځینې کمولو لپاره، موږ د اضافي امنیت اندازه کارولو وړاندیز وکړ - د مایکرو سیګمینټیشن حل.
د کوچنیو برخو ساتنه
کلاسیک قطع کول د فایر وال په کارولو سره د شبکو په حدودو کې خوندي سرحدونه رامینځته کوي. د مایکرو سیګمینټیشن سره، هر انفرادي VM په شخصي، جلا شوې برخې کې جلا کیدی شي.
دا د ټول سیسټم امنیت ته وده ورکوي. حتی که برید کونکي د DMZ یو سرور هیک کړي ، نو دا به د دوی لپاره خورا ستونزمن وي چې برید په ټوله شبکه کې خپور کړي - دوی به په شبکه کې د ډیری "لکو دروازو" له لارې مات کړي. د هر VM شخصي فایروال د دې په اړه خپل مقررات لري، کوم چې د ننوتلو او وتلو حق ټاکي. موږ د VMware NSX-T توزیع شوي فایروال په کارولو سره مایکرو سیګمینټیشن چمتو کړی. دا محصول په مرکزي توګه د VMs لپاره د فایر وال قواعد رامینځته کوي او د مجازی زیربنا په اوږدو کې یې توزیع کوي. دا مهمه نده چې کوم میلمانه OS کارول کیږي ، قاعده د شبکې سره د مجازی ماشینونو وصل کولو په کچه پلي کیږي.
ستونزه N2. د سرعت او اسانتیا په لټه کې
یو مجازی ماشین ځای په ځای کړئ؟ په اسانۍ سره! یو څو کلیکونه او تاسو بشپړ شوي. مګر بیا ډیری پوښتنې راپورته کیږي: څنګه د دې VM څخه بل یا سیسټم ته لاسرسی ومومئ؟ یا د بل سیسټم څخه بیرته VM ته؟
د مثال په توګه ، په یو بانک کې ، په کلاوډ پورټل کې د VM امر کولو وروسته ، دا اړینه وه چې د تخنیکي ملاتړ پورټل خلاص کړئ او د اړین لاسرسي چمتو کولو لپاره غوښتنه وسپارئ. په غوښتنلیک کې یوه تېروتنه د وضعیت سمولو لپاره د تلیفونونو او لیکونو پایله وه. په ورته وخت کې، یو VM کولی شي 10-15-20 لاسرسی ولري او هر یو یې پروسس کولو وخت ونیسي. د شیطان پروسه.
سربیره پردې ، د لرې پرتو مجازی ماشینونو د ژوند فعالیت نښې "پاک کول" ځانګړي پاملرنې ته اړتیا لري. وروسته له هغه چې دوی لرې شول، د لاسرسي زرګونه اصول په اور وال کې پاتې شول، د تجهیزاتو بار کول. دا دواړه اضافي بار او امنیتي سوري دي.
تاسو دا په بادل کې د قواعدو سره نشئ کولی. دا ناامنه او ناامنه ده.
د VMs ته د لاسرسي چمتو کولو لپاره د وخت کمولو لپاره او د دوی اداره کول اسانه کړي ، موږ د VMs لپاره د شبکې لاسرسي مدیریت خدمت رامینځته کړی.
د مجازی ماشین په کچه کارونکي د شرایطو مینو کې د لاسرسي قانون رامینځته کولو لپاره توکي غوره کوي ، او بیا په هغه فارم کې چې خلاصیږي پیرامیټونه مشخص کوي - له کوم ځای څخه ، چیرې ، د پروتوکول ډولونه ، د پورټ شمیرې. د فارم ډکولو او سپارلو وروسته، اړین ټکټونه په اتوماتيک ډول د کاروونکي تخنیکي مالتړ سیسټم کې د HP خدماتو مدیر پر بنسټ جوړ شوي. دوی د دې یا دې لاسرسي تصویب کولو مسؤلیت لري او که چیرې لاسرسی تصویب شي ، متخصصینو ته چې ځینې عملیات ترسره کوي چې لاهم اتومات ندي.
وروسته له دې چې د سوداګرۍ پروسې مرحله چې متخصصین پکې کار کوي ، د خدماتو برخه پیل کیږي چې په اوتومات ډول د اور وژونکي مقررات رامینځته کوي.
د وروستي تار په توګه، کاروونکي په پورټل کې په بریالیتوب سره بشپړ شوي غوښتنه ګوري. دا پدې مانا ده چې حاکمیت رامینځته شوی او تاسو کولی شئ د هغې سره کار وکړئ - وګورئ، بدل کړئ، حذف کړئ.
د ګټو وروستۍ نمرې
په لازمي ډول، موږ د خصوصي بادل کوچني اړخونه عصري کړل، مګر بانک د پام وړ اغیزه ترلاسه کړه. کاروونکي اوس یوازې د پورټل له لارې شبکې ته لاسرسی ترلاسه کوي ، پرته لدې چې د خدماتو میز سره مستقیم معامله وکړي. د لازمي فورمې ساحې، د درج شوي ډاټا د سموالي لپاره د دوی اعتبار، مخکې ترتیب شوي لیستونه، اضافي ډاټا - دا ټول د دقیق لاسرسي غوښتنې په جوړولو کې مرسته کوي، کوم چې د لوړې کچې احتمال به په پام کې ونیول شي او د معلوماتو امنیت کارمندانو لخوا رد نه شي. د غلطیو داخلولو لپاره. مجازی ماشینونه نور تور بکسونه ندي — تاسو کولی شئ په پورټل کې د بدلونونو په کولو سره د دوی سره کار ته دوام ورکړئ.
د پایلې په توګه، نن ورځ د بانک د معلوماتي ټکنالوجۍ متخصصین د دوی په اختیار کې د لاسرسي ترلاسه کولو لپاره خورا اسانه وسیله لري، او یوازې هغه خلک په پروسه کې ښکیل دي، پرته له دې چې دوی یقینا نشي کولی. په مجموع کې، د کار لګښتونو په شرایطو کې، دا د لږترلږه 1 کس د ورځني بشپړ بار څخه خلاصون دی، او همدارنګه د کاروونکو لپاره لسګونه ساعته خوندي شوي. د حاکمیت رامینځته کولو اتومات دا امکان رامینځته کړی چې د کوچني برخې برخې حل پلي کړي چې د بانک کارمندانو باندې بار نه رامینځته کوي.
او په نهایت کې ، "د لاسرسي قانون" د بادل محاسبې واحد شو. دا دی، اوس کلاوډ د ټولو VMs لپاره د مقرراتو په اړه معلومات ذخیره کوي او پاکوي کله چې مجازی ماشینونه حذف شي.
ډیر ژر به د عصري کولو ګټې د ټول بانک بادل ته خپره شي. د VM رامینځته کولو پروسې اتومات کول او مایکرو سیګمینټیشن د DMZ هاخوا حرکت کړی او نورې برخې یې نیولي دي. او دې په ټوله کې د بادل امنیت ډیر کړ.
تطبیق شوی حل په دې کې هم په زړه پوری دی چې دا بانک ته اجازه ورکوي چې پراختیایي پروسې ګړندۍ کړي، دا د دې معیار سره سم د آی ټي شرکتونو ماډل ته نږدې کوي. په هرصورت، کله چې دا د ګرځنده غوښتنلیکونو، پورټلونو، او پیرودونکو خدماتو ته راځي، نن ورځ هر لوی شرکت هڅه کوي چې د ډیجیټل محصولاتو تولید لپاره "فابریکه" شي. په دې معنی، بانکونه په عملي توګه د پیاوړي معلوماتي ټیکنالوژۍ شرکتونو سره په مساوي توګه لوبې کوي، د نوي غوښتنلیکونو رامینځته کولو سره ساتل کیږي. او دا ښه ده کله چې په شخصي کلاوډ ماډل کې د آی ټي زیربنا وړتیاوې تاسو ته اجازه درکوي په څو دقیقو کې د دې لپاره اړین سرچینې تخصیص او څومره چې امکان ولري خوندي کړئ.
لیکوالان:
Vyacheslav Medvedev، د کلاوډ کمپیوټري څانګې مشر، د جیټ انفوسیستم,
الیا کوکین، د جیټ انفوسیستم د کلاوډ کمپیوټري څانګې مخکښ انجنیر
سرچینه: www.habr.com